Verständnisfrage zum IP-Routing eines Layer-3-Switches
Hallo zusammen,
ich hätte eine kurze Frage zum "inter-vlan-routing" bzw. allgemein zur Routing-Funktionalität eines Layer-3-Switches...
...ist es mit einem Layer-3-Switch möglich, den eingerichteten VLANs unterschiedliche IP-Netze(klassen) zu geben und das Routing zwischen den beiden VLANs / Netzen funktioniert trotzdem?
z.B.--> VLAN1: IP: 192.168.0.1 /24
VLAN2: IP: 10.10.0.1 /16
Also konkret: kann einer Layer-3-Switch die beiden oben genannten Beispiel-Netze (192er und 10er) routen bzw. miteinander verbinden? und lassen sich ACLs definieren, welche den Zugriff zwischen den beiden VLANs auch ggf. blockieren lässt?
Vielen Dank im vorraus!
ich hätte eine kurze Frage zum "inter-vlan-routing" bzw. allgemein zur Routing-Funktionalität eines Layer-3-Switches...
...ist es mit einem Layer-3-Switch möglich, den eingerichteten VLANs unterschiedliche IP-Netze(klassen) zu geben und das Routing zwischen den beiden VLANs / Netzen funktioniert trotzdem?
z.B.--> VLAN1: IP: 192.168.0.1 /24
VLAN2: IP: 10.10.0.1 /16
Also konkret: kann einer Layer-3-Switch die beiden oben genannten Beispiel-Netze (192er und 10er) routen bzw. miteinander verbinden? und lassen sich ACLs definieren, welche den Zugriff zwischen den beiden VLANs auch ggf. blockieren lässt?
Vielen Dank im vorraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215106
Url: https://administrator.de/contentid/215106
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
20 Kommentare
Neuester Kommentar
Hallo,
- Zum einen sagst Du uns nichts rein gar nichts über Dein Netzwerk!
- Und zum anderen nicht wie groß es ist!
Denn man kann auch einen Router nehmen um zwei Netzwerke miteinander zu verbinden!
Gruß
Dobby
...ist es mit einem Layer-3-Switch möglich, den eingerichteten VLANs unterschiedliche IP-Netze(klassen) zu geben
Jaund das Routing zwischen den beiden VLANs / Netzen funktioniert trotzdem?
Jaz.B.--> VLAN1: IP: 192.168.0.1 /24 - VLAN2: IP: 10.10.0.1 /16
Ja das funktioniert man macht es aber nicht so!Also konkret: kann einer Layer-3-Switch die beiden oben genannten Beispiel-Netze (192er und 10er) routen bzw. miteinander verbinden?
Ja und lassen sich ACLs definieren, welche den Zugriff zwischen den beiden VLANs auch ggf. blockieren lässt?
Ja aber nicht global für das gesamte Netz aber Switch ACL und Port Security sind hier ganz klar Deine Freunde!Vielen Dank im vorraus!
Kein Thema, aber meist gehen solche Sache in die Hose!- Zum einen sagst Du uns nichts rein gar nichts über Dein Netzwerk!
- Und zum anderen nicht wie groß es ist!
Denn man kann auch einen Router nehmen um zwei Netzwerke miteinander zu verbinden!
Gruß
Dobby
die beiden von mir "in den Raum geworfenen IPs" sollten nur ein Beispiel sein.
Oki Doki, ich wollte das ja auch nur anmerken, klar kann man das so machen und eigentlich meine ichheraus gelesen zu haben das Ihr schon zwei Netzwerke habt und Dir erzählt worden ist, das man die IP Adressen
so bei behalten muss oder will! Man kann sich ja auch mal irren!
- es sollen drei VLANs eingerichtet werden
Jo das ist ja fast schon egal, aber es gibt eben einige Siwtche wie die von D-Link zum Beispiel,die nicht mehr als 8 IP Adressen vergeben können und wenn es nun ein sehr kleines Netzwerk ist
und Du oder Ihr Euch für die DGS1500-xx Serie entschieden hättet würde dann eben bei 7 VLANs Schluss sein!!!!!
Daher meine Fragen!
- VLAN10 soll Abteilung "X" zugeordnet werden
- VLAN20 soll Abteilung "Y" zugeordnet werden
und
- VLAN30 soll für die Server sein
- VLAN20 soll Abteilung "Y" zugeordnet werden
und
- VLAN30 soll für die Server sein
Und im VLAN1 sind immer alle Geräte vorhanden, das ist bei sehr vielen Switch Herstellern so geregelt und
wird von den Admins daher gerne als Management VLAN benutzt!
VLAN1: 192.168.1.1 /24
VLAN2: 192.168.2.1 /24
VLAN3: 192.168.3.1 /24
VLAN2: 192.168.2.1 /24
VLAN3: 192.168.3.1 /24
VLAN1: 192.168.1.0 /24
Management VLAN für den Admin
VLAN20: 192.168.2.0 /24
Abteilung A
VLAN30: 192.168.3.0 /24
Abteilung B
VLAN40: 192.168.4.0 /24
Server
damit es ein 192er-"Grundnetz" mit /24er-SN-Maske ist und die VLANs nur in unterschiedlichen Subnetzen sind?
Genau so und der L3 Switch selber muss auch eine IP Adresse bekommen und eine/die IP Adresse des VLANs istdann in der Regel bei den PC Klienten als Gateway eingetragen!
Sag mal bitte etwas zu dem vorhandenen Router oder der Firewall und der Anzahl der Klienten und Server im Netz.
Gruß
Dobby
Das ist so nicht ganz richtig. Auf den Clients wird eigentlich immer die entsprechende VLAN-IP als Gateway eingetragen!
Jo danke, da hat sich bei mir der Fehlerteufel eingeschlichen, ist korrigiert!Cisco SG 300-52 (SRW2048-K9-NA) 52-Port Gigabit Managed Switch
Ist in meinen Augen unschlagbar im Preis- Leistungsverhältnis.
Gruß
Dobby
Es funktioniert mit einem externen Router auch für nicht Layer 3 fähige VLAN Switches.
Diese beiden Tutorials erklären die Grundlagen dafür:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Diese beiden Tutorials erklären die Grundlagen dafür:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
das mit dem Router stand auch schon im dritten Beitrag
Ooops, sorry überlesen
Ich bin ja auch gar nicht so, aber ich habe das eben bei einem Beitrag von Dir und MrNetman gelesenund dachte das machst Du (ich) jetzt auch mal!
Gruß
Dobby
Bemerkung zum Problem:
Ein L3-Router ist in der Lage, beliebige Netze miteinander zu verbinden. Das ist die Grundaufgabe eines IP-Routers (der notabene nur die L3-Schicht betrachtet / bedient- also IP). Die L2 Schicht- also VLAN, kann bei Billigprodukten gehörige Probleme verursachen.
Dein Router wird aber bestimmt ein "managed Router" sein, der selbstverständlich mit Virtuellen Netzen umgehen kann.
Eine Bemerkung zum Router:
Es muss nicht immer Cisco sein, es gibt auch andere sehr gute Produkte, z.B. von Netgear für etwa 10 mal weniger Geld. Die Bedienoberfläche ist übrigens bei all den Produkten (HP, IBM, CISCO, NETGEAR...) immer gleich oder nahezu gleich (bis auf das Flashen und recovern). Wer einmal das Cisco IOS gelernt hat, kann das überall anwenden (skripten) oder er klickt sich das am Webinterface zusammen
Ein L3-Router ist in der Lage, beliebige Netze miteinander zu verbinden. Das ist die Grundaufgabe eines IP-Routers (der notabene nur die L3-Schicht betrachtet / bedient- also IP). Die L2 Schicht- also VLAN, kann bei Billigprodukten gehörige Probleme verursachen.
Dein Router wird aber bestimmt ein "managed Router" sein, der selbstverständlich mit Virtuellen Netzen umgehen kann.
Eine Bemerkung zum Router:
Es muss nicht immer Cisco sein, es gibt auch andere sehr gute Produkte, z.B. von Netgear für etwa 10 mal weniger Geld. Die Bedienoberfläche ist übrigens bei all den Produkten (HP, IBM, CISCO, NETGEAR...) immer gleich oder nahezu gleich (bis auf das Flashen und recovern). Wer einmal das Cisco IOS gelernt hat, kann das überall anwenden (skripten) oder er klickt sich das am Webinterface zusammen
Oder VLAN Firewall Router die gar nix kosten wie pfSense, Monowall
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
oder nur einen Bruchteil...mit 35 Euronen:
Mikrotik RB750 - Quick Review
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
oder nur einen Bruchteil...mit 35 Euronen:
Mikrotik RB750 - Quick Review
Ja im Schulraum oder im Lab ganz nützlich. Ein Router aber, der produktiv eingesetzt wird, muss einige Gigabit/s Transferleistung haben, rund um die Uhr während Jahren ohne Restart / Pflege laufen und dabei noch kaum Strom verbrauchen. Oft sind sie auch in ungekühlten Metallschränken untergebracht.
Ausserdem erwartet man von einem Router, dass er problemlos Glasfasern (Verbindung zwischen Gebäuden / Stockwerken) mit Gigabit CAT5/6 Ethernet Kabeln verbindet. Meist sind es so um die 20 bis 100 Anschlüsse, die dann jeweils pro Router dranhängen in einem Unternehmen.
Nur so nebenbei: solche Geräte sind meist redundant ausgelegt:
- nicht nur hat so ein Router zwei unabhängige Netzteile die von a) Netz und b) UPS gespiesen werden, sondern
- sind auch redundant vorhanden (Stichwort HSRP , siehe hier : http://de.wikipedia.org/wiki/Hot_Standby_Router_Protocol)
Ausserdem erwartet man von einem Router, dass er problemlos Glasfasern (Verbindung zwischen Gebäuden / Stockwerken) mit Gigabit CAT5/6 Ethernet Kabeln verbindet. Meist sind es so um die 20 bis 100 Anschlüsse, die dann jeweils pro Router dranhängen in einem Unternehmen.
Nur so nebenbei: solche Geräte sind meist redundant ausgelegt:
- nicht nur hat so ein Router zwei unabhängige Netzteile die von a) Netz und b) UPS gespiesen werden, sondern
- sind auch redundant vorhanden (Stichwort HSRP , siehe hier : http://de.wikipedia.org/wiki/Hot_Standby_Router_Protocol)
Hallo,
Meinung nach nicht klein reden!
Wenn man ein Server Mainbord mit zwei Xeon E5-2690 und 64 GB ECC/REG RAM bestückt und darauf dann
pfSense installiert ist das schon wieder eine ganz andere Sache! Auch was die Portdichte betrifft oder aber die
Qualität der Ports am Router lässt sich da schon einiges machen.
- HotLava Adapter mit 256 MB EEC RAM und Exar (Hifn) Chip aus der 81xx Serie
- Lanner FW-8895 die mit 4 Modulen (je 8 LAN oder SFP Ports) bestückt werden können
und pro Modul ein Tilera TILE Gx8036 SoC mit High Performance encryption Engine MiCA!
Und via pfsync (CARP & Arp balance) kann man dann auch mehrere Router zu einem Cluster zusammenschließen
und das nicht nur mittels VRRP (active/pasive) sondern sogar zu einem (active/active) Cluster der zum einen die
gesamte Netzwerklast ausbalanciert und auch automatisch falls ein Router "verreckt" den neuen Master im Cluster
bestimmt, das kann so auch kein anderer und das ganze bitte schön für "umme" also als OpenSource!
Also so soll es ja nicht sein, dass man nicht auch mit OpenSource hochperformante Router oder Firewalls
schrauben kann, aber wenn es, so wie es eben oft das Fall ist, dann zu dem Punkt der Zertifizierung (ICSA) kommt
und das wird eben doch sehr oft durch Unternehmensleitlinien gefordert und nicht zum Schluss recht oft durch
Versicherungen vorgegeben die jedes Unternehmen ja auch abschließt um seine unternehmerischen Aktionen
abzusichern.
Aber das war ja auch gar nicht Gegenstand der Verhandlungen, sondern das Bilden von
VLANs an einem Layer3 Switch und das Versorgen eben dieser VLANs mit eigenen IP Adressen!
und sicherlich stimme ich Dir zu dass auch Netgear in letzter Zeit recht nette Switche heraus gebracht
hat und diese sogar in einem "Bundle" wo man für ca. ~10.000 € gleich drei Switche nebst Zubehör
(Stacking Module, SFP+ Tranceiver und Kabel) bekommt, wo man bei anderen Anbietern gerade mal
einen einzigen nackten Switch erhält, aber das ist auch nur Makulatur denn das macht eben auch wider
jeder "frei gusto" also sprich so wie er es gerne hätte und sich eben auch leisten kann.
Ich persönlich favorisiere lieber die Lösung bei der man zwei Routingpunkte im Netz hat, und zwar zum Einen
am Router und zum anderen im LAN mittels Switchen die gestapelt sind!
Gruß
Dobby
Ja im Schulraum oder im Lab ganz nützlich.
Also das kommt eben immer auch auf den Unterbau, also sprich die Hardware drauf an, so pauschal lässt sich das meinerMeinung nach nicht klein reden!
Wenn man ein Server Mainbord mit zwei Xeon E5-2690 und 64 GB ECC/REG RAM bestückt und darauf dann
pfSense installiert ist das schon wieder eine ganz andere Sache! Auch was die Portdichte betrifft oder aber die
Qualität der Ports am Router lässt sich da schon einiges machen.
- HotLava Adapter mit 256 MB EEC RAM und Exar (Hifn) Chip aus der 81xx Serie
- Lanner FW-8895 die mit 4 Modulen (je 8 LAN oder SFP Ports) bestückt werden können
und pro Modul ein Tilera TILE Gx8036 SoC mit High Performance encryption Engine MiCA!
Und via pfsync (CARP & Arp balance) kann man dann auch mehrere Router zu einem Cluster zusammenschließen
und das nicht nur mittels VRRP (active/pasive) sondern sogar zu einem (active/active) Cluster der zum einen die
gesamte Netzwerklast ausbalanciert und auch automatisch falls ein Router "verreckt" den neuen Master im Cluster
bestimmt, das kann so auch kein anderer und das ganze bitte schön für "umme" also als OpenSource!
Also so soll es ja nicht sein, dass man nicht auch mit OpenSource hochperformante Router oder Firewalls
schrauben kann, aber wenn es, so wie es eben oft das Fall ist, dann zu dem Punkt der Zertifizierung (ICSA) kommt
und das wird eben doch sehr oft durch Unternehmensleitlinien gefordert und nicht zum Schluss recht oft durch
Versicherungen vorgegeben die jedes Unternehmen ja auch abschließt um seine unternehmerischen Aktionen
abzusichern.
Aber das war ja auch gar nicht Gegenstand der Verhandlungen, sondern das Bilden von
VLANs an einem Layer3 Switch und das Versorgen eben dieser VLANs mit eigenen IP Adressen!
und sicherlich stimme ich Dir zu dass auch Netgear in letzter Zeit recht nette Switche heraus gebracht
hat und diese sogar in einem "Bundle" wo man für ca. ~10.000 € gleich drei Switche nebst Zubehör
(Stacking Module, SFP+ Tranceiver und Kabel) bekommt, wo man bei anderen Anbietern gerade mal
einen einzigen nackten Switch erhält, aber das ist auch nur Makulatur denn das macht eben auch wider
jeder "frei gusto" also sprich so wie er es gerne hätte und sich eben auch leisten kann.
Ich persönlich favorisiere lieber die Lösung bei der man zwei Routingpunkte im Netz hat, und zwar zum Einen
am Router und zum anderen im LAN mittels Switchen die gestapelt sind!
Gruß
Dobby
@cosy
Na ja nun übertreibst du etwas und verlierst den Boden unter den Füssen....
"...Ein Router aber, der produktiv eingesetzt wird," Ja ja keine Frage nur das "produktiv eingesetzt" ist ja ein weitreichender Begriff !
Das geht vom dummen Speedport bei Lischen Müller über einen Mikrotik beim pfiffigen Studenten zum kelinen Lancom oder Cisco beim Steuerberater oder KFZ Werkstatt über einen Midrange Unternhemensrouter zu einem dicken Internet Backbone Router.
Das alles diese eine Glasfaseroption haben sollen (was per se die Unterbringung in ungekühlten Schränken faktisch ausschliesst), ohne Lüfter betrieben werden sollen, mind 20 Ports haben usw. usw. widerspricht sich per se und ist auch völlig realitätsfern.
Wenn sollte man schon genau auf das Einsatzgebiet, Umfeld und Anforderung schauen und dann die Features festlegen die so ein System erfüllen muss !
Na ja nun übertreibst du etwas und verlierst den Boden unter den Füssen....
"...Ein Router aber, der produktiv eingesetzt wird," Ja ja keine Frage nur das "produktiv eingesetzt" ist ja ein weitreichender Begriff !
Das geht vom dummen Speedport bei Lischen Müller über einen Mikrotik beim pfiffigen Studenten zum kelinen Lancom oder Cisco beim Steuerberater oder KFZ Werkstatt über einen Midrange Unternhemensrouter zu einem dicken Internet Backbone Router.
Das alles diese eine Glasfaseroption haben sollen (was per se die Unterbringung in ungekühlten Schränken faktisch ausschliesst), ohne Lüfter betrieben werden sollen, mind 20 Ports haben usw. usw. widerspricht sich per se und ist auch völlig realitätsfern.
Wenn sollte man schon genau auf das Einsatzgebiet, Umfeld und Anforderung schauen und dann die Features festlegen die so ein System erfüllen muss !
Cisco SF300 oder SG300er Serie bei non Catalyst, Catalyst 29xx, Brocade ICX 6430, ....die Herstellerliste ist unendlich lang und die Frage ungefähr so sinnvoll als wenn du die Allgemeinheit nach einer Autoempfehlung fragst.
Die Liste der Antworten wird dann wieder unendlich lang ohne das es dich wirklich weiterbringt. Will sagen: In dem Billigbereich ist alles austauschbar und die meisten entscheiden nach Portemonaie und nicht nach Anforderungen und Features !
Die Liste der Antworten wird dann wieder unendlich lang ohne das es dich wirklich weiterbringt. Will sagen: In dem Billigbereich ist alles austauschbar und die meisten entscheiden nach Portemonaie und nicht nach Anforderungen und Features !
Zitat von @108012:
..Ich persönlich favorisiere lieber die Lösung bei der man zwei Routingpunkte im Netz hat, und zwar zum Einen
am Router und zum anderen im LAN mittels Switchen die gestapelt sind!
Gruß
Dobby
am Router und zum anderen im LAN mittels Switchen die gestapelt sind!
Gruß
Dobby
Das kann Sinn machen, hat aber nebst den Vorteilen (Flexibilität, zugeschneidert nach Deinen wirklichen Bedürfnissen) auch
NACHTEILE:
- Robustheit insgesamt (ungekühlte Umgebung, redundante Stromversorgung bei mässigem Gesamtverbrauch (UPS-Belastung)
- Dein Ferienvertreter steht wie der Esel am Berg, wenn nichts mehr geht- hingegen kann jeder Cisco geschulte Mensch die gängigen Professional - Produkte auf Anhieb mit Hilfe Deiner Doku bedienen
- PoE ist wohl ein mühsames Ding mit deinen PC-basierten Zusatzkarten. Kommt dazu dass die Saubere Entkopplung Schirm / Masse bei solchen Kartenlösungen selbst gebastelt werden muss
Für den Durchschnitts- ICT-Techniker sehe ich solche Lösungen definitiv nicht. Frage mal Deinen CEO oder besser noch CFO, wieviel in Deinem Unternehmen die Stunde Totalausfall kostet. Und dabei ist von gesichert anfallenden Kosten sowie von hypothetischen Kosten die Rede. Die hypothetischen Kosten waren bei meinem Unternehmen (125 MitarbeiterInnen) etwa 50 mal höher als die gesicherten- wegen Angebotsanfrage- und Bestellungsausfall von Vertragsunternehmen von USA bis Japan..
Wenn Du diese Zahl hast, wirst Du erkennen, dass Du oft mit dem Wert von etwa 2 Ausfallstunden die ganze Netzwerkinfrastruktur kaufen kannst.
Eine Investition in eine Infrastruktur, die im Worst Case (du bist in den Ferien oder im Spital, und irgend ein Heini muss nun die Welt retten)
sehr sehr viel Kosten sparen kann.
Darum :
Im Lab, bei der Lehrlingsausgbildung, in Testumgebung: Ja zu selbstgebauten Lösungen
Im produktiven Betrieb im ICT Bereich von Unternehmen: zertifzierbare Qualitätsprodukte, wobei es nicht unbedingt CISCO sein muss
Anmerkung:
Ich empfinde es als Qualitätszeichen (für das Forum und die TN), dass sich eine Frage aus der Bastlerecke in Stellungnahmen wie die Deine entwickelt.
..ach, und was ich noch sagen wollte: die Trennung von Router und Switches ist ja vollkommen in Ordnung, nur müssen die Switches voll managebar sein, damit sie in die Security-Policy eingebunden werden können.
Dies ist sowieso unbedingt notwendig, wenn man den Einsatz von VLAN im Unternehmen richtig und sicherheitsbewusst managen muss. Die Rhulesets sind ja richtig komplex geworden mit der überall vorhanden Virtualisierung.
Seit Virtuellen und lastgesteuerten Serverfarmen ist auch die Anforderung an die Reaktionszeit bei Änderungen an der Security-policy enorm gestiegen.
Dies ist sowieso unbedingt notwendig, wenn man den Einsatz von VLAN im Unternehmen richtig und sicherheitsbewusst managen muss. Die Rhulesets sind ja richtig komplex geworden mit der überall vorhanden Virtualisierung.
Seit Virtuellen und lastgesteuerten Serverfarmen ist auch die Anforderung an die Reaktionszeit bei Änderungen an der Security-policy enorm gestiegen.