Verständnissproblem Routing mit SG300-28
Hallo Leute,
leider komme ich mit meinem neuen Cisco Switch noch nicht ganz klar und würde euch deshalb gerne einmal um Hilfe bitten.
Ich habe meinen alten noname Switch durch einen SG300-28 der Marke Cisco ersetzt. Beim Kauf war mir eigentlich schon bewusst, dass es für den Homegebrauch etwas übertrieben ist. Hintergrund war jedoch der sehr niedrige Preis und das vorhandene Interesse an Netzwerktechnik.
Leider aber komme ich aktuell nicht mehr weiter und wollte euch fragen, ob nachfolgende Lösung mit dem "Stand alone" Switch überhaupt machbar ist.
Mein Netzwerkaufbau sieht wie folgt aus:
Internet ==> Modem ==> Sophos XG Firewall (192.168.2.1) => SG300-28 (192.168.2.4 192.168.3.1) ==> Diverse clients über WLAN und LAN
Nun würde ich gerne einmal versuchen mein "Heimnetz" in 2 Subnetmasken aufzuteilen.
z.B.: dass die TV's im Bereich von 192.168.3.0/24 und die PCs in 192.168.2.0/24 aufzufinden sind.
Ist generell so ein Setup möglich ?
Was habe ich bis jetzt gemacht ? (der SG 300 läuft im Layer 3 Modus)
- > unter IP Konfiguration 2 IP Adressen vergeben 192.168.2.4 und 192.168.3.1
-> unter IP Routen folgende Routen ergänzt:
- Ziel IP Präfix Präfixlänge RoutentypRouterIP
0.0.0.0 0 Standard 192.168.2.1
192.168.2.0 24 Lokal
192.168.3.0 24 // Lokal
Aber irgendwie sind die Netzte nicht miteinander Verbunden.
Vielen Dank im Voraus
leider komme ich mit meinem neuen Cisco Switch noch nicht ganz klar und würde euch deshalb gerne einmal um Hilfe bitten.
Ich habe meinen alten noname Switch durch einen SG300-28 der Marke Cisco ersetzt. Beim Kauf war mir eigentlich schon bewusst, dass es für den Homegebrauch etwas übertrieben ist. Hintergrund war jedoch der sehr niedrige Preis und das vorhandene Interesse an Netzwerktechnik.
Leider aber komme ich aktuell nicht mehr weiter und wollte euch fragen, ob nachfolgende Lösung mit dem "Stand alone" Switch überhaupt machbar ist.
Mein Netzwerkaufbau sieht wie folgt aus:
Internet ==> Modem ==> Sophos XG Firewall (192.168.2.1) => SG300-28 (192.168.2.4 192.168.3.1) ==> Diverse clients über WLAN und LAN
Nun würde ich gerne einmal versuchen mein "Heimnetz" in 2 Subnetmasken aufzuteilen.
z.B.: dass die TV's im Bereich von 192.168.3.0/24 und die PCs in 192.168.2.0/24 aufzufinden sind.
Ist generell so ein Setup möglich ?
Was habe ich bis jetzt gemacht ? (der SG 300 läuft im Layer 3 Modus)
- > unter IP Konfiguration 2 IP Adressen vergeben 192.168.2.4 und 192.168.3.1
-> unter IP Routen folgende Routen ergänzt:
- Ziel IP Präfix Präfixlänge RoutentypRouterIP
0.0.0.0 0 Standard 192.168.2.1
192.168.2.0 24 Lokal
192.168.3.0 24 // Lokal
Aber irgendwie sind die Netzte nicht miteinander Verbunden.
Vielen Dank im Voraus
Please also mark the comments that contributed to the solution of the article
Content-ID: 328442
Url: https://administrator.de/contentid/328442
Printed on: October 7, 2024 at 01:10 o'clock
15 Comments
Latest comment
Moin,
grundsätzlich vom Aufbau her ideal, also den Switch routen zu lassen, statt der UTM.
Noch bessr wäre es, die Sophos in ein drittes VLAN zu verfrachten, z.B. 192.168.1.0/ 24.
Dann hast du ein VLAN welches NUR für Internet-Verkehr ist. Solltest du später mal noch ein Gäste-WLAN haben wollen, müssen die ja nicht in dein privates-WLAN reingrätschen, um ins Internet zu kommen....
Weiterer Tipp am Rande:
Setze die Switche in beiden Netzen auf eine der ersten oder letzten IP-Adressen in einem VLAN. Das ist immer besser, als so mittendrin.
Also in beiden Fällen besser 192.168.3.254 und 192.168.2.254. Das macht es immer übersichtlicher und verhindert, dass man versehentlich eine IP doppelt zuweist.
Dann vermute ich, liegt der Fehler an zwei Dingen:
a) kennen deine Clients das neue Gateway, also hast du denen mitgeteilt, wer das Default-Gateway ist!?Du musst denen dann nämlich die 192.168.x.254 mitgeben.
b) auf der Sophos musst du noch Rückrouten einrichten. Denn die Sophos weiss ja sonst nicht,wohin Sie die Pakete für die Netze 192.168.2.0/ 24 bzw. 192.168.3.0/ 24 senden soll...
Noch weitere Anmerkungen:
Wer macht DHCP? Die Sophos oder der Switch.
Wenn es die SOPHOS macht, musst du am Switch noch die ip-adress helper einrichten und zuvor auf der SOPHOS passende DHCP-Scopes einrichten. Der Switch nimmt dann die DHCP-Anfragen entgegen, leitet diese an die SOPHOS weiter, welche die Requests dann dem Switch gegenüber beantwortet, welcher diese dann wieder zurück zu den Clients sendet...
Gruß
em-pie
grundsätzlich vom Aufbau her ideal, also den Switch routen zu lassen, statt der UTM.
Noch bessr wäre es, die Sophos in ein drittes VLAN zu verfrachten, z.B. 192.168.1.0/ 24.
Dann hast du ein VLAN welches NUR für Internet-Verkehr ist. Solltest du später mal noch ein Gäste-WLAN haben wollen, müssen die ja nicht in dein privates-WLAN reingrätschen, um ins Internet zu kommen....
Weiterer Tipp am Rande:
Setze die Switche in beiden Netzen auf eine der ersten oder letzten IP-Adressen in einem VLAN. Das ist immer besser, als so mittendrin.
Also in beiden Fällen besser 192.168.3.254 und 192.168.2.254. Das macht es immer übersichtlicher und verhindert, dass man versehentlich eine IP doppelt zuweist.
Dann vermute ich, liegt der Fehler an zwei Dingen:
a) kennen deine Clients das neue Gateway, also hast du denen mitgeteilt, wer das Default-Gateway ist!?Du musst denen dann nämlich die 192.168.x.254 mitgeben.
b) auf der Sophos musst du noch Rückrouten einrichten. Denn die Sophos weiss ja sonst nicht,wohin Sie die Pakete für die Netze 192.168.2.0/ 24 bzw. 192.168.3.0/ 24 senden soll...
Noch weitere Anmerkungen:
Wer macht DHCP? Die Sophos oder der Switch.
Wenn es die SOPHOS macht, musst du am Switch noch die ip-adress helper einrichten und zuvor auf der SOPHOS passende DHCP-Scopes einrichten. Der Switch nimmt dann die DHCP-Anfragen entgegen, leitet diese an die SOPHOS weiter, welche die Requests dann dem Switch gegenüber beantwortet, welcher diese dann wieder zurück zu den Clients sendet...
Gruß
em-pie
Eijeijei
Also:
wenn du zwei verschiedene IP-Adresskreise verwenden willst, ist ein VLAN eigentlich unumgänglich (es geht auch ohne, aber dann ist es halt sch...)
Unser aqui hier hat seinerzeit mal ein Tutorial hier verfasst, welche auch die Grundlagen beschreibt.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das solltest du dir zunächst mal durchlesen/ durcharbeiten
Zu deinem Aufbau:
Du musst/ solltest für jedes IP-Netz ein eigenes VLAN vorsehen.
Anbieten würde sich
VLAN1 mit dem Netz 192.168.1.0/24 (hier könntest du die SOPHOS "einsperren")
VLAN2 mit dem Netz 192.168.2.0/24 (hier könntest du die WLANs "einsperren")
VLAN3 mit dem Netz 192.168.3.0/24 (hier könntest du die übrigen Devices "einsperren")
VLAN4 mit dem Netz 192.168.4.0/24 (hier könntest du die Gäste später "einsperren")
Unterschied tagged und untagged:
Ports mit dem Status tagged sind alle diejenigen, an denen ein Endgerät angeschlossen wird, welches auch mit VLANs umgehen kann.
Das sind i.d.R. Synology-NAS-Systeme, (andere) Router, MultiSSID-fähige AccessPoints und auch andere manaagebare Layer2 und mehr Switche. Der Switch heftet an diese Ports nicht selbst eine VLAN-ID an die Datenpakete an,sondern übernimmt die, die vom Gerät gegenüber mitkommen.
untagged sind dann alle diejenigen Ports, die nichts mit VLAN am Hut haben. Dazu zählen in aller Regel normale Clients, Drucker, TVs, Receiver, Drucker, Spielekonsolen etc.
Nachtrag: Das VLAN1 belässt man eigentlich immer auf allen Ports als untagged, eben weil es ein Default-VLAN ist.
Da du die Sophos in ein eigenes VLAN packst und das Routing der Switch übernimmt, wird die Sophos an einem untagged Port an den Switch angeschlossen.
Mit Rückrouten meinte ich in der tat statische Routen, die auf der Sophos eingetragen werden müssen.
Warum? Naja, der Switch weiss zwar, wohin er alle Pakete schicken soll, aber die Sophos weiss ja nicht, welche Netze (außer dem 192.168.1.0/24er) noch hinter dem Switch liegen. Daher musst du der Sophos mitteilen "Wenn du Pakete für die o.g. Netze hast, schicke Sie soch bitte an den Switch, der macht den Rest"
Und den DHCP-Server könntest du auf der Synology belassen, würde ich persönlich dort aber dann abziehen und das die Sophos oder ggf. noch besser den Switch machen lassen. Letzteres macht es nicht erforderlich, dass du mit DHCP-Relay-Features auf dem Switch arbeiten musst (s.o. Stichwort ip-adress helper)
Also:
wenn du zwei verschiedene IP-Adresskreise verwenden willst, ist ein VLAN eigentlich unumgänglich (es geht auch ohne, aber dann ist es halt sch...)
Unser aqui hier hat seinerzeit mal ein Tutorial hier verfasst, welche auch die Grundlagen beschreibt.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das solltest du dir zunächst mal durchlesen/ durcharbeiten
Zu deinem Aufbau:
Du musst/ solltest für jedes IP-Netz ein eigenes VLAN vorsehen.
Anbieten würde sich
VLAN1 mit dem Netz 192.168.1.0/24 (hier könntest du die SOPHOS "einsperren")
VLAN2 mit dem Netz 192.168.2.0/24 (hier könntest du die WLANs "einsperren")
VLAN3 mit dem Netz 192.168.3.0/24 (hier könntest du die übrigen Devices "einsperren")
VLAN4 mit dem Netz 192.168.4.0/24 (hier könntest du die Gäste später "einsperren")
Unterschied tagged und untagged:
Ports mit dem Status tagged sind alle diejenigen, an denen ein Endgerät angeschlossen wird, welches auch mit VLANs umgehen kann.
Das sind i.d.R. Synology-NAS-Systeme, (andere) Router, MultiSSID-fähige AccessPoints und auch andere manaagebare Layer2 und mehr Switche. Der Switch heftet an diese Ports nicht selbst eine VLAN-ID an die Datenpakete an,sondern übernimmt die, die vom Gerät gegenüber mitkommen.
untagged sind dann alle diejenigen Ports, die nichts mit VLAN am Hut haben. Dazu zählen in aller Regel normale Clients, Drucker, TVs, Receiver, Drucker, Spielekonsolen etc.
Nachtrag: Das VLAN1 belässt man eigentlich immer auf allen Ports als untagged, eben weil es ein Default-VLAN ist.
Da du die Sophos in ein eigenes VLAN packst und das Routing der Switch übernimmt, wird die Sophos an einem untagged Port an den Switch angeschlossen.
Mit Rückrouten meinte ich in der tat statische Routen, die auf der Sophos eingetragen werden müssen.
Warum? Naja, der Switch weiss zwar, wohin er alle Pakete schicken soll, aber die Sophos weiss ja nicht, welche Netze (außer dem 192.168.1.0/24er) noch hinter dem Switch liegen. Daher musst du der Sophos mitteilen "Wenn du Pakete für die o.g. Netze hast, schicke Sie soch bitte an den Switch, der macht den Rest"
Und den DHCP-Server könntest du auf der Synology belassen, würde ich persönlich dort aber dann abziehen und das die Sophos oder ggf. noch besser den Switch machen lassen. Letzteres macht es nicht erforderlich, dass du mit DHCP-Relay-Features auf dem Switch arbeiten musst (s.o. Stichwort ip-adress helper)
leider komme ich mit meinem neuen Cisco Switch noch nicht ganz klar
Die entsprechenden Tutorial gelesen: ??:http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
(Bei Letzterem denkst du dir den Router im Switch)
Hier findest du die grundlegenden ToDo Schritte die du mit deiner Sophos für so ein Design machen musst wenn der Switch routet. Betrachte die Sophos als "Internet Router":
Bestehendes Netzwerk in VLANs trennen, Einkaufsberatung
Dein Problem ist aber das du zuallererst mal grundsätzlich klären musst WIE die deine einzelnen VLAN Segmente sicherheitstechnisch abfrühstücken willst.
Soll das zentral über die Sophos Firewall gehen brauchst du einen tagged Uplink auf die Sophos und diese muss natürlich dann auch Tagged Ports supporten so wie es im o.a. Tutorial für die dortige pfSense Firewall beschrieben ist.
Die ToDos sind für dich identisch.
Willst du es so lösen darf der Cisco 300er NICHT routen !!!
Sprich du darfst keine IP Interfaces auf dem Router als Gateways konfigurieren. Klar, denn das Routing soll ja über die Sophos FW gehen !
Das Szenario ost sicherer, da die Sophos eine stateful Firewall ist.
Dann hättest du aber auch Geld zum Fenster rausgeschmissen, denn dann hätte ein Layer 2 Cisco (SG-200) vollends genügt.
Die andere Option ist den Cisco 300er routen zu lassen. Dann wie im obigen Thread beschrieben.Vlans einrichten, Switch IPs pro VLAN, ein separates VLAN für die Sohos, default Route auf dem Switch an die Sopos und VLAN Routen auf der Sophos an den Switch. Fertisch.
Etwas einfacher einzurichten und zu managen aber weniger sicher, da du ja nun auf dem Switch filtern musst mit IP Accesslisten die nicht stateful sind. Aber für den heimgebrauch recht es auch.
Nun musst du dich entscheiden sonst drehen wir uns hier im Kreis um dir alles zu beschreiben
Um erste Schritte Richtung VLAN zu machen, wollte ich es aktuell erst einmal schaffen, dass der Switch routet. (Sind ja die Anfangsschritte ^^)
Das macht aber nur Sinn, wenn es auch etwas sinnvolles zu routen gibt.Und sinnvoll ist es dann nur, wenn die IP-Kreise in unterschiedlichen VLANs liegen.
Was der Switch direkt kann, wenn er als Layer3-Mode aktiv ist: zwischen den Netzen routen, wenn er selbst in jedem VLAN eine IP hat
Baue also VLANs, gebe dem Switch in jedem VLAN eine IP und du kannst erstmal routen.
Also dass folgende Aufgaben vom SG 300 übernommen werden.
DHCP Server im Bereich 192.168.2.xxx
Eventuell für Testzwecke IP Adressbereich 192.168.30.xxx mit Zugriff auf die 192.168.1.XX
OK, das sollte ja kein Problem darstellen. Kannst du ja alles in der GUI einstellen.DHCP Server im Bereich 192.168.2.xxx
Eventuell für Testzwecke IP Adressbereich 192.168.30.xxx mit Zugriff auf die 192.168.1.XX
Routing nach 192.168.1.XXX -> Sohos bereich
Im Anschluss soll der Sophos der Weg nach "draußen" sein.
Auch klar, das wäre ja dann der Fall, wenn du zwischen SOPHOS und SG300 ein eigenes VLAN kreirst (Transfernetz).Im Anschluss soll der Sophos der Weg nach "draußen" sein.
Leider aber komme ich immer nur soweit, dass ich den Switch in den unterschiedlichen VLANs ansprechen kann .
Jedoch kann ich kein einzelnes Gerät erreichen.
Z.B.: Ping von:
-> meinem Rechner 192.168.2.10 auf 192.168.2.254 -> Antwort von 192.168.2.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
OK, das ist schon mal gutJedoch kann ich kein einzelnes Gerät erreichen.
Z.B.: Ping von:
-> meinem Rechner 192.168.2.10 auf 192.168.2.254 -> Antwort von 192.168.2.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
-> meinem Rechner 192.168.2.10 auf 192.168.1.xxx -> Zeitüberschreitung der Anforderungen...
Wäre denkbar, dass der Client nicht weiss, wohin er das Paket zurückschicken soll (falsche GW-IP)Des Weiteren: Was für Clients? Nicht, dass dort die (Windows-) Firewall aktiv ist und Pakete der netzfremden Absender/ Empfänger blockt.
Passe also, sofern vorhanden, die Firewall des Clients an; zur Not: mal kurzfristig in Gänze abschalten
Als Routen sind im SG300
Destination Route Type Next Hop Router Route Owner
0.0.0.0 Default 192.168.1.1 (IP Sophos) Default
192.168.1.0 Local (leer) Directly Connected
192.168.2.0 Local (leer) Directly Connected
Sieht, wenn ich das richtig sehe, gut ausDestination Route Type Next Hop Router Route Owner
0.0.0.0 Default 192.168.1.1 (IP Sophos) Default
192.168.1.0 Local (leer) Directly Connected
192.168.2.0 Local (leer) Directly Connected
Als GW ist bei den Clients der SG 300 eingestellt -> Client 192.168.2.20 GW 192.168.2.254
Sehr gut. Und die Clients aus dem VLAN1 und dem NETZ 192.168.1.0/24 haben als GW dann analog dazu die 192.168.1.254 eingetragen, richtig?Hat der Switch vielleicht noch eine art "Firewall" wo ich noch die Netzwerke freigeben muss ? (ähnlich wie bei Side to Side VPN Verbindungen ?)
Nepp, erstmal ist alles offen, sofern du noch nicht mit AccessListen gearbeitet hast.Bei den Porteinstellungen "Port VLAN Membership" habe ich die VLANS hinzugefügt und als Mode "Trunk" eingestellt.
In der Cisco-Terminologie (und ich glaube auch nur hier) ist ein Trunk ein Port, der mehrere VLANs überträgt. Alle anderen Hersteller definieren den Begriff Trunk als eine Bündelung mehrerer physikalischer Ports zu einem logischen (Stichwort: Link Aggregation Group / Kurz LAG)Setze die Ports der Clients mal auf ACCESS und als untagged in das richtige LAN
Table of contents
Basisdesign für VLANs mit einem Layer 3 (Routing) VLAN Switch
Als Übersicht vorab sähe ein fertiges L3 Netzwerk Design dann so aus (IP Adressierung deiner anpassen !):
(VLAN 99 ist ein reines Koppelnetz um das Internet anzubinden. Man sollte sinnvollerweise KEIN produktives VLAN nutzen um damit die Internet Daten zum Router zu bringen (Sicherheit))
Der VLAN L3 Switch agiert intern wie ein Router. Die VLAN IP Interfaces sind quasi als Routingbeine des internen Routers zu sehen und die Ports werden dann im Layer 2 einem VLAN zugeordnet.
Switch Gundkonfiguration
So gehst du vor um diese Schritte funktionsfähig auf dem L3 Switch umzusetzen:- Routing auf dem SG-250, SG-300, SG-350 usw. VORHER aktivieren wie oben beschrieben !
- Deine 3 VLANs erzeugen und untagged Endgeräteports in diese VLANs zuweisen ! Das ist wichtig und MUSS stimmen. Wenn du eine falsche IP im VLAN benutzt ist's aus mit Routing.
- Eine IP Adresse am Switch in jedes VLAN konfigurieren: VLAN 1 = 192.168.1.254, VLAN 10 = 192.168.10.254, VLAN 20 = 192.168.20.254, usw.
- Gateway IPs der Endgeräte in den jeweiligen VLANs auf die Switch IP (.254) im VLAN einstellen.
Endgeräte in unterschiedlichen VLANs sollten sich spätestens hier fehlerlos anpingen lassen.
Was zu beachten ist !:
- Gib auf dem Endgerät (Windows z.B.) immer ein ipconfig ein um die IP Adressierung zu checken und das die pro VLAN korrekt ist ! Das ist ganz wichtig wenn du mit DHCP arbeitest um die richtige IP Adressvergabe auf dem Client im VLAN zu verifizieren !
- Pinge von so einem Endgerät z.B. mit 192.168.1.100 in VLAN 1 immer erstmal das lokale Switchgateway bzw. Switch IP im VLAN 192.168.1.254. Das sollte immer klappen !
- Wenn ja, dann pinge von dem Endgerät einmal die Switchgateway IP in einem anderen VLAN, z.B. VLAN 10 mit der 192.168.10.254. Auch das muss auf Anhieb klappen !
Damit es auch mit dem Internet Router klappt:
- Default route ala ip route 0.0.0.0 0.0.0.0 <internet_router_ip> auf dem L3 Switch konfigurieren.
- Auf dem Internet Router eine statische Route für die VLANs auf dem Switch konfigurieren z.B. Zielnetz: 192.168.0.0, Maske: 255.255.224.0 <switch_vlan_ip> route z.B. alle Netze von 192.168.0.0 bis 192.168.31.0 auf den Switch !
Beispiel Default Route auf dem Layer 3 Routing Switch auf den Internet Router:
Finaler Ping Check aus allen VLANs auf eine nackte Internet IP wie z.B. 8.8.8.8 sollte dann fehlerlos klappen. Genau wie ein Ping auf Hostnamen wie z.B. www.administrator.de
Switch VLAN IP Interface Setup
WICHTIG:Die Layer 3 VLAN IP Adressen des Switches werden immer auf dem VLAN Interface !! konfiguriert:
Diese Adressen sind dann für alle Endgeräte in diesen VLANs immer die Gateway IPs, logisch !
Hat der Switch vielleicht noch eine Art "Firewall" wo ich noch die Netzwerke freigeben muss ?
Nein, das ist Unsinn, vergiss das ! Er hat ACLs aber die müsstest du explizit konfigurieren. Im Default ist alles erlaubt.Aber ACHTUNG !:
Gut möglich das die Windows Firewall dir einen Streich spielt. Ping (ICMP) ist IMMER deaktiviert ab Win 7 das musst du also erst aktivieren damit es klappt !:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Auch blockt per Default die Windows Firewall alles was aus fremden IP Netzen hereinkommt !
Bei dir ist jedes VLAN ein fremdes Netz, beachte das. Hier musst du die FW ggf. anpassen oder sie testweise mal deaktivieren !
meinem Rechner 192.168.2.10 auf 192.168.1.254 -> Antwort von 192.168.1.254: Bytes=32 Zeit=1ms TTL=64
DAS zeigt eigentlich das dein Routing auf dem Switch sauber funktioniert !meinem Rechner 192.168.2.10 auf 192.168.1.xxx -> Zeitüberschreitung der Anforderungen...
Wenn .1.xxx eine Endgeräte IP ist im VLAN 1 und zudem noch ein Windows Rechner, sieht das dann sehr verdächtig nach dem o.a. Windows Firewall Problem aus. Prüfe das !Was noch möglich ist:
- .1.xxx hat KEINE Gateway IP konfiguriert
- .1.xxx ist in einem falschen VLAN
Setze die Ports der Clients mal auf ACCESS und als untagged in das richtige LAN
Das ist absolut richtig !Trunk ist natürlich FALSCH wenn das ein Endgeräte Port ist. Der darf logischerweise nur ACCESS (untagged) sein und im entsprechenden VLAN sein. (Endgeräte verstehen in der Regel kein Tagging)
Trunk Ports werden nur für tagged Uplink Ports benutzt !
Eigentlich ist das ein Kinderspiel wenn man diese Schritte alle der Reihe nach beachtet.
Bei Gast VLANs muss man übrigens aufpassen das man diesen keine IP Adressen auf dem routenden Switch verpasst. Das wäre eine fatale Sicherheitslücke. Besser ist es da diese VLANs nur im Layer 2 "durchzuschleifen" auf die Firewall und sie da wasserdicht abzusichern. Siehe dazu auch HIER.
Erweiterung mit weiteren Layer 2 VLAN Switches
Dehnt man das ganze Design z.B. auf ein größeres Netzwerk mit weiteren L2 VLAN Switches in der Fläche aus sieht dieses einfache VLAN Grundprinzip mit einem Layer 3 Core Switch immer gleich aus wie hier z.B. an den Beispiel VLANs 1, 10 und 20:(Für die Netgear Fetischisten erklärt es HIER noch einmal ein weiterer Thread in Netgear Farben.)
Redundanz
Nachteil des o.a. Designs ist natürlich die fehlende Redundanz wenn man entsprechende Verfügbarkeits Anforderungen an ein solches Campus Netz hat.Das löst man mit einem entsprechenden Core in Full Stack Technologie oder mit VRRP bei Core Einzelswitches.
Design mit Link Aggregation
Behandelt ein separates Tutorial im Forum.dasss man einen weiteren Router benötigt um die VLANs zu verbinden...
Du hast Recht, das sollte ich nochmal im Tutorial anpassen. Das gilt natürlich nur für VLAN Switches die KEINE interne Routing Option haben !Nun klappt es aber mit VLAN 10 / 20 / 30
Klasse... ! wenn ich mein NAS via LAG anbinden möchte, kann ich dann auch die VLANs nutzen?
Natürlich. Ein LAG ist einen Layer 2 Funktion und hat mit dem Routen nichts zu tun.Hier findest du die Infos dazu:
Netzwerk Management Server mit Raspberry Pi
Denk dir den RasPi dort einfach als dein NAS
Lediglich bei meinem Internetradio bekomme ich die Fehlermeldung, dass es keine IP Adresse beziehen kann.
Mmmhhh...recht ungewöhnlich. Hast du das Internetradio mal abgezogen und am exakt gleichen Port einen PC oder Laptop angeschlossen ??Bekommt der eine IP ? (Check mit ipconfig -all (Winblows) oder ifconfig bei unixoiden OS)
"GS115" was ist das ?? Ein Switch ? Ungemanaged ? Router ?
Na klingt vom Grundsatz ja alles nun schon mal hervorragend
Zu deinem DHCP-Internetradio-Problem:
Zu deinem DHCP-Internetradio-Problem:
- In welchem VLAN steckt das Radio denn aktuell?
- Der Netgear-Switch, wurde der von dir konfiguriert oder hast du den ausgepackt und angeschlossen?
- Liegen PC und Internetradio im selben VLAN?
- hast du am Switch für jedes Netz einen eigenen DHCP-Bereich definiert?
- zieht das Radio eine IP, wenn du es direkt am SG300 (und den auch als DHCP-Server konfiguriert) anschließt?
irgendwie kann ich mir nicht vorstellen, dass das Radio den DHCP Server nicht sieht.
Das musst du dir auch nicht vorstellen sondern kannst es ganz knallhart verifizieren.Stecke einfach mal einen Laptop genau an den Port wo das Radio dranhängt. Wenn der Laptop einen korrekte IP per DHCP bekommt kann es nur noch einzig und allein am Radio liegen.
So einfach ist das...!
Gibt es vielleicht unterschiedliche "Versionen oder Standards" eines DHCP Servers
Nein das ist Quatsch. DHCP Protokoll ist ein weltweiter Standard:https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
Wenn du es ganz richtig machen willst zum Troubleshooting richtest du einen Mirror Port ein am Switch um den Radio Port und seinen Traffic zu spiegeln.
An diesem Mirror Port schliesst du einen Wireshark Sniffer an um zu sehen was genau bei der DHCP Adressvergabe passiert.