VLAN in einem Haus mit mehreren Mietern
Hallo *,
ich habe ein kleines Problem. Wir haben eine Bürogemeinschaft (5 kleine Firmen). Diese Firmen sollen sich in Zukunft einen DSL-Anschluss teilen. Jedoch dürfen sich die Firmen untereinander nicht erreichen! Wir haben einen VLAN-Switch (Netgear-DSM7352S) im Büro - nutzt mir dieser
Switch etwas? Ich kann doch einzelne Ports für Firmen belegen - nur wie mache ich das mit dem Gateway? Vielen Dank für eure Hilfe.
Tristan
ich habe ein kleines Problem. Wir haben eine Bürogemeinschaft (5 kleine Firmen). Diese Firmen sollen sich in Zukunft einen DSL-Anschluss teilen. Jedoch dürfen sich die Firmen untereinander nicht erreichen! Wir haben einen VLAN-Switch (Netgear-DSM7352S) im Büro - nutzt mir dieser
Switch etwas? Ich kann doch einzelne Ports für Firmen belegen - nur wie mache ich das mit dem Gateway? Vielen Dank für eure Hilfe.
Tristan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 65691
Url: https://administrator.de/contentid/65691
Ausgedruckt am: 20.11.2024 um 02:11 Uhr
14 Kommentare
Neuester Kommentar
Auf dem Switch steckst du die Ports in verschiedene VLANs. jedes VLAN entspricht einem eigenen von den anderen getrennten Subnetz.
Auf dem Router müssen dann noch die Routen gesetzt werden für jedes einzelne Subnetz, sowie ACLs, die Zugriff von einem VLAN aufs andere blockieren bzw. unterbinden.
Ob das mit nem handelsüblichen DSL Router geht glaub ich eher nicht. Die können keine VLAN Tags lesen. Und wenn der Switch uplink zum Router alle VLANs tragen soll, muss der Router das jedoch können, da er ansonsten mit getaggten Paketen nichts anfangen kann.
Auf dem Router müssen dann noch die Routen gesetzt werden für jedes einzelne Subnetz, sowie ACLs, die Zugriff von einem VLAN aufs andere blockieren bzw. unterbinden.
Ob das mit nem handelsüblichen DSL Router geht glaub ich eher nicht. Die können keine VLAN Tags lesen. Und wenn der Switch uplink zum Router alle VLANs tragen soll, muss der Router das jedoch können, da er ansonsten mit getaggten Paketen nichts anfangen kann.
Es wird daruf hinauslaufen das du einen Rechner brauchen wirst mit 6 Netzwerkkarten der als Router fungiert. 1 Netzwerkkarte zum Router bzw. DSL-Modem die anderen 5 zu den jeweiligen Firmen. Um zu verhindern das sie sich gegenseitig sehen musst du den Router so konfigurieren das jede der 5 Firmenanschlüsse nur auf die Route des Internets zugreifen kann. Das wäre es eigentlich schon gewesen.
Also nochmal zusammengefasst die Zutatenliste
1 Rechner als Router konfiguriert
6 Netzwerkkarten
1 DSL-Modem/Router
5 Switche je Firma einen
5 Netzwerkleitungen je eine zu jeder Firma
CU DORNI
Edit: gerade gesehen das du geschrieben hast
ACL sind zugangskontrolllisten
http://de.wikipedia.org/wiki/Access_Control_List
Also nochmal zusammengefasst die Zutatenliste
1 Rechner als Router konfiguriert
6 Netzwerkkarten
1 DSL-Modem/Router
5 Switche je Firma einen
5 Netzwerkleitungen je eine zu jeder Firma
CU DORNI
Edit: gerade gesehen das du geschrieben hast
ACL sind zugangskontrolllisten
http://de.wikipedia.org/wiki/Access_Control_List
Hab grad mal kurz zu dem Thema gegoogelt schau mal hier das könnte dir nützlich sein
http://www.heise.de/netze/artikel/77832/0
http://www.heise.de/netze/artikel/77832/0
Jeder Rechner ist mehr oder weniger ein Router oder lässt sich dazu machen wenn er mehr als eine NIC hat. Mit einer entsprechenden Netzwerkkarte benötigst du auch nur EINE für deine 5 VLANs und eine für den DSL Router:
Die klassiche Variante ist hier:
Wenn du etwas Basteln kannst gehts recht preiswert auch so:
Technisch die beste Lösung ist einen Layer 3 fähigen Switch zu erwerben der direkt zwischen den VLANs routen kann. NetGear hat sowas auch im Portfolio wie du auf deren ebseite sehen kannst !
( http://www.netgear.de/Unternehmen/Switches/Managed/ überall da wo Layer 3 steht !!!)
Damit kannst du das ganze dann clever auf dem Switch lösen. Eine ACL ist eine sog. Access Liste. Eine Filterliste die sicher verhindert das Clients aus den unterschiedlichen Firmen VLANs über den Router versuchen untereinander zu kommunizieren.
Ansonsten macht es Sinn wenn du keinen routenden PC verwenden oder keinen L3 Switch anschaffen willst keinen Billig Consumer DSL Router zu erwerben, sondern ein Modell was mit VLAN Tagging wie oben beschrieben von einfach-mal di.... umgehen kann. Jedes ältere Modell von Cisco z.B. was du preiswert über eBay beziehen kannst kann sowas.
Auf einem einzelnen Ethernet Port hast du dann sog. virtuelle Subinterfaces pro VLAN, die dir dann wieder die Verbindung ins Internet pro Mieter VLAN sicherstellen. Jedes Cisco 1700, 2600 etc. Modell kann das mit 2 Ethernet Interfaces.
Die klassiche Variante ist hier:
Wenn du etwas Basteln kannst gehts recht preiswert auch so:
Technisch die beste Lösung ist einen Layer 3 fähigen Switch zu erwerben der direkt zwischen den VLANs routen kann. NetGear hat sowas auch im Portfolio wie du auf deren ebseite sehen kannst !
( http://www.netgear.de/Unternehmen/Switches/Managed/ überall da wo Layer 3 steht !!!)
Damit kannst du das ganze dann clever auf dem Switch lösen. Eine ACL ist eine sog. Access Liste. Eine Filterliste die sicher verhindert das Clients aus den unterschiedlichen Firmen VLANs über den Router versuchen untereinander zu kommunizieren.
Ansonsten macht es Sinn wenn du keinen routenden PC verwenden oder keinen L3 Switch anschaffen willst keinen Billig Consumer DSL Router zu erwerben, sondern ein Modell was mit VLAN Tagging wie oben beschrieben von einfach-mal di.... umgehen kann. Jedes ältere Modell von Cisco z.B. was du preiswert über eBay beziehen kannst kann sowas.
Auf einem einzelnen Ethernet Port hast du dann sog. virtuelle Subinterfaces pro VLAN, die dir dann wieder die Verbindung ins Internet pro Mieter VLAN sicherstellen. Jedes Cisco 1700, 2600 etc. Modell kann das mit 2 Ethernet Interfaces.
Na prima - dann brauchst du ja keinen "extra" Pc, der Router spielen soll.
Das kannst alles mit dem Netgear abbilden.
1. VLANs anlegen
2. Switchports ins jeweilige VLAN stecken
3. Routen dürfte der Switch dann selber passend anlegen, wenn Layer 3 bzw. Routing aktiviert wurde!
4. Damit die VLANs nicht untereinander kommunizieren können, per ACLs (Access Listen) definieren, welches Netz mit welchem kommunizieren darf
5. Default Route wäre glaub ich 0.0.0.0 255.255.255.255 über das Interface, wo das DSL Modem dranhängt. D. h. Alle Pakete, die NICHT für eins der lokalen Netze gedacht sind, werden automatisch über die Default Route ins Internet geleitet.
Wie man das konkret bei Netgear einstellt weiss nur der liebe Gott und das Netgear-Handbuch.
Das kannst alles mit dem Netgear abbilden.
1. VLANs anlegen
2. Switchports ins jeweilige VLAN stecken
3. Routen dürfte der Switch dann selber passend anlegen, wenn Layer 3 bzw. Routing aktiviert wurde!
4. Damit die VLANs nicht untereinander kommunizieren können, per ACLs (Access Listen) definieren, welches Netz mit welchem kommunizieren darf
5. Default Route wäre glaub ich 0.0.0.0 255.255.255.255 über das Interface, wo das DSL Modem dranhängt. D. h. Alle Pakete, die NICHT für eins der lokalen Netze gedacht sind, werden automatisch über die Default Route ins Internet geleitet.
Wie man das konkret bei Netgear einstellt weiss nur der liebe Gott und das Netgear-Handbuch.
Das vereinfacht die Sache in der Tat sehr und ermöglicht dir eine technisch sehr gute und massgeschneiderte Lösung ! Da hast du intuitiv genau das Richtige gekauft ! Folgendermaßen gehst du vor:
Grundlage Switchmanual unter http://kbserver.netgear.com/pdf/fsm_7300s_software_manual.pdf
Grundlage Switchmanual unter http://kbserver.netgear.com/pdf/fsm_7300s_software_manual.pdf
- VLANs einrichten für die Büro Mieter gemäß Seite 8-48. Dabei nicht vergessen ein separates VLAN für den Internet Router einzurichten !!!
- Jedem VLAN inkl. dem Internet Router VLAN gibst du gemäss dem ip address Kommando (Seite 10-7) eine IP Adresse. Hier macht es Sinn den jeweiligen Parteien ganze Netze zuzuweisen. Wenn du z.B. mit 253 Geräten pro Mieter auskommst dann reichen Class C Adressen wie z.B. 172.16.1.0/24 f. Mieter 1, 172.16.2.0/24 f. Mieter 2, 172.16.3.0/24 f. Mieter 3 usw. (/24 bedeutet eine 24 Bit Maske wie 255.255.255.0). Andernfalls verwendest du einfach einen Class B Maske 255.255.0.0. Die jeweiligen IP Adressen des Switches, die dann für den jeweiligen Mieter sein Default- oder Standardgateway sind, solltest du immer fest z.B. ans oberste Ende legen also z.B. immer die .254 verwenden pro Mieter VLAN !
- Unbedingt Access Control Listen anlegen (ACLs) damit du den Betrieb Mieter zu Mieter unterbindest und nur in das VLAN mit dem Internetzugang zulässt. Wie das geht verrät dir das o.a. Manual auf Seite 11-1.
Die Konfig ist in der Tat bei NetGear mehr als krank... Komplizierter gehts nicht mehr aber was will man erwarten von einem Billigheimer... Aber versuchen wirs mal...
Bleiben wir mal beim einfachen Beispiel von oben:
Du hast 2 VLANs
1.) VLAN 10, Gateway IP vom Switch 172.16.10.254 /24
2.) VLAN 20, Gateway IP vom Switch 172.16.20.254 /24
Seite 9 in deinem o.a. PDF zeigt dir das analog auf.
Du gehst im Web Menü auf VLAN Routing Configuration und wählst dort deine VLAN ID 10, dann trägst du danach die IP Adresse dazu in den ausgegebenen virtuellen Interface x.y ein 172.16.10.254 und die Maske 255.255.255.0 danach auch Create.
Das wiederholst du gneauso für VLAN 20.
Du musst wie danach geschildert noch das System Routing auf enable klicken sonst routet der Switch gar nicht !
Auf dem CLI ist es das Kommando vlan routing <vlan_id> und dann vergibst du in deisem Menü IP und Maske !
Auch hier musst du das Routing glabal aktivieren wenn du das CLI statt der Weboberfläche nutzt !
Steht alles im Manual in der Rubrik IP Routing bzw. VLAN Routing.
Damit nun deinen PCs über die VLAN geroutet werden müssen sie gemäß der o.a. Adressen folgende Einstellungen haben:
PC-1:
IP Adresse: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254 (die Switch IP !)
PC-2:
IP Adresse: 172.16.20.1
Maske: 255.255.255.0
Gateway: 172.16.20.254 (die Switch IP !)
Damit sollte es dann final klappen...
Bleiben wir mal beim einfachen Beispiel von oben:
Du hast 2 VLANs
1.) VLAN 10, Gateway IP vom Switch 172.16.10.254 /24
2.) VLAN 20, Gateway IP vom Switch 172.16.20.254 /24
Seite 9 in deinem o.a. PDF zeigt dir das analog auf.
Du gehst im Web Menü auf VLAN Routing Configuration und wählst dort deine VLAN ID 10, dann trägst du danach die IP Adresse dazu in den ausgegebenen virtuellen Interface x.y ein 172.16.10.254 und die Maske 255.255.255.0 danach auch Create.
Das wiederholst du gneauso für VLAN 20.
Du musst wie danach geschildert noch das System Routing auf enable klicken sonst routet der Switch gar nicht !
Auf dem CLI ist es das Kommando vlan routing <vlan_id> und dann vergibst du in deisem Menü IP und Maske !
Auch hier musst du das Routing glabal aktivieren wenn du das CLI statt der Weboberfläche nutzt !
Steht alles im Manual in der Rubrik IP Routing bzw. VLAN Routing.
Damit nun deinen PCs über die VLAN geroutet werden müssen sie gemäß der o.a. Adressen folgende Einstellungen haben:
PC-1:
IP Adresse: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254 (die Switch IP !)
PC-2:
IP Adresse: 172.16.20.1
Maske: 255.255.255.0
Gateway: 172.16.20.254 (die Switch IP !)
Damit sollte es dann final klappen...