Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VLAN-Konfiguration: Grundsätzliche Fragen

Mitglied: scriptorius

scriptorius (Level 1) - Jetzt verbinden

17.05.2020, aktualisiert 19:07 Uhr, 727 Aufrufe, 14 Kommentare

Hallo,

Ziel: Mein Heimnetz mit VLANs segmentieren.

Router/ Firewall soll eine pfsense auf einem apu2-board sein, der Switch ist ein Cisco Sg350-28 im Layer-2 Modus, (die pfsense soll "routen").
(ein zweiter Switch, Netgear GS108-Ev3, soll mehrere Anschlussmöglichkeiten schaffen, darum will ich mich erst später kümmern, der soll hier nicht Thema sein)

(grobe) Skizze:
Internet > (wan-Port) pfsense (lan-Port) > (Port 26) Switch (Port 25) > (Port 8) Switch

Da ich mich erstmalig mit dieser Thematik auseinander setze, habe ich grundsätzliche Frage zur VLAN-Konfiguration des Cisco Switches (damit beschäftige ich mich zur Zeit):

Jedem Port kann hier zugewiesen werden, ob er "Trunk"-Port oder "Access"-Port sein soll.
"Trunk-Ports" können "tagged", "untagged" oder "excluded" sein.
"Trunk"-Ports müssen (in diesem Fall) "firewall/router und switch" oder "switch und switch" "tagged" verbinden.
Die uplink-Ports (25 (uplink 2ter Switch und 26 Verbindung pfsense) müssen also "Trunk" und "tagged" sein.
("Access"-Ports gruppieren die einzelnen VLANs.)
("Access"-Ports können "untagged", "excluded" und "Multicast TV VLAN" sein)

Ich habe alle Switch-Ports auf "Trunk" gesetzt.
Die VLANs gruppiere ich mit "untagged" (= Mitglied des VLAN) oder "excluded" (ausgeschlossen).
Die beiden uplink-Ports (25, 26) sind in jedem VLAN als "Trunk" und "tagged" enthalten:

(grobe) Skizze:
VLAN1 = Switchport: 1-2 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: default
VLAN 10 = Switchport: 3-10 "untagged“ mit Port 25-26 "tagged" , restliche Ports "excluded" > Name: produktiv
VLAN 20 = Switchport: 11-20 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: privat-IOT
VLAN 30 = Switchport: 21-22 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: DMZ
VLAN 40 = Switchport: 23-24 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: Gast

(Die Ports 27 und 28 lasse ich außen vor.)

Ich frage mich, ob ich grundsätzlich die VLAN Konfiguration verstanden oder ob ich einen Denkfehler habe?
Natürlich habe ich die Anleitungen von aqui gelesen. Sie sind meine Grundlage.
Mitglied: tikayevent
LÖSUNG 17.05.2020 um 19:19 Uhr
Trunkports sind dafür gedacht, dass dort mehr als ein VLAN übertragen wird. Tagged und untagged definieren dann, ob Pakete aus dem jeweiligen VLAN mit dem Tag markiert werden oder nicht.

Normale Endgeräte, die nur Zugang zu einem VLAN benötigen, werden als Access hinterlegt mit exakt einer VLAN-ID.

Also in deinem Fall dürfte der Switchport, an dem die pfSense hängt, der einzige Trunk sein.
Bitte warten ..
Mitglied: scriptorius
17.05.2020 um 19:25 Uhr
Vielen Dank für die Antwort.
In der Anleitung von aqui >hier< ist auf dem Bild zu sehen, dass alle Ports als "Trunk" markiert sind.
Oder sehe ich das falsch?
Bitte warten ..
Mitglied: tikayevent
17.05.2020 um 19:32 Uhr
Rein technisch geht es, ist aber von Cisco nicht vorgesehen und bei den Catalyst kann das noch unschöne Sachen mit sich bringen.
Bitte warten ..
Mitglied: scriptorius
17.05.2020 um 20:29 Uhr
Ok, also gibt es hier mehrere Wege, wenn ich das richtig verstehe.
Eigentlich muss aber nur die Verbindung zwichen pfsense und Switchport "Trunk" und "tagged" sein?
Die Verbindung zwischen den beiden Switches dann nicht?
Bitte warten ..
Mitglied: tikayevent
17.05.2020 um 20:41 Uhr
Sorry, den zweiten Switch hab ich übersehen, die Verbindung zwischen den Switches muss auch ein Trunk sein.

Die Verbindung zur pfSense muss ein Trunk sein, tagged oder untagged kommt auf die Konfiguration an. Tagged nur, wenn es aus der pfSense mit einem Tag herausläuft. Wenn es direkt über die Netzwerkschnittstelle geht, wäre es untagged. Darf beides kombiniert werden, aber untagged nur einmal pro Port, tagged bis zu 4094 mal.

Ich mache es immer so, dass ich das Netzwerk, über welches ich Zugriff auf das Management der Geräte nehmen kann, als untagged laufen lasse, für den Fall, dass mir der Switch stirbt oder ich mich verkonfiguriere, um weiterhin an die Geräte zu kommen. Des Weiteren betreibe ich bei mir in der Firma Autoprovisioning für die Netzwerkgeräte, das macht mit VLANs auf der Managementschnittstelle etwas weniger Spaß.
Aber das ist meine Variante, irgendeiner wird gleich garantiert aufschreien und "Sicherheit" rufen.
Bitte warten ..
Mitglied: scriptorius
17.05.2020, aktualisiert um 20:58 Uhr
Kein Problem, ich danke für Deine Hilfe.

Ja, das ist natürlich super für einen Anfänger wie mich - "4094" Möglichkeiten

Eine weitere Frage: Diese beiden "Trunk" und "tagged" Ports (25+26 in meinem Fall) müssen aber auf jeden Fall Teil eines jeden VLANs (1, 10, 20, 30, 40 bei mir ) sein?
Bitte warten ..
Mitglied: tikayevent
17.05.2020 um 21:00 Uhr
Wenn du die VLANs auf beiden Switchen nutzen willst, müssen die Ports Mitglied des VLANs sein.
Bitte warten ..
Mitglied: scriptorius
17.05.2020, aktualisiert um 21:05 Uhr
Entschuldige, falls ich langsam nerve, aber für mich ist das alles keinesfalls selbstverständlich und nicht eindeutig.
Daher die Frage: Mitglied in allen VLANs?
Also Mitglied in den VLANs 1, 10, 20, 30, 40?
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 17.05.2020 um 21:48 Uhr
Mitglied in allen VLANs, die du nutzen willst. Bei dir mögen es diese fünf VLANs sein. Es macht z.B. keinen Sinn, wenn man zehn VLANs hat, aber auf einem Switch nur zwei VLANs benötigt, alle zehn VLANs auf den Trunk zu legen. Es kostet nämlich auch Performance durch Broadcasts und unknown Unicasts, die auf der Leitung liegen, dann aber vom Switch verworfen werden, wenn es das VLAN dort nicht gibt.

Wenn du in deiner Installation deine fünf VLANs auf beiden Switches nutzen willst, dann müssen alle fünf VLANs auf dem Trunkport anliegen.
Bitte warten ..
Mitglied: scriptorius
17.05.2020 um 21:56 Uhr
Ich danke Dir
Bitte warten ..
Mitglied: aqui
18.05.2020, aktualisiert um 11:33 Uhr
In der Anleitung von aqui >hier< ist auf dem Bild zu sehen, dass alle Ports als "Trunk" markiert sind.
Das kommt da im Screenshot leider falsch rüber. Im Default ist bei Cisco alles als Trunk gesetzt, daher der etwas falsche Screenshot. Aber gut beobachtet.
Nachher im Produktiv Setup definierst du die Untagged Endgeräte Ports natürlich als reine Access Ports, dann verschwindet auch die "Trunk" Anzeige.
Das ist aber rein nur eine Eigenart der Cisco SG-Modelle und gilt NICHT für andere Hersteller.

Bitte lies zum obigen VLAN Tutorial auch nochmal die "VLAN Schnellschulung" die hilft auch etwas zum Verständnis.
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
Bitte warten ..
Mitglied: scriptorius
18.05.2020 um 12:37 Uhr
Hallo,

vielen Dank, die VLAN-Schnellschulung habe ich archviert.
Die macht Vieles nochmal verständlicher.

Könntest Du mir noch den ein oder anderen Tipp zur grundsätzlichen Konfiguration des Cisco-Switches geben?

Was ich bisher am Anfang gemacht habe:
- firmware aktualisiert (klar)
- Passwort und Nutzername geändert (klar)
- Zeitserver eingestellt
- PNP ausgeschaltet (damit der Switch nicht nach Hause telefoniert)
- IPv4 Routing: abgeschaltet (da die pfsense das Routen übernehmen soll)

Was ist z. B. mit den Port Settings? Kann man die Einstellungen erstmal so lassen?
Ich will mir zunächst nur die absoluten Grundlagen aneignen.
Spezielle Detailfragen ergeben sich sicherlich erst mit wachsender Erfahrung ...
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.05.2020 um 12:49 Uhr
Was ich bisher am Anfang gemacht habe:
Alles richtig gemacht ! 👍
Was ist z. B. mit den Port Settings? Kann man die Einstellungen erstmal so lassen?
Ja. Du solltest aber deine Access Ports, also solche wo immer ungetaggte Endgeräte ran kommen wie z.B. deine PCs, Drucker usw., immer gleich auch als "Access Ports" deklarieren. Das macht die Konfig wasserdichter und vereinfacht ggf. ein späteres Troubleshooting. (VLAN Management --> Interface Settings)
port - Klicke auf das Bild, um es zu vergrößern

Mehr musst du nicht machen !
Spezielle Detailfragen ergeben sich sicherlich erst
So ist es...!
Bitte warten ..
Mitglied: scriptorius
18.05.2020 um 12:58 Uhr
Super, vielen Dank
Bitte warten ..
Ähnliche Inhalte
Netzwerke
VLAN-Konfiguration
Frage von Markus220Netzwerke4 Kommentare

Hallo zusammen, ich bin derzeit ein bisschen am Ausprobieren und noch etwas neu auf dem Gebiet, weshalb ich hoffe, ...

Switche und Hubs
VLAN-ID Konfiguration
gelöst Frage von BenjaminEngelSwitche und Hubs5 Kommentare

Hallo, ich habe einen HP aruba Switch mit einem VLAN (siehe Anhang). Wird hier jedem Paket die VLAN-ID 1 ...

LAN, WAN, Wireless
VLAN Konfiguration HP J9774A
Frage von passy951LAN, WAN, Wireless34 Kommentare

Hallo zusammen, ich glaube ich steh gerade etwas auf dem Schlauch. Hier mal kurz erklärt was ich machen möchte: ...

LAN, WAN, Wireless
HP Switch VLAN Konfiguration
Frage von staybbLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte eine bereits bestehende Netzwerkstruktur mit VLANs erweitern. Und zwar ist folgendes Szenario vorhanden: HP Layer 2 ...

Neue Wissensbeiträge
Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 20 StundenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 2 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 3 TagenOff Topic6 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 4 TagenRouter & Routing19 Kommentare

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Heiß diskutierte Inhalte
Windows 10
MSI-Packager ähnlich zu Scalable Smartpackager gesucht
Frage von DerWoWussteWindows 1023 Kommentare

Ich grüße Euch. Kennt jemand Software <100€ oder Freeware, die so simpel funktioniert wie WinInstall LE/Smart packager von Scalable? ...

Windows Server
Server 2012R2 Probleme mit Internet
Frage von NordsterneWindows Server17 Kommentare

Hallo zusammen, ich habe folgendes Problem: Server 2012R2 verbunden über Netzwerkkabel. Die IP ist statisch eingestellt. Gateway ist die ...

SAN, NAS, DAS
NAS mit interner RDX-Aufnahme
Frage von keine-ahnungSAN, NAS, DAS16 Kommentare

Moin at all, offenbar habe ich nur das "for free google" freigeschalten ich bin auf der Suche nach einem ...

Windows Netzwerk
Probleme beim Routing zwischen VLAN-Netzen durch Windows Firewall
gelöst Frage von ByteCraftWindows Netzwerk16 Kommentare

Hallo zusammen, ich sitze nun schon den zweiten Tag an meinem Problem. Die Situation ist wie folgt: Ich habe ...