15
VLAN (Layer2) oder Routing (Layer3) zum Trennen
Hi all,
wenn ich zwei Netze trennen möchte, z.B.
192.168.1.0/24
192.168.2.0/24
Macht es eher Sinn, VLAN zu betreiben um die jeweiligen Hosts zu trennen, oder soll ich die einfach in diese zwei Subnetze packen und dann per Router/Layer3 verbinden?
Was gibt's für Pro/Contras ? ein Pro für VLAN was mir einfällt wäre: bessere Performance, da schon in Layer2 getrennt wird und nicht unnötige IP-Paketdaten generiert werden müssen. Ein Vorteil jedoch für die Subnett-Routinggeschichte mittels Layer3 wäre --> einfacher zu handhaben meiner Ansicht nach. Ich setz den Host einfach in das jeweilige Subnet und gut is'
Oder hab ich da jetzt was missverstanden und Denkfehler? Wie seht ihr das? Freue mich auf euer feedback.
wenn ich zwei Netze trennen möchte, z.B.
192.168.1.0/24
192.168.2.0/24
Macht es eher Sinn, VLAN zu betreiben um die jeweiligen Hosts zu trennen, oder soll ich die einfach in diese zwei Subnetze packen und dann per Router/Layer3 verbinden?
Was gibt's für Pro/Contras ? ein Pro für VLAN was mir einfällt wäre: bessere Performance, da schon in Layer2 getrennt wird und nicht unnötige IP-Paketdaten generiert werden müssen. Ein Vorteil jedoch für die Subnett-Routinggeschichte mittels Layer3 wäre --> einfacher zu handhaben meiner Ansicht nach. Ich setz den Host einfach in das jeweilige Subnet und gut is'
Oder hab ich da jetzt was missverstanden und Denkfehler? Wie seht ihr das? Freue mich auf euer feedback.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 229043
Url: https://administrator.de/contentid/229043
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
grundsätzlich hast du recht, aaaaber...
- die VLANs brauchen auch einen Router (falls sie untereinander kommunizieren sollen)
- 2 IP Subnetze im gleichen Ethernet Segment sind .. unsauber.
- ohne VLANs hast du auch weiterhin nur eine Broadcastdomäne
Fazit: Mach VLAN, ist sauberer, transparenter und schränkt Broadcasts ein.
lg,
Slainte
grundsätzlich hast du recht, aaaaber...
- die VLANs brauchen auch einen Router (falls sie untereinander kommunizieren sollen)
- 2 IP Subnetze im gleichen Ethernet Segment sind .. unsauber.
- ohne VLANs hast du auch weiterhin nur eine Broadcastdomäne
Fazit: Mach VLAN, ist sauberer, transparenter und schränkt Broadcasts ein.
lg,
Slainte
1
- die VLANs brauchen auch einen Router (falls sie untereinander kommunizieren sollen)
Erklär mir das bitte genauer. Wieso benötige ich einen Router? Wenn ich zwei VLAN-fähige Switche habe (nur Layer2-fähig mal angenommen), und im ersten Switch den Port3 mit VLAN-1234 konfiguriere, und den Port9 am zweiten Switch mit VLAN-1234 konfiguriere, diese zwei Switche mittels Uplink miteinander verbinde, dann sollte doch Alice am switch1/port3, mit dem Bob auf switch2/port9 konfigurieren können. Oder nicht? Bitte nicht hauen, mit VLANs habe ich bisher nie gearbeitet und kenne mich nicht besonders aus damit. Ich dachte durch das VLAN wird so ein Paket auf Layer2 getaggt und weitergegeben. Der andere Switch macht das rückgängig.- 2 IP Subnetze im gleichen Ethernet Segment sind .. unsauber.
inwiefern? Bitte erklär mir auch das nochmal genauer. Was ist daran verkehrt, wenn ich 192.168.1.0/24 und 192.168.2.0/24 betreibe, und diese Netze zwar rein physikalisch am selben Switch hängen, sich aber dennoch nicht untereinander erreichen können (weil verschiedene Subnets) ?- ohne VLANs hast du auch weiterhin nur eine Broadcastdomäne
Siehe letzte Frage, wieso? Es sind doch zwei verschiedene Subnets. Der Broadcast würde an 192.168.1.255 gehen, diesen Broadcast kann 192.168.2.0/24 doch gar nicht hören?Fazit: Mach VLAN, ist sauberer, transparenter und schränkt Broadcasts ein.
Danke 
Müssen die Switche irgendwas weltbewegendes können, oder einfach nur VLAN-capable sein ?> Zitat von @SlainteMhath:
> - die VLANs brauchen auch einen Router (falls sie untereinander kommunizieren sollen)
Erklär mir das bitte genauer. Wieso benötige ich einen Router?
Wenn die Rechner in VLAN 1 mit denen in VLAN 2 kommunizieren woillen, dann brauchst du da zwischen einen Router der zwischen den beiden (in Prinzip physikalisch) getrennten Netzen routet. An welchem Switch/Port die Geräte hängen spielt dabei keine Rolle.> - die VLANs brauchen auch einen Router (falls sie untereinander kommunizieren sollen)
Erklär mir das bitte genauer. Wieso benötige ich einen Router?
> - 2 IP Subnetze im gleichen Ethernet Segment sind .. unsauber.
inwiefern? Bitte erklär mir auch das nochmal genauer. Was ist daran verkehrt, wenn ich 192.168.1.0/24 und 192.168.2.0/24
betreibe, und diese Netze zwar rein physikalisch am selben Switch hängen, sich aber dennoch nicht untereinander erreichen
können (weil verschiedene Subnets) ?
Weil die Segmente nur auf Layer 3 (also logisch) getrennt sind, aber nicht auf Layer 2 (also physikalisch), und somit jeder Broadcast, egal ob IP Multicast oder Ethernet Broadcast an jeden Host ankommt.inwiefern? Bitte erklär mir auch das nochmal genauer. Was ist daran verkehrt, wenn ich 192.168.1.0/24 und 192.168.2.0/24
betreibe, und diese Netze zwar rein physikalisch am selben Switch hängen, sich aber dennoch nicht untereinander erreichen
können (weil verschiedene Subnets) ?
> - ohne VLANs hast du auch weiterhin nur eine Broadcastdomäne
Siehe letzte Frage, wieso? Es sind doch zwei verschiedene Subnets. Der Broadcast würde an 192.168.1.255 gehen, diesen
Broadcast kann 192.168.2.0/24 doch gar nicht hören?
Doch natürlich "hört" er den - siehe oben. Broadcastdomain bezieht sich auf Layer 2, nicht Layer 3.Siehe letzte Frage, wieso? Es sind doch zwei verschiedene Subnets. Der Broadcast würde an 192.168.1.255 gehen, diesen
Broadcast kann 192.168.2.0/24 doch gar nicht hören?
> Fazit: Mach VLAN, ist sauberer, transparenter und schränkt Broadcasts ein.
Danke Müssen die Switche irgendwas weltbewegendes können, oder einfach nur VLAN-capable sein ?
Für VLAN genügt VLAN - Für's Routen braucht's mehr Danke
Müssen die Switche irgendwas weltbewegendes können, oder einfach nur VLAN-capable sein ?PS. Wenn mich nicht alles täuscht gibts hier im Forum ein Tutorial zum Thema VLAN von @aqui
1
Kurz:
Mit VLANs trennt man Netze.
Das ist als ob man zwei getrennte Netze mit getrennten Switchen hast.
Wenn du jetzt aber einen Internetzugang gemeinsam nutzen willst, benötigst du einen Router, der das erledigt. Der Router muss also wenigstens drei konfigurierbare orts haben oder VLAN-fähig sein.
Das selbe gilt für die gemeinsame Nutzung von Resourcen, wie NAS.
ansonsten die Empfehlung von oben, letzte Zeile...
Gruß
Netman
Mit VLANs trennt man Netze.
Das ist als ob man zwei getrennte Netze mit getrennten Switchen hast.
Wenn du jetzt aber einen Internetzugang gemeinsam nutzen willst, benötigst du einen Router, der das erledigt. Der Router muss also wenigstens drei konfigurierbare orts haben oder VLAN-fähig sein.
Das selbe gilt für die gemeinsame Nutzung von Resourcen, wie NAS.
ansonsten die Empfehlung von oben, letzte Zeile...
Gruß
Netman
Generell macht es immer Sinn Netze zu segmentieren um die L2 Broadcast Doamins klein zu halten oder eben rein aus Sicherheitsgründen. Letztlich wirkt sich das immer auf die Performance aus. Zum Thema Routing und Internet in einer VLAN Umgebung ist ja schon alles gesagt oben.
Das Thema behandelt von technischer Seite inkl. eines Praxisbeispiels dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das Thema behandelt von technischer Seite inkl. eines Praxisbeispiels dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Danke. Habe auch einige Tutorials von aqui aufgemacht und lese schon kräftig. Soweit habe ich auch (fast) alles verstanden. Ich würde mich glaub eher für die "untagged" Variante entscheiden, also die statische Zuordnung durch portbasiertes VLAN. Einige Fragen zum VLAN und Routing habe ich dennoch:
1.) Angenommen ich habe 4 Switche (einen Cisco, einen HP, einen XYZ, einen ABC). Nun möchte ich folgende config haben:
VLAN1=default (immer untagged), das kann ich eh nicht verändern und belasse es mal so
VLAN2=192.168.2.0/24
VLAN3=192.168.3.0/24
VLAN4=192.168.4.0/24
VLAN5=192.168.5.0/24
In welchem der vier switche muss ich das denn eintragen? In allen vier?? muss ich erstmal also in all den vier switches die Schnittstelle erstellen (z.B. auf dem dritten Switch erstelle ich VLAN3 und weise die IP zu 192.168.3.3/24), und auf dem vierten Switch als Beispiel erstelle ich ebenfalls VLAN3 und weise dem die IP 192.168.3.4/24 zu ? Und dann erst kann ich einem Port eine VLAN-Nummer (in diesem Beispiel die VLAN3 Nummer) zuweisen?
2.) Wie erstellt man denn üblicherweise eine Segmentierung/Trennung? Ich wüßte jetzt nicht ob es Sinn machen würde, ob ich die einzelnen Etagen (EG, 1.OG, 2.OG, usw...) in eigene VLANs setze, oder Abteilungsbasiert (Marketing, Vertrieb, Einkauf, ....), oder Typbedingt (Workstations, Server, USV, BMC-Netzwerkmgmt, usw...) ? Egal wie ich es mache, letztendlich müssen doch sämtliche Workstations mit den Servern verbinden können. Also wird doch dann Routing eingreifen auf Layer3 um die jeweiligen Subnetze miteinander zu verbinden. Was habe ich dann von VLAN ? Eigentlich nicht viel, oder doch?
Ich hab wohl noch irgendwo nen Denkfehler, hilf mir da raus
@aqui: danke für den Link. Ich war bisher an diesem hier am Lesen (VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren)
1.) Angenommen ich habe 4 Switche (einen Cisco, einen HP, einen XYZ, einen ABC). Nun möchte ich folgende config haben:
VLAN1=default (immer untagged), das kann ich eh nicht verändern und belasse es mal so
VLAN2=192.168.2.0/24
VLAN3=192.168.3.0/24
VLAN4=192.168.4.0/24
VLAN5=192.168.5.0/24
In welchem der vier switche muss ich das denn eintragen? In allen vier?? muss ich erstmal also in all den vier switches die Schnittstelle erstellen (z.B. auf dem dritten Switch erstelle ich VLAN3 und weise die IP zu 192.168.3.3/24), und auf dem vierten Switch als Beispiel erstelle ich ebenfalls VLAN3 und weise dem die IP 192.168.3.4/24 zu ? Und dann erst kann ich einem Port eine VLAN-Nummer (in diesem Beispiel die VLAN3 Nummer) zuweisen?
2.) Wie erstellt man denn üblicherweise eine Segmentierung/Trennung? Ich wüßte jetzt nicht ob es Sinn machen würde, ob ich die einzelnen Etagen (EG, 1.OG, 2.OG, usw...) in eigene VLANs setze, oder Abteilungsbasiert (Marketing, Vertrieb, Einkauf, ....), oder Typbedingt (Workstations, Server, USV, BMC-Netzwerkmgmt, usw...) ? Egal wie ich es mache, letztendlich müssen doch sämtliche Workstations mit den Servern verbinden können. Also wird doch dann Routing eingreifen auf Layer3 um die jeweiligen Subnetze miteinander zu verbinden. Was habe ich dann von VLAN ? Eigentlich nicht viel, oder doch?
Ich hab wohl noch irgendwo nen Denkfehler, hilf mir da raus
@aqui: danke für den Link. Ich war bisher an diesem hier am Lesen (VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren)
Zu Frage 1.):
Hier musst du also nochmal ein bischen Grundlagen lesen !! (Wie hier und hier zum Beispiel !!)
OK, Cisco ist hier die Ausnahme, die supporten VTP (VLAN Trunk Protocol) ein Cisco proprietäres Protokoll was ein VLAN auf alle Switches automatisch distribuiert. Alle anderen machen das mit dem weltweiten Standard GVRP (Global VLAN Registration Protocol) sofern sie diesen denn supporten. Die meisten Billigheimer wie NetGear, D-Link und Co können das natürlich nicht.
Generell ist der Default aber statisch so das du es allen Switches einzeln beibringen musst.
Und Ja, du musst wissen WELCHER Port dann zum anderen Switch gehen soll. Bzw. nicht unbedingt, denn wenn du alle Ports der Switches die im VLAN 1 sind untereinander verbindest, alle im VLAN 2, alle im VLAN 3 usw. usw. Sind alle Switch VLANs untereinander auf den Switches verbunden.
Du erkennst aber auch als celverer ITler diesen Blödsinn, denn wenn du 10 VLAN hast dann hast du von jedem Switch je 10 Verbindungen zu den anderen Switches. Da ist ein Switch mit 5 Nachbarswitches dann voll ohne das auch nur ein Endgerät angeschlossen ist.
Das das natürlich technischer Unsinn ist leuchtet jedem Grundschüler ein und deshalb benutzen Netzwerker einzelne tagged Ports zwischen Switches !
D.h. der Switch sendet zu jedem Paket aus einem entsprechenden VLAN immer die VLAN ID auf solchen Ports mit (IEEE 802.1q Tag) den kann der empfangene Switch lesen und weiss so genau welchem VLAN er dieses Paket wieder zuordnen soll. Entsprechend kann auch ein tagged angeschlossener Router genau sehen an welches Router interface diese Paket soll oder...wie du es gerade liest ein VLAN fähiger Server auf welchem VLAN Interface er das Paket annehmen soll.
So einfach ist das !
Tagged Links kann man natürlich auch trunken (Link Aggregation) um die Bandbreite auf inter Switch Links zu erhöhen.
Du musst hier auch eine generelle Unterscheidung zw. Layer 3 VLAN Switches machen und Layer 2 VLAN Switches. Erstere können selber routen zwischen den VLANs, letztere NICHT, können also nur VLANs trennen.
Deshalb sind Äußerungen wie "...erstelle ich VLAN3 und weise die IP zu 192.168.3.3/24" auf einem Layer 2 VLAN Switch natürlich völlig unsinnig, denn denen sind IP Adressen in seinem VLAN ziemlich "Latte" !
Layer 2 Switches arbeiten nur rein auf MAC Adress Basis. Alles was höher ist "kennen" sie logischerweise nicht. Natürlich "fliegen" bei dir in den VLANs Pakete mit dieser IP rum der reine Layer 2 VLAN Switch fällt eine Forwarding Entscheidung für das paket rein auf Mac Adress Basis und sonst nichts !
Bei L3 Switches ist das anders die können gleichzeitig routen und erübrigen so einen externen Router.
Zu Frage 2.):
Eine Trennung ereicht man eben mit den VLANs ! Ein gängies und übliches Konzept bei größeren Netzen. Kein verantwortungsvoller Netzwerker betreibt mehr als 100-150 Clients in einem flachen Layer 2 Netzwerk. Sowas zeugt immer von einem Missdesign. Server trennt man generell von Client Bereichen und auch WAN Anbindungen.
Dein Beispiel die einzelnen Etagen (EG, 1.OG, 2.OG, usw...) oder auch die Abteilungen Marketing, Vertrieb, Einkauf in separate VLANs zu trennen ist DAS Beispiel pas Excelence ! Genau so wird es gemacht.
WAS allerdings am sinnvollsten ist, ist schwer zu sagen. In einem Forum theoretisch so oder so nicht. Dafür gibt es kein Standardmaß und entscheidet man generell immer nach Unternehmens Struktur.
Zwingend aus rechtlichen Gründen ist z.B. eine Trennung des Voice Netzes sofern VoIP benutzt wird und z.B. eines Gäste LANs / VLANs und oft Produktivnetze die Roboter steuern usw. Die Beispiele dazu sind tausendfach.
Denkst du z.B. das Großunternehmen wie Allianz, Airbus oder BMW usw. 10.000 Clients in einem dummen, flachen Layer 2 Netz haben mit NetGear Switches ?! ...sicher nicht wirklich.
Der kleine Handwerker in Hintertupfingen mit 10 PCs im Netz kann das machen....für den bringen VLAN freilich nichts wenn man mal von der Trennung von Voice oder Gästen absieht, wo das durchaus wieder Sinn macht aber in der Realität wegen Wissensdefiziten oft nie gemacht wird.
Wenn VLANs so überflüssig wären warum haben supporten sie dann mittlerweile auch Billigswitches aus dem Blödmarkt...muss ja was dahinter stecken, oder ?!
Viel zu viel Tipperei mal wieder für deine doch erheblichen Wissensdefizite aber so sind wir nun mal bei Administrator.de
Fazit also für dich: Fachbücher lesen !!
VLAN1=default (immer untagged), das kann ich eh nicht verändern und belasse es mal so
Nein diese Aussage ist Unsinn. Bei jedem Switch kannst du das Default VLAN separat pro Port bestimmen. Bei Cisco ist es z.B. das Kommando "switchport trunk native vlan x" bei Brocade ist das "dual-mode x" usw. und ander amchen das auch so.Hier musst du also nochmal ein bischen Grundlagen lesen !! (Wie hier und hier zum Beispiel !!)
In welchem der vier switche muss ich das denn eintragen? In allen vier??
Ja natürlich ! Wie sollten die anderen Switches denn sonst lernen WELCHE VLANs du auf ihnen betreiben willst ??OK, Cisco ist hier die Ausnahme, die supporten VTP (VLAN Trunk Protocol) ein Cisco proprietäres Protokoll was ein VLAN auf alle Switches automatisch distribuiert. Alle anderen machen das mit dem weltweiten Standard GVRP (Global VLAN Registration Protocol) sofern sie diesen denn supporten. Die meisten Billigheimer wie NetGear, D-Link und Co können das natürlich nicht.
Generell ist der Default aber statisch so das du es allen Switches einzeln beibringen musst.
Und Ja, du musst wissen WELCHER Port dann zum anderen Switch gehen soll. Bzw. nicht unbedingt, denn wenn du alle Ports der Switches die im VLAN 1 sind untereinander verbindest, alle im VLAN 2, alle im VLAN 3 usw. usw. Sind alle Switch VLANs untereinander auf den Switches verbunden.
Du erkennst aber auch als celverer ITler diesen Blödsinn, denn wenn du 10 VLAN hast dann hast du von jedem Switch je 10 Verbindungen zu den anderen Switches. Da ist ein Switch mit 5 Nachbarswitches dann voll ohne das auch nur ein Endgerät angeschlossen ist.
Das das natürlich technischer Unsinn ist leuchtet jedem Grundschüler ein und deshalb benutzen Netzwerker einzelne tagged Ports zwischen Switches !
D.h. der Switch sendet zu jedem Paket aus einem entsprechenden VLAN immer die VLAN ID auf solchen Ports mit (IEEE 802.1q Tag) den kann der empfangene Switch lesen und weiss so genau welchem VLAN er dieses Paket wieder zuordnen soll. Entsprechend kann auch ein tagged angeschlossener Router genau sehen an welches Router interface diese Paket soll oder...wie du es gerade liest ein VLAN fähiger Server auf welchem VLAN Interface er das Paket annehmen soll.
So einfach ist das !
Tagged Links kann man natürlich auch trunken (Link Aggregation) um die Bandbreite auf inter Switch Links zu erhöhen.
Du musst hier auch eine generelle Unterscheidung zw. Layer 3 VLAN Switches machen und Layer 2 VLAN Switches. Erstere können selber routen zwischen den VLANs, letztere NICHT, können also nur VLANs trennen.
Deshalb sind Äußerungen wie "...erstelle ich VLAN3 und weise die IP zu 192.168.3.3/24" auf einem Layer 2 VLAN Switch natürlich völlig unsinnig, denn denen sind IP Adressen in seinem VLAN ziemlich "Latte" !
Layer 2 Switches arbeiten nur rein auf MAC Adress Basis. Alles was höher ist "kennen" sie logischerweise nicht. Natürlich "fliegen" bei dir in den VLANs Pakete mit dieser IP rum der reine Layer 2 VLAN Switch fällt eine Forwarding Entscheidung für das paket rein auf Mac Adress Basis und sonst nichts !
Bei L3 Switches ist das anders die können gleichzeitig routen und erübrigen so einen externen Router.
Zu Frage 2.):
Eine Trennung ereicht man eben mit den VLANs ! Ein gängies und übliches Konzept bei größeren Netzen. Kein verantwortungsvoller Netzwerker betreibt mehr als 100-150 Clients in einem flachen Layer 2 Netzwerk. Sowas zeugt immer von einem Missdesign. Server trennt man generell von Client Bereichen und auch WAN Anbindungen.
Dein Beispiel die einzelnen Etagen (EG, 1.OG, 2.OG, usw...) oder auch die Abteilungen Marketing, Vertrieb, Einkauf in separate VLANs zu trennen ist DAS Beispiel pas Excelence ! Genau so wird es gemacht.
WAS allerdings am sinnvollsten ist, ist schwer zu sagen. In einem Forum theoretisch so oder so nicht. Dafür gibt es kein Standardmaß und entscheidet man generell immer nach Unternehmens Struktur.
Zwingend aus rechtlichen Gründen ist z.B. eine Trennung des Voice Netzes sofern VoIP benutzt wird und z.B. eines Gäste LANs / VLANs und oft Produktivnetze die Roboter steuern usw. Die Beispiele dazu sind tausendfach.
Also wird doch dann Routing eingreifen auf Layer3 um die jeweiligen Subnetze miteinander zu verbinden. Was habe ich dann von VLAN ? Eigentlich nicht viel, oder doch?
Ja, das ist genau die Schlussfolgerung daraus. Das Fazit das du ziehst natürlich nicht, das zeugt eher davon das du im Netzwerk noch arge Wissendefizite hast. Stelle dir die Broadcast Last in einer flachen Hierarchie vor und das JEDER Rechner solche Pakete ansehen muss. Ein NoGo aus Performancesicht. Die ganzen Sicherheitsaspekte einer Trennung zählen wir jetzt mal nicht auf.Denkst du z.B. das Großunternehmen wie Allianz, Airbus oder BMW usw. 10.000 Clients in einem dummen, flachen Layer 2 Netz haben mit NetGear Switches ?! ...sicher nicht wirklich.
Der kleine Handwerker in Hintertupfingen mit 10 PCs im Netz kann das machen....für den bringen VLAN freilich nichts wenn man mal von der Trennung von Voice oder Gästen absieht, wo das durchaus wieder Sinn macht aber in der Realität wegen Wissensdefiziten oft nie gemacht wird.
Wenn VLANs so überflüssig wären warum haben supporten sie dann mittlerweile auch Billigswitches aus dem Blödmarkt...muss ja was dahinter stecken, oder ?!
Viel zu viel Tipperei mal wieder für deine doch erheblichen Wissensdefizite aber so sind wir nun mal bei Administrator.de
Fazit also für dich: Fachbücher lesen !!
1
Hallo nochmal,
ich hab mich mittlerweile eingelesen und eingearbeitet und hierzu eine kleine Testdomäne erstellt, wo ich das in aller Ruhe ausprobieren kann. Ich hab noch einige Fragen hierzu, da ich noch wohl Verständnisprobleme habe. Mein setup sieht wie folgt aus:
Ein Cisco WS-C3550-12T mit IOS 12.2(44)SE6 release (fc1) soll als meine root-bridge fungieren. Dieser Switch kann auch layer3. Hier habe ich zusätzlich zum default VLAN1 weitere VLANS zum Testen hinzugefügt, und zwar Port1+2 mit VLAN2, Port3+4 mit VLAN3, Port8 mit VLAN254 und Port10 ist mein Trunkport mit 802.1q an dem der zweite Switch verbunden ist. An dem Trunkport10 werden ALLE VLANs mitübertragen, keine Einschränkungen. Jedem VLAN habe ich außerdem eine IP zugewiesen, und zwar: VLAN1=192.168.1.1, VLAN2=192.168.2.1, VLAN3=192.168.3.1 und VLAN254=192.168.254.1
Die config sieht im Ganzen so aus:
http://abload.de/img/img_20140604_1714096cdw4.jpg
http://abload.de/img/img_20140604_171417z4ifh.jpg
http://abload.de/img/img_20140604_1714230retg.jpg
Der zweite Switch ist ein Cisco Catalyst Express CE500. Hier habe ich ebenfalls Port1+2 mit VLAN2 konfiguriert, Port 3+4 mit VLAN3, Port24 mit VLAN254 und der GigabitPort2 ist mit der Smartporteinstellung "switch" versehen.
Nach einigen Tests war alles zufriedenstellend, es geht so wie erwartet. Nun zu meinem Verständnisproblem bzw. Frage. Ich möchte eigentlich folgendes erreichen. Das VLAN254 habe ich deswegen gemacht, weil ich hier die Management-Interfaces der Switche drauflegen möchte. VLAN254 soll demnach mein Management-Netz werden. Ziel ist es: wenn die restlichen (V)LAN Netze aus irgendwelchen Gründen Probleme aufweisen (z.B. Loops ohne konfiguriertem STP, oder sonstige Ausfälle), dann soll das management-VLAN davon unberührt bleiben. Die Admins sollen jederzeit die Management-Interfaces erreichen können. Aber wie mache ich das denn? Meinem Verständnis nach, kann ich doch einem Port nur einem einzigen VLAN zuweisen, oder hab ich das falsch verstanden?
Angenommen der Admin1 hängt am Switch1 (der Cisco C3550) auf Port6. Wenn ich diesen Port als switchport mode access mit vlan-Zugehörigkeit 254 konfiguriere, dann kommt der Admin natürlich ins VLAN254. Aber er soll ja auch VLAN1, VLAN2 und VLAN3 erreichen können. Wird das dann im nächsten Schritt in der Thematik Layer3/Routing bewerkstelligt? Oder hat das was mit VLAN ACLs zu tun, zu denen ich bisher noch nicht vorgedrungen bin?
ich hab mich mittlerweile eingelesen und eingearbeitet und hierzu eine kleine Testdomäne erstellt, wo ich das in aller Ruhe ausprobieren kann. Ich hab noch einige Fragen hierzu, da ich noch wohl Verständnisprobleme habe. Mein setup sieht wie folgt aus:
Ein Cisco WS-C3550-12T mit IOS 12.2(44)SE6 release (fc1) soll als meine root-bridge fungieren. Dieser Switch kann auch layer3. Hier habe ich zusätzlich zum default VLAN1 weitere VLANS zum Testen hinzugefügt, und zwar Port1+2 mit VLAN2, Port3+4 mit VLAN3, Port8 mit VLAN254 und Port10 ist mein Trunkport mit 802.1q an dem der zweite Switch verbunden ist. An dem Trunkport10 werden ALLE VLANs mitübertragen, keine Einschränkungen. Jedem VLAN habe ich außerdem eine IP zugewiesen, und zwar: VLAN1=192.168.1.1, VLAN2=192.168.2.1, VLAN3=192.168.3.1 und VLAN254=192.168.254.1
Die config sieht im Ganzen so aus:
http://abload.de/img/img_20140604_1714096cdw4.jpg
http://abload.de/img/img_20140604_171417z4ifh.jpg
http://abload.de/img/img_20140604_1714230retg.jpg
Der zweite Switch ist ein Cisco Catalyst Express CE500. Hier habe ich ebenfalls Port1+2 mit VLAN2 konfiguriert, Port 3+4 mit VLAN3, Port24 mit VLAN254 und der GigabitPort2 ist mit der Smartporteinstellung "switch" versehen.
Nach einigen Tests war alles zufriedenstellend, es geht so wie erwartet. Nun zu meinem Verständnisproblem bzw. Frage. Ich möchte eigentlich folgendes erreichen. Das VLAN254 habe ich deswegen gemacht, weil ich hier die Management-Interfaces der Switche drauflegen möchte. VLAN254 soll demnach mein Management-Netz werden. Ziel ist es: wenn die restlichen (V)LAN Netze aus irgendwelchen Gründen Probleme aufweisen (z.B. Loops ohne konfiguriertem STP, oder sonstige Ausfälle), dann soll das management-VLAN davon unberührt bleiben. Die Admins sollen jederzeit die Management-Interfaces erreichen können. Aber wie mache ich das denn? Meinem Verständnis nach, kann ich doch einem Port nur einem einzigen VLAN zuweisen, oder hab ich das falsch verstanden?
Angenommen der Admin1 hängt am Switch1 (der Cisco C3550) auf Port6. Wenn ich diesen Port als switchport mode access mit vlan-Zugehörigkeit 254 konfiguriere, dann kommt der Admin natürlich ins VLAN254. Aber er soll ja auch VLAN1, VLAN2 und VLAN3 erreichen können. Wird das dann im nächsten Schritt in der Thematik Layer3/Routing bewerkstelligt? Oder hat das was mit VLAN ACLs zu tun, zu denen ich bisher noch nicht vorgedrungen bin?
Das VLAN1 ist bei den Cisco das default VLAN.
Bedeutet: Fürs Management gedacht.
Weil: Wenn ungetaggte Pakete am getaggten Port ankommen, werden die ins default VLAN geschickt. Und bei einem Switchtausch ist das überaus praktisch.
Der Zugang zu den andern VLANs wird über den 3550 erreicht. Die Pakete werden eben so von VLAN zu VLAN geroutet. Wenn du jetzt ACLs verwendest kannst du das beeinflussen. Default ist das für alle gleichartig.
Gruß
Netman
Bedeutet: Fürs Management gedacht.
Weil: Wenn ungetaggte Pakete am getaggten Port ankommen, werden die ins default VLAN geschickt. Und bei einem Switchtausch ist das überaus praktisch.
Der Zugang zu den andern VLANs wird über den 3550 erreicht. Die Pakete werden eben so von VLAN zu VLAN geroutet. Wenn du jetzt ACLs verwendest kannst du das beeinflussen. Default ist das für alle gleichartig.
Gruß
Netman
Ja schon klar, daß VLAN1 immer default ist und fürs Management gedacht ist. Aber genau das möchte ich ja vermeiden. Wenn VLAN1 mein default-Netz ist (oder z.B. auch üblich dass es das native VLAN Netz ist bei Cisco, also VLAN1=native VLAN) dann würden "normale" User ,die keinem explizit anderen zugeordneten VLAN zugeordnet wurden ins VLAN1 landen und könnten demnach das Management-Interface des Switches erreichen. Das sollen sie aber nicht, und deshalb möchte ich das vermeiden. Meine Idee war daher die Management-Interfaces meiner Switche+Router+APCs+sonstigeMgmtHosts auf ein extra VLAN zu legen, auf das _ausschließlich_ die IT-Admins Zugriff haben.
Wenn du eine VLAN-Konzept hast, ist das durchgehend. Es gibt also keine User, die keinem VLAN zugeordnet sind.
Außerdem werden die meisten VLANs portabhängig definiert und somit landet der User immer ine einem passenden VLAN.
Also erst die Verbindungen schaffen und die durchgängig sauber betreiben und dann Limitierungen via ACL-s regeln. Dann haben die Admins kein Problem mehr.
Aber betrachte das VLAN1, besser das default VLAN immer anders.
Gruß
Netman
Außerdem werden die meisten VLANs portabhängig definiert und somit landet der User immer ine einem passenden VLAN.
Also erst die Verbindungen schaffen und die durchgängig sauber betreiben und dann Limitierungen via ACL-s regeln. Dann haben die Admins kein Problem mehr.
Aber betrachte das VLAN1, besser das default VLAN immer anders.
Gruß
Netman
Doch, es gibt sehr wohl User, die KEINEM VLAN zugeordnet werden können, und zwar wenn ich z.B. 802.1X verwende und dynamisch VLANs zuordne. Wenn eine Auth fehlschlägt, kann der User somit in das default VLAN landen. Aber das ist grad gar nicht das Thema was mich interessiert und worüber ich noch weiter mir den Kopf zerbrechen sollte. Mir geht's darum:
ich _will_ ein VLAN254, das soll als Management-Netz dienen und _nur_ von den Admins erreichbar sein. Das ist das Ziel. Die Admins müssen aber auch Zugriff auf die restlichen VLANs haben müssen, verständlich Wie mache ich das?
Wenn ich mir http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ... durchlese, dann sollte das doch gehen. Ich muss dem Port (wo der admin dranhängt) doch nur mitteilen, dass er auch member von anderen VLANs ist, oder nicht?
ich _will_ ein VLAN254, das soll als Management-Netz dienen und _nur_ von den Admins erreichbar sein. Das ist das Ziel. Die Admins müssen aber auch Zugriff auf die restlichen VLANs haben müssen, verständlich
Wie mache ich das?Wenn ich mir http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ... durchlese, dann sollte das doch gehen. Ich muss dem Port (wo der admin dranhängt) doch nur mitteilen, dass er auch member von anderen VLANs ist, oder nicht?
Dur richtest ganz einfach das VLAN 254 ein und setzt alles IP Adressen aller angeschlossenen Switches entsprechend in dieses VLAN.
Dann installierst du einen VCL auf den Telnet und SSH Interfaces:
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
access-list 23 permit 192.168.100.0 0.0.0.255
Fertisch !
Jetzt können nur noch User aus dem 192.168.100.0 /24er Netz zugreifen in der Annahme das ist dein IP Netz im VLAN 254
Das ist einfach hat aber den Nachteil das so trotzdem noch alle ins VLAN 254 generell kommen nur eben nicht auf die einzelnen Switches ober Endgeräte im Management Netz.
Besser ist es also das auch noch zu unterbinden !
Dann gehst du dorthin wo du im LAN das zentral das Routing machst zwischen den VLANs in der Regel also auf deinem L3 Switch.
Dort installierst du eine inbound ACL an allen Layer 3 Interfaces:
ip access-list extended nomanagement
deny ip any 192.168.100.0 0.0.0.255
permit ip any any
!
interface vlan x
ip access-group nomanagement in
Fertisch...
Damit kommt dann keiner aus den anderen Netzen mehr ins Management VLAN.
P.S.: Lasse den Blödsinn mit externen Bilderlinks oben ! Über deinen Original Thread (Klick auf Bearbeiten) kannst du dort Bilder hochladen und den Image URL nach dem Upload mit cut and paste sichern !!
Kann man nicht übersehen...auch wenn man Tomaten auf den Augen hat !
Diesen Image URL kannst du hier dann in jeglichen Text pasten...auch Antworten !! und statt des URLs wird dann embedded immer dein Bild angezeigt !
Kinderleicht, wenn man mal die FAQs liest und befreit uns von diesen unsäglichen externen Bilderseiten mit Zwangswerbung und Popup und Trojanern oder was noch...
Dann installierst du einen VCL auf den Telnet und SSH Interfaces:
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
access-list 23 permit 192.168.100.0 0.0.0.255
Fertisch !
Jetzt können nur noch User aus dem 192.168.100.0 /24er Netz zugreifen in der Annahme das ist dein IP Netz im VLAN 254
Das ist einfach hat aber den Nachteil das so trotzdem noch alle ins VLAN 254 generell kommen nur eben nicht auf die einzelnen Switches ober Endgeräte im Management Netz.
Besser ist es also das auch noch zu unterbinden !
Dann gehst du dorthin wo du im LAN das zentral das Routing machst zwischen den VLANs in der Regel also auf deinem L3 Switch.
Dort installierst du eine inbound ACL an allen Layer 3 Interfaces:
ip access-list extended nomanagement
deny ip any 192.168.100.0 0.0.0.255
permit ip any any
!
interface vlan x
ip access-group nomanagement in
Fertisch...
Damit kommt dann keiner aus den anderen Netzen mehr ins Management VLAN.
P.S.: Lasse den Blödsinn mit externen Bilderlinks oben ! Über deinen Original Thread (Klick auf Bearbeiten) kannst du dort Bilder hochladen und den Image URL nach dem Upload mit cut and paste sichern !!
Kann man nicht übersehen...auch wenn man Tomaten auf den Augen hat !
Diesen Image URL kannst du hier dann in jeglichen Text pasten...auch Antworten !! und statt des URLs wird dann embedded immer dein Bild angezeigt !
Kinderleicht, wenn man mal die FAQs liest und befreit uns von diesen unsäglichen externen Bilderseiten mit Zwangswerbung und Popup und Trojanern oder was noch...
Hallo Aqui,
danke für die ausführliche Erklärung und den Kommandos. Ich würde aber dennoch gerne verstehen, ob und inwiefern man diese Einschränkung nicht schon auf Layer2 Basis machen könnte. In der Beschreibung von dem bereits geposteten Link steht doch was davon, dass man einem Port einen Memberzugehörigkeit definieren kann. Ich will gar nicht erstmal in Layer3 mit IPs arbeiten, mir geht's nur um die Pakete die auf der zweiten Schicht vermittelt werden. Wie würde man denn einem Cisco switch beibringen, dass ein bestimmter Port zwar für "switchport mode access" und "switchport vlan access 123" eingerichtet ist, aber dennoch member für die VLANs 5,6,7 und inkl. 123 ist ? Geht das denn überhaupt oder warum schreibt das der Autor in seinem Beitrag ?
danke für die ausführliche Erklärung und den Kommandos. Ich würde aber dennoch gerne verstehen, ob und inwiefern man diese Einschränkung nicht schon auf Layer2 Basis machen könnte. In der Beschreibung von dem bereits geposteten Link steht doch was davon, dass man einem Port einen Memberzugehörigkeit definieren kann. Ich will gar nicht erstmal in Layer3 mit IPs arbeiten, mir geht's nur um die Pakete die auf der zweiten Schicht vermittelt werden. Wie würde man denn einem Cisco switch beibringen, dass ein bestimmter Port zwar für "switchport mode access" und "switchport vlan access 123" eingerichtet ist, aber dennoch member für die VLANs 5,6,7 und inkl. 123 ist ? Geht das denn überhaupt oder warum schreibt das der Autor in seinem Beitrag ?
Antwort Jein.
Es gibt sogenannte asymetrische VLANs. Aber kaum mehr Switche, die das unterstützen. Es ist bei der Implementierung einfach zu unstrukturiert und somit ein Fall fürs Museum.
Gruß Netman
Es gibt sogenannte asymetrische VLANs. Aber kaum mehr Switche, die das unterstützen. Es ist bei der Implementierung einfach zu unstrukturiert und somit ein Fall fürs Museum.
Gruß Netman
