26228
12.01.2015
14484
5
0
VLAN mit Lancom Router und Switch - Allgemeine Verständnisfragen
Hallo zusammen,
aufgrund von Firmenumzug und damit verbundenen neuen Anforderungen beschäftige ich mich gerade mit dem Thema VLAN. Momentan ist das alles noch etwas
Neuland für mich. Ich würde mich freuen, wenn ich hier Anregungen und Tipps zum besseren Verständnis des Themas VLAN finden würde.
Also, momentan haben wir ein kleines Windows-Netzwerk mit SBS 2008, 5 Win7-Clients, Hybrid-TK-Anlage und IP-Telefonen. Das alles hängt in einem Netz
über einen Lancom GS1224P-Switch am Lancom 1781VA-Router.
Nun kommen nach unserem Umzug noch eine Handvoll IP-Kameras (PoE) und eine Zutrittskontrolle hinzu.
Ich möchte die Geräte nun gerne in 4 separate Netze packen. Dachte mir das wie folgt:
Netz1: SBS 2008 und Clients
Netz2: TK-Anlage (F470UC) und Telefone (intern IP, extern ISDN)
Netz3: IP-Kameras und Zutrittskontrolle
Netz4: Testnetz (später Gastzugang WLAN)
Im Prinzip hab ich die Anleitung von Lancom vermutlich verstanden, aber ich glaube, mit den dem Taggen hab ich ein Verständnisproblem.
Howto Lancom siehe hier: https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
Mal sehen, ob ich es kapiert hab
Die physikalische Schnittstelle ETH1 wird mit dem Switch Port 24 verbunden.
Ich definiere im Router 4 Netzwerke und weise den Netzen VLAN-ID's zu:
Netz1 = 192.168.1.0 = VID1
Netz2 = 192.168.2.0 = VID2
Netz3 = 192.168.3.0 = VID3
Netz4 = 192.168.4.0 = VID4
Dann ordne ich alle 4 Netze der logischen Schnittstelle LAN-1 zu, die an die physikalische Schnittstelle ETH1 gebunden ist.
Im Switch erstelle ich diese 4 VLAN-Gruppen, setze die entsprechenden Ports als Member in die jeweiligen Gruppen (je nach Gerätetyp)
und definiere Port 24 als Member aller VLAN-Gruppen.
Hier fange ich jetzt an, gedanklich zu stolpern. Folgendes ist mir nicht klar:
1. Muss ich bereits im Router beim definieren der Netze einen Schnittstellentag festlegen?
2. Ist der VLAN-Mode im Switch Tag-based oder Port-based?
3. Sind im Switch bei Pakettyp "alle" oder "tagged only" anzuhaken?
Vielleicht wäre jemand bereit in kurzen Worten, den grundsätzlichen Ablauf des Tagging zu erklären?
Vorab vielen Dank für die Hilfe.
Gruß Knuddel256
aufgrund von Firmenumzug und damit verbundenen neuen Anforderungen beschäftige ich mich gerade mit dem Thema VLAN. Momentan ist das alles noch etwas
Neuland für mich. Ich würde mich freuen, wenn ich hier Anregungen und Tipps zum besseren Verständnis des Themas VLAN finden würde.
Also, momentan haben wir ein kleines Windows-Netzwerk mit SBS 2008, 5 Win7-Clients, Hybrid-TK-Anlage und IP-Telefonen. Das alles hängt in einem Netz
über einen Lancom GS1224P-Switch am Lancom 1781VA-Router.
Nun kommen nach unserem Umzug noch eine Handvoll IP-Kameras (PoE) und eine Zutrittskontrolle hinzu.
Ich möchte die Geräte nun gerne in 4 separate Netze packen. Dachte mir das wie folgt:
Netz1: SBS 2008 und Clients
Netz2: TK-Anlage (F470UC) und Telefone (intern IP, extern ISDN)
Netz3: IP-Kameras und Zutrittskontrolle
Netz4: Testnetz (später Gastzugang WLAN)
Im Prinzip hab ich die Anleitung von Lancom vermutlich verstanden, aber ich glaube, mit den dem Taggen hab ich ein Verständnisproblem.
Howto Lancom siehe hier: https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
Mal sehen, ob ich es kapiert hab
Die physikalische Schnittstelle ETH1 wird mit dem Switch Port 24 verbunden.
Ich definiere im Router 4 Netzwerke und weise den Netzen VLAN-ID's zu:
Netz1 = 192.168.1.0 = VID1
Netz2 = 192.168.2.0 = VID2
Netz3 = 192.168.3.0 = VID3
Netz4 = 192.168.4.0 = VID4
Dann ordne ich alle 4 Netze der logischen Schnittstelle LAN-1 zu, die an die physikalische Schnittstelle ETH1 gebunden ist.
Im Switch erstelle ich diese 4 VLAN-Gruppen, setze die entsprechenden Ports als Member in die jeweiligen Gruppen (je nach Gerätetyp)
und definiere Port 24 als Member aller VLAN-Gruppen.
Hier fange ich jetzt an, gedanklich zu stolpern. Folgendes ist mir nicht klar:
1. Muss ich bereits im Router beim definieren der Netze einen Schnittstellentag festlegen?
2. Ist der VLAN-Mode im Switch Tag-based oder Port-based?
3. Sind im Switch bei Pakettyp "alle" oder "tagged only" anzuhaken?
Vielleicht wäre jemand bereit in kurzen Worten, den grundsätzlichen Ablauf des Tagging zu erklären?
Vorab vielen Dank für die Hilfe.
Gruß Knuddel256
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 259603
Url: https://administrator.de/contentid/259603
Ausgedruckt am: 24.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Die gemeinsame Schnitstelle ist komplett getaggt. Also alle VLANs werden auf LAN1 getaggt. Auch der Ethernetport 26 des Switches wird komplett getaggt.
Der VLAN-Modus des Switches ist port-based.
Sonderfall:
Gemischte Betriebsarten für Ports mit getaggten und ungetaggten Frames gibt es sinnvollerweise:
Gruß
Netman
Der VLAN-Modus des Switches ist port-based.
Sonderfall:
Gemischte Betriebsarten für Ports mit getaggten und ungetaggten Frames gibt es sinnvollerweise:
- Wenn ein Telefon am Switch angeschlossen ist, das Telefon mit einem VLAN-Tag in einem und der PC hinter dem Telefon mi einem anderen VLAN genutzt wird. (benötigt einen Port weniger)
- Wenn ein default VLAN für Administrationszwecke benutzt wird.
- Wenn man für etwaige Erweiterungen ein fallback Szenario für unkonfigurierte Switche benötigt.
Gruß
Netman
Das ist Port-basiertes VLAN.
Jeder Port ist Teilnehmer in einem VLAN (hier am Switch). Kein VLAN hat eine Verbindung zu einem anderen VLAN. Alles Ports sind ungetaggt.
Die Verbindung für die VLANs wird über die beiden Beine (Ports) des Routers gemacht. Der ist für Trennung oder Verbindung zuständig. default verbindet er. Mittels Zugriffsregeln und ACL (Listen) kann er das regeln.
Wenn beide Netze nur aufs Internet, aber nicht gegenseitig Zugriff haben sollen, dann ist die Routingregel entsprechend zu korrigieren. Manchmal will man aber mit einer Maschine ins Nachbarnetz.
Sonderfall: Routing mit einem Routerport. Dann ist die die Verbindung zum Switch getaggt. Alle VLANs sind getaggt. Paket von einem Netz zum andern werden auf der Uplink-Leitung zweimal transportiert.
Gruß
Netman
Jeder Port ist Teilnehmer in einem VLAN (hier am Switch). Kein VLAN hat eine Verbindung zu einem anderen VLAN. Alles Ports sind ungetaggt.
Die Verbindung für die VLANs wird über die beiden Beine (Ports) des Routers gemacht. Der ist für Trennung oder Verbindung zuständig. default verbindet er. Mittels Zugriffsregeln und ACL (Listen) kann er das regeln.
Wenn beide Netze nur aufs Internet, aber nicht gegenseitig Zugriff haben sollen, dann ist die Routingregel entsprechend zu korrigieren. Manchmal will man aber mit einer Maschine ins Nachbarnetz.
Sonderfall: Routing mit einem Routerport. Dann ist die die Verbindung zum Switch getaggt. Alle VLANs sind getaggt. Paket von einem Netz zum andern werden auf der Uplink-Leitung zweimal transportiert.
Gruß
Netman
Zitat von @26228:
Ich lege im Switch 2 VLAN-Gruppen an, z.B. VID1 und VID2.
okIch lege im Switch 2 VLAN-Gruppen an, z.B. VID1 und VID2.
Der Switch ordnet den Endports die PVID zu, also PVID1 und PVID2
Du ordnest zu! Ich verbinde per Patchkabel vom Router ETH1 auf einen Port am Switch, der zu VID1 gehört.
Dann verbinde ich mit einem Patchkabel vom Router ETH2 auf einen Port am Switch, der zu VID2 gehört.
Im Router binde ich ETH1 an LAN1 und ETH2 an LAN2.
Den im Router angelegten Netzen teile ich die VID1 auf LAN1 zu und die VID2 auf LAN2 und vergebe KEINEN Schnittstellentag.
Kein Schnittstellentag ok, AM Router kommen zwei verschiedenen LANs an.Dann verbinde ich mit einem Patchkabel vom Router ETH2 auf einen Port am Switch, der zu VID2 gehört.
Im Router binde ich ETH1 an LAN1 und ETH2 an LAN2.
Den im Router angelegten Netzen teile ich die VID1 auf LAN1 zu und die VID2 auf LAN2 und vergebe KEINEN Schnittstellentag.
Ist das dann so, das ein unmarkiertes Paket, das von einem Endgerät gesendet wird, am Endport des Switch mit VID1 markiert wird und dann nur an DEN Endports zugestellt werden kann, die ebenfalls VID1 zugeordnet sind? Dort entfernt der Switch dann die Markierung VID1 und das dort angeschlossene Endgerät nimmt das Paket an.
ein ungetaggtes Paket bekommt die zum Port passende VLAN-ID. Pakete werden nur an Ports weiter kopiert, die die selbe VLAN-ID haben. Und Pakete, deren Ziel nicht im eigenen Netz (z.B. VID1) liegt, werden über den Router entweder ins Internet weitergeleitet oder ins Netz mit VID2 geschickt. Der Router entfernt doch dann die Markierung VID1, wenn das Paket die ETH1 am Router passiert.
Der Router macht gar nichts mit der VLAN-ID er versteht ohen besonder Konfiguration nichts. Der Router verbindet über zwei oder drei Ports zwei oder drei Netze.Sonderfall: Der Router wird mittels eines getagggten Ports mit dem VLAN-Switch verbunden. Dann wird anhand der Konfiguration im Router bestimmt, was gemacht wird. An diesem Port nimmt der Router die Pakete so an, als wären sie ungetaggt, kann sie baen nach zugehörigem LAN trennen und unterscheiden.
Gruß
Netman
Dort endet doch dann VID1, oder?
Gruß Knuddel256
Gruß Knuddel256