
45455
30.12.2014
VLAN mit NETGEAR und gemeinsame Geräte
Hallo,
ich habe leider noch keine eingehenden Kenntnisse über VLANs (kompletter Anfänger damit halt) und kämpfe zusätzlich mit der etwas holperigen Oberfläche meiner Netgear-Switches dazu.
Man verzeihe mir also, wenn ich Unsinn schreibe.
Ich hab mir mal ein paar Dokus durchgelesen. Im Grund möchte ich portbasiert vom Switch aus unterscheiden, da ich auf die Geräte eh keinen durchgehenden Einfluss habe (weder in Auswahl noch Konfig über IP-Bereich hinaus).
Ich hab das hoffentlich richtig verstanden, dass im Switch ein Paket an einem Port, der zu einem VLAN zugeordnet ist, dessen tagg bekommt und beim Verlassen über einen ebenfalls zugeordneten Port der tagg wieder entfernt wird (sofern untagged, tagged überträgt das Tagging), und der Switch so intern die VLANs auseinander hält, ohne dass eine äußere Konfiguration nötig wird.
Die getaggten Pakete werden dabei intern nur an die zugeordneten Ports übertragen.
Zum Szenario:
Es gibt eine Internetverbindung über einen Router (DrayTek Vigor 2950)
Als Switche fungieren zwei Netgear (GS752TXS und GS728TXS) im Stack (10G-Verbindung).
Umgesetzt werden sollten zunächst mal zwei getrennte VLANs.
Soweit ichs verstanden habe, kann ich das folgendermaßen machen:
- Zwei statische VLANs definieren, zB. VLAN10 und VLAN20
- VLAN10-Ports untagged und PVID zuordnen, VLAN20-Ports ebenso
- Die Uplinks zwischen den Switchen in beiden VLANs tagged, keine PVID
Im Netgear scheint das so gemeint zu sein, dass die PVID-Zuordnung über das eingehende Tagging entscheidet und die Member-Konfiguration über das ausgehende Tagging sowie die interne Zielzuordnung.
Der Draytek kann selbst eine Art VLAN (eher Zonen) und zwei IP-Bereiche, die LAN-Ports lassen sich zuordnen und können dann zwar ins Internet, aber nicht untereinander kommunizieren.
Das würde ich nutzen, um eine Leitung aus einer Zone des DrayTek an einen VLAN1-Port zu verbinden und dasselbe aus der anderen Zone auf einen VLAN2-Port.
Schöner wäre natürlich auch hier eine VLAN-Konfig, aber so geht's ja auch.
Also:
Internet - DrayTek
DrayTek-VLAN0 - VLAN10-Switch-VLAN10-Ports - Devices
DrayTek-VLAN1 - VLAN20-Switch-VLAN20-Ports - Devices
Die Devices müssten dann alle Internetverbindung haben und nur innerhalb des VLANs kommunizieren können.
Soweit irgendwelche Denkfehler?
Der nächste Schritt wäre nun die Frage nach gemeinsam genutzten Geräten (Drucker).
Reicht es, die betreffenden Ports für beide VLANs untagged ohne PVID (bzw. die Default PVID 1) zu konfigurieren?
In einer VLAN-Doku hab ich das als VLAN-Trunk-Ports gelesen, die dann für beide VLANs erreichbar sind, finde das aber im Netgear alles so nicht wieder.
Gruß
kai
ich habe leider noch keine eingehenden Kenntnisse über VLANs (kompletter Anfänger damit halt) und kämpfe zusätzlich mit der etwas holperigen Oberfläche meiner Netgear-Switches dazu.
Man verzeihe mir also, wenn ich Unsinn schreibe.
Ich hab mir mal ein paar Dokus durchgelesen. Im Grund möchte ich portbasiert vom Switch aus unterscheiden, da ich auf die Geräte eh keinen durchgehenden Einfluss habe (weder in Auswahl noch Konfig über IP-Bereich hinaus).
Ich hab das hoffentlich richtig verstanden, dass im Switch ein Paket an einem Port, der zu einem VLAN zugeordnet ist, dessen tagg bekommt und beim Verlassen über einen ebenfalls zugeordneten Port der tagg wieder entfernt wird (sofern untagged, tagged überträgt das Tagging), und der Switch so intern die VLANs auseinander hält, ohne dass eine äußere Konfiguration nötig wird.
Die getaggten Pakete werden dabei intern nur an die zugeordneten Ports übertragen.
Zum Szenario:
Es gibt eine Internetverbindung über einen Router (DrayTek Vigor 2950)
Als Switche fungieren zwei Netgear (GS752TXS und GS728TXS) im Stack (10G-Verbindung).
Umgesetzt werden sollten zunächst mal zwei getrennte VLANs.
Soweit ichs verstanden habe, kann ich das folgendermaßen machen:
- Zwei statische VLANs definieren, zB. VLAN10 und VLAN20
- VLAN10-Ports untagged und PVID zuordnen, VLAN20-Ports ebenso
- Die Uplinks zwischen den Switchen in beiden VLANs tagged, keine PVID
Im Netgear scheint das so gemeint zu sein, dass die PVID-Zuordnung über das eingehende Tagging entscheidet und die Member-Konfiguration über das ausgehende Tagging sowie die interne Zielzuordnung.
Der Draytek kann selbst eine Art VLAN (eher Zonen) und zwei IP-Bereiche, die LAN-Ports lassen sich zuordnen und können dann zwar ins Internet, aber nicht untereinander kommunizieren.
Das würde ich nutzen, um eine Leitung aus einer Zone des DrayTek an einen VLAN1-Port zu verbinden und dasselbe aus der anderen Zone auf einen VLAN2-Port.
Schöner wäre natürlich auch hier eine VLAN-Konfig, aber so geht's ja auch.
Also:
Internet - DrayTek
DrayTek-VLAN0 - VLAN10-Switch-VLAN10-Ports - Devices
DrayTek-VLAN1 - VLAN20-Switch-VLAN20-Ports - Devices
Die Devices müssten dann alle Internetverbindung haben und nur innerhalb des VLANs kommunizieren können.
Soweit irgendwelche Denkfehler?
Der nächste Schritt wäre nun die Frage nach gemeinsam genutzten Geräten (Drucker).
Reicht es, die betreffenden Ports für beide VLANs untagged ohne PVID (bzw. die Default PVID 1) zu konfigurieren?
In einer VLAN-Doku hab ich das als VLAN-Trunk-Ports gelesen, die dann für beide VLANs erreichbar sind, finde das aber im Netgear alles so nicht wieder.
Gruß
kai
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258718
Url: https://administrator.de/forum/vlan-mit-netgear-und-gemeinsame-geraete-258718.html
Ausgedruckt am: 01.05.2025 um 05:05 Uhr
5 Kommentare
Neuester Kommentar
Ich habe leider noch keine eingehenden Kenntnisse über VLANs (kompletter Anfänger damit halt
Dann solltest du dir mal die Suchfunktion hier im Forum zueigen machen Dieses Forumstutorial erklärt dir die nötigen Grundlagen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und auch
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Was ein VLAN generell ist kannst du z.B. hier nachlesen:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
und auch hier:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
https://www.heise.de/artikel-archiv/ct/2010/24/176_Paket-Pipeline
Leider hast du dir mit den NetGear Gurken eins der übelsten Produkte zugelegt was die VLAn Konfig anbetrifft. Kein Switch außer vielleicht noch Zyxel macht es Anwendern so kompliziert.
Aber keine Sorge....das obige VLAN Tutorial geht eingehend auf die recht eigenwillige NetGear Konfig Logik ein so das auch der blutigste Anhänger es auf Anhieb hinbekommt !
Wichtig ist aber das du dir wenigstens die einfachsten Basiscs von VLANs aneignest.
Nur soviel zu deiner Schilderung:
VLAN Tagging und untagging ist ein weltweiter Standard und überall gleich (IEEE 802.1q) also auch bei Draytek und NetGear. Leider ist die Logik der Beschreibung immer etwas unterschiedlich, wenn man aber weiss wovon man redet wird auch das schnell klar.
Die Uplinks zwischen den Switchen in beiden VLANs tagged, keine PVID
Das musst du nicht, denn wenn es wirklich richtig ist was du schreibst das beide NetGear Gurken in einem Stack konfiguriert sind agiert der Stack wie ein einzelner Switch. Durch das Stacking musst du dich dann nicht um Tagging usw auf dem Switch Uplinks kümmern.Das muss man immer nur machen wenn man 2 Switches ohne Stacking Option über ein Tagged Upling verbindet um die VLANs transparent zu übertragen.
dass die PVID-Zuordnung über das eingehende Tagging entscheidet
Das ist leider falsch und darauf fallen viele NetGear Geschädigte rein ! Die PVID bei incoming Traffic bestimmt in welches VLAN aller untagged Traffic an diesem Port geforwardet wird. Im Default ist das immer das Default VLAN (native VLAN) das meist die 1 ist. Bei NetGear muss aber dieser Standard entgegen zu allen anderen Herstellern immer angegeben werden.NetGear verfährt da leider nach dem Motto: "Warum einfach machen wenn es umständlich auch geht".
Besser also von diesem Hersteller die Finger lassen aber die Warnung kommt ja nun für dich zu spät
Hersteller war quasi vorgegeben, da das gesamte restliche Geswitche aus dem Hause kommt.
Igitt...das kann nur ein Kaufmann und nicht ITler verbrochen haben Andererseits find ichs jetzt auch nicht soooo schlimm, wenn mans einmal kapiert hat.
Da hast du absolut Recht !Ich wollte ja eher die Frage nach eventuellen Denkfehlern an den Schlüssen im beschriebenen Szenario stellen.
Ach so... OK da gabs aber auch nichts zu mäkeln das ist banaler Popel Standard und eine klassische Konfig !Außer....
- PC30 an Port mit Member VLAN10+20 untagged, PVID1
Das ist natürlich Blödsinn ! Ein untagged Endgerät kann niemla Mitgliet zweier oder mehrere Port basierten VLANs sein, das ist technisch unmöglich.Macht außerdem auch keinen Sinn, da ja in den unterschiedlichen VLANs auch immer unterschiedliche IP Netze konfiguriert sind so das die so oder so nie kommunizieren könnten. Wenigstens nicht ohne einen Router !
(Member Default-VLAN1 untagged sind alle)
Das ist genau so ein Blödsinn und geht gar nicht technisch !Du schreibst ja oben selber "- PC10 an Port mit Member VLAN10 untagged, PVID10" Damit ist PC10 fest Member von VLAN 10 und kann niemals gleichzeitig auch untagged Member von VLAN 1 sein. In Port basierten VLANs ist das völlig unmöglich und wie gesagt auch unsinnig.
Zwischen den VLANs können sich Endgeräte niemals sehen !! Jede VLAN Doamin ist vollkommen getrennt zu anderen VLAN Domains, was ja auch der tiefere Sinn von VLANs auf einem Switch sind.
VLAN übergreifende Kommunikation ist ausschliesslich nur über einen Router möglich oder über den Switch selber sofern der ein Layer 3 also ein Routing Switch ist !
An einer Stelle vermute ich aber einen Denkfehler:
Ja das stimmt ! Wenn du zusätzlich zu einem Trunk (tagged Uplink) auch noch zusätzlich eine einzelne Strippe pro VLAN gesteckt hast dann ja.Damit kommt es zu einem Loop (Schleife) in jedem VLAN die per Definition im Ethernet verboten ist.
Ohne ein aktive Spanning Tree Protokoll kollabieren dir dann die Netze in den VLANs durch den Loop ! Das ist der Todesstoß eines jeglichen Ethernet LANs ohne STP.
Oder bekommt der das hin, weil er beides getrennt routet?
Rein im Layer 2 definitiv NEIN, dann loopt der und tötet das Netzwerk !Ansonsten häng ich den Draytek halt an einen Trunked-VLAN-Port
Das wäre der richtige Weg oder eben die Einzelstrippen pro VLAN !Es geht aber nur entweder oder !! Niemals beiedes parallel weil der Draytek m.W. kein STP supportet ?!
Das o.a. Tutorial beschreibt ganz genau wie man einen Router oder Firewall mit einem Trunk anbindet zum VLAN routen !!
Bitte lesen !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel: VLAN Routing !