Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN Netzwerke konfigurieren für Laien

Mitglied: Campino86

Campino86 (Level 1) - Jetzt verbinden

24.04.2019 um 00:57 Uhr, 815 Aufrufe, 10 Kommentare

Hallo,

ich hoffe es kann mir hier jemand auf die richtige Spur helfen, da ich in diesem Bereich sehr sehr wenig Ahnung habe.
Das ganze ist eine theoretische Geschichte und die Komponenten sind vorgegeben.
Ich habe diese schonmal so angeordnet, wie ich denke das es korrekt ist.

Aufgabenstellung ist die folgende.

1 Gesamtnetzwerk zu installieren, mit Untergliederung in VLANs, dabei sind folgende Anforderungen gestellt.
Alle Dect-Sender sind in einem VLAN, können aber mit der TK-Anlage, die sich im Hauptnetz befindet kommunizieren. ( grün )
DIe TK-Anlage hat nur 1 IP-Adresse im Hauptnetz.

IP Adressen werden per DHCP über einen Windows 2016 Server vergeben.
Alle Switche ( Layer 3 ) sind per LWL an einem Core-Switch Layer 2.
Gateway ( Lancom Router ) & TK-Anlage sind am gleichen Switch angebunden.

Ausserdem soll es ein weiteres VLAN geben, in welchem sich ein PC und AC befinden, welche lediglich ins Internet dürfen.


So nun mein Ansatz.

Ein Hauptnetz 192.168.0.x - IP Adressen werden per DHCP vom Server vergeben. Keine VLAN Tags auf den Ports.
Ein Netz 192.168.1.x - IP Adressen werden ebenfalls per DHCP vom Server vergeben. VLAN Tag 1 auf den LWL Ports, dem Port der TK-Anlage, den Ports der Dect-Stationen und des Servers
Ein Netz 192.168.2.x - IP-Adressen werden fest vergeben, da von diesem Netz nur ins Internet Zugegriffen werden darf, daher kein Zugriff auf Server. VLAN Tag 2, auf den Ports des PCs & ACs, sowie auf den LWL Ports des Core-Switch, des Switches an dem das Gateway hängt und an dem das VLAN 2 ist.

Nun ist mir aber nicht ganz klar

1) funktioniert das so überhaupt?
2) was muss tagged und was untagged sein?
3) Woher weiss der Server, welches Ip-Range er verwenden soll?
4) Was passiert wenn sich ein DHCP Client, an einen Port in VLAN anschließen würde.

Vielen Dank für euren Input.
Übersicht netzwerk - Klicke auf das Bild, um es zu vergrößern
Mitglied: Vision2015
24.04.2019 um 06:21 Uhr
moin...

Das ganze ist eine theoretische Geschichte und die Komponenten sind vorgegeben.
also Hausaufgaben...
Ich habe diese schonmal so angeordnet, wie ich denke das es korrekt ist.
was sagen den deine Bücher dazu?
wo sind die beschriftungen, legende etc...?

Frank
Bitte warten ..
Mitglied: NordicMike
24.04.2019, aktualisiert um 09:01 Uhr
Zu 1) ja, fast. Es ist noch etwas verbesserungswürdig. Wir kommen gleich dazu.

Zu 2)
Tags heißt auf Deutsch „Markierungen“. Sie werden benötigt um auf einer Leitung mehrere VLANs übertragen zu können. Ein Switch, das von so einer Leitung Daten bekommt, kann sie anhand der Markierungen sortieren und dem zugehörigen virtuellem Netzwerk zuweisen.

Wenn an einem Switch Port nur ein einziges VLAN anliegen soll, kann dieser auch unmarkierte Pakete senden (untagged). Sie können aber auch tagged versendet werden, aber nicht jeder Empfänger kann die Tags auswerten, z.B. PCs, Handys, Drucker... Deswegen werden die Anschlüsse zu den Endgeräten gerne untagged eingerichtet. Ausnahmen sind Telefone, die noch einen zweiten Netzwerkport haben, damit ein PC daran angesteckt werden kann. Da siehe Telefone gerne in ein VLAN gesteckt werden, aber der PC sich in einem anderen VLAN befinden soll, muss der Port am Switch beide VLANs versenden, also muss mindestens ein VLAN davon markiert sein.

Zu 3)
Über „Scopes“
https://youtu.be/q49fShbcU8U
Da ist gut erklärt, wie man es einrichtet. Aaaaaber, siehe weiter unten.

Zu 4)
Der DHCP Client sendet seine Anfragen grundsätzlich unmarkiert (untagged) zum Switch. Wenn der Switch Port auf VLAN 5 untagged gestellt ist, kann nur ein DHCP server, der sich auch im VLAN 5 befindet, darauf antworten. Wenn der Switch Port jedoch nur tagged Netzwerke hat, wird der Client keine Antwort erhalten. Der im Video eingerichtete DHCP Server kann auf alle VLANs getrennt reagieren, also wird der DHCP Client seine passende IP Nummer erhalten.

Zu Deiner Konfiguration)
Ich würde die Kommunikation zwischen den Switchen grundsätzlich mit allen VLANs tagged füttern, auch, wenn sie an einer bestimmten Seite nicht verwendet werden. Das erspart spätere Änderungen, da man sich dann keine Gedanken mehr machen muss, ob an diesem Switch überhaupt das passende VLAN ankommt.

Auch die WLAN Sender würde ich mit mehreren VLANs tagged füttern, damit Du mehrere WLAN Netze zur Verfügung stellen kannst. Ein Büronetz, ein Gastnetz, ein VoIP Netz... Spätestens deswegen benötigst Du bei allen Switchen alle VLANs. Der WLAN Accesspoint muss aber dementsprechend konfigurierbar sein, billige APs können nur ein Netz und dementsprechend darf dann auch sein Port am Switch nur untagged eingestellt sein, egal, welches VLAN zu ihm letztendlich zuweist.

Die VLANs sind untereinander erst einmal komplett getrennt. Damit die Endgeräte in den VLANs eine IP Nummer erhalten und auch ins Internet kommen, benötigt jedes VLAN Zugang zu einem Router und DHCP Server. Das kann der Windows Server zwar übernehmen, da er Zugang zu jedem VLAN bekommt (so wird es auch im Video eingerichtet, zwei Netzwerkkarten können auch über eine Netzwerkkarte mit zwei VLANs gemacht werden) jedoch würde alles zusammen brechen, wenn der Server nicht reagiert oder wegen Updates mal eben neu bootet, auch die Telefonie. Deswegen wird für so etwas gerne ein eigener Router inkl DHCP Server verwendet, der so gut wie nie neu booten muss. In Deinem Fall, weil die Layer 3 Switche schon vorgegeben sind oder schon existieren, würde ich die Layer 3 Switche das Routing übernehmen lassen und einen der Layer 3 Swiche den DHCP Server für alle VLANs spielen lassen. Normalerweise kannst Du auch das Netzwerk mit günstigeren Layer 2 Switchen ausstatten und eine schicke Firewall hinstellen, die Routing und DHCP übernimmt z.B Sophos UTM, Unifi USG, pfSense. Sophos ist ab einer bestimmten Größe jährlich kostenpflichtig zu lizenzieren (ab 50 IPs im Netzwerk). Unifi hat auch eigene günstige Layer 2 Switche, die er gleich mit verwalten kann und das Unifi USG routet zwischen den Layern. Sophos und Unifi haben auch eigene AccessPoints, die sie gleich mitverwalten können und auch Voucher für das GästeWLAN ausgeben können.
Bitte warten ..
Mitglied: goscho
24.04.2019 um 09:32 Uhr
Moin
Zitat von NordicMike:
die meisten deiner Ausführungen kann ich so unterschreiben.
Die VLANs sind untereinander erst einmal komplett getrennt. Damit die Endgeräte in den VLANs eine IP Nummer erhalten und auch ins Internet kommen, benötigt jedes VLAN Zugang zu einem Router und DHCP Server. Das kann der Windows Server zwar übernehmen, da er Zugang zu jedem VLAN bekommt (so wird es auch im Video eingerichtet, zwei Netzwerkkarten können auch über eine Netzwerkkarte mit zwei VLANs gemacht werden) jedoch würde alles zusammen brechen, wenn der Server nicht reagiert oder wegen Updates mal eben neu bootet, auch die Telefonie.
Dieses Argument zieht überhaupt nicht.
Wenn ein Server nicht reagiert (egal ob Windows oder Linux), hat man eh Probleme und der Reboot wegen Windows-Updates wird nur von Hobby-Admins oder Beamten während der normalen Arbeitszeiten durchgeführt.
Normalerweise kannst Du auch das Netzwerk mit günstigeren Layer 2 Switchen ausstatten und eine schicke Firewall hinstellen, die Routing und DHCP übernimmt z.B Sophos UTM, Unifi USG, pfSense. Sophos ist ab einer bestimmten Größe jährlich kostenpflichtig zu lizenzieren (ab 50 IPs im Netzwerk). Unifi hat auch eigene günstige Layer 2 Switche, die er gleich mit verwalten kann und das Unifi USG routet zwischen den Layern. Sophos und Unifi haben auch eigene AccessPoints, die sie gleich mitverwalten können und auch Voucher für das GästeWLAN ausgeben können.
Er hat doch bereits einen Lancom-Router. Da braucht er sicher keine weitere Firewall.
Der kann übrigens auch als DHCP-Server für die einzelnen Netzwerke (VLANs) dienen.
Bitte warten ..
Mitglied: NordicMike
24.04.2019 um 09:45 Uhr
Zitat von goscho:
hat man eh Probleme und der Reboot wegen Windows-Updates wird nur von Hobby-Admins oder Beamten während der normalen Arbeitszeiten durchgeführt.

Stimmt, wenn alles läuft, wie es soll. Nur die Netzwerke werden auch mal älter und bleiben nicht fehlerfrei - Hardwaretechnisch sowie Softwaretechnisch. Ich habe auch mal in einer Hotline im Systemhaus gearbeitet und musste nicht selten die Server durchstarten. Es ist halt nur ein Vorschlag um Single Point Of Failures zu minimieren.

Zitat von goscho:
Er hat doch bereits einen Lancom-Router. Da braucht er sicher keine weitere Firewall.

Ja, wenn dieser Router VLAN fähig ist. Welcher es genau ist wurde ja nicht beschrieben. Ich habe auch nicht nachgeforscht, ob alle Lancoms das können. Ich habe es halt mal so erklärt. Wenn der Router das kann, klar.
Bitte warten ..
Mitglied: goscho
24.04.2019 um 09:53 Uhr
Zitat von NordicMike:
Stimmt, wenn alles läuft, wie es soll. Nur die Netzwerke werden auch mal älter und bleiben nicht fehlerfrei - Hardwaretechnisch sowie Softwaretechnisch. Ich habe auch mal in einer Hotline im Systemhaus gearbeitet und musste nicht selten die Server durchstarten. Es ist halt nur ein Vorschlag um Single Point Of Failures zu minimieren.
Der Neustart eines normalen Servers dauert heute auch kaum länger als 5 Minuten (Ausnahme Exchange).
Zitat von goscho:
Er hat doch bereits einen Lancom-Router. Da braucht er sicher keine weitere Firewall.

Ja, wenn dieser Router VLAN fähig ist. Welcher es genau ist wurde ja nicht beschrieben. Ich habe auch nicht nachgeforscht, ob alle Lancoms das können. Ich habe es halt mal so erklärt. Wenn der Router das kann, klar.
Die Lancom-Router sind prinzipiell VLAN-fähig. Die günstigsten (883VAW) können aber nur in maximal 2 interne Netze routen.
Bitte warten ..
Mitglied: NordicMike
24.04.2019 um 10:31 Uhr
Zitat von goscho:
Der Neustart eines normalen Servers dauert heute auch kaum länger als 5 Minuten (Ausnahme Exchange).
Jup, vorausgesetzt, es hängt kein Dienst, das geht bis zum dem Punkt, dass man ihn nach 10 Minuten hart resettet, weil er nicht ganz runter fuhr. VM's sind auch ein Thema, wenn Hyper-V so eingestellt ist, dass die VM's nicht angehalten werden, sondern auf deren Beendigung gewartet wird. Fette Updates brauchen auch lange, deren Rollbacks bei Fehlern noch länger. Wenn der Server auch routen soll, sind VoIP Gespräche sofort unterbrochen, noch bevor der schnellste Server herunter gefahren ist. Aber, ja, alle planen so, als ob solche Sachen nicht vorkommen (dürfen).

Zitat von goscho:
Die Lancom-Router sind prinzipiell VLAN-fähig. Die günstigsten (883VAW) können aber nur in maximal 2 interne Netze routen.
Gut zu wissen, danke Dir. In diesem Fall kann er das DHCP auf dem Server ganz abschalten.
Bitte warten ..
Mitglied: Lochkartenstanzer
24.04.2019 um 11:02 Uhr
Zitat von goscho:
Der Neustart eines normalen Servers dauert heute auch kaum länger als 5 Minuten (Ausnahme Exchange).

Aber auch nur, wenn er einigermaßen aktuell ist. Ich kenne noch einige Server bei Kunden, die allein für das BIOS-durchackern gefühlt soviel Zeit verbraten.

lks
Bitte warten ..
Mitglied: NordicMike
24.04.2019 um 11:20 Uhr
HP's mit ILO :c)
Bitte warten ..
Mitglied: Lochkartenstanzer
24.04.2019 um 11:30 Uhr
Zitat von NordicMike:

HP's mit ILO :c)

jepp.

lks
Bitte warten ..
Mitglied: aqui
24.04.2019, aktualisiert um 14:37 Uhr
Wissenswertes zum Thema VLAN findest du auch hier:
Grundlagen:
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
und Server bezogen:
https://administrator.de/wissen/vlan-routing-802-1q-trunk-ms-linux-serve ...
und Netzwerk bezogen:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...

Dein Ansatz ist in den Grundzügen richtig.
  • Generell richtest du alle deine VLANs mit den IDs auf den Switches ein und taggest auf den Switch Uplinks untereinander diese VLANs. Default VLAN 1 wird auf einem Tagged Trunk immer Untagged übertragen. Siehe dazu auch hier: https://www.administrator.de/forum/gibt-pvid-vlans-325880.html
  • Gem. deiner Zeichnung brauchst du mindestens 4 VLANs: Transfer Netz auf den Internet Router, Voice/Telefonie VLAN, Mitarbeiter WLAN, Gast WLAN, lokales LAN.
  • Ideal wäre es wenn du deine 2 Layer 3 Switches als redundanten Core mit VRRP betreibst. Ein klassisches Design sähe dann so aus:
stackdesign - Klicke auf das Bild, um es zu vergrößern
Zu deinen Fragen, die oben ja schon alle beantwortet sind:
1) funktioniert das so überhaupt?
Ja.
2) was muss tagged und was untagged sein?
Tagged: Uplinks zwischen den Switches, WLAN APs sofern du mit MSSID/VLAN_fähigen_WLAN arbeitest !
Untagged: alle Endgeräte wie PCs, Server, Telefone, Drucker usw.
3) Woher weiss der Server, welches IP-Range er verwenden soll?
Auf den Layer 3 Switches die zw. den VLANs routen konfigurierst du sof. IP Helper Adressen sprich DHCP Forwarding Agents. Diese forwarden die DHCP Requests der VLANs zentral an deinen DHCP Server. Anhand der Absender IP kann der dann den Scope zuordnen. Simpler Klassiker in gerouteten VLANs...
4) Was passiert wenn sich ein DHCP Client, an einen Port in VLAN anschließen würde.
  • Der schickt einen DHCP Request (UDP Broadcast)
  • L3 Switchport empfängt das ersetzt die Absender IP mit seiner und Forwardet (DHCP Forwarder / IP Helper s.o.) an deinen DHCP Server
  • DHCP Server vergibt eine IP aus seinem Scope schickt die Antwort zurück an den L3 Switch
  • L3 Switcgh ersetzt IP und Mac mit der Client Adresse und schickt Antwort an Client
  • Client hat IP im richtigen VLAN
  • Fertisch !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VLan Netzwerk aufbauen
gelöst Frage von MacLifeRouter & Routing3 Kommentare

Hallo Leute, ich bin dabei unser normales Netzwerk in einzelne VLans aufzuteilen. Jedoch möchte ich bevor ich auf unserem ...

Netzwerkmanagement
VLAN Netzwerk Fehler suchen
Frage von MeijiiNetzwerkmanagement2 Kommentare

Hallo Leute ich bin gerade dabei mich mit den Thema VLAN zu beschäftigen, dafür habe ich mit drei Routern ...

LAN, WAN, Wireless
Einfaches VLAN Netzwerk aufbauen
Frage von momaiLAN, WAN, Wireless9 Kommentare

Hallo, ich habe vor ein Netzwerk mit VLANs aufzubauen. Es soll ein Internes und ein öffentliches geben (VLAN ID ...

Netzwerkgrundlagen
VLAN Netzwerk zu Hause
gelöst Frage von niLuxxNetzwerkgrundlagen10 Kommentare

Liebe Community, Ich bin gerade dabei mein Heimnetzwerk in 2 Subnetzwerke zu trennen (privat und "geschäftlich"). Die Idee war ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 1 StundeOff Topic3 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic26 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic24 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...