19
VLAN - Offene Fragen
Hallo zusammen,
ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des hier angebotenen: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich arbeite mich Schritt für Schritt nach vorne. Die Grundeinrichtung hat schon einmal funktioniert. Nun soll es mit einem höheren Schwierigkeitsgrad weitergehen.
Nachfolgend habe ich eine Übersicht meines Homelabs erstellt:
Erörterung:
An einen LAN-Port meiner Fritz Box habe ich einen Cisco RV130 Router angeschlossen (dort am WAN-Port). Auf dem Cisco gibt es vier VLANs:
VLAN 1 Default
VLAN 3 - 172.16.3.1 /24 - DHCP nicht aktiviert
VLAN 4 - 172.16.4.1 /24 - DHCP aktiviert
VLAN 5 - 172.16.5.1 /24 - DHCP nicht aktiviert
IP des Ciscos: 172.16.1.1 /24
VLAN 3-5 tagged und VLAN 1 untagged habe ich beim Cisco auf Port 1 gelegt, der als Uplink für den Netgear Switch dient.
Der Netgear hat folgende Einstellungen
VLAN 1-5 tagged auf Port 5 (Uplink)
VLAN 1 und 3 untagged auf Port 2 - Server, Domain Controller
VLAN 1 und 4 untagged auf Port 3 - Client
VLAN 1 und 4 untagged auf Port 4 - Client
VLAN 1 und 5 untagged auf Port 5 - WLAN AP für ein späteres Gästenetz
Ich habe es mit dieser Konfiguration geschafft, dass Server und Clients alle VLAN Interfaces anpingen können. Ping auf den Cisco Router und ins Internet (z.B. Google.de) funktioniert ebenfalls.
Dem DC habe ich eine feste IP zugewiesen, die Clients erhalten über den Cisco per DHCP automatisch eine Adresse. Der WLAN AP fällt im Moment hinten runter, da er noch keine Rolle spielt.
Meine Fragen nun:
1. Da VLAN 1 Default ist, kann ich mir den Untagged Flag auf den Netgear Ports 2-5 eigentlich sparen, richtig?
2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?
3. Die Clients sollen in die Domäne des Servers joinen. Es funktioniert jedoch nicht, da der Server von den Clients aus nicht erreichbar ist. Muss ich als Maßnahme den Clients das VLAN 3 untagged des Servers zuweisen oder dem Server das VLAN 4 untagged der Clients? Bitte mit Begründung antworten, da ich hier die Logik noch nicht verstanden habe.
Für eure Unterstützung wäre ich sehr dankbar.
Gruß
Knettenbrech
ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des hier angebotenen: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich arbeite mich Schritt für Schritt nach vorne. Die Grundeinrichtung hat schon einmal funktioniert. Nun soll es mit einem höheren Schwierigkeitsgrad weitergehen.
Nachfolgend habe ich eine Übersicht meines Homelabs erstellt:
Erörterung:
An einen LAN-Port meiner Fritz Box habe ich einen Cisco RV130 Router angeschlossen (dort am WAN-Port). Auf dem Cisco gibt es vier VLANs:
VLAN 1 Default
VLAN 3 - 172.16.3.1 /24 - DHCP nicht aktiviert
VLAN 4 - 172.16.4.1 /24 - DHCP aktiviert
VLAN 5 - 172.16.5.1 /24 - DHCP nicht aktiviert
IP des Ciscos: 172.16.1.1 /24
VLAN 3-5 tagged und VLAN 1 untagged habe ich beim Cisco auf Port 1 gelegt, der als Uplink für den Netgear Switch dient.
Der Netgear hat folgende Einstellungen
VLAN 1-5 tagged auf Port 5 (Uplink)
VLAN 1 und 3 untagged auf Port 2 - Server, Domain Controller
VLAN 1 und 4 untagged auf Port 3 - Client
VLAN 1 und 4 untagged auf Port 4 - Client
VLAN 1 und 5 untagged auf Port 5 - WLAN AP für ein späteres Gästenetz
Ich habe es mit dieser Konfiguration geschafft, dass Server und Clients alle VLAN Interfaces anpingen können. Ping auf den Cisco Router und ins Internet (z.B. Google.de) funktioniert ebenfalls.
Dem DC habe ich eine feste IP zugewiesen, die Clients erhalten über den Cisco per DHCP automatisch eine Adresse. Der WLAN AP fällt im Moment hinten runter, da er noch keine Rolle spielt.
Meine Fragen nun:
1. Da VLAN 1 Default ist, kann ich mir den Untagged Flag auf den Netgear Ports 2-5 eigentlich sparen, richtig?
2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?
3. Die Clients sollen in die Domäne des Servers joinen. Es funktioniert jedoch nicht, da der Server von den Clients aus nicht erreichbar ist. Muss ich als Maßnahme den Clients das VLAN 3 untagged des Servers zuweisen oder dem Server das VLAN 4 untagged der Clients? Bitte mit Begründung antworten, da ich hier die Logik noch nicht verstanden habe.
Für eure Unterstützung wäre ich sehr dankbar.
Gruß
Knettenbrech
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371873
Url: https://administrator.de/contentid/371873
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
19 Kommentare
Neuester Kommentar
Zitat von @Knettenbrech:
VLAN 3 - 172.16.3.1 /24 - DHCP nicht aktiviert
VLAN 4 - 172.16.4.1 /24 - DHCP aktiviert
VLAN 5 - 172.16.5.1 /24 - DHCP nicht aktiviert
Es darf nur ein untagged VLAN pro Port geben, nämlich das in dem das angeschlossene Gerät sein soll (vereinfacht). Eigentlich dürfte der Netgear auch keine zwei untagged ports zulassen.VLAN 3 - 172.16.3.1 /24 - DHCP nicht aktiviert
VLAN 4 - 172.16.4.1 /24 - DHCP aktiviert
VLAN 5 - 172.16.5.1 /24 - DHCP nicht aktiviert
/Thomas
1
Zusätzlich zu meinem Vorredner überträgst du das Vlan1 nicht untagged an den Switch über den Uplink wie es sein müsste.
Der Netgear hat folgende Einstellungen
VLAN 1-5 tagged auf Port 5 (Uplink)
Das ist natürlich FALSCH !VLAN 1-5 tagged auf Port 5 (Uplink)
Der NetGear darf das VLAN 1 ja niemals taggen wenn du es auf dem RV130 NICHT taggst. (Zitat): "VLAN 3-5 tagged und VLAN 1 untagged habe ich beim Cisco auf Port 1"
So würde das VLAN 1 nicht übertragen werden zum Switch.
Am Switch muss das VLAN 1 dann natürlich auch untagged sein (PVID 1) sonst klappt das logischerweise nicht !
Der Rest VLAN 1 und 3 untagged auf Port 2 usw.) ist natürlich auch Unsinn wie Kollege tkr104 schon richtigerweise gesagt hat.
Ein Switchport kann ja niemals untagged in 2 VLANs sein ?? Wie soll das gehen. Wäre ja auch fatal, denn dann hättest du mit einmal 2 IP Netze "auf einem Draht". VLANs sind immer komplett getrennte Netze !!
Also gehe noch mal in dich. Lies zum Verständnis nochmal die VLAN Schnellschulung:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
...und dann beschreibst du uns nochmal genau wie du die Porets auf dem Switch eingerichtet hast !
Eigentlich dürfte der Netgear auch keine zwei untagged ports zulassen.
Tut er natürlich auch nicht. Relevant ist dort immer die PVID. Was es damit auf sich hat steht hier:Warum gibt es PVID bei VLANs?
1
Danke für euren Input.
Die empfohlenen Links habe ich beachtet und mir darüberhinaus auch das hier durchgelesen:
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
https://de.wikipedia.org/wiki/Virtual_Local_Area_Network#VLAN-Typen
Ich habe es nun wie folgt korrigiert und hoffe auf dem richtigen Weg zu sein.
Cisco Router:
VLAN 1-5 tagged auf Uplink-Port 1
Netgear Switch:
VLAN 1-5 tagged auf Uplink-Port 5
VLAN 3 untagged auf Port 2 - Server, Domain Controller
VLAN 4 untagged auf Port 3 - Client
VLAN 4 untagged auf Port 4 - Client
VLAN 5 untagged auf Port 5 - WLAN AP für ein späteres Gästenetz
Ich bitte um euer Feedback.
Die empfohlenen Links habe ich beachtet und mir darüberhinaus auch das hier durchgelesen:
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
https://de.wikipedia.org/wiki/Virtual_Local_Area_Network#VLAN-Typen
Ich habe es nun wie folgt korrigiert und hoffe auf dem richtigen Weg zu sein.
Cisco Router:
VLAN 1-5 tagged auf Uplink-Port 1
Netgear Switch:
VLAN 1-5 tagged auf Uplink-Port 5
VLAN 3 untagged auf Port 2 - Server, Domain Controller
VLAN 4 untagged auf Port 3 - Client
VLAN 4 untagged auf Port 4 - Client
VLAN 5 untagged auf Port 5 - WLAN AP für ein späteres Gästenetz
Ich bitte um euer Feedback.
Kann man so machen.
Hm, ok. Anders wäre besser? Wenn ja, wie?
Nun, die Frage ist nicht ob ein anderes Design besser wäre.
Es kommt immer auf die Anforderungen an. Deine Aufstellung ist rein Basic und wir wissen nicht, was du beabsichtigst.
Bei der VLAN Thematik zwischen Geräte gibt es genau nach Standard definierte Regeln:
- zwischen Geräte ist immer die gleiche Konfig zu verwenden. Ist der Port auf der Source Tagged wird auf der Destination Tagged gefordert.
- ist das VLAN auf der Source an dem Port untagged wird auf der Destination untagged gefordert.
- auf jedem Device gibt es im Normal Fall immer ein untagged VLAN.
- Por Port kann es nur ein VLAN als untagged, aber mehere VLANs tagged, geben.
- Ein Device muss das VLAN kennen um es auf einen Port zu münzen (einige Geräte legen diese dann automatisch an).
Zitat von @Spirit-of-Eli:
Deine Aufstellung ist rein Basic und wir wissen nicht, was du beabsichtigst.
Deine Aufstellung ist rein Basic und wir wissen nicht, was du beabsichtigst.
Folgende Reihenfolge möchte ich umsetzen:
1. Clients in die Domäne des Servers aufnehmen
2. WLAN AP als Internetzugang für Gäste einrichten
3. Netzwerkdrucker einrichten, der von Server und Clients angesprochen werden kann
4. WLAN AP umkonfigurieren von Gästezugang auf Mitarbeiterzugang ins interne Netz
Punkt 1 und 2 ist für mich kein Problem, wenn ich ohne VLANs arbeite und sich alle Komponenten in einem gemeinsamen Netz befinden. Nun möchte ich es mir beibringen, wie es mit VLANs und getrennten Netzen funktioniert.
Wenn die Clients in die Domäne joinen sollen, dann muss ich mit VLAN Memberships arbeiten, nehme ich an. Im Moment ist mit meiner Konfig ja alles noch getrennt.
Zitat von @Knettenbrech:
Punkt 1 und 2 ist für mich kein Problem, wenn ich ohne VLANs arbeite und sich alle Komponenten in einem gemeinsamen Netz befinden. Nun möchte ich es mir beibringen, wie es mit VLANs und getrennten Netzen funktioniert.
Das funktioniert mit oder ohne VLAN gleich, wichtig ist das Routing und DNS funktionieren.Punkt 1 und 2 ist für mich kein Problem, wenn ich ohne VLANs arbeite und sich alle Komponenten in einem gemeinsamen Netz befinden. Nun möchte ich es mir beibringen, wie es mit VLANs und getrennten Netzen funktioniert.
Wenn die Clients in die Domäne joinen sollen, dann muss ich mit VLAN Memberships arbeiten, nehme ich an. Im Moment ist mit meiner Konfig ja alles noch getrennt.
14. WLAN AP umkonfigurieren von Gästezugang auf Mitarbeiterzugang ins interne Netz
Wieso Umkonfigurieren? MIt den VLans kannst du beides zur selben Zeit realisieren in dem du zwei SSIDs mit je einem VLAN nutzt.
1Ok, das mache ich dann folglich über den Router. Muss darüberhinaus auf dem Switch auch etwas konfiguriert werden?
Zitat von @Spirit-of-Eli:
Wieso Umkonfigurieren? MIt den VLans kannst du beides zur selben Zeit realisieren in dem du zwei SSIDs mit je einem VLAN nutzt.
4. WLAN AP umkonfigurieren von Gästezugang auf Mitarbeiterzugang ins interne Netz
Wieso Umkonfigurieren? MIt den VLans kannst du beides zur selben Zeit realisieren in dem du zwei SSIDs mit je einem VLAN nutzt.
Das muss vom AP aber explizit unterstützt werden, soweit ich es gelesen habe. Ich habe hier noch eine uralte Fritz Box, die ich für diesen Zweck verwenden wollte (unterstützt noch kein IEEE 802.11n). Ich kann mir nicht vorstellen, dass ich mit dem Teil mehrere SSIDs abbilden kann.
Ja gut, dann musst du dein Design an der Stelle händisch ändern.
Nein
1
Danke an euch.
Könnt ihr mir noch hiermit behilflich sein?
"2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?"
Könnt ihr mir noch hiermit behilflich sein?
"2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?"
Zitat von @Knettenbrech:
Danke an euch.
Könnt ihr mir noch hiermit behilflich sein?
"2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?"
Entweder ICMP in der Windows Firewall (wird per Default für fremde Subnetze geblockt!!), am Client freischalten, oder eine ACL am CISCO verhindert ICMP Forwarding zwischen den VLANs.Danke an euch.
Könnt ihr mir noch hiermit behilflich sein?
"2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?"
Gruß
1
Guckst du auch hier:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Du wärest dann etwas "Standard konformer".
Es ist aber eher kosmetisch. Natürlich kann man auch alle VLAN taggen. Falsch ist das auch nicht. Viele Switches supporten aber oft kein Tagging des Default VLANs. Deshalb ist der quasi Standard etwas universeller.
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Hm, ok. Anders wäre besser? Wenn ja, wie?
Wenn man den Default VLAN 1 untagged beibehält. Das machen 90% aller Hersteller so das auf Tagged Uplinks das Dewfault VLAN 1 immer untagged übertragen wird.Du wärest dann etwas "Standard konformer".
Es ist aber eher kosmetisch. Natürlich kann man auch alle VLAN taggen. Falsch ist das auch nicht. Viele Switches supporten aber oft kein Tagging des Default VLANs. Deshalb ist der quasi Standard etwas universeller.
1
Vielen Dank an alle. Ihr habt mir sehr weitergeholfen.
DANKESCHÖN!
DANKESCHÖN!
Immer gerne wieder... 
Wenn's das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenn's das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
