16
VLAN Problem
Hallo,
ich bin neu hier und auch noch Anfänger (passiert jeden einmal).
Ich soll mehrere VLAN´s für PowerLan-Adapter einrichten.
Die IP´s 192.168.1.10 - 40 sollen die Adapter sein, mit ihren jeweiligen VLAN-IDs. Auf den zentralen Switch sind die jeweiligen Ports den VLANs zugeordnet. Port Gig 1/1 als Truck für VLAN 1-40. Der Server 192.168.1.2 ist keinem VLAN zugeordnet (bzw. Default VLAN1).
Die Kommunikation in den einzelnen VLAN funktioniert tadellos.
Jetzt zu meiner Frage.
Wie stelle ich es an, daß alle VLAN und die VLANlosen Geräte auf den Server zugreifen können und umgekehrt? Der Server darf in kein VLAN, weil noch andere darauf zugreifen müssen. Die VLAN sollen sich natürlich nicht sehen können.
Vielleicht hat ja jemand eine Lösung
Vielen Dank
Anginsun
ich bin neu hier und auch noch Anfänger (passiert jeden einmal).
Ich soll mehrere VLAN´s für PowerLan-Adapter einrichten.
Die IP´s 192.168.1.10 - 40 sollen die Adapter sein, mit ihren jeweiligen VLAN-IDs. Auf den zentralen Switch sind die jeweiligen Ports den VLANs zugeordnet. Port Gig 1/1 als Truck für VLAN 1-40. Der Server 192.168.1.2 ist keinem VLAN zugeordnet (bzw. Default VLAN1).
Die Kommunikation in den einzelnen VLAN funktioniert tadellos.
Jetzt zu meiner Frage.
Wie stelle ich es an, daß alle VLAN und die VLANlosen Geräte auf den Server zugreifen können und umgekehrt? Der Server darf in kein VLAN, weil noch andere darauf zugreifen müssen. Die VLAN sollen sich natürlich nicht sehen können.
Vielleicht hat ja jemand eine Lösung
Vielen Dank
Anginsun
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 211098
Url: https://administrator.de/contentid/211098
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
16 Kommentare
Neuester Kommentar
Hallo
entweder du Routest, oder du verpasst dem Server ne vlan fähige netzwerkkarte und reichst ihm alle benötigten vlans durch...
Ich würde den Einsatz eines Routers mit Firewall bevorzugen
Grüße
entweder du Routest, oder du verpasst dem Server ne vlan fähige netzwerkkarte und reichst ihm alle benötigten vlans durch...
Ich würde den Einsatz eines Routers mit Firewall bevorzugen
Grüße
Hi,
ich kann dir sagen wie ich sowas löse:
ich hab in den VLANs eigene Subnetze und benutze Routing zu den anderen Netzen.
Gruß
Ch3p
ich kann dir sagen wie ich sowas löse:
ich hab in den VLANs eigene Subnetze und benutze Routing zu den anderen Netzen.
Gruß
Ch3p
Hast du dir Gedanken über das Adressschema gemacht? Jedes Vlan kommt in ein eigens Subnetz. Fürs Inter-Vlan Routing kannst du einen L3 Switch nehmen oder einen Router. Das sich die Vlans der Client nicht sehen können, regelst du mit ACL. Alternativ kann man auch Private VLan nehmen. Die haben für diese Problematik das "routing und Zugriffsberechtigung der Vlan" implementiert.
Kollege Ch3p4cK hat es ja schon knackig und präzise auf einen Punkt gebracht...!
Dieses Tutorial sollte alle deinen Fragen zu diesem Thema umfassend beantworten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Und auch dieses wenn du die VLANs am Server selbst terminieren willst:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
...einfach mal die Suchfunktion benutzen hier
Als Grundlageninfo zum Thema VLANs ist das Lesen von:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
SEHR empfehlenwert, denn scheinbar ist dir das Thema VLANs nicht wirklich transparent !
So wird man dann schnell vom Anfänger zum Profi indem man viel liest und sich kundig macht ! Dann merkst du auch das dein Server immer in einem VLAN ist wenn man VLANs benutzt und das alle problemlos mit ihm kommunizieren können egal in welchem VLAN sie sind oder nicht sind !
Was ja der tiefere Sinn von VLANs ist.....
Fazit: Tutorial vom Kollegen pfisterer lesen !
Dieses Tutorial sollte alle deinen Fragen zu diesem Thema umfassend beantworten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Und auch dieses wenn du die VLANs am Server selbst terminieren willst:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
...einfach mal die Suchfunktion benutzen hier
Als Grundlageninfo zum Thema VLANs ist das Lesen von:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
SEHR empfehlenwert, denn scheinbar ist dir das Thema VLANs nicht wirklich transparent !
So wird man dann schnell vom Anfänger zum Profi indem man viel liest und sich kundig macht ! Dann merkst du auch das dein Server immer in einem VLAN ist wenn man VLANs benutzt und das alle problemlos mit ihm kommunizieren können egal in welchem VLAN sie sind oder nicht sind !
Was ja der tiefere Sinn von VLANs ist.....
Fazit: Tutorial vom Kollegen pfisterer lesen !
Vielen Dank für die schnellen Antworten.
Dann werde ich mal etwas lesen.Wie gesagt bin noch Anfänger.
Dann werde ich mal etwas lesen.Wie gesagt bin noch Anfänger.
Und nicht zu vergessen: VLAN und Power-LAN vertragen sich nicht.
Es klappt kaum, wenn man ein Pärchen für einen Trunk/uplink einsetzt.
Es geht überhaupt nicht, wenn man mehrere Adapter verwendet, das DLAN/Power-LAN ein geshartes Medium ist.
Anosnten denke auch über deine Netzwerkstruktur nach. Und vergiß neben den IPs nicht die Router.
Gruß
Netman
Es klappt kaum, wenn man ein Pärchen für einen Trunk/uplink einsetzt.
Es geht überhaupt nicht, wenn man mehrere Adapter verwendet, das DLAN/Power-LAN ein geshartes Medium ist.
Anosnten denke auch über deine Netzwerkstruktur nach. Und vergiß neben den IPs nicht die Router.
Gruß
Netman
@netman
Manche D-LAN Adapter können aber 802.1q getaggte Frames übertragen. Leider ist das oft nicht vermerkt in den Datenblättern und es ist schwer rauszufinden ob sie es supporten oder ob nicht.
Bessere wie z.B. Devolo machen das aber mit einer entsprechend aktuellen Firmware !
Es ist aber in jedem Falle unerlässlich vorher mal die Power LAN Hersteller Hotline zu kontaktieren und dediziert nachzufragen ob die D-LAN Adapter .1q getaggte VLAN Frames übertragen.
Damit geht man dann wenigstens ganz auf Numer sicher vor dem Kauf und erspart sich den ggf. späteren Umtausch !!
Ansonsten statt Power LAN besser Kabel nehmen. Spezielles Ethernet Flachkabel wie z.B. das hier:
http://www.pearl.de/a-PE4199-1416.shtml
Kann man auch wunderbar problemlos hinter jeder Fussleiste verlegen und stellt die Kommunikation immer sicher !
Manche D-LAN Adapter können aber 802.1q getaggte Frames übertragen. Leider ist das oft nicht vermerkt in den Datenblättern und es ist schwer rauszufinden ob sie es supporten oder ob nicht.
Bessere wie z.B. Devolo machen das aber mit einer entsprechend aktuellen Firmware !
Es ist aber in jedem Falle unerlässlich vorher mal die Power LAN Hersteller Hotline zu kontaktieren und dediziert nachzufragen ob die D-LAN Adapter .1q getaggte VLAN Frames übertragen.
Damit geht man dann wenigstens ganz auf Numer sicher vor dem Kauf und erspart sich den ggf. späteren Umtausch !!
Ansonsten statt Power LAN besser Kabel nehmen. Spezielles Ethernet Flachkabel wie z.B. das hier:
http://www.pearl.de/a-PE4199-1416.shtml
Kann man auch wunderbar problemlos hinter jeder Fussleiste verlegen und stellt die Kommunikation immer sicher !
Nach dem Bild würden ungetaggte und getaggte Frames gemischt werden. Da beißt sich das VLAN Konzept via Power-LAN. Und in einem Netzwerk mehrere Adapter mit unterschiedlichem Passwort zu benutzen ist nicht der Performance zuträglich.
Die flachen "Cat5e" Kabel von Pearl unterstützen trotz 4-paarigem-Betrieb laut Webseite kein Gigabit Ethernet. Aber 100Mbit sind selbst für einen Fernseher und den Blu-Ray Spieler genug.
Die flachen "Cat5e" Kabel von Pearl unterstützen trotz 4-paarigem-Betrieb laut Webseite kein Gigabit Ethernet. Aber 100Mbit sind selbst für einen Fernseher und den Blu-Ray Spieler genug.
Na ja der 802.1q Standard definiert ja ausdrücklich den Parallelbetrieb von tagged und untagged Frames auf Uplink Ports wobei das default VLAN ja immer untagged ist.
Die Kardinalsfrage ist dann wieder ob der Power LAN Adapter diese tagged Frames supportet bzw. überträgt oder nicht....
Die Kardinalsfrage ist dann wieder ob der Power LAN Adapter diese tagged Frames supportet bzw. überträgt oder nicht....
Ja, aber hinter fast jedem Power LAN Adapter einen managebaren Switch?
Und während am Switch die VLANs sauber getrennt sind, sind sie es im Power LAN definitiv nicht. Da ist es dann plötzlich wenig sinnvoll ein Netz aufzubauen, das strukturiert und getrennt ist, wenn man sich nur irgendwo einklinken muss.
Für ein paar VOIP Anschlüsse, Telefon unf PC lasse ich das ja noch durchgehen, wenngleich QoS dann keine Thema mehr ist. Aber VoIP geht häufig auch ohne QoS und selbst in schlechten Netzen.
Und während am Switch die VLANs sauber getrennt sind, sind sie es im Power LAN definitiv nicht. Da ist es dann plötzlich wenig sinnvoll ein Netz aufzubauen, das strukturiert und getrennt ist, wenn man sich nur irgendwo einklinken muss.
Für ein paar VOIP Anschlüsse, Telefon unf PC lasse ich das ja noch durchgehen, wenngleich QoS dann keine Thema mehr ist. Aber VoIP geht häufig auch ohne QoS und selbst in schlechten Netzen.
Ja, das ist richtig. Normalerweise sind Switch Uplinks Point to Point Links und hier wird ein Shared Medium genutzt mit dem Power LAN.
Man kann es nur so lösen das man immer 2 Pärchen mit einem separaten Passwort konfiguriert. Die D-LAN Adapter lassen das ja zu so das nur immer 2 dedizierte Pärchen eine Power LAn Verbindung untereinander aufbauen können.
Löst zwar nicht das grundsätzliche Problem wäre aber ein gangbarer Workaround um die Any zu Any Kommunikation auf dem D-LAN etwas zu unterbinden.
Das das gesamte Power LAN eine Broadcast Doamin ist und damit jeglicher Traffic allen anderen stört bleibt dabei aber bestehen...das ist der grundlegende Nachteil dieses, um es mal ganz vorsichtig zu sagen, "speziellen" Designs den Kollege Netman zu Recht anspricht !
Man kann es nur so lösen das man immer 2 Pärchen mit einem separaten Passwort konfiguriert. Die D-LAN Adapter lassen das ja zu so das nur immer 2 dedizierte Pärchen eine Power LAn Verbindung untereinander aufbauen können.
Löst zwar nicht das grundsätzliche Problem wäre aber ein gangbarer Workaround um die Any zu Any Kommunikation auf dem D-LAN etwas zu unterbinden.
Das das gesamte Power LAN eine Broadcast Doamin ist und damit jeglicher Traffic allen anderen stört bleibt dabei aber bestehen...das ist der grundlegende Nachteil dieses, um es mal ganz vorsichtig zu sagen, "speziellen" Designs den Kollege Netman zu Recht anspricht !
Also hat sich mein Vorgänger mit diesem "speziellen Design" selber ein Ei gelegt.
Ich habe mir die Seiten des Kollegen pfisterer angeschaut und auf der zweiten Seite eine, sagen wir ähnliche Struktur gefunden.
Zufällig sind die Switche die im Einsatz sind auch von Netgear.
Wenn ich jetzt alle PowerLan Adapter und den Server an einen Switch anschließe und ihnen jeweils ein eigenes VLAN gebe und nur den eigenen und den Datenverkehr vom Server erlaube, so wie auf der 2 Webseite von pfisterer (Server anstatt Drucker), dann müßte es doch funktionieren, oder?
Ich habe mir die Seiten des Kollegen pfisterer angeschaut und auf der zweiten Seite eine, sagen wir ähnliche Struktur gefunden.
Zufällig sind die Switche die im Einsatz sind auch von Netgear.
Wenn ich jetzt alle PowerLan Adapter und den Server an einen Switch anschließe und ihnen jeweils ein eigenes VLAN gebe und nur den eigenen und den Datenverkehr vom Server erlaube, so wie auf der 2 Webseite von pfisterer (Server anstatt Drucker), dann müßte es doch funktionieren, oder?
Spielt es überhaupt eine Rolle, ob die PowerLan Adapter 802.1q können?
Am PowerLan Adapter sind nur zwei Endgeräte angeschlossen und den Tag fügt doch der Switch zu,oder?
Am PowerLan Adapter sind nur zwei Endgeräte angeschlossen und den Tag fügt doch der Switch zu,oder?
Ja, das spielt natürlich eine gewaltige Rolle !
802.1q tagged Frames erfahren ja eine Erweiterung des Ethernet Frame Headers. Diese ist zwar standartisiert aber normale PCs oder andere Endgeräte die nur untagged Pakete "sehen" an ihrer Netzwerkkarte verstehen diese nicht und klassifizieren sie als sog. "Giants", sprich nicht lesbare Frames die dem (klassischen) Standard widersprechen und verwerfen diese Pakete.
http://de.wikipedia.org/wiki/IEEE_802.1Q
Manche uralte Switches und auch Hubs leiten solche Frames weiter aber moderne Geräte meist nicht. Kannst du auch ganz leicht testen wenn du mal ein untagged Endgerät an einem tagged Switchport für dieses VLAN anschliesst, da passiert dann gar nix...keine Connectivity, was auch klar ist !
Deshalb ist es essentiell wichtig ob die Power LAN Adapter solche Frames weiterleiten können oder nicht, denn das entscheidet über funktionieren oder nicht !
Fazit: Es spielt natürlich eine Rolle. Wär dir auch klar, hättest du das 802.1q Wiki gelesen...
802.1q tagged Frames erfahren ja eine Erweiterung des Ethernet Frame Headers. Diese ist zwar standartisiert aber normale PCs oder andere Endgeräte die nur untagged Pakete "sehen" an ihrer Netzwerkkarte verstehen diese nicht und klassifizieren sie als sog. "Giants", sprich nicht lesbare Frames die dem (klassischen) Standard widersprechen und verwerfen diese Pakete.
http://de.wikipedia.org/wiki/IEEE_802.1Q
Manche uralte Switches und auch Hubs leiten solche Frames weiter aber moderne Geräte meist nicht. Kannst du auch ganz leicht testen wenn du mal ein untagged Endgerät an einem tagged Switchport für dieses VLAN anschliesst, da passiert dann gar nix...keine Connectivity, was auch klar ist !
Deshalb ist es essentiell wichtig ob die Power LAN Adapter solche Frames weiterleiten können oder nicht, denn das entscheidet über funktionieren oder nicht !
Fazit: Es spielt natürlich eine Rolle. Wär dir auch klar, hättest du das 802.1q Wiki gelesen...
Ich muss mich da Anginsun anschließen! Da seine Computer keine vlan tags "verstehen" muss der powerlan adapter das auch nicht,
eine non tagged connection vorrausgesetzt! Switch -> PC
Switch - Swith oder Switch - Server is dann ne andere Geschichte...
Grüße
eine non tagged connection vorrausgesetzt! Switch -> PC
Switch - Swith oder Switch - Server is dann ne andere Geschichte...
Grüße
Wenn dem wirklich so ist, dann ist das zweifelsohne richtig sofern das untagged Connections auf PC Endgeräte betreffen.
Switch to Switch Uplinks sehen da in der Tat anders aus....!
Switch to Switch Uplinks sehen da in der Tat anders aus....!
