VLAN-TRUNK und "normales" LAN über einen Anschluss möglich?
Hallo Admins und Spezies,
hoffentlich bin ich im richtigen Unterforum? Habe mich schon öfters mit Netzwerken beschäftigt und auch einige Netze aufgebaut . Jetzt stehe ich vor einem Problem und möchte Euch um einen Tipp bitten.
Problem: Schulungsraum mit einer Singleport LAN-Dose. An dieser Dose sollen zwei Szenarien möglich sein.
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP). Gewünschter Zugang auf Fileserver und Internet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs (SSID: AZUBI und DOZENT). Diese WLANs sollen die "verlängerten" VLANs AZUBI und DOZENT werden. Beide sollen auch Zugriff auf den Fileserver haben und ins Internet kommen.
Ist so eine Kombination überhaupt möglich? Also zum EINEN ein VLAN-TRUNK vom Switch zum AP. Auf dem AP werden die beiden VLANs AZUBI und DOZENT "aufgesplittet" und als zwei WLANs weitergeleitet. Zum ANDEREN einen direkten LAN Zugang auf dem selben Anschluss (zu einem anderen Zeitpunkt!) mit einem Notebook.
Gibt es eine Möglichkeit die Kombination von VLAN-Trunk und "normalen" LAN über einen Anschluss umzusetzen? Benutze Mikrotikrouter und Zyxel Switch. Das Thema Firewall braucht hier nicht behandelt zu werden.
Kann ich eventuell den VLAN Trunk nach dem Verlassen des Switch mit einem anderen Switch und dem "normalen" LAN verbinden und dann zur LANdose führen? Oder kann ich diesen 2. Switch weglassen und meine Idee mit dem Switch realisieren der den Trunk ausgibt??
Freue mich über jede Antwort bzw. Anregungen!
LG kartoffelesser
hoffentlich bin ich im richtigen Unterforum? Habe mich schon öfters mit Netzwerken beschäftigt und auch einige Netze aufgebaut . Jetzt stehe ich vor einem Problem und möchte Euch um einen Tipp bitten.
Problem: Schulungsraum mit einer Singleport LAN-Dose. An dieser Dose sollen zwei Szenarien möglich sein.
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP). Gewünschter Zugang auf Fileserver und Internet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs (SSID: AZUBI und DOZENT). Diese WLANs sollen die "verlängerten" VLANs AZUBI und DOZENT werden. Beide sollen auch Zugriff auf den Fileserver haben und ins Internet kommen.
Ist so eine Kombination überhaupt möglich? Also zum EINEN ein VLAN-TRUNK vom Switch zum AP. Auf dem AP werden die beiden VLANs AZUBI und DOZENT "aufgesplittet" und als zwei WLANs weitergeleitet. Zum ANDEREN einen direkten LAN Zugang auf dem selben Anschluss (zu einem anderen Zeitpunkt!) mit einem Notebook.
Gibt es eine Möglichkeit die Kombination von VLAN-Trunk und "normalen" LAN über einen Anschluss umzusetzen? Benutze Mikrotikrouter und Zyxel Switch. Das Thema Firewall braucht hier nicht behandelt zu werden.
Kann ich eventuell den VLAN Trunk nach dem Verlassen des Switch mit einem anderen Switch und dem "normalen" LAN verbinden und dann zur LANdose führen? Oder kann ich diesen 2. Switch weglassen und meine Idee mit dem Switch realisieren der den Trunk ausgibt??
Freue mich über jede Antwort bzw. Anregungen!
LG kartoffelesser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 369234
Url: https://administrator.de/forum/vlan-trunk-und-normales-lan-ueber-einen-anschluss-moeglich-369234.html
Ausgedruckt am: 27.12.2024 um 08:12 Uhr
23 Kommentare
Neuester Kommentar
Gibt mehrere Varianten:
1. Wenn man mit 100Mbit klarkommt und die Verkabelung achtadrig ausgeführt wurde, kann man den Port mittels Port-Sharing-Adaptern aufteilen, dann können sogar beide Personengruppen gleichzeitig mit dem Netz verbunden sein.
2. Man nimmt einen kleinen verwaltbaren Switch (gibt es auch mit fünf oder acht Ports, teilweise PoE-gespeist), der dann die Aufteilung aufnimmt, also in Access-Ports und Trunk-Ports
3. Ist das einfachste: Man definiert einen Hybridport, auf dem der Access-Zugang untagged ist und der Trunk-Zugang tagged. Cisco Small Business nennt es wie gesagt Hybrid, Nortel/Avaya untagPvidOnly, die großen Ciscos setzen dafür auf dem Trunk das Native VLAN ein.
Wenn die komplette Technik, also der Switch an dem der zur Verfügung gestellte Port hängt und der Access-Point von Cisco (nicht Small Business) ist, kann man über die Konfiguration auch automatisch zwischen Access und Trunk umschalten lassen. Dafür gibt es das DTP. Bei Small Business könnte man es über die Smart Ports machen, die über CDP oder LLDP das Gerät erkennen und die Konfiguration ändern (gibt es auch beim richtigen Cisco).
Drei ist am einfachsten.
1. Wenn man mit 100Mbit klarkommt und die Verkabelung achtadrig ausgeführt wurde, kann man den Port mittels Port-Sharing-Adaptern aufteilen, dann können sogar beide Personengruppen gleichzeitig mit dem Netz verbunden sein.
2. Man nimmt einen kleinen verwaltbaren Switch (gibt es auch mit fünf oder acht Ports, teilweise PoE-gespeist), der dann die Aufteilung aufnimmt, also in Access-Ports und Trunk-Ports
3. Ist das einfachste: Man definiert einen Hybridport, auf dem der Access-Zugang untagged ist und der Trunk-Zugang tagged. Cisco Small Business nennt es wie gesagt Hybrid, Nortel/Avaya untagPvidOnly, die großen Ciscos setzen dafür auf dem Trunk das Native VLAN ein.
Wenn die komplette Technik, also der Switch an dem der zur Verfügung gestellte Port hängt und der Access-Point von Cisco (nicht Small Business) ist, kann man über die Konfiguration auch automatisch zwischen Access und Trunk umschalten lassen. Dafür gibt es das DTP. Bei Small Business könnte man es über die Smart Ports machen, die über CDP oder LLDP das Gerät erkennen und die Konfiguration ändern (gibt es auch beim richtigen Cisco).
Drei ist am einfachsten.
MAC-based VLAN funktioniert aber nur, wenn immer die gleichen Geräte genutzt werden, was ja insbesondere beim WLAN schwierig ist, wenn die Schulungsteilnehmer mit den unterschiedlichsten Geräten auftauchen.
Wir selbst haben auch einen Schulungsraum und haben 30 verschiedene Dozenten im Jahr vor Ort, die dann unterjährig auch mal das Gerät wechseln.
MAC-based VLANs sehe ich eher über die OUI-Erkennung für bestimmte Geräteklassen, wie z.B. Telefone, wobei ich hier auch andere Methoden (LLDP-MED z.B.) vorziehen würde.
Wir selbst haben auch einen Schulungsraum und haben 30 verschiedene Dozenten im Jahr vor Ort, die dann unterjährig auch mal das Gerät wechseln.
MAC-based VLANs sehe ich eher über die OUI-Erkennung für bestimmte Geräteklassen, wie z.B. Telefone, wobei ich hier auch andere Methoden (LLDP-MED z.B.) vorziehen würde.
Selbstverständlich. Mir ist jedenfalls noch kein VLAN-fähiger Switch aus dem Hause ZyXEL untergekommen, der dies nicht konnte.
Eine andere Anregung:
Was soll der Quatsch mit dem mobilen Accesspoint? Es gibt bei nahezu allen Herstellern Accesspoints für Hotelprojekte, welche sich fest über einer Unterputzdose montieren lassen und einen verdeckten Uplinkport an der Unterseite haben. In das Gehäuse integriert ist dann in aller Regel auch ein kleiner VLAN-fähiger Switch, den man optional nach seinen Vorstellungen konfigurieren kann.
Bei ZyXEL gäbe es hier z.B. den WAC5302D-I. Der hat sogar smarte Antennenarrays vergleichbar Ruckus. Dementsprechend ist er eher hochpreisig positioniert. Wenn das nicht benötigt wird, geht es freilich auch günstiger - sowohl bei ZyXEL als auch beim Mitbewerb. Im Zweifel einen Mikrotik entsprechend einhousen.
Ein VLAN-Trunk auf einem frei zugänglichen Port ist jedenfalls Müll, da dies geradezu eine Einladung für VLAN-Hobbing ist. Also entweder physisch schützen oder über eine geeignete Konfiguration (z.B. 802.1x, Traffictunneling zwischen AP und AC usw.)
Gruß
sk
Die VLAN-ID Deines Untagged-LAN
3. Ingress-Filter: an/aus
Funktioniert beides. Sicherer ist an
4. Ingress Acceptance mit den Optionen: Tagged und Untagged, Tagged only, Untagged only
Tagged und untagged (macht ihn zum Hybridport)
5. Egress Tagging mit den optinen: Untaged Port VLAN, Tag All, Untag All
Untag PVID (der Rest wird ausgehend getagged)
6. Allowed VLAN IDs
10, 20 und die VLAN-ID Deines Untagged-LAN
7. Forbidden VLAN-IDs
Solche, die nicht auf diesem Port ausgegeben werden sollen (wenn weitere VLANs vorhanden)
Gruß
sk
Zitat von @kartoffelesser:
Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?
Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?
Letzteres.
Da es den besagten Switchport nur 1*gibt trage ich die ganze Geschichte auch nur bei einem Port ein oder?
Ja
hoffentlich bin ich im richtigen Unterforum?
Passt schonIst so eine Kombination überhaupt möglich?
Ja, ist problemlos möglich mit einigen Rahmenbedingungen.Der Anschluss MUSS in jedem Fall ein Trunk sein, wobei hier "Trunk" einen Tagged Uplink meint vom Switch (Keine Link Aggregation !)
Eigentlich ist es ganz einfach...
Der MSSID WLAN AP muss Tagged für die beiden WLANs eingstellt sein. Also z.B.
AZUBI = VLAN 10
DOZENT = VLAN 20
Der Trunk überträgt alle untagged Pakete an das sog. Native VLAN. Sprich also alles was untagged reinkommt wird ins Native VLAN geforwardet. Wenn das ein bestimmtes VLAN ist musst du das am Switchport konfigurieren. In der Regel ist das das VLAN 1. Das wird mit der sog PVID festgelegt.
Das sieht dann so aus:
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP).
Das Notebook vom Dozenten sendet untagged Pakete. Je nach PVID Setting wird das also in das VLAN Segment geforwardet in der der Dozent auch sonst arbeitet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs
Der AP sendet diese beiden SSIDs dann Tagged an die VLAN 10 und 20. Diese müssen auch Tagged an dem Port eingerichtet sein.
Fazit:
Simples und billiges Standard Szenario was mit 3 Mausklicks in 5 Minuten auf dem Switch eingerichtet ist !
Alle Details dazu erklärt dieses Forentutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell für deinen Fall das Praxis Beispiel.
Ein TRUNK mit den VLAN10-Dozent und VLAN20-Azubi ------ UND ------ ein VLAN30-LAN ohne Tag.
Ja !Ihre Anmeldedaten erhalten sie via VLAN30-LAN
Anmeldedaten ??Nur wenn du hier ein Captive Portal oder sowas installiert hast !! Aus Sicherheitsgründen (siehe oben) solltest du das in jedem Falle machen !!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Nachteil sonst:
Jeder der sich an dem Port mit einem Rechner einklinkt ist dann auch immer gleich im Dozent A Netzwerk (VLAN 30)
Hier macht es Sinn 802.1x Port Security zu aktivieren oder eben ein CP wenn man nicht will das Bastelazubis auch mal im Dozent A Netz sind und etwas nach Prüfungen schnüffeln...
Es sei denn Sicherheit spielt keine Rolle...
@aqui: Hast du hier ein Firewall vorbeikommen sehen?
Moin...
ich finde nicht eine zeile, wo du entweder beleidigt sein kannst, oder wo du blöd angemacht wirst!
Frank
@tikayevent: warum wird man hier eigentlich so oft blöd von der Seite angequatscht? Probleme mit der Arbeit oder mit der Frau / Mann?
sag wer hat dich, mit was, blöd von der Seite angequatscht?ich finde nicht eine zeile, wo du entweder beleidigt sein kannst, oder wo du blöd angemacht wirst!
Probleme mit der Arbeit oder mit der Frau / Mann?
eigentlich fängst du ja grade mit blöd angequatschen an!@aqui: Hast du hier ein Firewall vorbeikommen sehen?
ich auch nicht... Frank
Zitat aus dem Startposting: "Das Thema Firewall braucht hier nicht behandelt zu werden."
Die Firewall hat ja auch mit 802.1x Port Security und Radius oder mit und ohne .1x Mac Passthrough nicht das Geringste zu tun. 2 völlig verschiedene Baustellen ! Nur um mal beim eigentlichen Thema zu bleiben.Hast du hier eine Firewall vorbeikommen sehen?
Sehr gute Frage... Nööö hab ich nicht. Aber das Thema ist ja für den TO eh nicht relevant. Spätestens wenn die Azombies im Dozent A Netz mal einen Port Scanner laufen lassen und sonst etwas schnüffeln wirds ja dann bemerkt.Aber lassen wir das Thema mal, sonst gibts hier wieder einen Shitstorm von mimosenhaften Laien die sich auf den Schlips getreten fühlen wenns in einem Administrator Forum mal etwas rauher wird (aber dabei immer freundlich und bestimmt in der Sache !)
Case closed !
Wie kann ich einen Beitrag als gelöst markieren?