23
VLAN-TRUNK und "normales" LAN über einen Anschluss möglich?
Hallo Admins und Spezies,
hoffentlich bin ich im richtigen Unterforum? Habe mich schon öfters mit Netzwerken beschäftigt und auch einige Netze aufgebaut
. Jetzt stehe ich vor einem Problem und möchte Euch um einen Tipp bitten.
Problem: Schulungsraum mit einer Singleport LAN-Dose. An dieser Dose sollen zwei Szenarien möglich sein.
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP). Gewünschter Zugang auf Fileserver und Internet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs (SSID: AZUBI und DOZENT). Diese WLANs sollen die "verlängerten" VLANs AZUBI und DOZENT werden. Beide sollen auch Zugriff auf den Fileserver haben und ins Internet kommen.
Ist so eine Kombination überhaupt möglich? Also zum EINEN ein VLAN-TRUNK vom Switch zum AP. Auf dem AP werden die beiden VLANs AZUBI und DOZENT "aufgesplittet" und als zwei WLANs weitergeleitet. Zum ANDEREN einen direkten LAN Zugang auf dem selben Anschluss (zu einem anderen Zeitpunkt!) mit einem Notebook.
Gibt es eine Möglichkeit die Kombination von VLAN-Trunk und "normalen" LAN über einen Anschluss umzusetzen? Benutze Mikrotikrouter und Zyxel Switch. Das Thema Firewall braucht hier nicht behandelt zu werden.
Kann ich eventuell den VLAN Trunk nach dem Verlassen des Switch mit einem anderen Switch und dem "normalen" LAN verbinden und dann zur LANdose führen? Oder kann ich diesen 2. Switch weglassen und meine Idee mit dem Switch realisieren der den Trunk ausgibt??
Freue mich über jede Antwort bzw. Anregungen!
LG kartoffelesser
hoffentlich bin ich im richtigen Unterforum? Habe mich schon öfters mit Netzwerken beschäftigt und auch einige Netze aufgebaut
. Jetzt stehe ich vor einem Problem und möchte Euch um einen Tipp bitten.Problem: Schulungsraum mit einer Singleport LAN-Dose. An dieser Dose sollen zwei Szenarien möglich sein.
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP). Gewünschter Zugang auf Fileserver und Internet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs (SSID: AZUBI und DOZENT). Diese WLANs sollen die "verlängerten" VLANs AZUBI und DOZENT werden. Beide sollen auch Zugriff auf den Fileserver haben und ins Internet kommen.
Ist so eine Kombination überhaupt möglich? Also zum EINEN ein VLAN-TRUNK vom Switch zum AP. Auf dem AP werden die beiden VLANs AZUBI und DOZENT "aufgesplittet" und als zwei WLANs weitergeleitet. Zum ANDEREN einen direkten LAN Zugang auf dem selben Anschluss (zu einem anderen Zeitpunkt!) mit einem Notebook.
Gibt es eine Möglichkeit die Kombination von VLAN-Trunk und "normalen" LAN über einen Anschluss umzusetzen? Benutze Mikrotikrouter und Zyxel Switch. Das Thema Firewall braucht hier nicht behandelt zu werden.
Kann ich eventuell den VLAN Trunk nach dem Verlassen des Switch mit einem anderen Switch und dem "normalen" LAN verbinden und dann zur LANdose führen? Oder kann ich diesen 2. Switch weglassen und meine Idee mit dem Switch realisieren der den Trunk ausgibt??
Freue mich über jede Antwort bzw. Anregungen!
LG kartoffelesser
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 369234
Url: https://administrator.de/contentid/369234
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
23 Kommentare
Neuester Kommentar
Gibt mehrere Varianten:
1. Wenn man mit 100Mbit klarkommt und die Verkabelung achtadrig ausgeführt wurde, kann man den Port mittels Port-Sharing-Adaptern aufteilen, dann können sogar beide Personengruppen gleichzeitig mit dem Netz verbunden sein.
2. Man nimmt einen kleinen verwaltbaren Switch (gibt es auch mit fünf oder acht Ports, teilweise PoE-gespeist), der dann die Aufteilung aufnimmt, also in Access-Ports und Trunk-Ports
3. Ist das einfachste: Man definiert einen Hybridport, auf dem der Access-Zugang untagged ist und der Trunk-Zugang tagged. Cisco Small Business nennt es wie gesagt Hybrid, Nortel/Avaya untagPvidOnly, die großen Ciscos setzen dafür auf dem Trunk das Native VLAN ein.
Wenn die komplette Technik, also der Switch an dem der zur Verfügung gestellte Port hängt und der Access-Point von Cisco (nicht Small Business) ist, kann man über die Konfiguration auch automatisch zwischen Access und Trunk umschalten lassen. Dafür gibt es das DTP. Bei Small Business könnte man es über die Smart Ports machen, die über CDP oder LLDP das Gerät erkennen und die Konfiguration ändern (gibt es auch beim richtigen Cisco).
Drei ist am einfachsten.
1. Wenn man mit 100Mbit klarkommt und die Verkabelung achtadrig ausgeführt wurde, kann man den Port mittels Port-Sharing-Adaptern aufteilen, dann können sogar beide Personengruppen gleichzeitig mit dem Netz verbunden sein.
2. Man nimmt einen kleinen verwaltbaren Switch (gibt es auch mit fünf oder acht Ports, teilweise PoE-gespeist), der dann die Aufteilung aufnimmt, also in Access-Ports und Trunk-Ports
3. Ist das einfachste: Man definiert einen Hybridport, auf dem der Access-Zugang untagged ist und der Trunk-Zugang tagged. Cisco Small Business nennt es wie gesagt Hybrid, Nortel/Avaya untagPvidOnly, die großen Ciscos setzen dafür auf dem Trunk das Native VLAN ein.
Wenn die komplette Technik, also der Switch an dem der zur Verfügung gestellte Port hängt und der Access-Point von Cisco (nicht Small Business) ist, kann man über die Konfiguration auch automatisch zwischen Access und Trunk umschalten lassen. Dafür gibt es das DTP. Bei Small Business könnte man es über die Smart Ports machen, die über CDP oder LLDP das Gerät erkennen und die Konfiguration ändern (gibt es auch beim richtigen Cisco).
Drei ist am einfachsten.
Danke für die schnelle Antwort!
1. kenne ich und habe es schon erfolgreich angewendet.
2. gute Idee aber die AZUBIS lieben kleine, in die Tasche versteckbare Switch ........
3. SUPER Idee! Hoffentlich können das unsere Zyxel Switch? Kennst du noch andere Hersteller von Switch die den Hybridport unterstützen?
Gruß kartoffelesser
1. kenne ich und habe es schon erfolgreich angewendet.
2. gute Idee aber die AZUBIS lieben kleine, in die Tasche versteckbare Switch ........
3. SUPER Idee! Hoffentlich können das unsere Zyxel Switch? Kennst du noch andere Hersteller von Switch die den Hybridport unterstützen?
Gruß kartoffelesser
Eigentlich sollte 3. jeder VLAN-fähige Switch beherrschen. Du musst einfach mal schauen, ob du dem Switch ein Native VLAN oder eine PVID oder ein untagged VLAN auf einem Trunk konfigurieren kannst.
Zyxel gehört jetzt nicht unbedingt zu meinen präferierten Marken, daher kann ich dazu nichts sagen.
Zyxel gehört jetzt nicht unbedingt zu meinen präferierten Marken, daher kann ich dazu nichts sagen.
Hallo Kartoffelesser,
Mac Based VLAN ist das Stichwort.
VG
Mac Based VLAN ist das Stichwort.
VG
Vielen Dank für die Antworten!
@certifiedet.net - das würde bei meinem Szenario bedeuten
1. das ich wie gehabt auf dem entsprechenden Port im Switch ein VLAN- Trunk für die beiden VLANs Dozent und Azubi lege. Dieser wird im VLAN fähigen AP getrennt.
2. die LAN- MAC Adresse für jeden Dozent-Notebook freischalte (=> MAC Based VLAN). Damit kommen die Dozenten mit ihren Notebooks direkt in ihr Dozenten-VLAN?
Stimmt das so???
@certifiedet.net - das würde bei meinem Szenario bedeuten
1. das ich wie gehabt auf dem entsprechenden Port im Switch ein VLAN- Trunk für die beiden VLANs Dozent und Azubi lege. Dieser wird im VLAN fähigen AP getrennt.
2. die LAN- MAC Adresse für jeden Dozent-Notebook freischalte (=> MAC Based VLAN). Damit kommen die Dozenten mit ihren Notebooks direkt in ihr Dozenten-VLAN?
Stimmt das so???
Wenn die Technik dahinter richtig konfiguriert ist, ja.
Bitte Name korrigieren ;)
Bitte Name korrigieren ;)
MAC-based VLAN funktioniert aber nur, wenn immer die gleichen Geräte genutzt werden, was ja insbesondere beim WLAN schwierig ist, wenn die Schulungsteilnehmer mit den unterschiedlichsten Geräten auftauchen.
Wir selbst haben auch einen Schulungsraum und haben 30 verschiedene Dozenten im Jahr vor Ort, die dann unterjährig auch mal das Gerät wechseln.
MAC-based VLANs sehe ich eher über die OUI-Erkennung für bestimmte Geräteklassen, wie z.B. Telefone, wobei ich hier auch andere Methoden (LLDP-MED z.B.) vorziehen würde.
Wir selbst haben auch einen Schulungsraum und haben 30 verschiedene Dozenten im Jahr vor Ort, die dann unterjährig auch mal das Gerät wechseln.
MAC-based VLANs sehe ich eher über die OUI-Erkennung für bestimmte Geräteklassen, wie z.B. Telefone, wobei ich hier auch andere Methoden (LLDP-MED z.B.) vorziehen würde.
Bitte beachten: Notebooks und WLAN AP - der AP kann dann über die SSID routen ;)
SORRY, ich meinte natürlich "certifiedit.net"
Welche Technik dahinter meinst Du? AP oder Router / Radiusserver? Zur Zeit liegt an der Dose nur ein Access Port an. Hier bekommen die Dozenten ihre IP via DHCP / Radiusserver mit MAC-Adresse-Auth.
Welche Technik dahinter meinst Du? AP oder Router / Radiusserver? Zur Zeit liegt an der Dose nur ein Access Port an. Hier bekommen die Dozenten ihre IP via DHCP / Radiusserver mit MAC-Adresse-Auth.
Selbstverständlich. Mir ist jedenfalls noch kein VLAN-fähiger Switch aus dem Hause ZyXEL untergekommen, der dies nicht konnte.
Eine andere Anregung:
Was soll der Quatsch mit dem mobilen Accesspoint? Es gibt bei nahezu allen Herstellern Accesspoints für Hotelprojekte, welche sich fest über einer Unterputzdose montieren lassen und einen verdeckten Uplinkport an der Unterseite haben. In das Gehäuse integriert ist dann in aller Regel auch ein kleiner VLAN-fähiger Switch, den man optional nach seinen Vorstellungen konfigurieren kann.
Bei ZyXEL gäbe es hier z.B. den WAC5302D-I. Der hat sogar smarte Antennenarrays vergleichbar Ruckus. Dementsprechend ist er eher hochpreisig positioniert. Wenn das nicht benötigt wird, geht es freilich auch günstiger - sowohl bei ZyXEL als auch beim Mitbewerb. Im Zweifel einen Mikrotik entsprechend einhousen.
Ein VLAN-Trunk auf einem frei zugänglichen Port ist jedenfalls Müll, da dies geradezu eine Einladung für VLAN-Hobbing ist. Also entweder physisch schützen oder über eine geeignete Konfiguration (z.B. 802.1x, Traffictunneling zwischen AP und AC usw.)
Gruß
sk
Hallo sk,
Danke für die Infos!
Du schreibst "Mir ist jedenfalls noch kein VLAN-fähiger Switch aus dem Hause ZyXEL untergekommen, der dies nicht konnte." Also einen sog. Hybridport zu aktivieren.
Habe gerade nach geschaut wir haben einen Zyxel GS1910-24. Leider gibt es dort keinen Hinweis auf Hybrid Port o.ä. Vielleicht kannst Du mir trotzdem helfen?
Die gesamte VLAN Einstellung ist auf einer Seite (GUI) untergebracht:
1. Port-Nr.
2. Port -VLAN-ID
3. Ingress-Filter: an/aus
4. Ingress Acceptance mit den Optionen: Tagged und Untagged, Tagged only, Untagged only
5. Egress Tagging mit den Optionen: Untaged Port VLAN, Tag All, Untag All
6. Allowed VLAN IDs
7. Forbidden VLAN-IDs
Was müsste ich einstellen um auf einem Switchport ein VLAN-Trunk (VLAN-IDs 10 und 20) UND gleichzeitig auf ein untagged LAN (192.168.10.0/24) zugreifen zu können.
Muss ich vielleicht das LAN ebenfalls einem VLAN zuordnen? Danach dieses neue VLAN als untagged definieren und irgendwie mit auf den Port legen?
Gruß und Dank
kartoffelesser
Danke für die Infos!
Du schreibst "Mir ist jedenfalls noch kein VLAN-fähiger Switch aus dem Hause ZyXEL untergekommen, der dies nicht konnte." Also einen sog. Hybridport zu aktivieren.
Habe gerade nach geschaut wir haben einen Zyxel GS1910-24. Leider gibt es dort keinen Hinweis auf Hybrid Port o.ä. Vielleicht kannst Du mir trotzdem helfen?
Die gesamte VLAN Einstellung ist auf einer Seite (GUI) untergebracht:
1. Port-Nr.
2. Port -VLAN-ID
3. Ingress-Filter: an/aus
4. Ingress Acceptance mit den Optionen: Tagged und Untagged, Tagged only, Untagged only
5. Egress Tagging mit den Optionen: Untaged Port VLAN, Tag All, Untag All
6. Allowed VLAN IDs
7. Forbidden VLAN-IDs
Was müsste ich einstellen um auf einem Switchport ein VLAN-Trunk (VLAN-IDs 10 und 20) UND gleichzeitig auf ein untagged LAN (192.168.10.0/24) zugreifen zu können.
Muss ich vielleicht das LAN ebenfalls einem VLAN zuordnen? Danach dieses neue VLAN als untagged definieren und irgendwie mit auf den Port legen?
Gruß und Dank
kartoffelesser
Die VLAN-ID Deines Untagged-LAN
3. Ingress-Filter: an/aus
Funktioniert beides. Sicherer ist an
4. Ingress Acceptance mit den Optionen: Tagged und Untagged, Tagged only, Untagged only
Tagged und untagged (macht ihn zum Hybridport)
5. Egress Tagging mit den optinen: Untaged Port VLAN, Tag All, Untag All
Untag PVID (der Rest wird ausgehend getagged)
6. Allowed VLAN IDs
10, 20 und die VLAN-ID Deines Untagged-LAN
7. Forbidden VLAN-IDs
Solche, die nicht auf diesem Port ausgegeben werden sollen (wenn weitere VLANs vorhanden)
Gruß
sk
Schon mal 1000 Dank!!!!
Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?
Da es den besagten Switchport nur 1*gibt trage ich die ganze Geschichte auch nur bei einem Port ein oder?
DANKE und Gruß
kartoffelesser
Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?
Da es den besagten Switchport nur 1*gibt
trage ich die ganze Geschichte auch nur bei einem Port ein oder?DANKE und Gruß
kartoffelesser
Zitat von @kartoffelesser:
Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?
Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?
Letzteres.
Da es den besagten Switchport nur 1*gibt trage ich die ganze Geschichte auch nur bei einem Port ein oder?
trage ich die ganze Geschichte auch nur bei einem Port ein oder?Ja
Darf ich das Ergebniss noch einmal kurz Zusammenfassen?
Auf der SinglePort LAN Dose liegt an:
Ein TRUNK mit den VLAN10-Dozent und VLAN20-Azubi ------ UND ------ ein VLAN30-LAN ohne Tag.
Diese Einstellungen ermöglicht es den Dozenten mit einem mitgebrachten AP die TrunkLine aufsplitten und die beiden VLANs als zwei WLANs anzubieten (SSIDs z.B. Dozent und Azubi).
AUßERDEM können Dozenten - zu einem anderen Zeitpunkt - ihre mitgebrachten Notebooks via LANkabel anschließen und das Netz nutzen. Ihre Anmeldedaten erhalten sie via VLAN30-LAN
Stimmt das jetzt so alles?
Noch einmal 10000000000000000000Dank an sk!
Gruß kartoffelesser
Auf der SinglePort LAN Dose liegt an:
Ein TRUNK mit den VLAN10-Dozent und VLAN20-Azubi ------ UND ------ ein VLAN30-LAN ohne Tag.
Diese Einstellungen ermöglicht es den Dozenten mit einem mitgebrachten AP die TrunkLine aufsplitten und die beiden VLANs als zwei WLANs anzubieten (SSIDs z.B. Dozent und Azubi).
AUßERDEM können Dozenten - zu einem anderen Zeitpunkt - ihre mitgebrachten Notebooks via LANkabel anschließen und das Netz nutzen. Ihre Anmeldedaten erhalten sie via VLAN30-LAN
Stimmt das jetzt so alles?
Noch einmal 10000000000000000000Dank an sk!
Gruß kartoffelesser
hoffentlich bin ich im richtigen Unterforum?
Passt schonIst so eine Kombination überhaupt möglich?
Ja, ist problemlos möglich mit einigen Rahmenbedingungen.Der Anschluss MUSS in jedem Fall ein Trunk sein, wobei hier "Trunk" einen Tagged Uplink meint vom Switch (Keine Link Aggregation !)
Eigentlich ist es ganz einfach...
Der MSSID WLAN AP muss Tagged für die beiden WLANs eingstellt sein. Also z.B.
AZUBI = VLAN 10
DOZENT = VLAN 20
Der Trunk überträgt alle untagged Pakete an das sog. Native VLAN. Sprich also alles was untagged reinkommt wird ins Native VLAN geforwardet. Wenn das ein bestimmtes VLAN ist musst du das am Switchport konfigurieren. In der Regel ist das das VLAN 1. Das wird mit der sog PVID festgelegt.
Das sieht dann so aus:
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP).
Das Notebook vom Dozenten sendet untagged Pakete. Je nach PVID Setting wird das also in das VLAN Segment geforwardet in der der Dozent auch sonst arbeitet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs
Der AP sendet diese beiden SSIDs dann Tagged an die VLAN 10 und 20. Diese müssen auch Tagged an dem Port eingerichtet sein.
Fazit:
Simples und billiges Standard Szenario was mit 3 Mausklicks in 5 Minuten auf dem Switch eingerichtet ist !
Alle Details dazu erklärt dieses Forentutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell für deinen Fall das Praxis Beispiel.
Ein TRUNK mit den VLAN10-Dozent und VLAN20-Azubi ------ UND ------ ein VLAN30-LAN ohne Tag.
Ja !Ihre Anmeldedaten erhalten sie via VLAN30-LAN
Anmeldedaten ??Nur wenn du hier ein Captive Portal oder sowas installiert hast !! Aus Sicherheitsgründen (siehe oben) solltest du das in jedem Falle machen !!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Nachteil sonst:
Jeder der sich an dem Port mit einem Rechner einklinkt ist dann auch immer gleich im Dozent A Netzwerk (VLAN 30)
Hier macht es Sinn 802.1x Port Security zu aktivieren oder eben ein CP wenn man nicht will das Bastelazubis auch mal im Dozent A Netz sind und etwas nach Prüfungen schnüffeln...
Es sei denn Sicherheit spielt keine Rolle...
Es sei denn Sicherheit spielt keine Rolle...
Zur Zeit liegt an der Dose nur ein Access Port an. Hier bekommen die Dozenten ihre IP via DHCP / Radiusserver mit MAC-Adresse-Auth.
Ich glaube, das sagt alles.
Stimmt !
Obwohl Mac....lässt sich ja in 5 Sekunden faken ! Sicher ist das nicht !
Obwohl Mac....lässt sich ja in 5 Sekunden faken !
Sicher ist das nicht !
Danke für die Hinweise!! Das Thema Sicherheit habe ich wegen der Übersichtlichkeit bewusst "außen vor" gelassen.
Zitat aus dem Startposting: "Das Thema Firewall braucht hier nicht behandelt zu werden."
Gruß kartoffelesser
Zitat aus dem Startposting: "Das Thema Firewall braucht hier nicht behandelt zu werden."
Gruß kartoffelesser
@aqui: Hast du hier ein Firewall vorbeikommen sehen?
@tikayevent: warum wird man hier eigentlich so oft blöd von der Seite angequatscht? Probleme mit der Arbeit oder mit der Frau / Mann?
Wenn wir als "NichtBerufsNetzwerker" - euren Ansprüchen nicht genügen, macht doch eine Aufnahmeprüfung! Dann seit Ihr vor den doofen Usern geschützt.
Gruß kartoffelesser
Wenn wir als "NichtBerufsNetzwerker" - euren Ansprüchen nicht genügen, macht doch eine Aufnahmeprüfung! Dann seit Ihr vor den doofen Usern geschützt.
Gruß kartoffelesser
Moin...
ich finde nicht eine zeile, wo du entweder beleidigt sein kannst, oder wo du blöd angemacht wirst!
Frank
@tikayevent: warum wird man hier eigentlich so oft blöd von der Seite angequatscht? Probleme mit der Arbeit oder mit der Frau / Mann?
sag wer hat dich, mit was, blöd von der Seite angequatscht?ich finde nicht eine zeile, wo du entweder beleidigt sein kannst, oder wo du blöd angemacht wirst!
Probleme mit der Arbeit oder mit der Frau / Mann?
eigentlich fängst du ja grade mit blöd angequatschen an!@aqui: Hast du hier ein Firewall vorbeikommen sehen?
ich auch nicht... Frank
Zitat aus dem Startposting: "Das Thema Firewall braucht hier nicht behandelt zu werden."
Die Firewall hat ja auch mit 802.1x Port Security und Radius oder mit und ohne .1x Mac Passthrough nicht das Geringste zu tun. 2 völlig verschiedene Baustellen ! Nur um mal beim eigentlichen Thema zu bleiben.Hast du hier eine Firewall vorbeikommen sehen?
Sehr gute Frage... Nööö hab ich nicht. Aber das Thema ist ja für den TO eh nicht relevant. Spätestens wenn die Azombies im Dozent A Netz mal einen Port Scanner laufen lassen und sonst etwas schnüffeln wirds ja dann bemerkt.Aber lassen wir das Thema mal, sonst gibts hier wieder einen Shitstorm von mimosenhaften Laien die sich auf den Schlips getreten fühlen wenns in einem Administrator Forum mal etwas rauher wird (aber dabei immer freundlich und bestimmt in der Sache !)
Case closed !
Wie kann ich einen Beitrag als gelöst markieren?
2
