kartoffelesser
Goto Top

VLAN-TRUNK und "normales" LAN über einen Anschluss möglich?

Hallo Admins und Spezies,
hoffentlich bin ich im richtigen Unterforum? Habe mich schon öfters mit Netzwerken beschäftigt und auch einige Netze aufgebaut face-smile. Jetzt stehe ich vor einem Problem und möchte Euch um einen Tipp bitten.

Problem: Schulungsraum mit einer Singleport LAN-Dose. An dieser Dose sollen zwei Szenarien möglich sein.
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP). Gewünschter Zugang auf Fileserver und Internet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs (SSID: AZUBI und DOZENT). Diese WLANs sollen die "verlängerten" VLANs AZUBI und DOZENT werden. Beide sollen auch Zugriff auf den Fileserver haben und ins Internet kommen.

Ist so eine Kombination überhaupt möglich? Also zum EINEN ein VLAN-TRUNK vom Switch zum AP. Auf dem AP werden die beiden VLANs AZUBI und DOZENT "aufgesplittet" und als zwei WLANs weitergeleitet. Zum ANDEREN einen direkten LAN Zugang auf dem selben Anschluss (zu einem anderen Zeitpunkt!) mit einem Notebook.

Gibt es eine Möglichkeit die Kombination von VLAN-Trunk und "normalen" LAN über einen Anschluss umzusetzen? Benutze Mikrotikrouter und Zyxel Switch. Das Thema Firewall braucht hier nicht behandelt zu werden. face-smile

Kann ich eventuell den VLAN Trunk nach dem Verlassen des Switch mit einem anderen Switch und dem "normalen" LAN verbinden und dann zur LANdose führen? Oder kann ich diesen 2. Switch weglassen und meine Idee mit dem Switch realisieren der den Trunk ausgibt??

Freue mich über jede Antwort bzw. Anregungen!
LG kartoffelesser

Content-ID: 369234

Url: https://administrator.de/forum/vlan-trunk-und-normales-lan-ueber-einen-anschluss-moeglich-369234.html

Ausgedruckt am: 27.12.2024 um 08:12 Uhr

tikayevent
tikayevent 25.03.2018 um 14:35:12 Uhr
Goto Top
Gibt mehrere Varianten:
1. Wenn man mit 100Mbit klarkommt und die Verkabelung achtadrig ausgeführt wurde, kann man den Port mittels Port-Sharing-Adaptern aufteilen, dann können sogar beide Personengruppen gleichzeitig mit dem Netz verbunden sein.
2. Man nimmt einen kleinen verwaltbaren Switch (gibt es auch mit fünf oder acht Ports, teilweise PoE-gespeist), der dann die Aufteilung aufnimmt, also in Access-Ports und Trunk-Ports
3. Ist das einfachste: Man definiert einen Hybridport, auf dem der Access-Zugang untagged ist und der Trunk-Zugang tagged. Cisco Small Business nennt es wie gesagt Hybrid, Nortel/Avaya untagPvidOnly, die großen Ciscos setzen dafür auf dem Trunk das Native VLAN ein.

Wenn die komplette Technik, also der Switch an dem der zur Verfügung gestellte Port hängt und der Access-Point von Cisco (nicht Small Business) ist, kann man über die Konfiguration auch automatisch zwischen Access und Trunk umschalten lassen. Dafür gibt es das DTP. Bei Small Business könnte man es über die Smart Ports machen, die über CDP oder LLDP das Gerät erkennen und die Konfiguration ändern (gibt es auch beim richtigen Cisco).

Drei ist am einfachsten.
kartoffelesser
kartoffelesser 25.03.2018 um 14:47:27 Uhr
Goto Top
Danke für die schnelle Antwort!
1. kenne ich und habe es schon erfolgreich angewendet.
2. gute Idee aber die AZUBIS lieben kleine, in die Tasche versteckbare Switch ........
3. SUPER Idee! Hoffentlich können das unsere Zyxel Switch? Kennst du noch andere Hersteller von Switch die den Hybridport unterstützen?

Gruß kartoffelesser
tikayevent
tikayevent 25.03.2018 um 14:57:30 Uhr
Goto Top
Eigentlich sollte 3. jeder VLAN-fähige Switch beherrschen. Du musst einfach mal schauen, ob du dem Switch ein Native VLAN oder eine PVID oder ein untagged VLAN auf einem Trunk konfigurieren kannst.

Zyxel gehört jetzt nicht unbedingt zu meinen präferierten Marken, daher kann ich dazu nichts sagen.
certifiedit.net
Lösung certifiedit.net 25.03.2018 um 15:04:04 Uhr
Goto Top
Hallo Kartoffelesser,

Mac Based VLAN ist das Stichwort.

VG
kartoffelesser
kartoffelesser 25.03.2018 aktualisiert um 16:14:23 Uhr
Goto Top
Vielen Dank für die Antworten!
@certifiedet.net - das würde bei meinem Szenario bedeuten
1. das ich wie gehabt auf dem entsprechenden Port im Switch ein VLAN- Trunk für die beiden VLANs Dozent und Azubi lege. Dieser wird im VLAN fähigen AP getrennt.
2. die LAN- MAC Adresse für jeden Dozent-Notebook freischalte (=> MAC Based VLAN). Damit kommen die Dozenten mit ihren Notebooks direkt in ihr Dozenten-VLAN?

Stimmt das so???
certifiedit.net
certifiedit.net 25.03.2018 um 16:14:05 Uhr
Goto Top
Wenn die Technik dahinter richtig konfiguriert ist, ja.

Bitte Name korrigieren ;)
tikayevent
tikayevent 25.03.2018 um 16:14:48 Uhr
Goto Top
MAC-based VLAN funktioniert aber nur, wenn immer die gleichen Geräte genutzt werden, was ja insbesondere beim WLAN schwierig ist, wenn die Schulungsteilnehmer mit den unterschiedlichsten Geräten auftauchen.

Wir selbst haben auch einen Schulungsraum und haben 30 verschiedene Dozenten im Jahr vor Ort, die dann unterjährig auch mal das Gerät wechseln.

MAC-based VLANs sehe ich eher über die OUI-Erkennung für bestimmte Geräteklassen, wie z.B. Telefone, wobei ich hier auch andere Methoden (LLDP-MED z.B.) vorziehen würde.
certifiedit.net
certifiedit.net 25.03.2018 um 16:21:49 Uhr
Goto Top
Bitte beachten: Notebooks und WLAN AP - der AP kann dann über die SSID routen ;)
kartoffelesser
kartoffelesser 25.03.2018 um 16:29:16 Uhr
Goto Top
SORRY, ich meinte natürlich "certifiedit.net"

Welche Technik dahinter meinst Du? AP oder Router / Radiusserver? Zur Zeit liegt an der Dose nur ein Access Port an. Hier bekommen die Dozenten ihre IP via DHCP / Radiusserver mit MAC-Adresse-Auth.
sk
sk 25.03.2018 aktualisiert um 16:59:16 Uhr
Goto Top
Zitat von @kartoffelesser:

3. SUPER Idee! Hoffentlich können das unsere Zyxel Switch?

Selbstverständlich. Mir ist jedenfalls noch kein VLAN-fähiger Switch aus dem Hause ZyXEL untergekommen, der dies nicht konnte.


Eine andere Anregung:
Was soll der Quatsch mit dem mobilen Accesspoint? Es gibt bei nahezu allen Herstellern Accesspoints für Hotelprojekte, welche sich fest über einer Unterputzdose montieren lassen und einen verdeckten Uplinkport an der Unterseite haben. In das Gehäuse integriert ist dann in aller Regel auch ein kleiner VLAN-fähiger Switch, den man optional nach seinen Vorstellungen konfigurieren kann.
Bei ZyXEL gäbe es hier z.B. den WAC5302D-I. Der hat sogar smarte Antennenarrays vergleichbar Ruckus. Dementsprechend ist er eher hochpreisig positioniert. Wenn das nicht benötigt wird, geht es freilich auch günstiger - sowohl bei ZyXEL als auch beim Mitbewerb. Im Zweifel einen Mikrotik entsprechend einhousen.

Ein VLAN-Trunk auf einem frei zugänglichen Port ist jedenfalls Müll, da dies geradezu eine Einladung für VLAN-Hobbing ist. Also entweder physisch schützen oder über eine geeignete Konfiguration (z.B. 802.1x, Traffictunneling zwischen AP und AC usw.)

Gruß
sk
kartoffelesser
kartoffelesser 25.03.2018 aktualisiert um 17:42:30 Uhr
Goto Top
Hallo sk,
Danke für die Infos!
Du schreibst "Mir ist jedenfalls noch kein VLAN-fähiger Switch aus dem Hause ZyXEL untergekommen, der dies nicht konnte." Also einen sog. Hybridport zu aktivieren.
Habe gerade nach geschaut wir haben einen Zyxel GS1910-24. Leider gibt es dort keinen Hinweis auf Hybrid Port o.ä. Vielleicht kannst Du mir trotzdem helfen?
Die gesamte VLAN Einstellung ist auf einer Seite (GUI) untergebracht:
1. Port-Nr.
2. Port -VLAN-ID
3. Ingress-Filter: an/aus
4. Ingress Acceptance mit den Optionen: Tagged und Untagged, Tagged only, Untagged only
5. Egress Tagging mit den Optionen: Untaged Port VLAN, Tag All, Untag All
6. Allowed VLAN IDs
7. Forbidden VLAN-IDs

Was müsste ich einstellen um auf einem Switchport ein VLAN-Trunk (VLAN-IDs 10 und 20) UND gleichzeitig auf ein untagged LAN (192.168.10.0/24) zugreifen zu können.
Muss ich vielleicht das LAN ebenfalls einem VLAN zuordnen? Danach dieses neue VLAN als untagged definieren und irgendwie mit auf den Port legen?

Gruß und Dank
kartoffelesser
sk
Lösung sk 25.03.2018 um 17:31:46 Uhr
Goto Top
Zitat von @kartoffelesser:
2. Port -VLAN-ID

Die VLAN-ID Deines Untagged-LAN


3. Ingress-Filter: an/aus

Funktioniert beides. Sicherer ist an


4. Ingress Acceptance mit den Optionen: Tagged und Untagged, Tagged only, Untagged only

Tagged und untagged (macht ihn zum Hybridport)


5. Egress Tagging mit den optinen: Untaged Port VLAN, Tag All, Untag All

Untag PVID (der Rest wird ausgehend getagged)


6. Allowed VLAN IDs

10, 20 und die VLAN-ID Deines Untagged-LAN


7. Forbidden VLAN-IDs

Solche, die nicht auf diesem Port ausgegeben werden sollen (wenn weitere VLANs vorhanden)


Gruß
sk
kartoffelesser
kartoffelesser 25.03.2018 um 17:40:31 Uhr
Goto Top
Schon mal 1000 Dank!!!!
Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?

Da es den besagten Switchport nur 1*gibt face-smile trage ich die ganze Geschichte auch nur bei einem Port ein oder?

DANKE und Gruß
kartoffelesser
sk
sk 25.03.2018 aktualisiert um 17:43:27 Uhr
Goto Top
Zitat von @kartoffelesser:

Was meinst Du unter Punkt 5 "Untag PVID (der Rest wird ausgehend getagged)" Meinst Du "Untag All" ODER "Untaged Port VLAN"?

Letzteres.


Da es den besagten Switchport nur 1*gibt face-smile trage ich die ganze Geschichte auch nur bei einem Port ein oder?

Ja
kartoffelesser
kartoffelesser 25.03.2018 aktualisiert um 18:02:03 Uhr
Goto Top
Darf ich das Ergebniss noch einmal kurz Zusammenfassen?
Auf der SinglePort LAN Dose liegt an:
Ein TRUNK mit den VLAN10-Dozent und VLAN20-Azubi ------ UND ------ ein VLAN30-LAN ohne Tag.

Diese Einstellungen ermöglicht es den Dozenten mit einem mitgebrachten AP die TrunkLine aufsplitten und die beiden VLANs als zwei WLANs anzubieten (SSIDs z.B. Dozent und Azubi).

AUßERDEM können Dozenten - zu einem anderen Zeitpunkt - ihre mitgebrachten Notebooks via LANkabel anschließen und das Netz nutzen. Ihre Anmeldedaten erhalten sie via VLAN30-LAN

Stimmt das jetzt so alles?

Noch einmal 10000000000000000000Dank an sk!

Gruß kartoffelesser
aqui
aqui 25.03.2018 aktualisiert um 18:10:33 Uhr
Goto Top
hoffentlich bin ich im richtigen Unterforum?
Passt schon
Ist so eine Kombination überhaupt möglich?
Ja, ist problemlos möglich mit einigen Rahmenbedingungen.

Der Anschluss MUSS in jedem Fall ein Trunk sein, wobei hier "Trunk" einen Tagged Uplink meint vom Switch (Keine Link Aggregation !)
Eigentlich ist es ganz einfach...
Der MSSID WLAN AP muss Tagged für die beiden WLANs eingstellt sein. Also z.B.
AZUBI = VLAN 10
DOZENT = VLAN 20

Der Trunk überträgt alle untagged Pakete an das sog. Native VLAN. Sprich also alles was untagged reinkommt wird ins Native VLAN geforwardet. Wenn das ein bestimmtes VLAN ist musst du das am Switchport konfigurieren. In der Regel ist das das VLAN 1. Das wird mit der sog PVID festgelegt.

Das sieht dann so aus:
1. Morgens kommt Dozent A mit seinem Notebook und hängt sich via Kabel ins LAN (DHCP).
Das Notebook vom Dozenten sendet untagged Pakete. Je nach PVID Setting wird das also in das VLAN Segment geforwardet in der der Dozent auch sonst arbeitet.
2. Nachmittags kommen die Kollegen B,C und D mit einem ausgeliehenden mobilen AP. Über diesen laufen zwei WLANs
Der AP sendet diese beiden SSIDs dann Tagged an die VLAN 10 und 20. Diese müssen auch Tagged an dem Port eingerichtet sein.
Fazit:
Simples und billiges Standard Szenario was mit 3 Mausklicks in 5 Minuten auf dem Switch eingerichtet ist !
Alle Details dazu erklärt dieses Forentutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell für deinen Fall das Praxis Beispiel.
Ein TRUNK mit den VLAN10-Dozent und VLAN20-Azubi ------ UND ------ ein VLAN30-LAN ohne Tag.
Ja !
Ihre Anmeldedaten erhalten sie via VLAN30-LAN
Anmeldedaten ??
Nur wenn du hier ein Captive Portal oder sowas installiert hast !! Aus Sicherheitsgründen (siehe oben) solltest du das in jedem Falle machen !!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Nachteil sonst:
Jeder der sich an dem Port mit einem Rechner einklinkt ist dann auch immer gleich im Dozent A Netzwerk (VLAN 30) face-sad
Hier macht es Sinn 802.1x Port Security zu aktivieren oder eben ein CP wenn man nicht will das Bastelazubis auch mal im Dozent A Netz sind und etwas nach Prüfungen schnüffeln... face-wink
Es sei denn Sicherheit spielt keine Rolle...
tikayevent
tikayevent 25.03.2018 um 18:10:49 Uhr
Goto Top
Es sei denn Sicherheit spielt keine Rolle...

Zur Zeit liegt an der Dose nur ein Access Port an. Hier bekommen die Dozenten ihre IP via DHCP / Radiusserver mit MAC-Adresse-Auth.

Ich glaube, das sagt alles.
aqui
aqui 25.03.2018 aktualisiert um 18:13:59 Uhr
Goto Top
Stimmt ! face-wink
Obwohl Mac....lässt sich ja in 5 Sekunden faken ! face-wink Sicher ist das nicht !
kartoffelesser
kartoffelesser 25.03.2018 aktualisiert um 18:30:51 Uhr
Goto Top
Danke für die Hinweise!! Das Thema Sicherheit habe ich wegen der Übersichtlichkeit bewusst "außen vor" gelassen.

Zitat aus dem Startposting: "Das Thema Firewall braucht hier nicht behandelt zu werden."

Gruß kartoffelesser
tikayevent
tikayevent 25.03.2018 um 18:37:39 Uhr
Goto Top
@aqui: Hast du hier ein Firewall vorbeikommen sehen?
kartoffelesser
kartoffelesser 25.03.2018 aktualisiert um 18:51:39 Uhr
Goto Top
@tikayevent: warum wird man hier eigentlich so oft blöd von der Seite angequatscht? Probleme mit der Arbeit oder mit der Frau / Mann?

Wenn wir als "NichtBerufsNetzwerker" - euren Ansprüchen nicht genügen, macht doch eine Aufnahmeprüfung! Dann seit Ihr vor den doofen Usern geschützt.

Gruß kartoffelesser
Vision2015
Vision2015 26.03.2018 um 05:19:23 Uhr
Goto Top
Moin...
@tikayevent: warum wird man hier eigentlich so oft blöd von der Seite angequatscht? Probleme mit der Arbeit oder mit der Frau / Mann?
sag wer hat dich, mit was, blöd von der Seite angequatscht?
ich finde nicht eine zeile, wo du entweder beleidigt sein kannst, oder wo du blöd angemacht wirst!
Probleme mit der Arbeit oder mit der Frau / Mann?
eigentlich fängst du ja grade mit blöd angequatschen an!

@aqui: Hast du hier ein Firewall vorbeikommen sehen?
ich auch nicht... face-smile

Frank
aqui
aqui 26.03.2018 aktualisiert um 10:12:52 Uhr
Goto Top
Zitat aus dem Startposting: "Das Thema Firewall braucht hier nicht behandelt zu werden."
Die Firewall hat ja auch mit 802.1x Port Security und Radius oder mit und ohne .1x Mac Passthrough nicht das Geringste zu tun. 2 völlig verschiedene Baustellen ! Nur um mal beim eigentlichen Thema zu bleiben.
Hast du hier eine Firewall vorbeikommen sehen?
Sehr gute Frage... Nööö hab ich nicht. Aber das Thema ist ja für den TO eh nicht relevant. Spätestens wenn die Azombies im Dozent A Netz mal einen Port Scanner laufen lassen und sonst etwas schnüffeln wirds ja dann bemerkt.
Aber lassen wir das Thema mal, sonst gibts hier wieder einen Shitstorm von mimosenhaften Laien die sich auf den Schlips getreten fühlen wenns in einem Administrator Forum mal etwas rauher wird (aber dabei immer freundlich und bestimmt in der Sache !) face-wink

Case closed !
Wie kann ich einen Beitrag als gelöst markieren?