7
VLAN Verständnisfrage Trunk
Hallöchen,
ich habe eine Verständnisfrage zu VLAN, ob ich das so richtig verstanden habe.
Folgende Abbildung veranschaulicht das evtl nochmal:
Unser aktuelles Netz: 172.25.0.0/16
Das VLAN-Netz wird aus den Adressen: 172.26.X.X gebildet.
Das VLAN entspricht jeweils dem dritten Oktett.
So habe ich bspw. die Netzwerkgeräte wie den Switch im VLAN 6.
Rechner im VLAN 5 oder VLAN 8.
Das Routing zwischen den VLANs (wenn notwendig) wird auf der Firewall (im abbild der Router 172.24.0.1) stattfinden.
Nun sind mehrere Switche wie abgebildet miteinander verbunden.
Wenn ich jz bspw. vom PC1 auf den PC2 zugreifen möchte, müssen die Ports an denen die Switche miteinander verbunden sind Trunking Ports sein.
Das erreiche ich doch, wenn ich in den Switchen einstelle, dass VLAN 5 auf diesem Port Tagged ist und VLAN 8 auf ebenfalls diesem Port tagged ist.
Oder sehe ich das Falsch?
Die Rechner PC1 und PC2 sind an jeweils einem Port mit VLAN 5 untagged angeschlossen.
Dasselbe gilt natürlich für den PC3 nur mit VLAN 8.
Die Kommunikation zwischen PC1 und PC2 sollte dann doch funktionieren?
Das Gateway sollte so ja auch richtig sein?
ich habe eine Verständnisfrage zu VLAN, ob ich das so richtig verstanden habe.
Folgende Abbildung veranschaulicht das evtl nochmal:
Unser aktuelles Netz: 172.25.0.0/16
Das VLAN-Netz wird aus den Adressen: 172.26.X.X gebildet.
Das VLAN entspricht jeweils dem dritten Oktett.
So habe ich bspw. die Netzwerkgeräte wie den Switch im VLAN 6.
Rechner im VLAN 5 oder VLAN 8.
Das Routing zwischen den VLANs (wenn notwendig) wird auf der Firewall (im abbild der Router 172.24.0.1) stattfinden.
Nun sind mehrere Switche wie abgebildet miteinander verbunden.
Wenn ich jz bspw. vom PC1 auf den PC2 zugreifen möchte, müssen die Ports an denen die Switche miteinander verbunden sind Trunking Ports sein.
Das erreiche ich doch, wenn ich in den Switchen einstelle, dass VLAN 5 auf diesem Port Tagged ist und VLAN 8 auf ebenfalls diesem Port tagged ist.
Oder sehe ich das Falsch?
Die Rechner PC1 und PC2 sind an jeweils einem Port mit VLAN 5 untagged angeschlossen.
Dasselbe gilt natürlich für den PC3 nur mit VLAN 8.
Die Kommunikation zwischen PC1 und PC2 sollte dann doch funktionieren?
Das Gateway sollte so ja auch richtig sein?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 663806
Url: https://administrator.de/contentid/663806
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Trunks die Switche verbinden sind an den Ports "tagged", das ist auch auf dem Router so, wenn dieser VLAN kann. Ports die zu einem VLAN gehören sind diesem zugeordnet, als "tagged" oder "untagged" an Untagged Ports hängen Endgeräte dran die kein VLAN können. Je nach Switch muss man dann auch noch die PVID einstellen.
GW braucht man nicht, es sei denn es sind Layer 3 Switche und man benutzt das dann auch.
Den GW kann man mit Layer 2 höchstens für NTP oder sowas nutzen, dito wenn man nen DNS konfigurieren kann.
Und am besten die VLAN ID 1 erst gar nicht benutzen.
Trunks die Switche verbinden sind an den Ports "tagged", das ist auch auf dem Router so, wenn dieser VLAN kann. Ports die zu einem VLAN gehören sind diesem zugeordnet, als "tagged" oder "untagged" an Untagged Ports hängen Endgeräte dran die kein VLAN können. Je nach Switch muss man dann auch noch die PVID einstellen.
GW braucht man nicht, es sei denn es sind Layer 3 Switche und man benutzt das dann auch.
Den GW kann man mit Layer 2 höchstens für NTP oder sowas nutzen, dito wenn man nen DNS konfigurieren kann.
Und am besten die VLAN ID 1 erst gar nicht benutzen.
Zitat von @Snagless:
Hallo,
Trunks die Switche verbinden sind an den Ports "tagged", das ist auch auf dem Router so, wenn dieser VLAN kann. Ports die zu einem VLAN gehören sind diesem zugeordnet, als "tagged" oder "untagged" an Untagged Ports hängen Endgeräte dran die kein VLAN können. Je nach Switch muss man dann auch noch die PVID einstellen.
GW braucht man nicht, es sei denn es sind Layer 3 Switche und man benutzt das dann auch.
Den GW kann man mit Layer 2 höchstens für NTP oder sowas nutzen, dito wenn man nen DNS konfigurieren kann.
Und am besten die VLAN ID 1 erst gar nicht benutzen.
Hallo,
Trunks die Switche verbinden sind an den Ports "tagged", das ist auch auf dem Router so, wenn dieser VLAN kann. Ports die zu einem VLAN gehören sind diesem zugeordnet, als "tagged" oder "untagged" an Untagged Ports hängen Endgeräte dran die kein VLAN können. Je nach Switch muss man dann auch noch die PVID einstellen.
GW braucht man nicht, es sei denn es sind Layer 3 Switche und man benutzt das dann auch.
Den GW kann man mit Layer 2 höchstens für NTP oder sowas nutzen, dito wenn man nen DNS konfigurieren kann.
Und am besten die VLAN ID 1 erst gar nicht benutzen.
Alles klar, dann habe ich das bisher richtig konfiguriert.
Die Ports, die die Switche verbinden sind auf Tagged gesetzt mit den VLANS. VLAN-ID 1 habe ich entfernt.
PVID muss ich bei meinem Switch auch einstellen.
Die PCs sind an untagged Ports verbunden.
Ich kann bei mir auf dem Switch einstellen, welche VLAN-ID das Management VLAN ist.
Macht es Sinn dort das VLAN einzutragen, welches ich für die IT gedacht habe (bspw. eben Netzwerkgeräte wie einen Switch oder AP)?
Passt die IP Konfiguration der PCs den so?
Wozu braucht man NTP und DNS auf dem Switch? Die Geräte kommunizieren alle mit DC, sodass ich in dem Falle dies auf der Switch nicht konfiguriert brauche.
In welchen Fällen bräuchte ich den NTP oder DNS?
Dankee!
Moin,
ich gehe mal nicht direkt auf die VLAN-Thematik ein, sondern gebe dir mal Feedback zu deinen IP-Design: Das ist Murks und wird nicht funktionieren.
Dein Router hat eine IP 172.25.0.1/ 16
D.h. er wird alle Geräte aus den IPs 172.25.0.1 bis einschließlich 172.25.255.254 "verarzten" können. Das sind also mal locker 65.534 IP-Adressen - Warum zum Henker willst du das und wo hast du die ganzen Geräte versteckt?
Dann hast du deinen ganzen VLAN Netzen IPs aus den Bereichen 172.26.x.0/ 24 gegeben
Am Beispiel des VLAN 8 also 172.26.8.1 - 172.26.8.254.
Das Gateway soll aber die 172.25.0.1 sein.
Die 172.25.0.1 werden deinen Clients in den Subnetzen aber nie erreichen können, weil deren "Horizont" gar nicht bis ins 172.25.0.0er Netz reicht. Und andersherum kann der Router auch keine IPs aus dem Bereich 172.26.0.0/ 16 sehen.
Dein Gateway muss immer innerhalb der Netzmaske liegen - idealerweise 172.26.8.1 oder 172.26.8.254
Ändere das entsprechend ab.
Dein Router benötigt zum LAN also vier IP-Adressen, eine für jedes VLAN:
VLAN 1: 172.25.0.1 (dann mit einer Netzmaske <= 24)
VLAN 5: 172.26.5.1/ 24
VLAN 6: 172.26.6.1/ 24
VLAN 8: 172.26.8.1/ 24
<edit>
hier etwas Grundlagen zum Netzdesign: https://www.elektronik-kompendium.de/sites/net/0907201.htm
</edit>
Zu deinem VLAN-Design:
deine Switche SW1 und SW2 wirst du nicht mehr administrieren können: es fehlt das VLAN 6 bei den Uplink-Ports.
Ansonsten noch etwas Grundlagen.
In der Cisco-Welt (und wenigen anderen) ist ein Trunk ein Port, der Daten für mehrere VLANs transportiert
Bei HP/ dem Rest der Welt ist ein Trunk eine Bündelung von physischen Ports zu einem virtuellen Port - also eine Link Aggregation Group (LAG).
Das gilt es bei der Umsetzung zu berücksichtigen.
Ansonsten:
Tagged Ports sind jene, an denen das Gegenüberliegende Gerät etwas mit VLANs anfangen kann
An einem untagged Port wird ein Gerät angeschlossen, was mit VLANs nichts anfangen kann oder auch nicht muss.
Ein AccessPoint, der MSSID und VLANs behersscht, an den aber nur ein VLAN angebunden ist, kann ruhig untagged am Switch angeschlossen werden.
NTP, damit du deine Switche mit einem zentralen Zeitserver abgleichen kannst. Willst du mal logs wälzen und hast auf allen Switchen einen Versatz von je 3h: Viel Spaß!
DNS ist sinnvoll, wenn du statt einer IP-Adresse den DNS-Namen ntp.myDomain.tld verwenden willst (sofernd er SWitch das kann). Ändert sich mal dein interner Zeitserver (=andere IP) musst du nicht an allen Geräten "vorbeischauen" und die Zeitserver anpassen.
Analog, wenn mal ein zentraler Syslog-Server zum Einsatz kommen soll.
Gruß
em-pie
ich gehe mal nicht direkt auf die VLAN-Thematik ein, sondern gebe dir mal Feedback zu deinen IP-Design: Das ist Murks und wird nicht funktionieren.
Dein Router hat eine IP 172.25.0.1/ 16
D.h. er wird alle Geräte aus den IPs 172.25.0.1 bis einschließlich 172.25.255.254 "verarzten" können. Das sind also mal locker 65.534 IP-Adressen - Warum zum Henker willst du das und wo hast du die ganzen Geräte versteckt?
Dann hast du deinen ganzen VLAN Netzen IPs aus den Bereichen 172.26.x.0/ 24 gegeben
Am Beispiel des VLAN 8 also 172.26.8.1 - 172.26.8.254.
Das Gateway soll aber die 172.25.0.1 sein.
Die 172.25.0.1 werden deinen Clients in den Subnetzen aber nie erreichen können, weil deren "Horizont" gar nicht bis ins 172.25.0.0er Netz reicht. Und andersherum kann der Router auch keine IPs aus dem Bereich 172.26.0.0/ 16 sehen.
Dein Gateway muss immer innerhalb der Netzmaske liegen - idealerweise 172.26.8.1 oder 172.26.8.254
Ändere das entsprechend ab.
Dein Router benötigt zum LAN also vier IP-Adressen, eine für jedes VLAN:
VLAN 1: 172.25.0.1 (dann mit einer Netzmaske <= 24)
VLAN 5: 172.26.5.1/ 24
VLAN 6: 172.26.6.1/ 24
VLAN 8: 172.26.8.1/ 24
<edit>
hier etwas Grundlagen zum Netzdesign: https://www.elektronik-kompendium.de/sites/net/0907201.htm
</edit>
Zu deinem VLAN-Design:
deine Switche SW1 und SW2 wirst du nicht mehr administrieren können: es fehlt das VLAN 6 bei den Uplink-Ports.
Ansonsten noch etwas Grundlagen.
In der Cisco-Welt (und wenigen anderen) ist ein Trunk ein Port, der Daten für mehrere VLANs transportiert
Bei HP/ dem Rest der Welt ist ein Trunk eine Bündelung von physischen Ports zu einem virtuellen Port - also eine Link Aggregation Group (LAG).
Das gilt es bei der Umsetzung zu berücksichtigen.
Ansonsten:
Tagged Ports sind jene, an denen das Gegenüberliegende Gerät etwas mit VLANs anfangen kann
An einem untagged Port wird ein Gerät angeschlossen, was mit VLANs nichts anfangen kann oder auch nicht muss.
Ein AccessPoint, der MSSID und VLANs behersscht, an den aber nur ein VLAN angebunden ist, kann ruhig untagged am Switch angeschlossen werden.
Wozu braucht man NTP und DNS auf dem Switch? Die Geräte kommunizieren alle mit DC, sodass ich in dem Falle dies auf der Switch nicht konfiguriert brauche.
In welchen Fällen bräuchte ich den NTP oder DNS?
Beides macht sinnIn welchen Fällen bräuchte ich den NTP oder DNS?
NTP, damit du deine Switche mit einem zentralen Zeitserver abgleichen kannst. Willst du mal logs wälzen und hast auf allen Switchen einen Versatz von je 3h: Viel Spaß!
DNS ist sinnvoll, wenn du statt einer IP-Adresse den DNS-Namen ntp.myDomain.tld verwenden willst (sofernd er SWitch das kann). Ändert sich mal dein interner Zeitserver (=andere IP) musst du nicht an allen Geräten "vorbeischauen" und die Zeitserver anpassen.
Analog, wenn mal ein zentraler Syslog-Server zum Einsatz kommen soll.
Gruß
em-pie
1
In der Cisco Welt wäre es gar nicht möglich das Gateway auserhalb deines Netzes zu konfigurieren
Das ist auch im ganzen Rest der TCP/IP Welt nicht möglich weil es Routing technischer Unsinn ist....
Ein Gateway kann bekanntlich immer nur in lokal erreichbaren Netzen liegen.
Ein Gateway kann bekanntlich immer nur in lokal erreichbaren Netzen liegen.
Ich meinte damit dass die Syntax es gar nicht zulässt
Wie es bei anderen Herstellern ist kann ich leider keine Aussage zu treffen
Wie es bei anderen Herstellern ist kann ich leider keine Aussage zu treffen
Dort wird es, aus guten Gründen, Syntax technisch in der Regel auch nie zugelassen...
