VLAN-Verständnisfragen zur Integration von VLANs in einem kleinen Netzwerk

Es geht um das aufteilen eines Netzes in 2 VLANS durch einen Cisco RVS4000 an dem noch ein Router angeschlossen ist, der die Internetverbindung herstellt.

Hallo,
ich habe ein Problem, das ich bisher nicht lösen konnte, vielleicht könnt ihr ja helfen!

Also folgendes Szenario:
Ich habe einen Internetrouter und 5 Clients. Nun möchte ich, dass ein Client völlig getrennt von den anderen Clients laufen soll, beide jedoch über den Internetrouter ins Internet sollen. Die ganze Sache soll NICHT mit Subnetzen gelöst werden!

Mir kam direkt in den Kopf "VLAN". Nun habe ich einen Cisco Small Business RVS [[[LINK https://www.cisco.com/en/US/prod/collateral/routers/ps9923/ps9928/data_s ... ]]] Dieser Router kann mit VLANS umgehen. Ich habe mir das Handbuch angeschaut und mal ein bisschen getestet aber bin nicht wirklich zurecht gekommen.

Der RVS4000 ist noch an einen normalen DSL-Router angeschlossen ist, weil der RVS4000 kein integriertes Modem hat und ich keins zur Hand hab.

Also nochmal zum Verständnis:
von dem RVS4000 gehen 3 Leitungen ab. Eine Leitung geht zu dem DSL-Router der sich ins Internet einwählt. Die 2. Leitung geht zu einem PC. Die 3. Leitung geht zu einem Switch an dem mehrere PCs hängen.

Hier eine Skizze:

Ich würde jedes Teilnetz an einen LAN-Port des Cisco RVS4000 anschließen. Ich möchte, wenn es geht, dass alle Geräte in diesem Netz eine IP im Bereich 192.168.100.x bekommen. Jedes Netz würde ein VLAN darstellen. Netz1 darf Netz zwei "sehen" und umgekehrt. Netz3 darf Netz1 auch sehen und ebenfalls umgekehrt. Netz3 und Netz2 dürfen sich aber auf keinen Fall sehen!

Wie muss ich die VLANS einstellen? Ich verstehe von der Tagged und Untagged bzw. Trunk Einstellung bisher nicht viel. Wikipedia hat leider auch nicht die Erleuchtung gebracht, bisher.

Wäre nett wenn mir hier einer möglichst Ausführlich den Aufbau eines VLANS für dieses Szenario erklären könnte. Halt welche Eigenschaften die VLANS haben müssen und wie sie sich zueinander verhalten müssen.
Und dürfen die ganzen Clients in den einzelnen VLANS auch IP-Adressen in dem gleichen Ip-Adressebereich also z.B. 192.168.100.x haben?

Vielen dank im Voraus!

Edit: Die PCs haben KEINE Vlan-Fähigen Netzwerkkarten! Somit muss das ganze irgendwie mit Port-Basierten VLANS realisiert werden? Danke schonmal!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 144908

Url: https://administrator.de/contentid/144908

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

17 Kommentare

Neuester Kommentar

VLAN = virtuelles LAN

du machst also 3 Netze
diese liegen natürlich in anderen Bereichen, ähnlich dem Subnetting.

Das musst du dem Router klar machen und gut ist das.

Trunk = mehrere Kabel zu einem Datenkanal zusammenfassen; Ausfallsicherheit.

Deine Sichtbarkeit musst du dann entsprechend dort einstellen.

Bei @aqui findest du gute Anleitungen dazu ...

Vielen dank soweit, habe mich bei aqui mal umgeschaut.

Es ist jedoch nicht genau das was ich suche. Ist es also immer so, dass bei mehreren VLANS auf verschiedene IP-Adressbereiche verwendet werden müssen? Wenn ja: gibt es eine Möglichkeit, dass ich das erreiche, was ich möchte, indem ich nur zwei Netze mache?
Also so, dass der einzelne PC in einem Netz alleine ist aber trotzdem Internetzugriff hat, ohne das die anderen Clients ihn sehen bzw er die Clients sieht.

Hallo Pider,

jedes VLAN braucht ein eigenes Netz. Der Router muss das ja Router und das macht er mit IP-Netzen.

Du brauchst 3 Netze: eines für deinen Internet-Router, eines für deinen einzelnen PC, eines für die anderen PCs.

Wenn du dir eines sparen willst, kannst du deinen einzelnen PC direkt an den Internet-Router stecken, aber auch nur wenn der mehrere getrennte Ports hat !!!
Dann brauchst du sogar gar kein VLAN.

Und dürfen die ganzen Clients in den einzelnen VLANS auch IP-Adressen in dem gleichen Ip-Adressebereich also z.B. 192.168.100.x haben?

Nein, auf keinen Fall.
Ein Layer 2 VLAN braucht auch immer ein eigenes Layer 3 Subnetz.

kann man da nicht einfach den Port des Routers auf
switchport mode trunk
setzen

und die beiden anderen auf
switchport access vlan 1
und
switchport access vlan 2
setzen?

Hallo Deepsys,

wie kann ich die Geschichte denn ohne VLANs lösen? Ich habe einen Internet-Router mit mehreren getrennten Ports (Linksys).

Danke!

Ich habe einen Internet-Router mit mehreren getrennten Ports (Linksys).

Ich habe einen Router von Siemens.

Ja das funktioniert wenn der Router das supportet bzw. die richtige IOS Version drauf ist !
Ein VLAN muss nicht immer unbedingt ein separates IP Netz haben (Es ist aber immer besser !) Auch die Verwendung eines IP Netzes ist denkabar allerdings bedeutet das das diese VLANs dann niemals kommunizieren dürfen !
D.h. sie müssen auf immer und ewig völlig separat und getrennt arbeiten. Dann ist das auch denkbar.
Klar kann man dann über Schweiereien nachdenken diese VLANs über Layer Bridges wieder zu koppeln alllerdings geht das dann oft in die Hose durch eine gemeinsam genutzte Mac Adress Forwarding Database auf dem Switch. Vergiss das also ganz schnell wieder...
Deine VLAN Szenarios beschreiben diese Tutorial recht genau:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Damit dürfte die VLAN Funktion schnell klar werden....

Nochwas zu deinem Design oben:
Der Cisco RVS-4000 ist ein eigener, vollständiger Gigabit VPN DSL Router !! Was soll eigentlich der vollkommene Blödsinn davor noch einen separaten Internet Router zu stellen ?? (Oder kannst du zw. Modem und Router nicht unterscheiden ??)
Der RVS-4000 kann doch direkt ans Internet angeschlossen werden mit einem simplen und einfachen DSL Modem wie z.B. DIESES hier !!
Damit ersparst du dir den Quatsch mit dem Router davor !!
Diese Leitung kannst du so oder so niemals in deine VLAN Planung einbeziehen, denn das ist der Anschluss an den DSL Provider !

Sorry, ich dachte das genaue Modell sei hier erstmal nicht von Relevanz.

Aber ok... Ich habe einen Linksys AG241V2 mit der Firmware 2.01.00 als DSL-Router, der sich einwählt.
Kann ich hiermit die Geschichte ohne VLANs lösen? Nun sollte ja alles wichtige genannt sein....

Danke für eure Hilfe!

Ja, die VLAN-Szenarios sind schon sehr ausführlich.
Ich möchte jedoch NICHT Hand an die einzelnen Clients anlegen, sondern nach Möglichkeit die Konfiguration ausschließlich auf dem Router machen. Ich habe mir jetzt ein altes, gebrauchtes DSL-Modem besorgt. Ist zwar ein Teledat 300 LAN, aber für das DSL 2000 wird es laut Spezifikation noch reichen. Somit könnte ich den Internet-Router wegfallen lassen und die Einwahl direkt über den RVS-4000 machen.

Erleichtert das die ganze Sache? Wie muss ich das Gerät dann konfigurieren? Wenn ich die Einwahl mit dem RVS-4000 mache, dann muss ich ja nur 2 Ports konfigurieren also 2 VLANs. Wie müssen die sich zueinander verhalten? Ich kann dann auch dem einzelnen Internet-PC eine IP-Adresse in einem anderen IP-Adressbereich geben. Wichtig ist nur, dass der RVS-4000 (Gateway) eine IP Zusammen mit den restlichen Clients in einem Netz hat, sodass ich nicht an alle Clients ran muss.

Zitat von @aqui:
... das funktioniert wenn der Router das supportet bzw. die richtige IOS Version drauf ist !

Ein Linksys hat aber kein IOS drauf, auch wenn außen mittlerweile nur noch Cisco dran steht...

Hier gibt es übrigens eine Demo der Web-GUI: http://ui.linksys.com/files/RVS4000/1.0.13/Setup_lan.htm

Unter "Layer2-Switch" kann man die LAN-Ports auf 4 VLANs aufteilen. Jedoch konfiguriert man damit wohl keine separaten Router-Interfaces, welche man mit IP-Adressen belegen und so auf Wunsch zwischen den Netzen routen könnte. Unter Setup>LAN kann man dem Router jedenfalls nur eine einzige IP-Adresse geben. Es scheint sich also lediglich um eine L2-Isolation zwischen den LAN-Ports zu handeln (vergleichbar "private VLANs"). Alle VLANs müssen demnach im gleichen IP-Netz liegen, sonst könnten sie nicht mit dem Router kommunizieren.
Die Skizze und die Annahmen von Pider2k aus dem Eröffnungsbeitrag dürfte letztlich also richtig sein.

Gruß
sk

Meine Oberfläche sieht komplett anders aus als die, die du in dem Link geschickt hast. Ich habe also wohl eine neuere Firmware drauf, was aber mit Sicherheit kein Problem darstellen sollte.

Also wenn meine Annahme und Skizze soweit richtig ist, müsste ich nur noch wissen in welchem Modus ich die VLAN-Ports konfiguriere? Trunk, Tagged / Untagged?

Es ist eigentlich eine ziemlich simple Sache was ich da machen möchte, wenn man weiß wie. Mich wundert es ein wenig, dass sich diese Diskussion so in die Länge zieht?

Wie gesagt ich habe mehrere Clients, ein Client soll NICHT von den anderen gesehen werden. Jedoch sollen alle Clients das gleiche Gateway (RVS4000) nutzen. Wie konfiguriere ich die VLANs?
Ich habe unter L2 Switch wesentlich mehr Einstellungsmöglichkeiten als hier: http://ui.linksys.com/files/RVS4000/1.0.13/switch_vlan.htm

Liegt wohl daran, dass ich bereits eine Cisco Firmware drauf habe.

Ich würde mich freuen wenn mir jemand verständlich erklären würde, wie ich das nun am einfachsten und mit dem geringsten Aufwand konfigurieren kann. Vielen Dank!

Man kann schwerlich Empfehlungen geben, wenn man das Gerät und dessen Möglichkeiten nicht kennt. Stell mal Screenshots Deiner Webgui online!

Gruß
sk

Zitat von @sk:

Man kann schwerlich Empfehlungen geben, wenn man das Gerät und dessen Möglichkeiten nicht kennt. Stell mal Screenshots
Deiner Webgui online!

Gruß
sk

Ich Habe eine Testumgebung aufgebaut und mal ein wenig Konfiguriert. Hier die Konfiguration:

http://img571.imageshack.us/img571/323/34273000.jpg
http://img227.imageshack.us/img227/1466/17200184.jpg
http://img16.imageshack.us/img16/5878/33388525.jpg
http://img413.imageshack.us/img413/1348/25701264.jpg
http://img231.imageshack.us/img231/4001/71536988.jpg
http://img408.imageshack.us/img408/1498/69040913.jpg
http://img535.imageshack.us/img535/4968/31063906.jpg
http://img683.imageshack.us/img683/5647/69094373.jpg

An LAN-Port 1 ist ein PC im Netz 192.168.1.xxx
An LAN-Port 2 ist ein PC im Netz 192.168.2.xxx (der einzelstehende PC)

Beide können sich NICHT untereinander sehen. Beide können jedoch den Router auf der 192.168.1.99 pingen, sowie auch auf der 192.168.2.1
Somit sollte das, wenn ich das nachher Produktiv einsetze und der RVS-4000 sich ins Internet einwählt, ja alles klappen?

Also das jeder Rechner Internet hat, aber die Rechner an den Ports 1/2 sich nicht gegenseitig sehen können?

PS: An Port 2 wird der DHCP noch deaktiviert, bzw habe ich dies bereits gemacht nur die Screenshots davor gemacht.

PS2: Die große Frage ist natürlich, ob die Clients auch den Internetzugriff haben werden wenn ich diesen über den RVS4000 herstelle. Ich bin mir nicht sicher, ob hierfür zusätzliche Optionen notwendig sind? z.B. eine Zuordnung der Internetberechtigung an VLAN-IDs? Diesbezügl. habe ich aber noch nichts auf der GUI gefunden. Ich werde heute abend, bei einem Test in der Produktivumgebung, näheres erfahren. Ich poste hier danach natürlich ob es geklappt hat bzw. was falsch gelaufen ist und setze den Beitrag ggf. auf "gelöst". Danke schonmal!

Ich habe es nun gestern so in Betrieb genommen, wie auf den Screenshots zu sehen. Es funktioniert alles so wie gewünscht.
Sollten jemandem trotzdem noch irgendwas an der Konfiguration auffallen, dass so nicht ganz richtig ist, so bitte ich im Rückmeldung hier im Forum.

Vielen Dank!