2
VLANs mit Layer-3 und Layer-2 segmentieren
Das u.a. Problem ist gelöst. Der Stecker steckte am falschen Port. Gleichzeitig stelle ich fest, dass der Ansatz, das Gäste-LAN über den Switch zu verteilen, sehr praktisch ist: Die Fritzbox vergibt den angeschlossenen Geräten (z.B. mein Firmen-Laptop) über DHCP selber Adressen und macht pro Gerät ein eigenes Netz auf. Damit kann ich dann über das LAN auf einfache Weise Geräte voneinander trennen. Vermutlich werde ich dann auch noch Google Home oder Alexa über Gäste-LAN laufen lassen. Wenn die ohnehin immer ins Internet kommunizieren, sollen sie wenigstens nicht auf die anderen Geräte im Netz zugreifen können.
*
Bin - wie doch einige hier - als Autodidakt unterwegs und dementsprechend lückenhaft sind meine Kenntnisse. Über Tipps - auch über meine Fragen hinaus - würde ich mich freuen!
Um meine Netzwerkinfrastruktur zu Hause abzusichern, habe ich meine unmanaged Billig-Switches durch zwei Cisco SG 250-08 ersetzt, die über Trunk Ports verbunden sind und an zwei Orten stehen. Eines der Ziele war, die Umgebung eines Servers gegen Angriffe abzusichern, ohne jedes Gerät bei mir separat zu schützen. Sie stehen wie so oft hinter einer Fritzbox (ich nenne sie FB), die mit dem ersten Switch (C1) über den ersten Access Port mit fester IP im Bereich der Fritzbox verbunden ist. C1 routet in verschiedene VLANs, die sich ebenfalls über C2 erstrecken, der aber das IP-Routing komplett C1 überlasst und letztlich nur die VLAN-Ports erweitert.
Nun kam ich auf die Idee, auf der Fritzbox auch noch das LAN-Gast-Netzwerk zu aktivieren und auf ein VLAN zu legen. Da die Fritzbox ja bereits ein Netz bereitstellt und auch DHCP, hatte ich gehofft, dass alles nun ganz einfach ist: Ich habe den LAN4 der FB als Gast-LAN konfiguriert und auf GE2 von C1 gelegt, dem ich VLAN 20 (Guest) zugewiesen habe (Layer-2, Access, keine IP). Testweise habe ich den PC an dieses VLAN, allerdings an C2 gehängt und den Ethernet-Adapter auf Auto gestellt, in der Hoffnung, der PC würde sich jetzt eine IP aus dem Gäste-LAN der FB ziehen, die im Bereich 192.168.179.0 /24 vergibt. Leider war das nicht der Fall!
Auf C1 ist IP-Routing aktiviert, auf C2 nicht. Über die Trunks werden alle VLANS übertragen (Default).
Fragen:
1. Ist es ein Problem, wenn man IP-Routing aktiviert, aber dennoch ein VLAN hat, das nur auf Layer-2 (ohne IP) durchgeschleift ist?
2. Ist die Vorstellung richtig, dass die Switches, wenn sie über Trunks verbunden sind (die gleich konfiguriert sind) sich quasi wie ein einziger größerer Switch verhalten müssten?
3. Ist es sinnvoll, den Switch das Layer-3-Routing durchführen zu lassen, der näher an der FB hängt? Letztlich hängen an beiden Switches Endgeräte.
4. Da ich beim Test oft VLAN-Zuordnungen von Ports gewechselt habe: Gibt es Situationen, bei denen man den Switch neu starten muss oder ist meine Vorstellung korrekt, das der Wechsel von VLAN-Zuordnungen letztlich das gleiche bewirkt wie wenn ich ein LAN-Kabel von dem einen Port in einen anderen stecke?
Anbei die Konfiguration der beiden Switches (nacheinander C1, dann C2). Private oder mir überflüssig erscheinende Zeilen habe ich entfernt.
*
Bin - wie doch einige hier - als Autodidakt unterwegs und dementsprechend lückenhaft sind meine Kenntnisse. Über Tipps - auch über meine Fragen hinaus - würde ich mich freuen!
Um meine Netzwerkinfrastruktur zu Hause abzusichern, habe ich meine unmanaged Billig-Switches durch zwei Cisco SG 250-08 ersetzt, die über Trunk Ports verbunden sind und an zwei Orten stehen. Eines der Ziele war, die Umgebung eines Servers gegen Angriffe abzusichern, ohne jedes Gerät bei mir separat zu schützen. Sie stehen wie so oft hinter einer Fritzbox (ich nenne sie FB), die mit dem ersten Switch (C1) über den ersten Access Port mit fester IP im Bereich der Fritzbox verbunden ist. C1 routet in verschiedene VLANs, die sich ebenfalls über C2 erstrecken, der aber das IP-Routing komplett C1 überlasst und letztlich nur die VLAN-Ports erweitert.
Nun kam ich auf die Idee, auf der Fritzbox auch noch das LAN-Gast-Netzwerk zu aktivieren und auf ein VLAN zu legen. Da die Fritzbox ja bereits ein Netz bereitstellt und auch DHCP, hatte ich gehofft, dass alles nun ganz einfach ist: Ich habe den LAN4 der FB als Gast-LAN konfiguriert und auf GE2 von C1 gelegt, dem ich VLAN 20 (Guest) zugewiesen habe (Layer-2, Access, keine IP). Testweise habe ich den PC an dieses VLAN, allerdings an C2 gehängt und den Ethernet-Adapter auf Auto gestellt, in der Hoffnung, der PC würde sich jetzt eine IP aus dem Gäste-LAN der FB ziehen, die im Bereich 192.168.179.0 /24 vergibt. Leider war das nicht der Fall!
Auf C1 ist IP-Routing aktiviert, auf C2 nicht. Über die Trunks werden alle VLANS übertragen (Default).
Fragen:
1. Ist es ein Problem, wenn man IP-Routing aktiviert, aber dennoch ein VLAN hat, das nur auf Layer-2 (ohne IP) durchgeschleift ist?
2. Ist die Vorstellung richtig, dass die Switches, wenn sie über Trunks verbunden sind (die gleich konfiguriert sind) sich quasi wie ein einziger größerer Switch verhalten müssten?
3. Ist es sinnvoll, den Switch das Layer-3-Routing durchführen zu lassen, der näher an der FB hängt? Letztlich hängen an beiden Switches Endgeräte.
4. Da ich beim Test oft VLAN-Zuordnungen von Ports gewechselt habe: Gibt es Situationen, bei denen man den Switch neu starten muss oder ist meine Vorstellung korrekt, das der Wechsel von VLAN-Zuordnungen letztlich das gleiche bewirkt wie wenn ich ein LAN-Kabel von dem einen Port in einen anderen stecke?
Anbei die Konfiguration der beiden Switches (nacheinander C1, dann C2). Private oder mir überflüssig erscheinende Zeilen habe ich entfernt.
C1
unit-type-control-start
unit-type unit 1 network gi uplink none
unit-type-control-end
!
vlan database
vlan 10,20,30,40,50,60,70,80,100
exit
ip access-list extended allow
permit ip any any ace-priority 1
exit
hostname SWITCH-EG
line ssh
exec-timeout 0
exit
line telnet
exec-timeout 0
exit
ip ssh server
ip http timeout-policy 0
ip name-server 192.168.178.1
!
interface vlan 10
name Incoming
ip address 192.168.10.1 255.255.255.0
service-acl input allow default-action permit-any
!
interface vlan 20
!
interface vlan 30
ip address 192.168.30.1 255.255.255.0
!
interface vlan 40
ip address 192.168.40.1 255.255.255.0
!
interface vlan 50
ip address 192.168.50.1 255.255.255.0
!
interface vlan 60
ip address 192.168.60.1 255.255.255.0
!
interface vlan 70
ip address 192.168.70.1 255.255.255.0
!
interface vlan 100
name Administration
ip address 192.168.100.1 255.255.255.0
!
interface GigabitEthernet1
ip address 192.168.178.2 255.255.255.0
gvrp enable
no switchport
switchport access vlan 10
!
interface GigabitEthernet2
ip address dhcp
switchport access vlan 60
!
interface GigabitEthernet3
switchport access vlan 50
switchport trunk native vlan 50
!
interface GigabitEthernet4
switchport access vlan 50
!
interface GigabitEthernet7
switchport access vlan 20
!
interface GigabitEthernet8
switchport mode trunk
switchport general allowed vlan add 1,20,30,40,50,60,70 tagged
switchport access vlan none
switchport trunk native vlan none
!
exit
ip default-gateway 192.168.178.1
ip route 192.168.178.0 /24 192.168.178.1 C2
unit-type-control-start
unit-type unit 1 network gi uplink none
unit-type-control-end
!
vlan database
vlan 10,20,30,40,50,60,70,80,100
exit
no ip routing
bonjour interface range vlan 1
ip access-list extended allow
permit ip any any ace-priority 1
exit
ip ssh server
!
interface vlan 10
ip address 192.168.10.2 255.255.255.0
service-acl input allow default-action permit-any
!
interface vlan 20
name "Guest - Layer 2"
shutdown
!
interface vlan 30
!
interface vlan 40
!
interface vlan 50
!
interface vlan 60
!
interface vlan 70
ip address 192.168.70.2 255.255.255.0
!
interface vlan 100
!
interface GigabitEthernet1
switchport mode trunk
switchport trunk native vlan none
!
interface GigabitEthernet2
switchport access vlan 30
!
interface GigabitEthernet3
switchport access vlan 30
!
interface GigabitEthernet7
switchport access vlan 70
!
interface GigabitEthernet8
switchport access vlan 80
!
exit
ip default-gateway 192.168.10.1 
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1930470173
Url: https://administrator.de/forum/vlans-mit-layer-3-und-layer-2-segmentieren-1930470173.html
Ausgedruckt am: 09.04.2025 um 19:04 Uhr
2 Kommentare
Neuester Kommentar
Hi,
Innerhalb eines VLANs verhalten sich die angeschlossenen Geräte so, als wären sie an einem großen Switch der nicht konfiguriert ist.
Stell dir lieber jedes VLAN als einen eigenen dummen Layer 2 Switch vor.
Am besten zeichnest du mal auf, wie die Pakete laufen, dann wird es klarer.
Allerdings gehen die meisten Endgeräte davon aus, dass sich das Netzwerk nicht ändert, sobald sie einmal verbunden sind.
Wie oben gesagt: Die meisten Geräte gehen davon aus, dass sich nichts ändert und fragen deshalb auch nicht ständig nach. Selbst ein Netzwerkkabel abstecken erzeugt z.B. unter Windows keine neue vollständige DHCP-Aushandlung. Deshalb sollte man zum testen immer mit ipconfig /release + ipconfig /renew arbeiten, damit des Client sich wirklich neu im Netz meldet.
Ich persönlich würde immer das VLAN zuerst zuweisen, und dann das Kabel stecken. Bei Änderungen ohne Zugriff auf das Gerät würde ich den Switchport deaktivieren, VLAN ändern, Switchport aktivieren. Dann ist es wirklich wie "umstecken".
Edit:
Schau dir mal aquis VLAN Thread hier an: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich verstehe so manches an deiner Konfig nicht.
z.B. die ACL an VLAN 10 im C2
Gruß
Fragen:
1. Ist es ein Problem, wenn man IP-Routing aktiviert, aber dennoch ein VLAN hat, das nur auf Layer-2 (ohne IP) durchgeschleift ist?
Nein, das ist sogar durchaus üblich für Fälle wie dein Gast-LAN.1. Ist es ein Problem, wenn man IP-Routing aktiviert, aber dennoch ein VLAN hat, das nur auf Layer-2 (ohne IP) durchgeschleift ist?
2. Ist die Vorstellung richtig, dass die Switches, wenn sie über Trunks verbunden sind (die gleich konfiguriert sind) sich quasi wie ein einziger größerer Switch verhalten müssten?
Jain.Innerhalb eines VLANs verhalten sich die angeschlossenen Geräte so, als wären sie an einem großen Switch der nicht konfiguriert ist.
Stell dir lieber jedes VLAN als einen eigenen dummen Layer 2 Switch vor.
3. Ist es sinnvoll, den Switch das Layer-3-Routing durchführen zu lassen, der näher an der FB hängt? Letztlich hängen an beiden Switches Endgeräte.
Ja, denn dann müssen die Pakete zur Fritzbox zumindest von diesem Switch nicht noch auf den anderen und zurück.Am besten zeichnest du mal auf, wie die Pakete laufen, dann wird es klarer.
4. Da ich beim Test oft VLAN-Zuordnungen von Ports gewechselt habe: Gibt es Situationen, bei denen man den Switch neu starten muss oder ist meine Vorstellung korrekt, das der Wechsel von VLAN-Zuordnungen letztlich das gleiche bewirkt wie wenn ich ein LAN-Kabel von dem einen Port in einen anderen stecke?
Bei einer simplen VLAN Zuweisung sollte kein Neustart des Switches nötig sein.Allerdings gehen die meisten Endgeräte davon aus, dass sich das Netzwerk nicht ändert, sobald sie einmal verbunden sind.
das der Wechsel von VLAN-Zuordnungen letztlich das gleiche bewirkt wie wenn ich ein LAN-Kabel von dem einen Port in einen anderen steck
Für den Switch ja, für das Gerät nicht unbedingt.Wie oben gesagt: Die meisten Geräte gehen davon aus, dass sich nichts ändert und fragen deshalb auch nicht ständig nach. Selbst ein Netzwerkkabel abstecken erzeugt z.B. unter Windows keine neue vollständige DHCP-Aushandlung. Deshalb sollte man zum testen immer mit ipconfig /release + ipconfig /renew arbeiten, damit des Client sich wirklich neu im Netz meldet.
Ich persönlich würde immer das VLAN zuerst zuweisen, und dann das Kabel stecken. Bei Änderungen ohne Zugriff auf das Gerät würde ich den Switchport deaktivieren, VLAN ändern, Switchport aktivieren. Dann ist es wirklich wie "umstecken".
Edit:
Schau dir mal aquis VLAN Thread hier an: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich verstehe so manches an deiner Konfig nicht.
z.B. die ACL an VLAN 10 im C2
Gruß
1
Vielen Dank! Die meisten Punkte hast Du mehr oder weniger bestätigt; das gibt mir jetzt ein besseres Gefühl, und es funktioniert auch alles.
Tatsächlich war das für mich ganz schön Arbeit, dahinzukommen, und ich habe die Details am Anfang etwas unterschätzt. Das liegt daran, dass ich zwar theoretisch einigermaßen verstanden habe, was passiert, aber in der Praxis muss man dann einen Switch mit der Default-IP konfigurieren, die IP dann später wechseln etc. und das führt dazu, dass man irgendwo am "Konfigurator-PC" (vermutlich wäre ein Laptop praktischer) im Ethernet-Adapter ein falsches Gateway eingetragen hat. Oder das Kabel ist einfach am falschen Port. Da gibt es eben doch ein paar Fallstricke!
Als ich komplett verzweifelt war, wollte ich ich sicherstellen, dass der Default der ACL nicht Deny ist, wenn nichts eingetragen ist. Daher habe ich eine Allow Any - Regel definiert, die nun sinnlos herumsteht. Mein ganzes Vorhaben macht ja ohnehin nur mit einer ACL Sinn, da ich die Netze ja trennen wollte. Im Moment können die Netze sich aber sehen, weil es einen Pfad über den Router zurück gibt.
Einige VLAN's werde ich gar nicht brauchen, da das Gast-Netzwerk der Fritzbox da schon seinen Dienst tut und ich dann einfach jene Geräte in dieses VLAN verfrachten werde. Ich habe auch einen Server, und den werde ich per Firewall-Regeln dann etwas isolieren. Letztlich sind das nur Maßnahmen, die verhindern sollen, dass jemand, der mir bei der Konfiguration hilft und root-Rechte auf den Server hat, nicht ins umgebende Netz schauen kann. Gleiches gilt für einen eventuellen Angreifer.
Tatsächlich war das für mich ganz schön Arbeit, dahinzukommen, und ich habe die Details am Anfang etwas unterschätzt. Das liegt daran, dass ich zwar theoretisch einigermaßen verstanden habe, was passiert, aber in der Praxis muss man dann einen Switch mit der Default-IP konfigurieren, die IP dann später wechseln etc. und das führt dazu, dass man irgendwo am "Konfigurator-PC" (vermutlich wäre ein Laptop praktischer) im Ethernet-Adapter ein falsches Gateway eingetragen hat. Oder das Kabel ist einfach am falschen Port. Da gibt es eben doch ein paar Fallstricke!
Als ich komplett verzweifelt war, wollte ich ich sicherstellen, dass der Default der ACL nicht Deny ist, wenn nichts eingetragen ist. Daher habe ich eine Allow Any - Regel definiert, die nun sinnlos herumsteht. Mein ganzes Vorhaben macht ja ohnehin nur mit einer ACL Sinn, da ich die Netze ja trennen wollte. Im Moment können die Netze sich aber sehen, weil es einen Pfad über den Router zurück gibt.
Einige VLAN's werde ich gar nicht brauchen, da das Gast-Netzwerk der Fritzbox da schon seinen Dienst tut und ich dann einfach jene Geräte in dieses VLAN verfrachten werde. Ich habe auch einen Server, und den werde ich per Firewall-Regeln dann etwas isolieren. Letztlich sind das nur Maßnahmen, die verhindern sollen, dass jemand, der mir bei der Konfiguration hilft und root-Rechte auf den Server hat, nicht ins umgebende Netz schauen kann. Gleiches gilt für einen eventuellen Angreifer.
