VoIP Traffic vom Softphone trennen

Wie könnte das Notebook bei VLAN den Traffic zwischen IP Telefonie und dem restlichen Traffic unterscheiden? Zwei VLAN`s mit unterschiedlichen Subnetzen?

Vermutlich hängt das Notebook noch über WLAN am Accesspoint, wenn es ein aktuelles Modell ohne Ethernet ist.

Bei WLAN wirds dann in der Tat schwierig. Kupfer würde gehen mit einer VLAN Konfig am Notebook wo man das Voice VLAN Tagged ausgibt.
(Was man ja so oder so sehr oft wegen der 802.1p Priorisierung des Voice Traffics macht die einen Tag erzwingt !)

Ich würde QoS im Windows aktivieren, warum sollte man VoIP trennen wollen?

Womit er auch absolut Recht hat !
Voice Daten gehören in einer Firma schon aus rein rechtlichen Gründen vom Produktivtraffic getrennt. Ferner ist eine QoS Steuerung sei es im Layer 2 oder Layer 3 in einem separaten VLAN erheblich einfacher als im Mischmasch mit Produktivdaten ! Sind aber alles banale Binsenweisheiten für einen Netzwerker.
Nein, das Schluß wäre ja Unsinn. Steht oben ja bereits !
Wie oben bereits gesagt aktivierst du das Tagging im Notebook Netzwerk Adapter und setzt dem Notebook eine eigene Adapter IP im Voice VLAN.
Folglich geht aller Voice Traffic dann Tagged zum Switch ins Voice VLAN.
Normaler non Voice Traffic ist untagged.
Im Kupfer Bereich mit einer Docking Station ist das also mit 3 simplen Mausklicks erledigt. Was bitte ist daran "äußerst schwierig bis unmöglich." ?? Eigentlich Unsinn.
Bei WLAN wird es so allerdings nicht klappen.
Na ja da wäre eine solche Trennung auch wieder Unsinn. Wozu sollte das gut sein ?
Die Drucker segmentiert man über ein separates VLAN im Netz in dem alle Drucker und Scannerdienste liegen und routet sie stinknormal über den Layer 3 Core Switch.
Optional mit einer Access Liste wenn das Sicherheits relevant sein sollte worauf der Auditor vermutlich abzielt.

Ahhhsooo, ja da hast du Recht. Da müsste man was frickeln mit Policy Based Routing usw. aber ob das den Aufwand lohnt ist natürlich fraglich.
Voice over WLAN ist so oder so sehr kritisch. Hat der Auditor vermutlich zu Recht angemahnt, denn das ist mit einem Wireshark auch für Laien mit einem einfachen Mausklick abhörbar.
Das ist dann aber nicht mehr technisch sondern wird dann politisch.
Solltest du als Nertzwerker eigentlich wissen...
Das Primäre Netz also die IP auf der physischen NIC wird immer untagged gesendet. Folglich kann er auch zu Hause problemlos weiterarbeiten.
Ist ja auch ein richtiger Schritt aber das macht man dann in ein VLAN und routet das klassisch über den Switch Core.

Das weiss das Notebook immer über die Ziel IP Adressen. Wie denn auch sonst ??
Nur ein Interface kann unter Winblows ein Default Gateway haben. Wenn du also dein VoIP VLAN auf 11 legst und ihm dort die IP Adresse 172.16.11.100 /24 vergibst dann kann es alle VoIP Endgeräte inkl. des VoIP Controllers immer direkt im VLAN 11 nutzen und nimmt auch das Interface dafür.
Wenn aber das Default Gateway über sein natives VLAN geht dann geht sämtlicher Traffic darüber. VoIP seitig können also nur immer Endgeräte direkt im Voice VLAN erreicht werden. Alles andere was extern geht, geht immer über das Interface wo das default Gateway drauf liegt.
Eigentlich doch ganz einfach...

Ist es auch.
Keinen Chance ! Dann geht logischerweise jeglicher Traffic an diese WAN Adresse über die NIC mit dem Gateway raus (eth0).
eth1 kann nur lediglich Endgeräte bedienen die im 172.20.11.0 /24er Netz liegen.
Mmmhh das ist jetzt etwas wirr und unverständlich.
Traffic in die große weite Welt und ins 172.20.10.0 /24er Netz geht immer und ausschliesslich über eth0 !
Nur wenn du Zieladressen im 172.20.11.0 /24er Netz (und nur die) ansprichst geht das über eth1.
So einfach ist die Logik.
Das geht dann nur über Policy based Routing (PBR) dort kannst du Gateways manipulieren je nach IP Adresse oder Applikations Port. Aber auch nur wenn du einen Layer 3 Switch hast und der auch PBR kann.
Hier kannst du mal ein Beispiel dazu sehen:
Cisco Router 2 Gateways für verschiedene Clients

Ist eine gute Wahl. PBR können aber nicht alle L3 Modelle. Solltest du im Datenblatt checken.
Wenn du günstig willst dann beschaffst du Mikrotik Switches der CRS Serie. Die haben das gesamte L3 Programm an Bord auf quasi Cisco Catalyst Niveau.

Der supportet m.W. kein PBR.
PBR greift auch nur auf dem Router nicht auf dem Client !! Vergiss das nicht. Du hast ja schon das Problem das du auf dem Client ja schon Voice bezogenen Traffic über das Voice Interface in die große weite Welt senden willst. Das scheitert ja schon primär auf dem Client.
Bei Winblows ist das technisch vollkommen unmöglich das zu machen. Bei Linux wäre es nur mit einigen Klimmzügen möglich.
Dein Grundproblem ist ja schon das durch das Gateway am anderen NIC Port Voice Traffic immer nur auf dem "falschen" Interface rauskommt.
Das kannst du dann logischewrweise auf einem L3 Switch nicht mehr "umbiegen" wie sollte das dann bei einem singulären Internet Router auch technischen gehen.... Ist so ein bischen "von hinten durch die Brust ins Auge..." und geht so natürlich nicht.