Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN zwischen Switchen - welche Einstellung wofür?

Mitglied: ULSC

ULSC (Level 1) - Jetzt verbinden

01.12.2006, aktualisiert 02.12.2006, 6208 Aufrufe, 5 Kommentare

Zwei LAN-Segmente auf zwei Etagen - aber nur ein Kabel....

Hallo allerseits,
nach größeren Schwierigkeiten (habe dabei, wie ich jetzt sehe, vier leere Beiträge verfaßt, weil ich nie ein Eingabefeld zu Gesicht bekam!) ändere ich jetzt eines der leeren Postings - mein erstes hier.

Ein paar Worte als Hintergrund:
Ich habe früher (um 1990) Hardware verkauft und später kleine LANs betreut - bin also mit 'einfachen' Umgebungen durchaus vertraut.
Inzwischen bin ich als Projektmanager tätig und betreue das LAN meines Arbeitsgebers nebenbei. Bisher war das alles nichts Neues für mich: 1 Büroetage mit 2 LAN-Segmenten (interne und extrene), physikalisch getrennt durch unterschiedliche Firewalls.

Jetzt haben wir ein zusätzliches Stockwerk und auch dort sollen beide Segmente laufen - es gibt aber nur ein Kabel. Ergo: zwei VPNs auf dem einen Kabel. Richtig?

Zwei aktive NETGEAR-Switche sind vorhanden (FSM7xx) und verbaut. Ohne VPN läuft die Sache auch prima.

Um jetzt VPNs einzurichten muß ich:
1. die VPNs an sich definieren.
2. die Ports den VPNs zuweisen. Hier gibt es 3 Einstellungen:
. . . . T für Tagged
. . . . U für Untagged und
. . . . leer
3. noch jedem Port eine PVID zugeweisen.

Ist das so richtig und vollständig?


Dann also los:
Punkt 1 ist banal und logisch. VPN 1 (das Standard-Netz) umbenannt in OfficeLAN, dazu ein VPN 'Gaeste' angelegt.

Punkt 2 ist schon nicht mehr ganz klar. Ich vermute, daß das T so zu verstehen ist, daß über diesen Port alle VPNs gehen, U heiß, daß nur ein VPN drübergeht und leer heißt, daß nichts geht. Wenn das so stimmt, dann sollten meine Einstellungen korrekt sein.
(Für alle, die die Netgear-Geräte nicht kennen: Die haben eine Weboberfläche, bei der jedes VPN einzeln dargestellt wird - so daß die Ports, die in einem VPN leer sind, in einem anderen ein U enthalten können.)

Punkt 3 ist mir völlig unklar. Was ist eine PVID und wozu dient sie?


Auf Basis welcher Information weiß der annehmende Switch, zu welchem VPN ein Paket gehört? Dient das die VPN-ID? Oder diese PVID? Oder noch etwas anderes?

Viele grundsätzliche Fragen, die von den NETGEAR-Unterlagen nicht erklärt werden. Da lese ich zwar, wo ich die PVID einstellen kann - aber weiß davon noch nicht, wie!?

So, jetzt habe ich euch zugesülzt - hoffe, es war nicht gar zu öde. Und nicht zum 100sten Mal die gleiche Frage - aber eben diese grundlegenden Erklärungen habe ich nirgends gefunden.

Vielen Dank für Eure Hilfe und
schöne Grüße
Uli
Mitglied: aqui
01.12.2006 um 19:43 Uhr
Ein kleiner Fehler hat sich eingeschlichen bei dir:
Es sind KEINE VPNs sondern VLANs !!! VPNs ist etwas ganz anderes...

Die VLANs definierst du auf dem Switch mit einer VLAN ID (eine eindeutige Nummer für das VLAN) und optional einem Namen. Dann weist du dem VLAN Ports zu und zwar untagged für Endgeräte und tagged für den Trunk Link zum anderen Switch in der anderen Etage. Das ist deine VLAN ID oder wie du sie nennst PVID. Denn jeder Port muss ja wissen zu welchem VLAN er gehören soll !!

Auf dem tagged Link versieht der Switch jedes Ethernet Packet mit einem IEEE 802.1q Tag (deshalb muss dein Switch zwingend 802.1q fähig sein) in dem die VLAN ID steckt. Der empfangene Switch weiß dann sofort für welches VLAN dieses Packet ist wenn er es auf seinem tagged Link empfängt.

Details dazu kannst du hier:
http://www.heise.de/netze/artikel/77832

nachlesen.
Bitte warten ..
Mitglied: ULSC
01.12.2006 um 20:49 Uhr
Hallo,
vielen Dank für die Richtigstellung VPN vs. VLAN. Vermutlich der Grund, warum Google mir praktisch nichts brauchbares ausspuckte!

Die Portzuweisung nach Tagged/Untagged habe ich also richtig, prima.

Jetzt muß ich aber noch die VPIDs zuweisen. Bei den untagged Ports nehme ich die jeweilige VLAN ID, klar. Aber welche ID weise ich der 'tagged' Verbindung zu? Die muß ja die Pakete beider VLANs übertragen!?

Ratlose Grüße (aber ich frag nochmal Google)
Uli
Bitte warten ..
Mitglied: Rafiki
01.12.2006 um 22:14 Uhr
Hi Uli,

duno hat ein gutes Tutorial über VLAN geschrieben. Ich meine das hilft zu verstehen was ein Tagged Port ist.
https://www.administrator.de/VLANs_-_Schnell%FCberblick_und_Konfiguratio ...

Das Manual für die Netgear Switches liegt hier: (falls es jemand verlegt haben sollte)
ftp://downloads.netgear.com/files/700_switch_manual_sw_v2.pdf


Jeder Port ist by default VLAN 1 und ist untagged. VLAN 1 kann nicht gelöscht werden. Alle eingehende Pakete, die noch kein VLAN tag haben, bekommen das VLAN Tag das zu diesem Port gehört. Das Verbindungskabel zwischen dem Switch oben und dem Switch unten ist T - Tagged und wird die Pakete nur weiter geben ohne das VLAN Tag zu entfernen.

Beispiel: Auf dem Switch unten sind Ports 10-14 im VLAN2, aber nicht mehr im VLAN1 (!)
Die Verbindung zum Switch oben ist Port 25, Tagged und Mitglied im VLAN 1 und im VLAN 2
Entsprechend ist dann oben Port 25 genau so konfiguriert und die Ports 12 bis 19 im VLAN2.

Ein Paket von Port 3 unten wird VLAN1, geht über die tagged Leitung auf Port 25 nach oben und kommt dort am Port 21 wieder im VLAN 1 raus. Umgedreht Port 15 oben, ist VLAN2 und erscheint unten im VLAN 2 auf Port 10. Mit einer (bunten) Skizze wird das ganze deutlicher.

Vergiss nicht die Ports die im VLAN 2 sind dürfen nicht auch im VLAN 1 sein, ausgenommen das Verbindungskabel. Ein guter Admin würde dann noch die Leitung von oben nach unten als VLAN 1 und 2 beschriften und die Switchports markieren. Macht aber nicht jeder, dann ist das Ratespiel nächstes Jahr nicht so langweilig.


Gruß Rafiki
Bitte warten ..
Mitglied: ULSC
01.12.2006 um 22:35 Uhr
Hallo Rafiki,
danke für die ausführliche Antwort.

Was noch zu ergänzen wäre: Die PVID bei den Netgear-Switchen ist offenbar eine zusätzliche Unterscheidung:

Wenn Port 1-3 NUR in VLAN 1 sind, dann bekommen sie beispielsweise die PVID 1;
Port 4-6 seien NUR in VLAN 2 - dann bekommen sie beispielsweise die PVID 2;
Port 8 sei die Verbindungsleitung und deshalb in VLAN 1 UND 2 - dann bekommt der eine eigene PVID, beispielsweise die 3.

Das ganze entsprechend auf beiden Switchen eingetragen - und es läuft perfekt!

Die Sache mit der PVID habe ich nirgends erklärt gefunden, habs mir aus den beiden Beispielen, die ich ergooglet habe, so erklärt. Obs stimmt? Ich nehme es mal an - die Macht des Faktischen spricht dafür!

Vielen Dank Euch beiden und weiter viel Spaß und Erfolg!
Schöne Grüße
Uli


...der selbst ein Forum betreibt und das Spiel kennt, daß irgendwo irgendwer auftaucht, weil er ein Problem hat. Und statt dabeizubleiben, taucht der doch (nach Problemlösung) glatt einfach wieder ab.
Aber wer weiß, wann er das nächste Problem hat... und sich dann vielleicht erinnert, wo ihm so gut und schnell geholfen wurde!? Also: Bis zum nächsten Mal!
Bitte warten ..
Mitglied: aqui
02.12.2006 um 15:38 Uhr
@Rafiki
Das VLAN 1 kann man schon löschen wenn man die default VLAN ID auf einen anderen Wert wie z.B. 4090 setzt. Dann hab ich kein VLAN 1 mehr. Das soll aber keine Spitzfindigkeit sein und es ist auch fraglich ob auf billigen Consumer Switches dies möglich ist....

@ULSC
Normalerweise solltest du keine PVID für den tagged Port zum anderen Switch vergeben müssen. Es sollte lediglich reichen diesen Port 8 einfach "tagged" sowohl im VLAN1 als auch im VLAN2 bzw. anderen ggf. vorhandenen VLANs zu definieren. Das sollte reichen. Es mag aber sein das "NetGear" hier eine etwas andere Logik verfolgt als der Rest der Welt....
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs

HP 2910al-48G Switch Redundant (Welche Einstellung?)

Frage von mksadmSwitche und Hubs26 Kommentare

Hallo Liebe Gemeinde, ich stehe vor der Aufgabe, 2 HP 2910 Switche redundant fahren zu lassen. Folgende Struktur: 2 ...

Router & Routing

VPN Kill Switch Hilfe

Frage von Thomasr61Router & Routing6 Kommentare

Hallo Folgende Situation: Fritzbox zur Versorgung von IpTV,WLAN usw Hinter der FritzBox ein Router mit DDWRT der als VPN ...

DNS

Fritz!Box VPN Verbindung und DNS-Einstellung

gelöst Frage von OrkansonDNS10 Kommentare

Hallo zusammen. ich habe einen Fritz!Box Fernzugang ins Firmennetz eingerichtet. Nun möchte ich mich mit einem bestimmten Rechner in ...

E-Mail

DNS Einstellung Email

gelöst Frage von WPFORGEE-Mail8 Kommentare

Hallo,ich habe die domain domaina.tld momentan auf 123.123.123.aaa liegen (A Record) Der MX eintrag lautet domaina.tld. Jetzt würde ich ...

Neue Wissensbeiträge
Windows 10

Windows 10 kann XPS erzeugen aber nicht anzeigen ????

Erfahrungsbericht von Deepsys vor 14 StundenWindows 10

Heute schickt mir ein Kollegen eine E-Mail mit einer XPS-Datei vom Kunden im Anhang und fragt wie er diese ...

Exchange Server

1und1 IONOS: Probleme beim Mailversand mit Exchange

Information von reksierp vor 1 TagExchange Server3 Kommentare

Hallo, seit Do, 17.1.19 etwa Mittags nimmt 1und1 IONOS keine Mails mehr über den Standard-Port SMTP 25 an. Nachdem ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aqui vor 1 TagLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 2 TagenWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
Netzwerkmanagement
Reverse Proxy für TCP und UDP Anfragen
gelöst Frage von flxklsNetzwerkmanagement14 Kommentare

Hallo zusammen, ich besitze einen Rootserver, der nur eine öffentliche IP besitzt und auf dem mehrere VMs laufen. Da ...

Windows Server
MSSQL Backup in Form von .sql einspielen
Frage von janosch12Windows Server14 Kommentare

Guten Morgen, wir verwenden das Tool SQLandFTPBackup ( ) zum sichern einiger MSSQL Datenbanken. Nun sichert das Toll die ...

Microsoft Office
Office 2016 oder Office 2019
Frage von PeterzMicrosoft Office13 Kommentare

Hallo zusammen, wir müssen unser Office von 2010 auf eine neuere Version Umstellen. Jetzt stellt sich die Frage, ob ...

DNS
Fritz!Box VPN Verbindung und DNS-Einstellung
gelöst Frage von OrkansonDNS10 Kommentare

Hallo zusammen. ich habe einen Fritz!Box Fernzugang ins Firmennetz eingerichtet. Nun möchte ich mich mit einem bestimmten Rechner in ...