5
VPN zwischen Switchen - welche Einstellung wofür?
Zwei LAN-Segmente auf zwei Etagen - aber nur ein Kabel....
Hallo allerseits,
nach größeren Schwierigkeiten (habe dabei, wie ich jetzt sehe, vier leere Beiträge verfaßt, weil ich nie ein Eingabefeld zu Gesicht bekam!) ändere ich jetzt eines der leeren Postings - mein erstes hier.
Ein paar Worte als Hintergrund:
Ich habe früher (um 1990) Hardware verkauft und später kleine LANs betreut - bin also mit 'einfachen' Umgebungen durchaus vertraut.
Inzwischen bin ich als Projektmanager tätig und betreue das LAN meines Arbeitsgebers nebenbei. Bisher war das alles nichts Neues für mich: 1 Büroetage mit 2 LAN-Segmenten (interne und extrene), physikalisch getrennt durch unterschiedliche Firewalls.
Jetzt haben wir ein zusätzliches Stockwerk und auch dort sollen beide Segmente laufen - es gibt aber nur ein Kabel. Ergo: zwei VPNs auf dem einen Kabel. Richtig?
Zwei aktive NETGEAR-Switche sind vorhanden (FSM7xx) und verbaut. Ohne VPN läuft die Sache auch prima.
Um jetzt VPNs einzurichten muß ich:
1. die VPNs an sich definieren.
2. die Ports den VPNs zuweisen. Hier gibt es 3 Einstellungen:
. . . . T für Tagged
. . . . U für Untagged und
. . . . leer
3. noch jedem Port eine PVID zugeweisen.
Ist das so richtig und vollständig?
Dann also los:
Punkt 1 ist banal und logisch. VPN 1 (das Standard-Netz) umbenannt in OfficeLAN, dazu ein VPN 'Gaeste' angelegt.
Punkt 2 ist schon nicht mehr ganz klar. Ich vermute, daß das T so zu verstehen ist, daß über diesen Port alle VPNs gehen, U heiß, daß nur ein VPN drübergeht und leer heißt, daß nichts geht. Wenn das so stimmt, dann sollten meine Einstellungen korrekt sein.
(Für alle, die die Netgear-Geräte nicht kennen: Die haben eine Weboberfläche, bei der jedes VPN einzeln dargestellt wird - so daß die Ports, die in einem VPN leer sind, in einem anderen ein U enthalten können.)
Punkt 3 ist mir völlig unklar. Was ist eine PVID und wozu dient sie?
Auf Basis welcher Information weiß der annehmende Switch, zu welchem VPN ein Paket gehört? Dient das die VPN-ID? Oder diese PVID? Oder noch etwas anderes?
Viele grundsätzliche Fragen, die von den NETGEAR-Unterlagen nicht erklärt werden. Da lese ich zwar, wo ich die PVID einstellen kann - aber weiß davon noch nicht, wie!?
So, jetzt habe ich euch zugesülzt - hoffe, es war nicht gar zu öde. Und nicht zum 100sten Mal die gleiche Frage - aber eben diese grundlegenden Erklärungen habe ich nirgends gefunden.
Vielen Dank für Eure Hilfe und
schöne Grüße
Uli
Hallo allerseits,
nach größeren Schwierigkeiten (habe dabei, wie ich jetzt sehe, vier leere Beiträge verfaßt, weil ich nie ein Eingabefeld zu Gesicht bekam!) ändere ich jetzt eines der leeren Postings - mein erstes hier.
Ein paar Worte als Hintergrund:
Ich habe früher (um 1990) Hardware verkauft und später kleine LANs betreut - bin also mit 'einfachen' Umgebungen durchaus vertraut.
Inzwischen bin ich als Projektmanager tätig und betreue das LAN meines Arbeitsgebers nebenbei. Bisher war das alles nichts Neues für mich: 1 Büroetage mit 2 LAN-Segmenten (interne und extrene), physikalisch getrennt durch unterschiedliche Firewalls.
Jetzt haben wir ein zusätzliches Stockwerk und auch dort sollen beide Segmente laufen - es gibt aber nur ein Kabel. Ergo: zwei VPNs auf dem einen Kabel. Richtig?
Zwei aktive NETGEAR-Switche sind vorhanden (FSM7xx) und verbaut. Ohne VPN läuft die Sache auch prima.
Um jetzt VPNs einzurichten muß ich:
1. die VPNs an sich definieren.
2. die Ports den VPNs zuweisen. Hier gibt es 3 Einstellungen:
. . . . T für Tagged
. . . . U für Untagged und
. . . . leer
3. noch jedem Port eine PVID zugeweisen.
Ist das so richtig und vollständig?
Dann also los:
Punkt 1 ist banal und logisch. VPN 1 (das Standard-Netz) umbenannt in OfficeLAN, dazu ein VPN 'Gaeste' angelegt.
Punkt 2 ist schon nicht mehr ganz klar. Ich vermute, daß das T so zu verstehen ist, daß über diesen Port alle VPNs gehen, U heiß, daß nur ein VPN drübergeht und leer heißt, daß nichts geht. Wenn das so stimmt, dann sollten meine Einstellungen korrekt sein.
(Für alle, die die Netgear-Geräte nicht kennen: Die haben eine Weboberfläche, bei der jedes VPN einzeln dargestellt wird - so daß die Ports, die in einem VPN leer sind, in einem anderen ein U enthalten können.)
Punkt 3 ist mir völlig unklar. Was ist eine PVID und wozu dient sie?
Auf Basis welcher Information weiß der annehmende Switch, zu welchem VPN ein Paket gehört? Dient das die VPN-ID? Oder diese PVID? Oder noch etwas anderes?
Viele grundsätzliche Fragen, die von den NETGEAR-Unterlagen nicht erklärt werden. Da lese ich zwar, wo ich die PVID einstellen kann - aber weiß davon noch nicht, wie!?
So, jetzt habe ich euch zugesülzt - hoffe, es war nicht gar zu öde. Und nicht zum 100sten Mal die gleiche Frage - aber eben diese grundlegenden Erklärungen habe ich nirgends gefunden.
Vielen Dank für Eure Hilfe und
schöne Grüße
Uli
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 45831
Url: https://administrator.de/forum/vpn-zwischen-switchen-welche-einstellung-wofuer-45831.html
Ausgedruckt am: 16.04.2025 um 12:04 Uhr
5 Kommentare
Neuester Kommentar
Ein kleiner Fehler hat sich eingeschlichen bei dir:
Es sind KEINE VPNs sondern VLANs !!! VPNs ist etwas ganz anderes...
Die VLANs definierst du auf dem Switch mit einer VLAN ID (eine eindeutige Nummer für das VLAN) und optional einem Namen. Dann weist du dem VLAN Ports zu und zwar untagged für Endgeräte und tagged für den Trunk Link zum anderen Switch in der anderen Etage. Das ist deine VLAN ID oder wie du sie nennst PVID. Denn jeder Port muss ja wissen zu welchem VLAN er gehören soll !!
Auf dem tagged Link versieht der Switch jedes Ethernet Packet mit einem IEEE 802.1q Tag (deshalb muss dein Switch zwingend 802.1q fähig sein) in dem die VLAN ID steckt. Der empfangene Switch weiß dann sofort für welches VLAN dieses Packet ist wenn er es auf seinem tagged Link empfängt.
Details dazu kannst du hier:
http://www.heise.de/netze/artikel/77832
nachlesen.
Es sind KEINE VPNs sondern VLANs !!! VPNs ist etwas ganz anderes...
Die VLANs definierst du auf dem Switch mit einer VLAN ID (eine eindeutige Nummer für das VLAN) und optional einem Namen. Dann weist du dem VLAN Ports zu und zwar untagged für Endgeräte und tagged für den Trunk Link zum anderen Switch in der anderen Etage. Das ist deine VLAN ID oder wie du sie nennst PVID. Denn jeder Port muss ja wissen zu welchem VLAN er gehören soll !!
Auf dem tagged Link versieht der Switch jedes Ethernet Packet mit einem IEEE 802.1q Tag (deshalb muss dein Switch zwingend 802.1q fähig sein) in dem die VLAN ID steckt. Der empfangene Switch weiß dann sofort für welches VLAN dieses Packet ist wenn er es auf seinem tagged Link empfängt.
Details dazu kannst du hier:
http://www.heise.de/netze/artikel/77832
nachlesen.
Hallo,
vielen Dank für die Richtigstellung VPN vs. VLAN. Vermutlich der Grund, warum Google mir praktisch nichts brauchbares ausspuckte!
Die Portzuweisung nach Tagged/Untagged habe ich also richtig, prima.
Jetzt muß ich aber noch die VPIDs zuweisen. Bei den untagged Ports nehme ich die jeweilige VLAN ID, klar. Aber welche ID weise ich der 'tagged' Verbindung zu? Die muß ja die Pakete beider VLANs übertragen!?
Ratlose Grüße (aber ich frag nochmal Google)
Uli
vielen Dank für die Richtigstellung VPN vs. VLAN. Vermutlich der Grund, warum Google mir praktisch nichts brauchbares ausspuckte!
Die Portzuweisung nach Tagged/Untagged habe ich also richtig, prima.
Jetzt muß ich aber noch die VPIDs zuweisen. Bei den untagged Ports nehme ich die jeweilige VLAN ID, klar. Aber welche ID weise ich der 'tagged' Verbindung zu? Die muß ja die Pakete beider VLANs übertragen!?
Ratlose Grüße (aber ich frag nochmal Google)
Uli
Hi Uli,
duno hat ein gutes Tutorial über VLAN geschrieben. Ich meine das hilft zu verstehen was ein Tagged Port ist.
Das Manual für die Netgear Switches liegt hier: (falls es jemand verlegt haben sollte)
ftp://downloads.netgear.com/files/700_switch_manual_sw_v2.pdf
Jeder Port ist by default VLAN 1 und ist untagged. VLAN 1 kann nicht gelöscht werden. Alle eingehende Pakete, die noch kein VLAN tag haben, bekommen das VLAN Tag das zu diesem Port gehört. Das Verbindungskabel zwischen dem Switch oben und dem Switch unten ist T - Tagged und wird die Pakete nur weiter geben ohne das VLAN Tag zu entfernen.
Beispiel: Auf dem Switch unten sind Ports 10-14 im VLAN2, aber nicht mehr im VLAN1 (!)
Die Verbindung zum Switch oben ist Port 25, Tagged und Mitglied im VLAN 1 und im VLAN 2
Entsprechend ist dann oben Port 25 genau so konfiguriert und die Ports 12 bis 19 im VLAN2.
Ein Paket von Port 3 unten wird VLAN1, geht über die tagged Leitung auf Port 25 nach oben und kommt dort am Port 21 wieder im VLAN 1 raus. Umgedreht Port 15 oben, ist VLAN2 und erscheint unten im VLAN 2 auf Port 10. Mit einer (bunten) Skizze wird das ganze deutlicher.
Vergiss nicht die Ports die im VLAN 2 sind dürfen nicht auch im VLAN 1 sein, ausgenommen das Verbindungskabel. Ein guter Admin würde dann noch die Leitung von oben nach unten als VLAN 1 und 2 beschriften und die Switchports markieren. Macht aber nicht jeder, dann ist das Ratespiel nächstes Jahr nicht so langweilig.
Gruß Rafiki
duno hat ein gutes Tutorial über VLAN geschrieben. Ich meine das hilft zu verstehen was ein Tagged Port ist.
Das Manual für die Netgear Switches liegt hier: (falls es jemand verlegt haben sollte)
ftp://downloads.netgear.com/files/700_switch_manual_sw_v2.pdf
Jeder Port ist by default VLAN 1 und ist untagged. VLAN 1 kann nicht gelöscht werden. Alle eingehende Pakete, die noch kein VLAN tag haben, bekommen das VLAN Tag das zu diesem Port gehört. Das Verbindungskabel zwischen dem Switch oben und dem Switch unten ist T - Tagged und wird die Pakete nur weiter geben ohne das VLAN Tag zu entfernen.
Beispiel: Auf dem Switch unten sind Ports 10-14 im VLAN2, aber nicht mehr im VLAN1 (!)
Die Verbindung zum Switch oben ist Port 25, Tagged und Mitglied im VLAN 1 und im VLAN 2
Entsprechend ist dann oben Port 25 genau so konfiguriert und die Ports 12 bis 19 im VLAN2.
Ein Paket von Port 3 unten wird VLAN1, geht über die tagged Leitung auf Port 25 nach oben und kommt dort am Port 21 wieder im VLAN 1 raus. Umgedreht Port 15 oben, ist VLAN2 und erscheint unten im VLAN 2 auf Port 10. Mit einer (bunten) Skizze wird das ganze deutlicher.
Vergiss nicht die Ports die im VLAN 2 sind dürfen nicht auch im VLAN 1 sein, ausgenommen das Verbindungskabel. Ein guter Admin würde dann noch die Leitung von oben nach unten als VLAN 1 und 2 beschriften und die Switchports markieren. Macht aber nicht jeder, dann ist das Ratespiel nächstes Jahr nicht so langweilig.
Gruß Rafiki
Hallo Rafiki,
danke für die ausführliche Antwort.
Was noch zu ergänzen wäre: Die PVID bei den Netgear-Switchen ist offenbar eine zusätzliche Unterscheidung:
Wenn Port 1-3 NUR in VLAN 1 sind, dann bekommen sie beispielsweise die PVID 1;
Port 4-6 seien NUR in VLAN 2 - dann bekommen sie beispielsweise die PVID 2;
Port 8 sei die Verbindungsleitung und deshalb in VLAN 1 UND 2 - dann bekommt der eine eigene PVID, beispielsweise die 3.
Das ganze entsprechend auf beiden Switchen eingetragen - und es läuft perfekt!
Die Sache mit der PVID habe ich nirgends erklärt gefunden, habs mir aus den beiden Beispielen, die ich ergooglet habe, so erklärt. Obs stimmt? Ich nehme es mal an - die Macht des Faktischen spricht dafür!
Vielen Dank Euch beiden und weiter viel Spaß und Erfolg!
Schöne Grüße
Uli
...der selbst ein Forum betreibt und das Spiel kennt, daß irgendwo irgendwer auftaucht, weil er ein Problem hat. Und statt dabeizubleiben, taucht der doch (nach Problemlösung) glatt einfach wieder ab.
Aber wer weiß, wann er das nächste Problem hat... und sich dann vielleicht erinnert, wo ihm so gut und schnell geholfen wurde!? Also: Bis zum nächsten Mal!
danke für die ausführliche Antwort.
Was noch zu ergänzen wäre: Die PVID bei den Netgear-Switchen ist offenbar eine zusätzliche Unterscheidung:
Wenn Port 1-3 NUR in VLAN 1 sind, dann bekommen sie beispielsweise die PVID 1;
Port 4-6 seien NUR in VLAN 2 - dann bekommen sie beispielsweise die PVID 2;
Port 8 sei die Verbindungsleitung und deshalb in VLAN 1 UND 2 - dann bekommt der eine eigene PVID, beispielsweise die 3.
Das ganze entsprechend auf beiden Switchen eingetragen - und es läuft perfekt!
Die Sache mit der PVID habe ich nirgends erklärt gefunden, habs mir aus den beiden Beispielen, die ich ergooglet habe, so erklärt. Obs stimmt? Ich nehme es mal an - die Macht des Faktischen spricht dafür!
Vielen Dank Euch beiden und weiter viel Spaß und Erfolg!
Schöne Grüße
Uli
...der selbst ein Forum betreibt und das Spiel kennt, daß irgendwo irgendwer auftaucht, weil er ein Problem hat. Und statt dabeizubleiben, taucht der doch (nach Problemlösung) glatt einfach wieder ab.
Aber wer weiß, wann er das nächste Problem hat... und sich dann vielleicht erinnert, wo ihm so gut und schnell geholfen wurde!? Also: Bis zum nächsten Mal!
@Rafiki
Das VLAN 1 kann man schon löschen wenn man die default VLAN ID auf einen anderen Wert wie z.B. 4090 setzt. Dann hab ich kein VLAN 1 mehr. Das soll aber keine Spitzfindigkeit sein
und es ist auch fraglich ob auf billigen Consumer Switches dies möglich ist....
@ULSC
Normalerweise solltest du keine PVID für den tagged Port zum anderen Switch vergeben müssen. Es sollte lediglich reichen diesen Port 8 einfach "tagged" sowohl im VLAN1 als auch im VLAN2 bzw. anderen ggf. vorhandenen VLANs zu definieren. Das sollte reichen. Es mag aber sein das "NetGear" hier eine etwas andere Logik verfolgt als der Rest der Welt....
Das VLAN 1 kann man schon löschen wenn man die default VLAN ID auf einen anderen Wert wie z.B. 4090 setzt. Dann hab ich kein VLAN 1 mehr. Das soll aber keine Spitzfindigkeit sein
und es ist auch fraglich ob auf billigen Consumer Switches dies möglich ist....@ULSC
Normalerweise solltest du keine PVID für den tagged Port zum anderen Switch vergeben müssen. Es sollte lediglich reichen diesen Port 8 einfach "tagged" sowohl im VLAN1 als auch im VLAN2 bzw. anderen ggf. vorhandenen VLANs zu definieren. Das sollte reichen. Es mag aber sein das "NetGear" hier eine etwas andere Logik verfolgt als der Rest der Welt....
