ossabow
Goto Top

Warum gibt es PVID bei VLANs, weil ich dann keinen Router brauche?

Hallo,
solch alten Fred weckt man doch nicht auf-oder? Ich möchte diese Nummer aber auch nicht in mein "laufendes Projekt" einflechten.
Es geht um (meine Plichtlektüre, echt starker Tobak):
Warum gibt es PVID bei VLANs?
Wenn ich die Anleitung meines Switches richtig interpretiere funktioniert dann VLAN ohne routing, für die IP´s böte sich ein 10.x.0.0/16 an damit alle im gleichen sun liegen.
Frage: hab ich das richtig verstanden?
asymerische-vlan

Content-ID: 397428

Url: https://administrator.de/contentid/397428

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 08.01.2019 aktualisiert um 12:39:20 Uhr
Goto Top
Ließ den Thread noch mal.
Aqui hat den Sinn ja beschrieben.

Ansonsten schaust du dir kurz die VLan Grundlagen an.

Deine Interpretation hat leider relativ wenig mit dem Thema zu tun.
137846
137846 08.01.2019 aktualisiert um 12:45:41 Uhr
Goto Top
Hier ist's auch nochmal schön anhand eines einfachen Beispiels erklärt:
https://evilttl.com/wiki/Asymmetric-VLAN
aqui
aqui 08.01.2019, aktualisiert am 21.01.2019 um 09:48:29 Uhr
Goto Top
funktioniert dann VLAN ohne routing
Man muss hier auch klar zwischen Layer 2 Devices, in der Regel Layer 2 Switches und solchen mit Layer 3 unterscheiden !
Bei Layer 2 gibt es prinzipienbedingt keinerlei Routing zw. VLANs. Klar, denn dort fehlt der Router oder Routing Prozess.
Das ist nur bei Layer 3 Switches möglich. Oder eben Routern mit embedded L2 Switches wie dem MT.
Das Prinzipbild gibt ggf. einen Überblick:

l3prinz

(Sorry, Dreckfuhler: Das "x" in VLAN unten sollte natürlich ein "y" sein !)
Ein L2 VLAN Switch hat keinen internen Router bzw. Routing Prozess ist damit also generell nicht in der Lage zu routen.

Die PVID ist lediglich eine ID Nummer am Switch Port die besagt zu welcher VLAN ID bzw. in welches VLAN der Switch ungetaggten Traffic an diesem Port, also solchen ohne jegliche VLAN Information, forwardet.
Ossabow
Ossabow 08.01.2019 um 17:49:54 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Ließ den Thread noch mal.
wird ja nicht besser dadurch face-confused
Ansonsten schaust du dir kurz die VLan Grundlagen an.

Deine Interpretation hat leider relativ wenig mit dem Thema zu tun.
Ups? Es ging doch um die Asymmetric VLAN?
Hat denn jemand auf die Hilfeseite vom Switch geschaut?
aqui
aqui 08.01.2019 um 19:35:07 Uhr
Goto Top
Welcher Switch ? Welche Hilfeseite ? Ägypten ?
Vergiss die asymetric VLANs das ist Gefrickel und macht kein Mensch heutzutage. Die meisten der Switches supporten es auch gar nicht.
sk
sk 08.01.2019, aktualisiert am 09.01.2019 um 11:05:35 Uhr
Goto Top
Zitat von @aqui:
Welcher Switch ? Welche Hilfeseite ? Ägypten ?

Dem beigefügten Screenshot zufolge ein DLINK-Switch.


Zitat von @Ossabow:
Wenn ich die Anleitung meines Switches richtig interpretiere funktioniert dann VLAN ohne routing, für die IP´s böte sich ein 10.x.0.0/16 an damit alle im gleichen sun liegen.

Deine Formulierung "funktioniert dann VLAN ohne routing" ist sehr unglücklich gewählt. VLANs funktionieren grundsätzlich ohnehin ohne Routing. IP-Routing kann jedoch eine Option sein, um auf Ressourcen in einem anderen VLAN zuzugreifen.
So gesehen kann in der Tat mittels asymmetrischer VLANs die Implementierung eines IP-Routings vermieden werden, wenn es nur darum geht, Gruppen von Endgeräten gegeneinander abzuschotten und dennoch den Zugriff auf gemeinsame Ressourcen zu erlauben.
Nenn es einfach "private VLANs", dann ist auch Aqui wieder zufrieden.


Gruß
sk
Spirit-of-Eli
Spirit-of-Eli 08.01.2019 um 22:12:43 Uhr
Goto Top
Zitat von @sk:
Nenn es einfach "private VLANs", dann ist auch Aqui wieder zufrieden.

Das erklärt auch wieso ich mit Begriff asymitric Vlan nix anfangen konnte.
Ich kenne das nur als " privat".
Dann ist der Begriff auch noch einfacher zu erklären.
aqui
aqui 09.01.2019 um 08:51:52 Uhr
Goto Top
Nenn es einfach "private VLANs", dann ist auch Aqui wieder zufrieden.
Stimmt ! face-monkey
Ossabow
Ossabow 12.01.2019 um 18:16:24 Uhr
Goto Top
Zitat von @sk:
Deine Formulierung "funktioniert dann VLAN ohne routing" ist sehr unglücklich gewählt.
Ja, das ist völlig richtig! Der eine oder andere hat ja bemerkt das ich nicht sattelfest bin, die meisten meiner Router sind von Bosch und haben 8mm Aufnahmen für Fräser . face-wink
So gesehen kann in der Tat mittels asymmetrischer VLANs die Implementierung eines IP-Routings vermieden werden, wenn es nur darum geht, Gruppen von Endgeräten gegeneinander abzuschotten und dennoch den Zugriff auf gemeinsame Ressourcen zu erlauben.
Genau das wollte ich realisieren, ging mit den Zyxel Switch aber nicht. Deswegen der Router, nun konnte ich den Zyxel Switch gegen einen (richtig!) D-Link "tauschen".
P.S. Ich habe auf mehr Zeit gehoff, bessere Hälfte kommt morgen aus dem Krankenhaus deswegen fehlte es mglw. an der Konzentration.
aqui
aqui 12.01.2019 um 22:37:02 Uhr
Goto Top
die meisten meiner Router sind von Bosch und haben 8mm Aufnahmen für Fräser
Cool ! face-monkey
ging mit den Zyxel Switch aber nicht
In der Switching Welt weisst sowas auch Private VLANs oder Isolated VLANs. Den Begriff der Asymetrie kennt man da nicht !
Danach solltest du also im Handbuch oder Datenblatt mal suchen ob er das supportet !
gegen einen (richtig!) D-Link "tauschen".
Jetzt sag nicht das der das kann und der Zyxel nicht ?!
Ossabow
Ossabow 17.01.2019 um 17:13:26 Uhr
Goto Top
Sooooooo, Frau zur Kur kann ich weitermachen.
Zitat von @aqui:
Jetzt sag nicht das der das kann und der Zyxel nicht ?!
Was der Zyxel nach Firmwareupdate nicht konnte war mein PW merken, ich konnte mich nicht wieder einloggen. Schon manches probiert (waren ja beide FW-Versionen geflasht), dann konnte ich ihn auch nach Reset nicht mehr anpingen. Das Austauschgerät zeigte nach FW-Update gleiches Verhalten.
137846
137846 17.01.2019 um 17:17:50 Uhr
Goto Top
Zitat von @Ossabow:

Sooooooo, Frau zur Kur kann ich weitermachen.
Zitat von @aqui:
Jetzt sag nicht das der das kann und der Zyxel nicht ?!
Was der Zyxel nach Firmwareupdate nicht konnte war mein PW merken, ich konnte mich nicht wieder einloggen. Schon manches probiert (waren ja beide FW-Versionen geflasht), dann konnte ich ihn auch nach Reset nicht mehr anpingen. Das Austauschgerät zeigte nach FW-Update gleiches Verhalten.
Switch Login nach Update nicht mehr möglich
Ossabow
Ossabow 17.01.2019 um 17:24:27 Uhr
Goto Top
War doch "Fabrikneu"
137846
137846 17.01.2019 aktualisiert um 17:32:11 Uhr
Goto Top
Zitat von @Ossabow:

War doch "Fabrikneu"
Da bedeutet bei Zyxel doch sowieso: "bring es am besten gleich wieder zum Sondermüll-Verwerter face-wink."

Oder du machst beim Flashen was sehr falsch face-smile.
aqui
aqui 17.01.2019 aktualisiert um 17:35:07 Uhr
Goto Top
Oha, wenn das der Kollege @sk hier liest !!! face-smile
Ossabow
Ossabow 17.01.2019 um 17:58:10 Uhr
Goto Top
Zitat von @137846:
Oder du machst beim Flashen was sehr falsch face-smile.
Ja, immer öfter. Da hat es aber supi funktioniert, hat auch funktioniert aber nach PW-änderung kein login möglich.
Das mit dem vorher Rücksetzen hat mir mglw. beim wechsel von OpenWRT zu dd-wrt einen Netgearrouter gebrickt, das ärgert mich mächtig. face-confused
Ossabow
Ossabow 17.01.2019 um 18:00:36 Uhr
Goto Top
@all,
soll ich wegen meiner DHCP-Relay-unkenntniss neuen Thread starten?
aqui
aqui 17.01.2019 aktualisiert um 18:14:35 Uhr
Goto Top
Ossabow
Ossabow 17.01.2019, aktualisiert am 18.01.2019 um 11:14:49 Uhr
Goto Top
Ach jaaaaaaaah, im Switch kann ich nur die DHCP-Server Adresse eintragen.
Soll dieser dann den Request in das isolierte VLAN senden und die Antwort an den anfragenden Client schicken können? Es tuts nicht.
Ich würde es gern testen, finde aber die Möglichkeit den DHCP-Server der Fritte für den IoT-Kram zu nutzen ganz sinnvoll.
Mal d´rüber geschlafen, geht nicht weil die Wired-Clients da auch zugreifen können.
aqui
aqui 18.01.2019 aktualisiert um 14:26:16 Uhr
Goto Top
Die IP Helper oder Relay IP Adresse die man am L3 Interface einen L3 Switches einträgt ist die IP Adresse des DHCP Servers.
Empfängt der Switch auf dem VLAN IP Interface einen DHCP Request kappt er die Absender IP des Clients (0.0.0.0 da er ja noch keine IP hat) ab und ersetzt diese mit seiner Switch IP an dem Interface und forwardet das an den DHCP Server.
Anhand der Absender IP erkennt der den Scope und teilt die IP zu und sendet den Reply an die Switch IP. Der ersetzt die Ziel IP mit der Mac des Clients (Helper Cache) und forwardet den Repy zum Client.
Grob beschrieben läuft so die DHCP Helper (Relay) Geschichte auf einem L3 Switch.

Also JA, wenn du am DHCP Server snifferst mit dem Wireshark sollte dort ein Request eingehen mit der Absender IP des Switches.
Das zeigt das der Switch den Helper richtig forwardet.
Kommt kein Request stimmt die Switchkonfig nicht.
So einfach ist das face-wink

Übrigens: der DHCP Server der Fritte kann NICHT mit mehreren Scopes umgehen. Damit wird das also nicht funktionieren !
Ossabow
Ossabow 19.01.2019 um 14:02:23 Uhr
Goto Top
Zitat von @aqui:
Übrigens: der DHCP Server der Fritte kann NICHT mit mehreren Scopes umgehen. Damit wird das also nicht funktionieren !

Hi, dieser soll ja ausschließlich für ein VLAN sein.

Ich muß den Zugriff auf den Switch lösen, folgendes habe ich übersetzt:

"Lassen Sie den Port, an dem Sie Ihren Admin-PC für die Switch-Verwaltung anschließen, unverändert (Standard: PVID = 1, nicht gekennzeichnetes Mitglied von VLAN 1), andernfalls können Sie die Verbindung zur Switch-Verwaltungsschnittstelle verlieren. Lassen Sie diesen Port für den zeitlichen Verwaltungszugriff reserviert. Sie können von keinem der Zugriffs-VLANs 2 oder 3 auf die Switch-Verwaltungsschnittstelle zugreifen."

Hat er recht, ich komme vom Server nicht auf den Switch und der kann den Server nicht anpingen.
Da wird es mit dem Relay nichts werden.
Wiso eigentlich, weil der Port die PVID hat und der Switch nicht?
Kannst Du, (Hallo aqui), mir sagen ob mit dem privat-VLAN ein Tagged-Link zum Server machbar ist, also eine zusätzliche Verbindung zur Administration des Switches?

Kann ich hier was mit anfangen?
ip-interface
aqui
aqui 19.01.2019 aktualisiert um 14:21:20 Uhr
Goto Top
Hi, dieser soll ja ausschließlich für ein VLAN sein.
OK, und befindet sich dann auch selber in diesem VLAN, oder ?
Ich muß den Zugriff auf den Switch lösen, folgendes habe ich übersetzt:
Ja, was da steht ist übliches Verhalten und ja auch mehr oder weniger logisch und kommt man auch von selber drauf.
Die Management IP des Switches ist im Default IMMER im Default VLAN 1.
VLANs sind wie wir alle ja wissen auf einem L2 VLAN Switch immer vollkommen physisch getrennt !
Wenn du nun einen Switchport fest ins VLAN 2, 3 oder 10 konfigurierst und du dort einen Rechner oder Endgerät einsteckst ist er ja logischerweise dann in dem VLAN dem der Port fest zugewiesenen VLAN...logisch !
Da die VLANs ja getrennt sind, ist er natürlich auch vom VLAN 1 getrennt und ein Zugriff ist aus anderen VLANs dann auf die Management IP in VLAN 1 NICHT mehr möglich durch die Trennung. Leuchtet ein...

Dafür das der Zugriff wieder klappt gibt es 2 mögliche Lösungen:
  • 1.) Du setzt im Switch Management Setup die Management IP bzw. das Management Interface des Switches in ein anderes VLAN als 1, also z.B. 10. Dann kannst du aus dem VLAN 10 (und nur aus diesem) wieder zugreifen auf den Switch ! Nachteil: Du kannst immer nur aus dem VLAN zugreifen was eingestellt ist fürs Management.
  • 2.) Du koppelst alle VLANs des L2 Switches mit einem Router oder Firewall wie es im hiesigen [ VLAN_Tutorial] genau beschrieben ist und kannst so (Vorteil !) via Router immer aus allen VLANs auf die Management IP zugreifen. Und das völlig unabhängig in welches VLAN du das Switch Management gelegt hast.
So simpel und einfach ist das... face-wink
Such dir die für dich schönste und passende Option aus !
Da wird es mit dem Relay nichts werden.
Logisch ! Denn wie du anhand der obigen Erklärung ja selber erkennen kannst hat das mit DHCP Relay soviel zu tun wie eine Kuh mit einem Sonntag...
Wiso eigentlich, weil der Port die PVID hat und der Switch nicht?
Du hast es erfasst... Siehe Erklärung oben !
Tagged-Link zum Server machbar ist, also eine zusätzliche Verbindung zur Administration des Switches?
Die Frage ist mit der obigen Erklärung ebenfalls überflüssig geworden wie du auch selber siehst, oder ?! face-wink
Fazit:
Die drei VLAN Tutorials inkl. Schnellschulung nochmal genau lesen und verstehen übers Wochenende face-wink
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Ossabow
Ossabow 19.01.2019 um 14:26:45 Uhr
Goto Top
mach ich.
Es ist aber wohl bei den PVLAN manches gegenteilig, es sind ALLE Ports im Vlan1 eben auch Server und Switch. Ich merke es ja, die beiden Techniken klingen gleich (PVLAN - VLAN) funktionieren aber anders. Da kann man auch mal VPN untermischen face-wink
Ossabow
Ossabow 19.01.2019 um 14:36:36 Uhr
Goto Top
Zitat von @aqui:
Hi, dieser soll ja ausschließlich für ein VLAN sein.
OK, und befindet sich dann auch selber in diesem VLAN, oder ?
ja
VLANs sind wie wir alle ja wissen auf einem L2 VLAN Switch immer vollkommen physisch getrennt !
deswegen mach ich mir ja den S..pass
* 2.) Du koppelst alle VLANs des L2 Switches mit einem Router ........
aber ich habe gar kein Router
2.) so viel will ich da auch nicht zugreifen. Das Ding hat auch keine RS232 mehr, so für´n Notfall
aqui
aqui 19.01.2019 aktualisiert um 15:15:26 Uhr
Goto Top
es sind ALLE Ports im Vlan1 eben auch Server und Switch.
Du meinst bei einem PVLAN (Private VLAN) ???
Jein !
Das kommt drauf an WIE du das konfigurierst. Du kannst auch ein VLAN 10 einrichten und als Private VLAN deklarieren im Setup. Dann ist dein VLAN 10 ein PVLAN.

Warum willst du ein PVLAN ?? Bei einem PVLAN gibt es keine any zu any Kommunikation weil die Ports bis auf die Uplink Ports untereinander isoliert sind.
Das PVLAN forwardet nur Broadcasts zu den konfigurierten Uplink Ports in einem PVLAN.
Somit sind auch ARPs unterdrückt das verhindert dann eine direkte Kommunikation der Clients untereinander. Eben isoliert.
Normal hat man sowas nur in Gästenetzen wo man nicht will das Gästen untereinander "funken" bzw. der eine Gast den anderen "sieht" und attackiert.
Braucht man im Heimumfeld in der Regel niemals, also vergiss mal deine PVLANs und kümmer dich im normale VLANs face-wink
VPNs sind wieder eine gaaanz andere Baustelle. Ist wie die oben schon zitierte Kuh und der Sonntag !
Bitte also jetzt nix laienhaft vermischen hier !! face-sad
aber ich habe gar kein Router
Dann kannst du auch niemals zwischen den VLANs kommunizieren !!!
Wie bereits mehrfach gesagt: Vollkommen physisch getrennt, nix Zugriff untereinander !!!
Du brauchst dafür einen Router oder dein Switch muss ein L3 Switch sein (Routing fähig durch internen Router im Switch selber)
so viel will ich da auch nicht zugreifen.
Dann ist ja gut ! Geht ja auch gar nicht !
Das Ding hat auch keine RS232 mehr, so für´n Notfall
Ist auch üblich bei den billigen Web Smart Switches wie jeder Netzwerker weiss.
Für den Notfall haben die (meisten) nur einen Reset Taster der sie wieder nackig macht !
Ossabow
Ossabow 19.01.2019 aktualisiert um 22:57:54 Uhr
Goto Top
Kommen wir zwangsweise zur Maske, ich kenne nur A,B,C. CIDR habe ich ausgelassen.
Mein Versuch, der Server hat Maske /24 und kann nicht anpingen:
ip-zwei
Hab jetzt mal geändert auf /27, nun funktioniert es. W2k8 ist da pigeliger.
aqui
aqui 19.01.2019 aktualisiert um 21:01:26 Uhr
Goto Top
der Server hat Maske /24 und kann nicht anpingen:
Wer kann wen nicht anpingen und überhaupt WO ist der DHCP Server ? Auf dem Switch ?

Nach dem Screenshot zu urteilen ist das ein Routing fähiger Layer 3 Switch !!! Dann brauchst du logischerweise KEINEN externen Router, denn das kann der Switch dann selber.
Hier hast du aber dann schon den Kardinalsfehler begangen und vermutlich fehlerhaft sich überlappende IP Adressen bzw. Netze konfiguriert mit der /24er Maske ! Da meckert der Switch natürlich.
Wenn sich das überschneidet klappt das natürlich logischerweise nicht mit den IP Netzen sonst hast du auf einem L3 Switch ja doppelte IP Adressen.
Also mal was zum Subnetting / Maske lesen und verstehen !!
https://de.wikipedia.org/wiki/Netzmaske
Und dann die richtige IP Adressierung verwenden !!

Wenn du /24er Masken verwenden willst dann z.B. so:
VLAN 1 = 172.16.1.0 /24
VLAN 10 = 172.16.10.0 /24
VLAN 211 = 172.16.211.0 /24
VLAN 212 = 172.16.212.0 /24
usw. usw.
Oder wenn du innerhalb des 3ten Bytes bleiben willst:
VLAN 1 = 172.16.1.0 /27 (Hosts .1 bis .30)
VLAN 2 = 172.16.1.32 /27 (Hosts .33 bis .62)
VLAN 3 = 172.16.1.64 /27 (Hosts .65 bis .94)
VLAN 4 = 172.16.1.96 /27 (Hosts .97 bis .126)
usw. usw.
Brauchst du mehr Hostadresse pro Subnetz nimmst du einen /26er Prefix.
IP Subnetting erste Klasse... face-wink Sollte man wissen wenn man DHCP Server aufsetzt.
Ossabow
Ossabow 20.01.2019 um 10:22:29 Uhr
Goto Top
Morgen aqui, heute wenig Zeit (weil Besuchstag) möchte ich gleich Antworten.
Wie du die vielen Anfragen quasi gleichzeitig bearbeitest ist für mich unverständlich (oder du bist eine Frau). Den Mikrotik habe ich zurück geschickt.
Zitat von @aqui:
es sind ALLE Ports im Vlan1 eben auch Server und Switch.
Du meinst bei einem PVLAN (Private VLAN) ??? > Jein !
Beim Zyxel Switch musste das default entfernt werden um die Isolation zu erhalten, beim D-Link muß es bleiben. Ich meinte das default Vlan1, es ist da aber tut nichts.
Warum willst du ein PVLAN ??
Ehrliche Antwort: schau die ersten 2Minuten an.
https://www.youtube.com/watch?v=GdBylzqHMUU
Bei einem PVLAN gibt es keine any zu any Kommunikation weil die Ports bis auf die Uplink Ports untereinander isoliert sind.
Nu mach mich nich blööde, das ist doch der Unterschied zwischen PVLAN und VLAN. face-surprise
Dieser Link von 137846 (ich danke Dir) zeigt es nachvollziehbar:
https://evilttl.com/wiki/Asymmetric-VLAN
Mein Screenshot gaaanz oben wollte ich ja erklärt haben. Der Text:
Die Einstellungen des Smart-Switch 1 ermöglichen es Geräten in verschiedenen VLANs, mit freigegebenen Ressourcen wie Servern und Gateways zu kommunizieren.
VPNs sind wieder eine gaaanz andere Baustelle.
ja aber hat was: privates virtuelles Netzwerk (LAN) - virtuelles privates Netz, ich wäre ja bei asymetrisches VLAN geblieben.
aber ich habe gar kein Router
Dann kannst du auch niemals zwischen den VLANs kommunizieren !!!
Wie bereits mehrfach gesagt: Vollkommen physisch getrennt, nix Zugriff untereinander !!!

das dann später face-wink
Ossabow
Ossabow 20.01.2019 um 11:21:10 Uhr
Goto Top
Zitat von @aqui:
der Server hat Maske /24 und kann nicht anpingen:
Wer kann wen nicht anpingen und überhaupt WO ist der DHCP Server ? Auf dem Switch ?
Entschuldige, das war sehr kurz gesprungen.
Der Switch hat viele Menüpunkte, ist wie z.B. mit Excel: 99% wissen nicht wozu man das benutzen könnte. Aber ein Ping absetzen kann er nicht, (war bei der MT super) es sei denn man loggt sich per ssh ein. So habe ich meinen Server nicht anpingen können sondern nur alles im (ausschließlich)default VLAN. Soweit alles logisch, hat eben gedauert.
Nach dem Screenshot zu urteilen ist das ein Routing fähiger Layer 3 Switch !!!
NEIN - 135 Euro, was auch immer L3 Funktions sind. Die IP-Zuweisung ist in diesem Menü face-confused
Hier hast du aber dann schon den Kardinalsfehler ......... Maske lesen und verstehen !!
Ich habe nirgens eine Antwort gefunden bzw. als Antwort "das macht man nicht" erhalten, auf die Frage: Welche Zugriffe sind möglich zwischen verschieden Maskierten Ip´s?
Wenn du /24er Masken verwenden willst dann so:
würde ich mal als privates LAN bezeichnen face-big-smile face-big-smile face-big-smile face-big-smile
Oder wenn du innerhalb des 3ten Bytes bleiben willst:
VLAN 1 = 172.16.1.0 /27 (Hosts .1 bis .30)
VLAN 2 = 172.16.1.32 /27 (Hosts .33 bis .62)
VLAN 3 = 172.16.1.64 /27 (Hosts .65 bis .94)
VLAN 4 = 172.16.1.96 /27 (Hosts .97 bis .126)
zurück zur Frage, ich richte 4 Clients wie gezeigt (172.16.1.1 /27; ...33;...65...97 ) ein, dann kann ich mit 172.16.100. /24 mit ..4 kommunizieren. Äquivalent mit 172.16.10. /24 auf ...1 u.s.w.?
Ich hab die Fenster im Webinterface verschoben, so kann man was erkennen:
l3-ips
Testweise hatte ich noch Einträge für die anderen VLAN, ist sicherheitstechnisch schlecht.
So kann ich aus "meinem PC-Netz" mit Ip´s von ...1 bis ...30 zugreifen und aus dem default LAN (VLAN1) von ...193 bis 254.
aqui
aqui 21.01.2019 aktualisiert um 09:47:00 Uhr
Goto Top
Den Mikrotik habe ich zurück geschickt.
Sehr traurig face-sad
Was war der Grund ? OK kann ich mir auch selber beantworten, denn mit einem L3 Switch ist VLAN Routing natürlich erheblich eleganter, zumal es auch ein extra Gerät spart.
schau die ersten 2Minuten an.
Uhhh wie gruselg. Das geht auch nur mit der schrottigen und karastrophalen NetGear VLAN Logik. Das VLAN Tutorial hier kommentiert das Thema NetGear in diesem Umfeld ja schon entsprechend. Also kein Kommentar mehr dazu und dieser kranken Konfig im Video.
das ist doch der Unterschied zwischen PVLAN und VLAN
Richtig !
PVLAN = Keine Kommunikation Any (Port) zu Any (Port) außer den Uplink Ports. (Deaktiviertes Broadcast Forwarding)
VLAN = Normales Netzverhalten
ich wäre ja bei asymetrisches VLAN geblieben.
Die Bezeichnung kennt kein Mensch oder Netzwerker. PVLAN ist da eher gebräuchlich...aber egal.
z.B. mit Excel: 99% wissen nicht wozu man das benutzen könnte.
Na ja... 99% der Laien solltest du fairerweise dazuschreiben ! Jeder Netzwerker weiss sofort wofür das ist !
135 Euro, was auch immer L3 Funktions sind. Die IP-Zuweisung ist in diesem Menü
Layer 3 fähiger Switch bedeutet das der Switch zw. den VLANs routen kann, sprich also er einen internen Router hat. Siehe Bild oben.
Das sieht man an folgenden Punkten:
  • Jedes VLAN kann eine IP Adresse bekommen (Router Interface)
  • Kommuniaktion über die VLANs ist möglich
  • Optionaler DHCP Server pro VLAN
Ein reiner Layer 2 Switch kann niemals IP Adressen in den VLANs haben. Logisch, denn ihm fehlt der interne Router.
Allein schon der Menüpunkt "L3 Functions" in deinem Switch weist die D-Link Gurke als L3 fähigen Switch aus !
Eine gute Wahl also !
dann kann ich mit 172.16.100. /24 mit ..4 kommunizieren.
Ja klar ! Das . 100.0 /24er Netz ist ja ein ganz eigenes Netz. In einem gerouteten IP Netzwerk müssen IP Netzwerke einzigartig sein ! Das bedeutet auch das sich Netzgrenzen nicht überschneiden dürfen.
Das klappt also. Ebenso natürlich auch 172.16.10. /24 da das von der Netzadresse ja auch eigen ist !
Ossabow
Ossabow 21.01.2019 aktualisiert um 10:45:19 Uhr
Goto Top
Zitat von @aqui:
das ist doch der Unterschied zwischen PVLAN und VLAN
Richtig !
PVLAN = Keine Kommunikation Any (Port) zu Any (Port) außer den Uplink Ports. (Deaktiviertes Broadcast Forwarding)
VLAN = Normales Netzverhalten
Normal = Keine Kommunikation Any (Port) zu Any (Port). (Deaktiviertes Broadcast Forwarding)
Na ja... 99% der Laien solltest du fairerweise dazuschreiben ! Jeder Netzwerker weiss sofort wofür das ist !
die 99% bozog ich auf Officeuser
Allein schon der Menüpunkt "L3 Functions" in deinem Switch weist die D-Link Gurke als L3 fähigen Switch aus! Eine gute Wahl also !
Ja gut. NEIN nie L3 für das Geld.
Ein L2 Switcht bekommt eine IP. Dieser mit L3 Funktionen kann drei bekommen, das geht auch ohne Router.
routingtabel
Das klappt also. Ebenso natürlich auch 172.16.10. /24 da das von der Netzadresse ja auch eigen ist !
Mit der 172.16.10.100 /24 geht aber nur 172.16.1.96 /27, weder 172.16.1.64 /27 noch 172.16.1.32 /27 oder 172.16.1.0 /27!
_______________________________________________________________________________________________
DHCP muß heute ran. Ich hab ja noch die Fritte von Pollin. Die muß ran bis ich das mit dem DHCP-Relay rausgefunden habe.
aqui
aqui 21.01.2019 aktualisiert um 14:05:59 Uhr
Goto Top
Normal = Keine Kommunikation Any (Port) zu Any (Port). (Deaktiviertes Broadcast Forwarding)
Rembrandt, Ägypten ??
Mit Normal war hier ganz normal VLAN Kommunikation gemeint. Innerhalb eines VLAN kann jeder mit jedem.
Ja gut. NEIN nie L3 für das Geld.
Der von dir gepostete Screenshot zeigt aber de facto einen L3 Switch !!
Die Angaben "L3 Functions" wären sonst Blödsinn !
Nach den GUI Farben zu urteilen ist das ein D-Link Switch, richtig ? Welches Modell ist das ?
Darüber hast du uns hier ja noch nicht aufgeklärt. face-sad
Dieser mit L3 Funktionen kann drei bekommen,
Ja eben ! In jedem VLAN eine.
Bei einem L2 Switch wäre das ja Quatsch, denn der kann nicht routen...logisch !
Bei einem L3 Switch aber NICHT !
Ein L3 Switch hat ja einen internen Router und das ist quasi das Router Bein was im VLAN hängt und eine IP Adresse bekommt um zw. den VLANs zu routen.
Konfigurierst du also eine IP Adresse dort kannst du routen zw. den VLANs.
Lässt du sie weg hast du quasi ein "L2 Switch Verhalten" und kannst NICHT routen. Klar, auch logisch wenn die IP Adresse im VLAN fehlt !
So ist die einfache Logik !
Für den DHCP Server im VLAN benötigst du aber immer eine IP Adresse im VLAN und musst damit dann auch zwnagsläufig das Routing zw. den VLANs aktivieren. Siewie eine VLAN IP da ist routet der Switch. Das ist Standard bei L3 Switches !
Mit der 172.16.10.100 /24 geht aber nur 172.16.1.96 /27, weder 172.16.1.64 /27 noch 172.16.1.32 /27 oder 172.16.1.0 /27!
Dann hast du in diesen 3 nicht funktionierenden Netzen keine IP Adresse konfiguriert auf dem Switch bzw. VLANs !
Ossabow
Ossabow 21.01.2019 um 14:25:14 Uhr
Goto Top
Zitat von @aqui:
Der von dir gepostete Screenshot zeigt aber de facto einen L3 Switch !!
Die Angaben "L3 Functions" wären sonst Blödsinn !
Nach den GUI Farben zu urteilen ist das ein D-Link Switch, richtig ? Welches Modell ist das ?
Darüber hast du uns hier ja noch nicht aufgeklärt. face-sad
In der Tat face-sad hat auch keiner gefragt und im Screenshot (gaaanz oben) steht was anderes, also:
DGS-1210-28
ftp://ftp.dlinkla.com/pub/DGS-1210-10P/DGS-1210%20Series_C1_Manual_v4.70(WW).pdf
Mit der 172.16.10.100 /24 geht aber nur 172.16.1.96 /27, weder 172.16.1.64 /27 noch 172.16.1.32 /27 oder 172.16.1.0 /27!
Dann hast du in diesen 3 nicht funktionierenden Netzen keine IP Adresse konfiguriert auf dem Switch bzw. VLANs !
Das bitte ganz simpel mittels Hub verkabelt betrachten.
Über L3 nochmal wenn du ins HB gesehen hast? So ein Handbuch ist prima, angenommen du hast zwei linke Hände und bekommst eine Drehbank (so eine kleine). Da steht dann drin wo man einschaltet, den Stahl feetschraubt, den Futterschlüssel nicht lässt, wo was zu bewegen ist.....
Wenn man aber solch Maschine nicht bedienen kann, nutzt auch das HB nichts. Moppedfahren wäre als vergleich noch besser face-wink
aqui
aqui 21.01.2019 aktualisiert um 15:35:10 Uhr
Goto Top
Der DGS-1210 ist ein laer 3 Switch: (Zitat)
Layer 2 management and security with Layer 3 capabilities

War klar....

Keine Ahnung wie du das mit deiner IP Adressierung genau vorhast aber SO sähe ein sauberes L3 Konzept mit den Adressen auf dem D-Link aus:

dlink

Die Route 172.16.0.0 255.255.192.0 Gateway:172.16.100.254 auf dem Internet Router routet alle IP Netze von 172.16.0.0 bis 172.16.63.254 an den D-Link via VLAN 5.
Ossabow
Ossabow 21.01.2019 um 20:15:05 Uhr
Goto Top
Alles auf Anfang, nur so ließ sich der Switch auf "normales" VLAN umstellen.
Ich bekomme aber keine Lösung um auf einen Drucker zuzugreifen.
Testweise die Netze 192.168.211.0/24 und 192.168.200.0/24, Drucker 192.168.211.11.
statischeroute
Was muß ich hier eintragen?
aqui
aqui 22.01.2019 um 09:22:16 Uhr
Goto Top
Du musst keinerlei statische Routen dort eintragen !!
Logisch, denn dein L3 Switch kennt ja alle IP Netze da sie direkt an ihm angeschlossen sind.
Das einzige was er braucht ist lediglich eine Default Route auf den Internet Router bzw. seine IP in dem IP Netz wo dieser angeschlossen ist.
Wenn du dir nur mal die Zeichnung von oben in Ruhe angesehen hättest wäre diese Frage überflüssig gewesen, denn dort steht doch explizit welche Routen du wo eintragen musst !
Vermutlich hast du im Drucker wie so oft die Gateway IP Adresse vergessen einzutragen oder eine falsche eingetragen ?! Der übliche Fehler....

Alle Endgeräte in den VLANs am L3 Switch haben dessen VLAN IP Adresse in seinen VLANs als Gateway eingetragen ! Klar, denn der L3 Switch ist gleichzeitig ja auch Router.
Eine Besonderheit nimmt hier immer das Koppel VLAN zum Internet Router ein. Im Beispiel oben das Netzwerk 172.16.100.0 /24.
In diesem VLAN ist in der Regel der Internet Router der DHCP Server. Vergibt also sich selber als Gateway und DNS Server. Deshalb darf hier kein DHCP Server auf dem Switch laufen. Auch klar, denn sonst kommt es zum Adress Chaos in dem Netzwerk bzw. VLAN.
Hier haben die Endgeräte also immer den Internet Router als Gateway IP und schicken Pakete zu Netzen die sie nicht kennen (wie die am L3 Switch) an den Router.
Aus diesem Grunde hat der Router eine statische Route auf die IP Netze die am Switch angeschlossen sind außer dem Koppelnetz.
Die Route dort 172.16.0.0 255.255.192.0 an 172.16.100.254 routet alle IP Netze von .0.0 bis .63.254 an die Switch IP 172.16.100.254.
So werden alle Netze in diesem Bereich am L3 Switch erreicht.
Guckst du auch hier (Grundlagen dazu):
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und hier (gleiches Design wie bei dir):
Verständnissproblem Routing mit SG300-28
Nur nebenbei...
Wenn du mit Winblows Rechnern in einer gerouteten Umgebung und fremden IP Netzen pingst und traceroutest, dann bedenke das die lokale Winblows Firewall per Default das ICMP Protokoll (Ping, Traceroute) deaktiviert hat.
Das musst du erst aktivieren damit es geht:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Nur das du nicht in diese Falle tappst...
Ossabow
Ossabow 22.01.2019 um 14:58:31 Uhr
Goto Top
Zitat von @aqui:
Du musst keinerlei statische Routen dort eintragen !!
Sehr gut!
Alle Endgeräte in den VLANs am L3 Switch haben dessen VLAN IP Adresse in seinen VLANs als Gateway eingetragen ! Klar, denn der L3 Switch ist gleichzeitig ja auch Router.
ja zum 172.16.100.0 /24. Der Drucker hat ja ein 172.16.x.x /27?
Aus diesem Grunde hat der Router eine statische Route auf die IP Netze die am Switch angeschlossen sind außer dem Koppelnetz.
Das würde wieder meine Gerätecascade erfordern. Über-Übermorgen liegt hoffentlich Annex-J an und der FB kann ich die Route verpassen.
Nur nebenbei...
Wenn du mit Winblows Rechnern in einer gerouteten Umgebung und fremden IP Netzen pingst und traceroutest, dann bedenke das die lokale Winblows Firewall per Default das ICMP Protokoll (Ping, Traceroute) deaktiviert hat.
Ganz wichtiger Tip, viel zu spät - mußt du zugeben!
Aber das kenn ich, da packe ich die XP-Notebooks aus face-monkey
Als Gegenspieler und DHCP-Testkandidat hänge ich Netgear WPN802 ein, da sind die Zertifikate abgelaufen. Hast du da ein Link parat wie man das beheben kann (außer die Ausnahme hinzufügen; FW ist letzte).
face-bug face-bug face-bug face-bug face-bug Sterne für den Switch face-cool - der speichert zwei Konfigs, wie die großen! Da können wir hier noch eine Weile weitermachen face-wink Das das so´n Ding wird hätte ich nie für möglich gehalten. Ich wollte vor Weihnachten mal schnell Alexa aussperren (ob die noch mal mit mit mir redet).
Ich lese mal! CYL
aqui
aqui 22.01.2019 aktualisiert um 19:17:45 Uhr
Goto Top
Der Drucker hat ja ein 172.16.x.x /27?
Rembrandt ? Ägypten ?
Das ist kein Netz was bei dir vorkommt face-sad
Wenn dann gebe bitte GENAU das Netzwerk an über das du hier redest was innerhalb des 27er Prefixes liegt, sonst weiss hier keiner wovon du redest und muss im freien Fall raten... face-sad
Das würde wieder meine Gerätecascade erfordern.
Bahnhof ??
Oder willst du damit sagen das dein derzeitiger Router keine statischen Routen supportet und du über- übermorgen dann die FB anschliesst die das dann kann ?!
Du sprichst in Rätseln...
Ganz wichtiger Tip, viel zu spät - mußt du zugeben!
Na ja als gebeutelter Winblows Knecht kennt man sowas doch...oder sollte es zumindestens kennen face-wink
Als Gegenspieler und DHCP-Testkandidat hänge ich Netgear WPN802 ein
Erstmal auf die aktuellste Firmware updaten natürlich.
https://www.netgear.de/support/download/ (10.0.6 in der US Version ist aktuell bei V2)
Ein Zertifikat benötigst du doch gar nicht bei einem AP.
Wenn das Setup GUI meckert, dann klickst du einfach eine Ausnahme und gut iss. Um den als AP zu betreiben benötigt man kein Zertifikat.
außer die Ausnahme hinzufügen; FW ist letzte
Geht nicht ist ja aber kein Hinterungsgrund. Kannst die Ausnahme ja später im Browser wieder löschen oder nur temporär akzeptieren (Firefox).
Für den Betrieb als AP ist das irrelevant.
Ansonsten...Kauf dir was kleines und Preiswertes was viel mehr kann als die NG Gurke und dich auch nicht mit Zertifikaten nervt ! face-wink
https://varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
der speichert zwei Konfigs, wie die großen!
Ja, D-Link sind schon nicht die Schlechtesten...besser als HP face-monkey
Ossabow
Ossabow 22.01.2019 um 20:16:25 Uhr
Goto Top
Zitat von @aqui:
Der Drucker hat ja ein 172.16.x.x /27?
Rembrandt ? Ägypten ?
Das ist kein Netz was bei dir vorkommt face-sad
Stimmt, du hast aber die 172er Häppchen ins Spiel gebracht, da wollte ich nicht als Spielverderber dastehen. Aber meine Netzwerkangaben waren im MT-Fred.
Wenn dann gebe bitte GENAU das Netzwerk an über das du hier redest was innerhalb des 27er
Ich möchte gern das 192.168.211.0/24 behalten. Sollte mal der Switch ausfallen, ist er durch den bisherigen (auch Lüfterlosen) zu ersetzen. Ich möchte die Technik auch einfach/übersichtlich halten.
Das würde wieder meine Gerätecascade erfordern.
Bahnhof ??
Oder willst du damit sagen das dein derzeitiger Router keine statischen Routen supportet und du über- übermorgen dann die FB anschliesst die das dann kann ?!
Du sprichst in Rätseln...
Aber das hatten wir doch face-confused ansonsten ja, Freitag ist Schalttermin!
Ganz wichtiger Tip, viel zu spät - mußt du zugeben!
Als Gegenspieler und DHCP-Testkandidat hänge ich Netgear WPN802 ein
Erstmal auf die aktuellste Firmware updaten natürlich.
https://www.netgear.de/support/download/ (10.0.6 in der US Version ist aktuell bei V2)
Ein Zertifikat benötigst du doch gar nicht bei einem AP.
Für den Betrieb als AP ist das irrelevant.
Ansonsten...Kauf dir was kleines und Preiswertes was viel mehr kann als die NG Gurke und dich auch nicht mit Zertifikaten nervt ! face-wink
Ich schrieb extra: als Testkandidat. Das ist doch uraltes Geraffel(10MBit?).
Ich nutze drei D-Link DWL-3260AP, weil die POE-fähig sind und für das IoT-Zeug reichen.
Heute habe ich Kabel für die neue Fritte gelegt um diese als DECT-Anlage verwenden zu können.
Ist im 19" Schrank ganz schlecht, so habe ich auch einen guten AP für´s Lappi.
aqui
aqui 22.01.2019, aktualisiert am 21.04.2022 um 14:45:09 Uhr
Goto Top
Stimmt, du hast aber die 172er Häppchen ins Spiel gebracht, da wollte ich nicht als Spielverderber dastehen.
Nope ! Ich wasche meinen Hände in Unschuld ! DU bist mit den krummen Masken angefangen !! Guckst du... Hier face-wink
Ich möchte gern das 192.168.211.0/24 behalten.
IP Adressen sind kosmetisch.
Ändere es wie es am besten passt bei dir. Solange nix überlappt mit den Masken ist alles Bella !
Das ist doch uraltes Geraffel(10MBit?).
Reicht doch für den Hausgebrauch und zum Spielen. Mehr als ca. 25 Mbit Nettodaten bekommst du im überfüllten 2,4 Ghz Bereich heutzutage auch nicht mit moderner Hardware face-wink
Ossabow
Ossabow 23.01.2019 um 10:10:12 Uhr
Goto Top
Zitat von @aqui:
Stimmt, du hast aber die 172er Häppchen ins Spiel gebracht, da wollte ich nicht als Spielverderber dastehen.
Nope ! Ich wasche meinen Hände in Unschuld ! DU bist mit den krummen Masken angefangen !!
Jein! Häppchen ja aber nicht die 176er face-wink
Mit den beiden Adressen (192.168.211.19/27 und 192.168.211.254/26) kann ich von (mindestens) zwei Pc´s aus unterschiedlichen PVLAN auf den Switch zugreifen. Der "Rest" läuft wie gehabt auf L2 Ebene (MAC Adressen).
Ich denke auch meine Frage wegen der Masken ist noch offen(kann man die versch. Masken vermischen).
192.168.211.19/27 und 192.168.211.254/26 sind genau so 2 Netze wie 192.211.100.0/24 und 192.211.20.0/24! Mit der IP 192.211.211.29/24 wie auch mit 192.211.211.250/24 kann ich mit den erstgenannten (...19/27; ...254/26 aus dem Switch) eine Verbindung herstellen. Würde das auch (wenn ja mit welchem Netz) mit den beiden gehen 192.211.100.0/24; 192.211.20.0/24?
aqui
aqui 24.01.2019 aktualisiert um 12:22:23 Uhr
Goto Top
Häppchen ja aber nicht die 176er
176er ???
Das wären dann keine privaten RFC 1918 IP Netze. Sowas sollte man generell so oder so niemals machen !!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
meine Frage wegen der Masken ist noch offen(kann man die versch. Masken vermischen).
Ja, das geht natürlich ! Aaaber... nur solange die sich natürlich NICHT überlappen.
Nehmen wir mal dein Beispiel von oben:
Netzwerk 1:
Netz=192.168.211.0 mit einem /27 Prefix sprich 255.255.255.224 Maske
Geräte Adressen hier 192.168.211.1 bis 192.168.211.30
Netzwerk 2:
Netz=192.168.211.192 mit einem /26 Prefix sprich 255.255.255.192 Maske
Geräte Adressen hier 192.168.211.193 bis 192.168.211.254

Das passt also ! Keine Überlappung und der Netzwerk Teil ist eindeutig.
Mal abgesehen davon das du den Bereich dazwischen (.31 bis .192) nicht nutzt.
Man muss bei variablen Masken nur extrem aufpassen das man nicht Bereiche nutzt die andere nutzen. Gute Layer 3 Geräte (Router, Switches etc.) meckern auch sofort weil sie das merken.
Was nicht geht ist z.B.
ein Netz 172.16.211.192 /26 mit einem 172.16.211.224 /27 zu verheiraten. Siehst du sicher selber warum ?!
Ansonsten hilft: https://www.heise.de/netze/tools/netzwerkrechner/
192.168.211.19/27 und 192.168.211.254/26 sind genau so 2 Netze wie 192.211.100.0/24 und 192.211.20.0/24
Ja, richtig !
Genauso wie 192.168.211.0 /27 und 172.16.211.64 /26 und genauso wie 10.1.0.0 /16 und 10.2.0.0 /16 usw. usw. da kannst du millionenfach kombinieren. Wie gesagt....aufpassen das nix überlappt.
Für Menschen und Netzwerker die nicht gerne mit krummen Masken umgehen möchten hat sich quasi der /24er Prefix etabliert. Damit kann man dann einfach immer im dritten Byte der Netzwerk Adresse durchnummerieren wie
10.1.1.0 /24, 10.1.2.0 /24, 10.1.3.0 /24 usw.
Identisch natürlich auch im 172.16.0.0 /12 und auch im 192.168.0.0 /16 er RFC 1918 IP Adressbereich.
Das ist für Humanoiden immer einfach zu merken wenn man nur das 3te Byte kontrollieren muss.
Würde das auch (wenn ja mit welchem Netz) mit den beiden gehen 192.211.100.0/24; 192.211.20.0/24?
Diese Frage kannst du dir jetzt hoffentlich selbst beantworten !!
Guckst du sonst hier:
https://de.wikipedia.org/wiki/Netzmaske
Lesen und verstehen... face-wink
Ossabow
Ossabow 24.01.2019 um 13:48:54 Uhr
Goto Top
Zitat von @aqui:
176er ???
ja Schreibfehler grin-squint
meine Hilfe face-monkey
Für Menschen und Netzwerker die nicht gerne mit krummen Masken umgehen möchten hat sich quasi der /24er Prefix etabliert.
War nicht der Anfang nur mit Klasse A, B, C?
Das ist für Humanoiden immer einfach zu merken wenn man nur das 3te Byte kontrollieren muss.
ja, gibt auch nur selten einen Grund das nicht so zu tun (wenn nicht gerade ein Switch im Spiel ist).
Würde das auch (wenn ja mit welchem Netz) mit den beiden gehen 192.211.100.0/24; 192.211.20.0/24?
Diese Frage kannst du dir jetzt hoffentlich selbst beantworten !!
na ja mit dem Rechner: 192.211.0.0/17 Host-IPs von: 192.211.0.1 bis: 192.211.127.254
Was ich nicht finde, macht "man" so was. Das es funktioniert weiß ich. Ohne Rechner hätte ich 192.211.0.0/24 genommen.
Gestern habe ich die FB7590 angeschlossen, richtig schickes OS!
Jetzt muß ich mich entscheiden, VLAN mit Router (in- oder extern) oder PVLAN in meinem bisherigen Netz (192.168.211.0/24).
Obiges Bild - VLAN 2 soll auf Drucker im VLAN 3 zugreifen. Das darf ja nicht funktionieren (sons brauch ich keine Isolation), also muß der Drucker (Speicher u.s.w.) in das VLAN 5.
Da ist doch aber das PVLAN wesentlich einfacher.
pvlan aus excel
aqui
aqui 24.01.2019 aktualisiert um 17:28:03 Uhr
Goto Top
War nicht der Anfang nur mit Klasse A, B, C?
Ja, zur Netzwerk Steinzeit. Seit 1993 ist das aber Geschichte:
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
nur selten einen Grund das nicht so zu tun
Sooo selten nicht. Z.B. wenn du mit einem sehr schmalen Budget an öffentlichen IP Adressen jonglieren musst face-wink
na ja mit dem Rechner: 192.211.0.0/17 Host-IPs von: 192.211.0.1 bis: 192.211.127.254
Vorsicht ! Das sind wieder KEINE privaten RFC 1918 IP Adressen !
Was ich nicht finde, macht "man" so was.
Ja na klar ! Wenn du Netzwerke segmentieren musst dann ist das zwingend notwendig. Wie sollte es denn sonst gehen ?
Allein schon die Einführung von VoIP erzwingt meist rechtlich die Trennung von Voice und Produktivnetz. Niemand hat außerdem ein WLAN direkt im Produktivnetz geschweige denn ein Gäste LAN oder WLAN.
Das allein sind schon 4 Gründe zu segmentieren.
Zuhause ist es häufig LAN, WLAN und Haussteuerung. Gerade letzte sollte immer segmentiert werden.
Das macht man also so... face-wink
Da ist doch aber das PVLAN wesentlich einfacher.
Ja. Aber das ist wieder diese schei...shared VLAN Frickelei. Hier müssen alle Komponenten zwangsweise Mitglieder eines einzigen IP Netzes sein.
Logisch, denn würde man alle 3 trennen kann niemand mehr auf den Drucker zugreifen. Der Drucker muss ja im gleichen IP Netz sein wie die beiden VLAN Segmente. Ansonsten bräuchte man einen Router.
In dem konzept trennt man lediglich die Layer 2 Broadcasts Domains so das die PCs links die rechts nicht "sehen" können.
IP technisch müssen aber alle in einem gemeinsamen IP Netz sein.
Das ist böse L2 Frickelei mit VLANs.
Für dich mit einem L3 Routing Switch ja auch höchstgradig sinnfrei das so zu machen.
Ossabow
Ossabow 24.01.2019 um 17:52:46 Uhr
Goto Top
Zitat von @aqui:
na ja mit dem Rechner: 192.211.0.0/17 Host-IPs von: 192.211.0.1 bis: 192.211.127.254
Vorsicht ! Das sind wieder KEINE privaten RFC 1918 IP Adressen !
hab nicht aufgepasst face-devilish 192.168.xx sollte es werden
Was ich nicht finde, macht "man" so was.
Ja na klar ! Wenn du Netzwerke segmentieren musst dann ist das zwingend notwendig. Wie sollte es denn sonst gehen ?
Ich meine immer verschiedene Masken in einem Netz.
Das allein sind schon 4 Gründe zu segmentieren.
Zuhause ist es häufig LAN, WLAN und Haussteuerung. Gerade letzte sollte immer segmentiert werden.
das ist ja auch mein Anliegen
Da ist doch aber das PVLAN wesentlich einfacher.
Ja. Aber das ist wieder diese schei...shared VLAN Frickelei. Hier müssen alle Komponenten zwangsweise Mitglieder eines einzigen IP Netzes sein.
Logisch, denn würde man alle 3 trennen kann niemand mehr auf den Drucker zugreifen. Der Drucker muss ja im gleichen IP Netz sein wie die beiden VLAN Segmente. Ansonsten bräuchte man einen Router.
In dem konzept trennt man lediglich die Layer 2 Broadcasts Domains so das die PCs links die rechts nicht "sehen" können.
IP technisch müssen aber alle in einem gemeinsamen IP Netz sein.
Das ist böse L2 Frickelei mit VLANs.
Ich hätte das auch nicht VLAN genannt, das ist ein Netzwerk und kein Virtuelles. Abschottung/Firewall/Trennung auf MAC-Basis ist doch genau so sicher.
Für dich mit einem L3 Routing Switch ja auch höchstgradig sinnfrei das so zu machen.
Mhhh eine Frage ist offen:
Obiges Bild - VLAN 2 soll auf Drucker im VLAN 3 zugreifen.
Wenn ich route, dann für alle. Dann ist die Isolation vorher aber auch nicht sinnvoll?
aqui
aqui 24.01.2019 aktualisiert um 18:01:00 Uhr
Goto Top
Ich meine immer verschiedene Masken in einem Netz.
Das gibt es seit 1993 (CIDR) nicht mehr !!!
Verschiedene Masken = immer verschiedene Netze !!!
Abschottung/Firewall/Trennung auf MAC-Basis ist doch genau so sicher.
Nein, das ist Unsinn. Deine L2 Frickellösung überwindet man ganz einfach mit einer angepassten Mac Adresse.
Ein richtiges Design mit L2 Trennung und L3 Firewall Regeln niemals, weil das Stateful ist. Im Gegensatz zur L2 Frickelei.
Man fragt sich auch ganz ehrlich warum du so einen Unsinn machst mit einem guten L3 Switch der auch noch ACLs supportet ?!
Wenn du jetzt einen reinen L2 VLAN Switch hättest würde man ja ein gewisses Verständnis dafür mitbringen...aber auch nur dann.
LAN 2 soll auf Drucker im VLAN 3 zugreifen.
Dann darfst du in dem obigen Design niemals routen !! Bzw. ALLE IP Adressen der beteiligten Komponenten und zwar ALLER müssen zwangsweise in einem einzigen IP Netz liegen.
Du realisierst die Trennung ja rein nur auf Layer 2 also Mac Adressen.
Würdest du hier 3 unterschiedliche IP Netze nutzen wäre keine Kommunikation mehr möglich, denn dann bräuchtest du einen Router.
Routing wäre also in so einer shared VLAN Lösung die rein auf L2 basiert kontraproduktiv !!
Ossabow
Ossabow 24.01.2019, aktualisiert am 21.04.2022 um 14:46:06 Uhr
Goto Top
Zitat von @aqui:
Ich meine immer verschiedene Masken in einem Netz.
Das gibt es seit 1993 (CIDR) nicht mehr !!!
Verschiedene Masken = immer verschiedene Netze !!!
Dann reden wir seit Tagen aneinander vorbei face-confused
zurück zur Frage, ich richte 4 Clients wie gezeigt (172.16.1.1 /27; ...33;...65...97 ) ein, dann kann ich mit 172.16.100. /24 mit ..4 kommunizieren. Äquivalent mit 172.16.10. /24 auf ...1 u.s.w.?
Man fragt sich auch ganz ehrlich warum du so einen Unsinn machst mit einem guten L3 Switch der auch noch ACLs supportet ?!
Es soll funktionieren, so das ich und dritte es verstehen/ändern können.
LAN 2 soll auf Drucker im VLAN 3 zugreifen.
Dann darfst du in dem obigen Design niemals routen !! Bzw. ALLE IP Adressen der beteiligten Komponenten und zwar ALLER müssen zwangsweise in einem einzigen IP Netz liegen.
Du realisierst die Trennung ja rein nur auf Layer 2 also Mac Adressen.
Würdest du hier 3 unterschiedliche IP Netze nutzen wäre keine Kommunikation mehr möglich, denn dann bräuchtest du einen Router.
Routing wäre also in so einer shared VLAN Lösung die rein auf L2 basiert kontraproduktiv !!
welches Design meinst du?
Spirit-of-Eli
Spirit-of-Eli 24.01.2019 um 19:12:53 Uhr
Goto Top
Wie wäre es den mit einem Buch über die Grundlagen eines IP Netzes.

Wohl gemerkt bekommt hier keiner Geld dafür.
Ossabow
Ossabow 25.01.2019 um 16:26:28 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Wie wäre es den mit einem Buch
Welche sollte ich nehmen um diese Vernetzung zu begreifen? Notfall-IP?
169erip
Pjordorf
Pjordorf 02.02.2019 um 18:03:19 Uhr
Goto Top
Hallo,

Zitat von @Ossabow:
Notfall-IP?
So wird bei AVM die IP unter anderem genannt mit der du eine Fritzbox immer ansprechen kannst, vorrausgesetzt dein Client hat eine APIPA IP. Dann kannst du immer mit 169.254.1.1 jede Fritzbox ansprechen wenn du dich z.B. ausgesperrt hast usw. Hast su andere Firmware auf deine Fritte, ist es von dieser geänderten Firmware abhängig
Warum in dein Blid dort der Client die APIPA IP 169.254.254.80 hat, das können wir nun nicht wissen. Der DHCP Bereich von dein DHCP Server (z.B. deiner Fritte) ausgereizt?

Gruß,
Peter
aqui
aqui 02.02.2019 um 18:30:48 Uhr
Goto Top
169.254.x.y sind APIPA IP Adressen. Lesen und verstehen...:
https://de.wikipedia.org/wiki/Zeroconf#Automatische_IP-Zuweisung

Aber bei der FritzBüx kann man ja auch die IP zur Not per Telefon reinklimpern...
Ossabow
Ossabow 02.02.2019 aktualisiert um 19:41:29 Uhr
Goto Top
Zitat von @Pjordorf:
keine andere FW, war nagelneu.
Warum in dein Blid dort der Client die APIPA IP 169.254.254.80 hat, das können wir nun nicht wissen. Der DHCP Bereich von dein DHCP Server (z.B. deiner Fritte) ausgereizt?
Wenn ihr es nicht wisst mach ich mir auch keine Sorgen. face-big-smile
DHCP war ..200/24. Ist ja wurst b.w. die Antwort auf zu lesende Bücher.
Ossabow
Ossabow 02.02.2019 um 19:40:43 Uhr
Goto Top
Zitat von @aqui:
Abschottung/Firewall/Trennung auf MAC-Basis ist doch genau so sicher.
Nein, das ist Unsinn. Deine L2 Frickellösung überwindet man ganz einfach mit einer angepassten Mac Adresse.
Wer hier vorm Schrank steht, braucht keine Adressen fälschen. Er kann gleich die Hardware mitnehmen, oder verstehe ich was falsch?
LAN 2 soll auf Drucker im VLAN 3 zugreifen.
Dann darfst du in dem obigen Design niemals routen !! Bzw. ALLE IP Adressen der beteiligten Komponenten und zwar ALLER müssen zwangsweise in einem einzigen IP Netz liegen.
welches Design meinst du?
Du realisierst die Trennung ja rein nur auf Layer 2 also Mac Adressen.
Genau, funktioniert. Die Methode der Einrichtung gefällt mir nicht, ist irgendwie von hinten durch die Brust in´s Auge. face-sad
Hab mir einen richtigen L3 Switch (FSM7328PS) zum spielen gekauft. Wenn du durchhältst kann ich den D-Link auf VLAN zurückdrehen und mit dem Netgear (war eben preiswert mit PoE face-cool ) per getaggtem VLAN die Netze switchen.
Pjordorf
Pjordorf 02.02.2019 um 23:46:40 Uhr
Goto Top
Hallo,

Zitat von @Ossabow:
keine andere FW, war nagelneu.
Das mit der alternatve Firmware war ja nur damit es klar ist das es eben abhängig der Firmware ist was ein Gerät tut oder kann face-smile

Wenn ihr es nicht wisst mach ich mir auch keine Sorgen. face-big-smile
Solltest du aber. Es nicht üblich das ein Netzwerkgerät sich keine gültige IP holen kann, besonders wenn du explizit dazu einen DHCP am laufen hast. Wenn eine NIC Strom bekommt und am anderen ende vom Patchkabel ein Switch oder sonstwas korrekt läuft, wird sich ein PC nicht mal eben eine APIPA ausstellen. Es könnte sein das dort alternative Konfigurationen laufen und dort eben eine APIPA mit .254.80 eingetragen ist.

DHCP war ..200/24.
Das Wort DHCP sagt mir ja noch etwas, wa saber dein ...200/24 dort soll frage ich mich schon sietdem diu Antwort hier rein gestellt hast. Wenn ich also anstelle deiner Punkte jetzt 192.1768.0 eintragen erhalte ich 192.168.9.200/24 was eine IP Dartstellt aus einen 192.168.0.0 Netz mit einer 255.255.255.0 Subnetzmaske (dein /24). Was das jetzt allewrdings mit deinen DHCP bereich bzw. Scope und den noch freien IPs zu tun hat, ich verstehe es nicht.

Ist ja wurst b.w. die Antwort auf zu lesende Bücher.
OK. Gehe in die Stadtbücherei und schaue nach was die dort haben, mach probelesen dort und entscheide dich dann für eine Lektüre die dir geiegnet scheint.

Gruß,
Peter
aqui
aqui 03.02.2019 aktualisiert um 11:30:29 Uhr
Goto Top
Hab mir einen richtigen L3 Switch (FSM7328PS) zum spielen gekauft
Warum das denn ?? Und dann auch noch NG mit der gruseligen L3 VLAN Logik. Aber wer Masochist ist... face-wink
Dein D-Link ist doch auch ein Layer 3 Switch ?! Unverständlich....aber egal.
Ossabow
Ossabow 04.02.2019 um 15:18:07 Uhr
Goto Top
Zitat von @aqui:
Warum das denn ?? Und dann auch noch NG mit der gruseligen L3 VLAN Logik. Aber wer Masochist ist... face-wink
Ja, ist wieder gaaanz anders.
Dein D-Link ist doch auch ein Layer 3 Switch ?! Unverständlich....aber egal.
Was nutzt es mir, wenn ich nicht mit weiterkomme, siehe oben (möchte drucken, darf nicht routen).
aqui
aqui 04.02.2019 um 15:32:40 Uhr
Goto Top
möchte drucken, darf nicht routen
Kinderleicht wie bei jedem L3 Switch...
Einfach im VLAN die IP weglassen ! Keine IP = kein Routing
So einfach ist das. Weiss der Azubi im ersten Lehrjahr. face-wink