Hallo. Wenn man an einem zentralen Punkt einen VLAN Switch einbaut, zwecks Netz-Segmentierung, und dann hin geht und an den Netzanschlüssen einfache Desktop Switches und nicht VLAN taugliche Geräte nutzt: -Bleibt die VLAN Funktion des NEtzes erhalten? -Kann man trotzdem so segmentieren, dass am Hauptswitch alles nur in Richtung des Uplink / Serverports geht und keine direkte Kommunikation zwischen den Teilnehmerports möglich ist? -Keine Broadcasts durchgelassen werden? -Wenn ich hinter dem nicht VLAN fähigen Switch ein VLAN fähiges Gerät (z.B. WLAN AP) anschließe, kann ich den AP trotzdem in das "WLAN VLAN" einbinden? Grüße
VLANs sind ja aus Sicht des Gerätes getrennte Netze. Wenn du nicht Vlan Geräte (Swiches, PCs, APs ) an den VLan Switch anschließt, musst du dessen entsprechenden Port in das passende Vlan schalten, von den Verschiedenen Vlans ist dann also nichts mehr zu sehen. Willst du Vlan fähige Geräte betreiben, muss der Port als Trunk (in Cisco Syntax) geschaltet werden, es werden also alle Vlans übertragen. Um zwischen den Vlans kommunizieren zu können, brauchst du aber noch eine Layer 3 Komponente (Router) - bzw. muss dein Vlan Switch Layer 3 können) Viele Grüße, Egberto
Egberto schrieb: > Um zwischen den Vlans kommunizieren zu können, brauchst du aber noch > eine Layer 3 Komponente (Router) - bzw. muss dein Vlan Switch Layer 3 > können) Eine seiner Fragen suggeriert, dass eine Kommunikation zwischen den VLANs unerwünscht ist. Sondern alle mit einem Server kommunzieren sollen, nicht aber untereinander. Das ist machbar, nur muss dann der Server seinen Adapter getaggt fahren und sich in allen VLANs zu Hause fühlen.
:
Bearbeitet durch User
Sven schrieb: > -Keine Broadcasts durchgelassen werden? Der non-VLAN Switch wird Broadcasts an alle seine Ports durchreichen. Was die daran angeschlossenen Geräte damit anfangen ist deren Sache. Wer mit VLAN tagging nichts am Hut hat, wird alle getaggten Frames ignorieren, d.h. landet im Default-VLAN und interessiert sich nur dafür. Welches das ist hängt von der Portkonfiguration des VLAN-Switches ab. Die Fragestellung suggeriert, dass es Teilnehmern aus verschiedenen portbasiertem VLANs nicht möglich sein soll, untereinander zu kommunizieren. Wenn das wirklich wichtig ist, dann solltest du kontrollieren, ob das wirklich narrensicher ist. Ich bin nämlich mal einem VLAN-fähigen Switch begegnet, der beim adressierten Switching dennoch nur die MAC-Adressen im Auge hatte. Der also von jedem an jeden Port switchte, egal in welchem VLAN die konfiguriert waren, so lange der Absender die MAC-Adresse des Ziels kannte. Einzig bei Broadcasts achtete er auf die VLANs, weshalb das übliche ARP automatischn für Separation sorgte. Mit manuellem ARP konnte man das aber mühelos aushebeln.
:
Bearbeitet durch User
Ach ja: Im Prinzip wärs möglich, dass ein nicht VLAN-fähiger Switch sich vom VLAN-fähigen nicht in der Hardware, sondern nur in der Firmware unterscheidet. Also VLAN-fähige Hardware verwendet, diese aber nicht in VLANs konfiguriert. Was dann mit getaggten Frames passiert wissen die Götter.
:
Bearbeitet durch User
A. K. schrieb: > Ach ja: Im Prinzip wärs möglich, dass ein nicht VLAN-fähiger Switch sich > vom VLAN-fähigen nicht in der Hardware, sondern nur in der Firmware > unterscheidet. Also VLAN-fähige Hardware verwendet, diese aber nicht in > VLANs konfiguriert. Was dann mit getaggten Frames passiert wissen die > Götter. Was ist denn VLAN-fähige Hardware??
Michael S. schrieb: > Was ist denn VLAN-fähige Hardware?? Eine Switch-Fabric, die mit VLANs-Tags umgehen kann. Alte Switch-Fabrics, die von VLAN-Tags keine Ahnung haben, ignorieren diese. Ich will aber nicht ausschliessen, dass manche neueren "dummen" Switches mittlerweile Switch-Fabrics einsetzen, die hardwareseitig VLAN-Tags erkennen und im Prinzip verarbeiten könn(t)en.
:
Bearbeitet durch User
A. K. schrieb: > Michael S. schrieb: >> Was ist denn VLAN-fähige Hardware?? > > Eine Switch-Fabric, die mit VLANs-Tags umgehen kann. Nunja, da stellt sich die Frage: Wie ohne Firmware soll sie - wenn sie VLAN-fähig ist - etwas von VLANs wissen, also welche es gibt etc.!? Ein Mikrocontroller kann auch nix ohne Firmware und genau so ist es bei einem Switch auch, der kann auch NIX ohne Firmware! Seine VLAN-Fähigkeit erhählt der Switch also durch die Firmware ...
Sven schrieb: > -Wenn ich hinter dem nicht VLAN fähigen Switch ein VLAN fähiges Gerät > (z.B. WLAN AP) anschließe, kann ich den AP trotzdem in das "WLAN VLAN" > einbinden? Der nicht VLAN-Switch wird das VLAN normal einfach ignorieren und unverändert mit an alle seine Ports übertragen. "Funktioniert" zwar, aber wenn Du damit irgendeine Art von Sicherheitspolicy oder sowas umsetzen willst (also z.B. Trennung von WLAN und normalem LAN) dann kannst Du das damit nicht. Schau Dich also lieber nach günstigen managebaren Switches um, dort hast Du volle Kontrolle über die VLANs und kannst Netze sauber voneinander trennen. Der Netgear GS108T-200 ist z.B. ganz brauchbar für sowas. Natürlich einiger Abstand zum Niveau von HP oder Cisco, kostet dafür aber auch nur so 50 EUR rum.
Gerd E. schrieb: > Der Netgear GS108T-200 ist z.B. ganz brauchbar für sowas. Natürlich > einiger Abstand zum Niveau von HP oder Cisco, kostet dafür aber auch nur > so 50 EUR rum. Oder für SOHO auch noch DLINK DGS-1100
Frame mit VLAN-Tag sind grösser als "normale" Frame, mit ein wenig Glück werden die auch von einigen normalen Switches transportiert.
Michael S. schrieb: > Seine VLAN-Fähigkeit erhählt der Switch also durch die Firmware ... Switches schalten Frames mit bekannter Zieladresse per Hardware durch, nicht per Software. Die erwähnte Fabric. Die Frage ist, was die dabei berücksichtigt. Wenn ein VLAN-fähiger Switch seine VLANs ausschliesslich durch die Firmware separiert, mit zentraler Tabelle nur auf MAC-Basis, dann kommt das raus, was ich vorhin schrieb. Dann kann man bei bekannter MAC-Adresse die VLAN-Grenzen überwinden. Eine richtige VLAN-Separation erreicht man nur, indem die Fabric beim Switchen auch VLANs berücksichtigt. In welcher Form auch immer. Und wenn eine Fabric, die das kann, in einem Switch eingesetzt wird, der nicht managebar ist, dann ist in meinen Augen zunächst ziemlich offen, wie sich der bei getaggten Frames verhält. Bei einer Fabric, die Tags nicht kennt, ist das einfacher nachvollziehbar.
:
Bearbeitet durch User
A. K. schrieb: > Michael S. schrieb: >> Was ist denn VLAN-fähige Hardware?? > > Eine Switch-Fabric, die mit VLANs-Tags umgehen kann. ... und Ethernet-Pakete mit einer Länge von 1514 (ungetaggt) + 4 (Tag)=1518 Bytes nicht verwirft, sondern weiterreicht. Selbstverständlich ist das nicht. fchk
Hallo. Ich hab mir das so gedacht: Alle Ports können nur innerhalb ihrer "ID" kommunizieren. Aber nicht ID Übergreifend. So wie wenn man mehrere eigene Switche und getrennte Netze hätte. Und an diesen Teilnehmeranschlüssen werden teilweise billige Desktop Switches angeschlossen zur weiteren Verteilung auf "Schreibtischebene". Jedoch können alle Ports auf den Uplink Port zugreifen, und somit auf den Internetrouter. Der Router unterstützt mehrere IP Subnetze. Aber VLAN Tagging soll auf dem Router nicht laufen. Am Uplink Port soll also alles von allen Subnetzen ankommen. Idealerweise aber ohne die Broadcasts wegen der PErformance. Außerdem gibt es WLAN Access Points, die VLAN Tauglich sind, aber in den verschiedenen "Abteilungsnetzen" stehen. Teilweise mit an den Desktop Switchen angeschlossen. Die WLAN AP's sollen ein weiteres, virtuelles Netz bilden und ebenfalls auf den Router zugreifen. Grüße
Sven schrieb: > Hallo. > > Ich hab mir das so gedacht: > > Alle Ports können nur innerhalb ihrer "ID" kommunizieren. Aber nicht ID > Übergreifend. So wie wenn man mehrere eigene Switche und getrennte Netze > hätte. > Und an diesen Teilnehmeranschlüssen werden teilweise billige Desktop > Switches angeschlossen zur weiteren Verteilung auf "Schreibtischebene". > > Jedoch können alle Ports auf den Uplink Port zugreifen, und somit auf > den Internetrouter. Der Router unterstützt mehrere IP Subnetze. > Aber VLAN Tagging soll auf dem Router nicht laufen. > Am Uplink Port soll also alles von allen Subnetzen ankommen. > Idealerweise aber ohne die Broadcasts wegen der PErformance. > > > Außerdem gibt es WLAN Access Points, die VLAN Tauglich sind, aber in den > verschiedenen "Abteilungsnetzen" stehen. Teilweise mit an den Desktop > Switchen angeschlossen. > > Die WLAN AP's sollen ein weiteres, virtuelles Netz bilden und ebenfalls > auf den Router zugreifen. > > Grüße Kurzes Fazit: Das geht so alles nicht! Die "Abteilungsswitches" wie Du sie nennst bekommen durch Deinen zentralen VLAN-fähigen Switch nicht mehr Möglichkeiten, also es geht das, was an diesem Switch auch ohne den anderen Switch geht. VLANs gehören nunmal nicht dazu. Was ebenfalls nicht geht ist, dass Dein Internet-Router selbst NICHT mit VLAN-Tags arbeitet, aber trotzdem Verkehr aus allen VLANs "sieht" und "bearbeitet". Zudem können die WLAN AP's vielleicht zwar VLANs - aber die Switche an denen sie angeschlossen sind (die "Abteilungsswitche") eben nicht und deshalb bringts auch nix! Das ganze Konzept funktioniert so nicht!
Hallo. Vielen Dank für das Feedback. Also muss der Router auf jeden fall einen VLAN fähigen Router einsetzen? Und die Abteilungsswitche müssen ebenfalls VLAN fähig sein, oder ich muss das WLAN separat zum Hauptswitch verkabeln? Hersteller- und Modellübergreifende Kompatibilität ist aber üblich? Oder würdet ihr dann alles von einem Herstelle nehmen? (Hauptswitch und Abteilungsswitch also gleich) Ich muss es nicht aufbauen. Leider habe ich auch nicht die Möglichkeit, es praktisch testweise aufzubauen. Mangels Hardware Es handelt sich um eine theoretische Fragestellung.
Sven schrieb: > Es handelt sich um eine theoretische Fragestellung. Dann könntest du doch theoretisch mal ein Bild malen wie du dir die Struktur des Netzes und der beteiligten Hardware vorstellst.
Sven schrieb: > Und die Abteilungsswitche müssen ebenfalls VLAN fähig sein Ich würde es empfehlen. Hat den Vorteil, dass du WLAN APs ziemlich überall platzieren kannst, ohne bei der Kabelei graue Haare zu kriegen. Diese APs werden über die Jahre Kinder kriegen und sich verbreiten wie eine Seuche. Je nach Zukunft der Telefonie evtl. an PoE denken. > Hersteller- und Modellübergreifende Kompatibilität ist aber üblich? IEEE 802.1Q > Oder würdet ihr dann alles von einem Herstelle nehmen? (Hauptswitch und > Abteilungsswitch also gleich) Macht die Sache einfacher, ist aber nicht zwingend nötig. Wenn nicht, und wenn du es ausschliesslich selber baust und unterstützt, dann probier den Kram aber vorher gründlich aus. > Ich muss es nicht aufbauen. Leider habe ich auch nicht die Möglichkeit, > es praktisch testweise aufzubauen. Mangels Hardware Wenns von 0 auf 100 in 0 Sekunden funktionieren soll, dann lässt du das einen Anbieter machen. Dann wird der aufgehängt, wenns nicht gleich perfekt funktioniert. Andernfalls wirst nämlich du aufgehängt.
:
Bearbeitet durch User
Angehängte Dateien:
-
netzwerkplan.png
18 KB
Klar, mache ich doch gerne. Ich beschreibe auch gerne, was genau gemacht werden soll. 1. Elektrotechniker Meier möchte sich im Bereich KNX/EIP und Home Automatisierung / Home Multimedia selbstständig machen und sein Privathaus als Firmengebäude verwenden. 2. Dazu werden im Privathaus mehrere Geschäftsräume eingerichtet. 2.1 Keller - Kleinteilelager - Hier steht ein PC zur Bestandsverwaltung und für Nachbestellung sowie den Warenversand. 2.2 Präsentations Verkaufs Konferenzraum Hier steht ein Internet/Office PC der für verschiedene Zwecke benutzt wird, während Meier Kundenkontakt hat. 2.3. Labor / Werkstatt Hier stehen mehrere PC's, die Herr Meier für seine Arbeit benötigt. Zum Beispiel einen Messplatz. 2.4 HomeOffice Wenn kein Kunde da ist, erledigt Herr Meier Büroarbeiten in der Privatwohng. 3. Der Internetzugang erfolgt über Kabel Deutshcland Business Tarif. Der vorhandene Privatkundenzugang soll als Fallback genutzt werden 4. NAS Als Datenablage wird ein NAS System verwendet. 5. WLAN Da Herr Meier Smartphone, Tablet und Notebook besitzt, soll flächendeckendes WLAN eingerichtet werden. Im Konferenzraum soll außerdem die Möglichkeit bestehen, Geschäftspartnern vorrübergehend Internetzugang per WLAN zu gewähren. 6. Die verschiedenen Bereiche sollen als eigenständige Teilnetze gestaltet werden, um die Sicherheit und Performance des Netzwerkes zu verbessern. Dies ist vor Allem im Labor wichtig, da Herr Meier dort auch Geräte mit Ethernet Anschluss testweise anschließt und fehlerhafte Konfigurationen sich nicht auf das ganze Netz auswirken sollen. (z.B. wenn auf einem testweise angeschlossenen Gerät ein DHCP läuft, der sich dann mit dem eigenen beißen könnte) 7. WLAN Das WLAN soll aus Sicherheitsgründen als eigenes Teilnetz gestaltet werden. Auf der zweiten SSID soll nur Internetzugang möglich sein, um einem Geschäftspartner per WLAN vorrübergehend Internetzugang zu bieten, ohne dass diese auf Daten von Herrn Meier zugreifen können.
...die Sparversion wäre, wenigstens einen zentralen VLAN fähigen Switch zu haben. Du würdest dann den verschiedenen Switchports dort verschiedene VLAN IDs fest zuweisen und dort die Abteilungsswitches anschließen. Der zentrale Switch würde dann die Pakete von den Abteilungsswitchen mit VLAN TAGs an euren zentralen Router schicken. Dieser MUSS bei diesem Szenario aber tagged VLAN (802.1Q) unterstützen! Wenn das partout nicht geht, muss den zentrale Switch nicht nur VLANs, sondern auch Layer2/3 Switching (also "Routing") und Accesslisten unterstützen. Dann können auf diesem Switch für jedes VLAN ein virtuelles Interface eingerichtet werden und mit den Accesslisten das Routing zwischen den Interfaces limitiert werden, in eurem Fall dürften die Subnetze der Abteilungen dann nur mit dem Subnet reden, in dem der Internetrouter steht. Die DHCP Konfiguration wird auf jeden Fall auch interessant, da der DHCP-Server die verschiedenen VLANs/Subnetze unterscheiden muss. Hast Du Dir darüber schon Gedanken gemacht? Deine WLAN access points darfst Du dabei natürlich nicht an die Abteilungsswitches hängen, sondern bräuchtest einen weiteren Accessswitch nur für die APs oder müsstest jeden AP einzeln zum zentralen Switch verkabeln. Grüße Markus
:
Bearbeitet durch User
Danke. Also WLAN komplett getrennt zu verkabeln, wäre im Grunde möglich. Da es nur ein ausgedachtes Szenario im Rahmen der Ausbildung ist, habe ich nicht das Problem, dass irgendwelche Baulichen Gegebenheiten berücksichtigt werden müssen. Ich hatte lediglich die Forderung, dass ich vier getrennte Teilnetze bilden muss, wobei untereinander keine direkte Kommunikation möglich sein soll. Jedoch soll aus jedem Teilnetz as Internet sowie der Fileserver erreichbar sein. Eine weitere Forderung war noch, dass das WLAN aus Sicherheitsgründen ein eignes Netz darstellt. Das in der Projektbeschreibung gestellte Budget ist ehr ein Problem, weswegen ich nicht einfach dicke Geräte mit allen benötigten Features aufschreiben kann. (z.B. 5 Stück Layer 3 Switches) Ansonsten bestünde noch die Option, das ganze mittels DMZ Netz zu machen. In jeder Abteilung einen "normalen" Router und das Abteilungsübergreifende Netz als "Internetverteilung" anzusehen. Der zentrale Switch sollte dennoch keine Kommunikation auf Layer 2 Ebene zwischen den Teilnehmerports durchlassen. Beim richtigen Internet komm ich ja auch nur auf IP Ebene zum Nachbar.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.