brimbolex
Goto Top

VLANs einrichten auf 4500er 3com switch

Hi, ich habe ein Problem beim einrichten mehrerer VLANs. Ich fürchte ich steh auf dem Schlauch, vielleicht kann mir ja wer helfen.

Folgendes Problem:

Ich möchte mehrere VLANs einrichten.

Was ich geschafft habe ist zwei accessports ungetagged miteinander in ein VLAN zu bringen. Soweit so gut
Ein Hybridport in zwei VLANs zu bringen ist mir nicht gelungen. Er redet immer nur mit einem der VLANs (über entsprechend gesetzte PVID)

Das Problem ist die Rechner die an einem Port hängen sollen auf 2 bis 4 VLANs Zugriff haben (je nach Aufgabe).
So zum Beispiel auch der Drucker und die firtzbox. Sie sollen aus allen VLANs erreichbar sein.

1.

Was muss ich denn dafür genau tun?


2.

Kann ich die IP Adressen für die unterschiedlichen VLANs mit der gleichen IP-Range (10.3.0.xxx) betreiben?
Denn die Trennung der Rechnergruppen erfolgt ja schon auf VLAN-Basis und ich kriege doch ein Problem mit dem Zugriff auf meine fritzbox da die ja nur eine Adresse haben kann.

Vielen Dank schon mal


Gruß Alex

Content-Key: 149940

Url: https://administrator.de/contentid/149940

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: aqui
aqui 30.08.2010, aktualisiert am 18.10.2012 um 18:43:18 Uhr
Goto Top
Der 3Com kann nur portbasierende VLANs. Um einen Port in mehrere VLANs zu bekommen geht das nur tagged, also mit der Tag ID nach 802.1q an den Frames an diesem Port !
Das erfordert aber das die Endgeräte auch tagged Frames verstehen sofern sie mit den VLANs kommunizieren müssen (Siehe Tutorial tagged Serverkarte unten !).
Anders ist es dann nur über Layer 3 Switching (Routing) machbar sofern der Switch das supportet !
Die VLANs haben dann eine switcheigene IP Adresse und routen via Switch zwischen den VLANs. Anders ist es nicht möglich.
Wenn dein Switch kein Routing supportet musst du das Routing mit externen Geräten machen.
Beispiele dazu findest du hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren (Serverkarte)
bzw.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Generelle Infos zum Thema VLAN findest du hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
Mitglied: brimbolex
brimbolex 30.08.2010 um 12:55:12 Uhr
Goto Top
Der 4500 switch kann L3 routing...

Aber wie ich das genau aufsetzt hab ich irgendwie nicht richtig verstanden.

Dazu gehört dann auch die Frage nach den IP Adressen der Routen und (wenn richtig verstanden) auch die jeweilige vlan-interface adresse je vlan
Mitglied: aqui
aqui 30.08.2010 um 13:21:06 Uhr
Goto Top
Routen benötigst du logischerweise keine, denn die VLANs sind ja direkt am Switch dran. Ausnahme wäre dann nur eine default Route ins Internet.
Hier mal ein Beispiel eines Cisco Switches mit VLAN Routing (VLANs 10, 20 und 30) wo die Logik sofort deutlich wird:
!
interface FastEthernet0/1
description Enduser Ports in VLAN 10
switchport access vlan 10
spanning-tree portfast
!
interface FastEthernet0/2
description Enduser Ports in VLAN 20
switchport access vlan 20
spanning-tree portfast
!
interface FastEthernet0/3
description Enduser Ports in VLAN 30
switchport access vlan 30
spanning-tree portfast
!
interface Vlan10
ip address 172.16.10.254 255.255.255.0
no ip route-cache
!
interface Vlan20
ip address 172.16.20.254 255.255.255.0
no ip route-cache
!
interface Vlan30
ip address 172.16.30.254 255.255.255.0
no ip route-cache
!
end

Hier kannst du sehen das zu jedem VLAN auch ein Routing Interface am Switch gehört (interface VLAN). Endgeräte in den VLANs haben dann DIESE IPs als Gateways eingetragen.
Müssen sie mit anderen VLANs kommunizieren als ihr eigenes schicken sie die Pakete an diese IP Adressen, die der Switch dann an die entsprechenden VLANs an ihm selbst routet.
Eigentlich banal einfach.... Mehr ist nicht zu tun !
Eine HP Konfig sieht dementsprechen analog aus:

vlan 10
name "Firma"
untagged 10-11
tagged 24
ip address 172.16.10.254 255.255.255.0
exit
vlan 20
name "Gast"
untagged 12-13
tagged 24
ip address 172.16.20.254 255.255.255.0
exit
vlan 30
name "Server"
untagged 14-15
tagged 24
ip address 172.16.30.254 255.255.255.0
exit

Analog geht das auch auf deinem 3Com. Ein passendes Layer 3 Schaubild dazu sieht so aus:

971a07ebe2fba9dac01468e633df4a7f
Mitglied: brimbolex
brimbolex 30.08.2010 um 13:31:39 Uhr
Goto Top
ok verstehe, vielen Dank schonmal...

Sind die IP Adressen der angeschlossenen Endgeräte egal, oder müssen die immer im Bereich des VLAN Interfaces liegen?

und:

Wie erkläre ich dem routing wer mit wem reden darf und wer nicht?
Mitglied: aqui
aqui 30.08.2010 um 13:36:28 Uhr
Goto Top
Logischerweise natürlich immer im Bereich des VLAN IP Netzes ! Wie sollte es denn anders funktionieren. (Siehe Schaubild oben !) Die Frage zeigt das du da aber noch erhebliche IP und VLAN Defizite hast !?
Wer mit wem reden darf erklärst du natürlich niemals mit dem Routing selber sondern mit einer Accessliste !!
Da (vermutlich) alle VLANs am 3Com angeschlossen sind routet der in alle Netze die er kennt ..also an ihm direkt dran sind !
Mitglied: brimbolex
brimbolex 30.08.2010 um 14:07:43 Uhr
Goto Top
ah ok...

das Schaubild hab ich übersehen vorhin, sorry!

das hieße ja dann in meinem Fall muss ich dem Drucker beispielsweise ein eigenes VLAN einrichten und über die Accessliste wiederum den Zugriff aus den anderen VLANs regeln.
Mitglied: aqui
aqui 31.08.2010 um 15:29:28 Uhr
Goto Top
Genauso ist es !! Erstmal routet der Router (L3 Switch) alles ohne Beschränkung. D.h. jeder kann aus jedem VLAN auf jeden zugreifen (sofern die Gateway Eintrage stimmen !).
Den Zugriff aus einzelnen VLANs auf diesen Router regelst du denn mit den ACL genau so wie du es beschrieben hast !
Mitglied: brimbolex
brimbolex 01.09.2010 um 08:20:57 Uhr
Goto Top
Ah jetzt...

da is er der Denkfehler!

Vielen Dank so werd ich s mal probieren

Gruß Alex
Mitglied: aqui
aqui 03.09.2010 um 12:02:04 Uhr
Goto Top