sandra-t
Goto Top

VLAN Einrichtung - kleine Frage dazu

Ich benötige ein klein wenig Hilfe, da ich noch nie mit VLAN Konfiguration zu tun hatte.

Ich habe folgende Situation, die ich lösen soll:

es soll ein kleines Netzwerk eingerichtet werden, folgende Systeme sollen eingebunden werden:

System 1: Arbeitsplatz des Netzwerkverwalters (Port 2 am Switch)
System 2: Server für Datensicherung (Port 5 am Switch)
System 3: Arbeitsplatz für VMware Workstation Testinstallationen (Port 6 am Switch)
System 4: öffentlicher Computer, der von Besuchern genutzt werden kann (Port 3 am Switch)
System 5: HP LaserJet Multifunktionsgerät (Port 8 am Switch)

Alle diese Geräte sind mit einem HP ProCurve 1810G Switch verbunden. Jetzt soll das ganze so eingerichtet werden, dass System 1bei Bedarf per Remotedesktop auf alle anderen Systeme zugreifen kann, Systeme 2-4 sollen nicht untereinander kommunizieren dürfen, alle Systeme sollen aber Internetzugang haben und den Drucker nutzen können.

Die Internetverbindung wird per Funk über eine Fritz!Box hergestellt, die an Port 1 am Switch angeschlossen ist. Die ganze genannte Installation ist eine Nebenstelle, daher die Anbindung per Funk.

Wie müsste ich hierfür die VLANs einrichten ? Ich hatte folgendes überlegt:

VLAN 1: Default (kann auch nicht gelöscht werden, Portkonfiguration: Port 1 und 8 untagged, Port 2 tagged
VLAN 2: Server Portkonfiguration: Port 5 untagged, Port 2 tagged
VLAN 3: Clients Portkonfiguration: Port 6 untagged, Port 2 tagged
VLAN 4: öffentlich Portkonfiguration: Port 3 untagged, Port 2 tagged

So sollten doch alle Systeme bis auf System 1 nicht untereinander kommunizieren können, der Admin jedoch auf alle per Remotedeskop zugreifen können und alle das Internet der Fritz!Box und den Drucker nutzen können ? Oder habe ich gerade einen Denkfehler ?

Gruß
Sandra

Content-Key: 165848

Url: https://administrator.de/contentid/165848

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: clSchak
clSchak 08.05.2011 um 12:57:05 Uhr
Goto Top
ich verstehe nicht wirklich warum du das Netz bei der geringen Anzahl an Benutzern in VLAN segmentieren willst ôÔ der Broadcast ist weniger wie wenig - das die Clients nicht überall drauf zugreifen sollen ist verständlich und lässt sich via Berechtigungen setzen, das einzige was sinnig ist, ist der Rechner für die Besucher, die restlichen VLANS sind überflüssig.

Des weiteren weis ich nicht ob die Fritzbox mit Tagged Frames was anfangen kann (weil das muss sie, damit der Gästezugang auch an der Fritzbox ankommt) und der Switch kann auf den ersten Blick nicht routen - dazu müsstest du am Port2 ein Gerät haben (Netzwerkkarte) wo man die Ports Taggen kann (onboard karten bei PC können das in der Regel nicht - dort kannst nur eine VLAN ID eingeben (wenn überhaupt)) damit du auf dem Gastrechner kommst und ins "interne" Netz kommst. Aber zu den Gästenetzen gibt es hier auch eine gute Anleitung von Aqui - ebenso das segmentieren von LANS via VLANS - einfach die Boardsuche nutzen und dann unter Anleitungen nachschauen.

Wie bereits gesagt, bei der geringen Anzahl an Rechnern ist es in meinen Augen total unsinig jedes Gerät ein eigene VLAN zu geben,
Mitglied: Edi.Pfisterer
Edi.Pfisterer 08.05.2011, aktualisiert am 18.10.2012 um 18:46:48 Uhr
Goto Top
Hallo!
Ich habe folgende Situation, die ich lösen soll:
nehme ich mal so hin und hinterfrage nicht, warum Du das machen willst!

was mir an Deiner Beschreibung auffällt:

die Idee mit den Tags ist prinzipiell eine gute, nur bei Dir nicht nötig!
TAGS brauchst Du nur, damit über die (physikalische) Grenze des Switchs hinaus bekannt ist, aus welchem VLAN der Traffic stammt...
Da die Fritzbox diese Info aber nicht benötigt (da alle ins Internet kommen sollen), ist imho auch hier kein TAG nötig. Ebensowenig braucht der Sysadmin diese TAGs...

Wozu dient der Datenserver, wenn darauf niemand (ausser der Admin) zugreifen kann?
wo hängt der DHCP (oder werden statische Adressen vergeben)?

hmmm...

prinzipiell (wenn ich nichts übersehen habe) sollte aber Deine Struktur wie von Dir beschrieben stimmen.
vielleicht hilft Dir zum besseren Verständnis noch dieser Beitrag:
VLAN, tagged, untagged Grundverständnis, Netgear GS724T v2

Just do it!

lg und gutes Gelingen
Edi
Mitglied: dog
dog 08.05.2011 um 15:44:36 Uhr
Goto Top
Bei dem Aufbau musst du entweder extensives Multihoming betreiben (was mit den meisten Geräten gar nicht möglich ist) oder du brauchst einen guten Router mit VLAN und Firewall (was die Fritzbox nicht ist).
Mitglied: Edi.Pfisterer
Edi.Pfisterer 08.05.2011 um 15:51:05 Uhr
Goto Top
@ dog:
???
da gebe ich Dir - ausnahmsweise - nicht recht!
wenn alle Clients IP-Adressen aus dem selben Range verwenden, dann braucht sie für diese Konfiguration imho keinen router...

firewall braucht sie bei obig beschriebener Aufgabenstellung auch nicht...
So sollten doch alle Systeme bis auf System 1 nicht untereinander kommunizieren können, der Admin jedoch auf alle per Remotedeskop zugreifen können
und alle das Internet der Fritz!Box und den Drucker nutzen können ?

dass allerdings oben gestellte Aufgabe prinzipiell ein ziemlicher "Holler" ist, da gebe ich euch natürlich schon recht face-wink

lg
Mitglied: dog
dog 08.05.2011 um 17:28:05 Uhr
Goto Top
System 1bei Bedarf per Remotedesktop auf alle anderen Systeme zugreifen kann, Systeme 2-4 sollen nicht untereinander kommunizieren dürfen, alle Systeme sollen aber Internetzugang haben

Um die Regeln abzubilden brauchst du entweder einen Switch mit Port-Based-ACLs (was der 18xxer nicht kann) und nur ein VLAN oder eben mehrere VLANs und einen Router mit FW, der sie verbinden kann.
Das selbe IP-Range zu benutzen ist gar nicht möglich.

Der Aufbau könnte z.B. so sein

P1: VLAN10 UNTAG 192.168.0.0/24
P2: TAG VLAN10,11,12,13,14 Router
P3: VLAN11 UNTAG 192.168.1.0/24
P5: VLAN12 UNTAG 192.168.2.0/24
P6: VLAN13 UNTAG 192.168.3.0/24
P8: VLAN14 UNTAG 192.168.4.0/24

Der Router kommt in jedes VLAN und hat folgende FW-Regeln:

SPI VLAN10 -> VLAN11,12,13,14 erlaubt
SPI VLAN11,12,13,14 -> INET erlaubt
VLAN11,12,13 <-> VLAN14 erlaubt
Mitglied: EndianCode
EndianCode 25.08.2011 um 17:43:54 Uhr
Goto Top
Hallo Zusammen,

ich habe noch einmal eine Frage zu diesem Thema.

Ich habe den HP ProCurve 1810 G - 24 GE Switch.

Ich habe nun folgendes Problem.

Netz 1: hat den IP - Bereich 10.42.0.xxx (Class C) belegt die Ports 1 bis 21
Netz 2: hat den IP - Bereich 10.42.0.90 bis 10.42.0.100 (Class C) belegt den Port 24
Auf dem Port 22 ist eine Fritzbox angeschlossen, die den Gateway für beide Netze stellen soll. (Gateway IP wäre in meinem Fall 10.42.0.1 Class C)

Ziel soll es sein Netz 1 soll untereinander kommunizieren können und ins Internet, aber nicht in Netz 2. Netz 2 soll nur ins Internet können.

Wenn ich mich an das schöne Handbuch halte, klappt nichts und ich habe jetzt diverse Male das System zurückgesetzt. Also, schluss mit den Spielerein und mal die Profis gefragt.
Kann mir jemand in halbwegs verständlichen Sätzen ein paar hilfreiche Tipps geben?

Danke schon einmal im Vorraus
Mitglied: dog
dog 25.08.2011 um 18:29:14 Uhr
Goto Top
Auf dem Port 22 ist eine Fritzbox angeschlossen, die den Gateway für beide Netze stellen soll.

Geht nicht.
Die Fritzbox kann keine VLANs und der 1810er kann kein statisches Routing.
Mitglied: EndianCode
EndianCode 26.08.2011 um 14:58:46 Uhr
Goto Top
Wir haben einige Einstellungen getestet und sind zu einem Teil Erfolg gekommen. Wir haben hier nur noch nicht unsere Denkfehler gefunden.

Wir haben zum testen auf dem Switch drei VLAn konfiguriert:

VLAN ID 1: default
VLAN ID 200: Unser Netz
VLAN ID 300: Nachbarnetz

Im Menü der VLAN Port haben wir alle Ports von 1 bis 21 + 23 auf die Port Priority 1 gestellt.
Port 22 auf 2 und port 24 auf 0.

durch einige Einstellungen bei den VLAN 200 und 300 haben wir es zumindest soweit hinbekommen, das beide VLANs über Port 22 ins Internet kamen. Vom VLAN 200 war man auch für VLAN 300 gesperrt, nur nicht umgekehrt. Aus VLAN 300 kam man trotzdem ins VLAN 200.

@ Dog, deine Antwort mag bezüglich der Fritzbox stimmen, aber es scheint ja trotzdem auf eine gewisse Art zu funktionieren.

Da wir mittlerweile aber nur noch T´s , U´s und E´s sehen, aber an der Lösung immer wieder vorbei rennen, bräuchten wir dringend Rat.
Mitglied: dog
dog 26.08.2011 um 15:28:26 Uhr
Goto Top
aber es scheint ja trotzdem auf eine gewisse Art zu funktionieren.

Glaub mir, ich kenne HP gut genug um zu wissen was da geht und was nicht.
Und was du vorhast geht mit der Kombination schlicht nicht.
Punkt. EOD.

Lies dier nochmal (erstmal?) die Grundlagen von VLANs durch und vorallem, welche Implikationen ein VLAN auf Layer 3 hat (dann merkst du nämlich ganz schnell, dass das nicht klappen kann)!

Und dann besorg dir entweder einen Router, der mit VLANs umgehen kann oder einen Switch, der Routing un ACL kann.