12
Verständnisfrage Vlan
Vlan einrichten mit Dell 5324 Switche
Hallo,
Ich habe mal eine frage an euch wegen der Einrichtung eines Vlan.
Ich habe folgende Konstellation:
Ein Netzwerk mit fester IP Adressvergabe fuer Server und PCS.
Dazu ebenfalls ca. 50 Drucker ebenfalls mit festen IP Adressen, aber mit einem anderen Adressbereich wie die PC und Server.
Wir haben jetzt einige Dell 5324 dazu bekommen und möchten ein VLan Netz für die Drucker erstellen.
Wie kann man sowas am besten angehen?
Ziel ist es das Netzwerk ein wenig sicherer und komfortabler zu machen.
Noch als Anmerkung:
Wir haben extra einen Druckerserver im Netz der 2 Netzwerkkarten hat, und somit im normalen und im Druckernetz hängt.
Vielen Dank für eure Hilfe und Meinungen.
Ich habe mal eine frage an euch wegen der Einrichtung eines Vlan.
Ich habe folgende Konstellation:
Ein Netzwerk mit fester IP Adressvergabe fuer Server und PCS.
Dazu ebenfalls ca. 50 Drucker ebenfalls mit festen IP Adressen, aber mit einem anderen Adressbereich wie die PC und Server.
Wir haben jetzt einige Dell 5324 dazu bekommen und möchten ein VLan Netz für die Drucker erstellen.
Wie kann man sowas am besten angehen?
Ziel ist es das Netzwerk ein wenig sicherer und komfortabler zu machen.
Noch als Anmerkung:
Wir haben extra einen Druckerserver im Netz der 2 Netzwerkkarten hat, und somit im normalen und im Druckernetz hängt.
Vielen Dank für eure Hilfe und Meinungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 183274
Url: https://administrator.de/contentid/183274
Printed on: April 19, 2024 at 20:04 o'clock
12 Comments
Latest comment
Irgendwie geht aus Deiner Frage für mich nicht genau hervor, was Du eigentlich machen möchtest.
Grundsätzlich brauchst Du VLAN-fähige Switche. Dort kannst Du dann z.B. definieren, dass bestimmte Ports zu einem VLAN gehören oder (meines Wissens aber erst im gehobenen Segment) auch, dass bestimmte MACs in ein VLAN kommen, sodass der tatsächlich verwendete Port am Switch keine Rolle spielt (das läuft dann wohl auch über einen Radius-Server).
Mir ist nun nicht ganz klar, inwiefern dieses VLAN das Netz sicherer machen soll (mal davon abgesehen, dass ein VLAN die Administration eigentlich nicht komfortabler machen kann). Ihr habt doch schließlich schon ein getrenntes Druckernetz?!
EDIT: Sorry, bin fälschlicherweise davon ausgegangen, dass die DELL-Geräte neue Drucker sind (in Anlehnung an die Bezeichnungspraxis von Brother
) . Aber es sind ja managebare Switches. Aquis Tipps helfen hier natürlich gut.
Grundsätzlich brauchst Du VLAN-fähige Switche. Dort kannst Du dann z.B. definieren, dass bestimmte Ports zu einem VLAN gehören oder (meines Wissens aber erst im gehobenen Segment) auch, dass bestimmte MACs in ein VLAN kommen, sodass der tatsächlich verwendete Port am Switch keine Rolle spielt (das läuft dann wohl auch über einen Radius-Server).
Mir ist nun nicht ganz klar, inwiefern dieses VLAN das Netz sicherer machen soll (mal davon abgesehen, dass ein VLAN die Administration eigentlich nicht komfortabler machen kann). Ihr habt doch schließlich schon ein getrenntes Druckernetz?!
EDIT: Sorry, bin fälschlicherweise davon ausgegangen, dass die DELL-Geräte neue Drucker sind (in Anlehnung an die Bezeichnungspraxis von Brother
) . Aber es sind ja managebare Switches. Aquis Tipps helfen hier natürlich gut.
Eigentlich ist das ganz einfach:
Gerade wenn du jetzt die Infrastruktur des Netzes neu aufsetzen kannst solltest du die Chance zur Segmentierung immer nutzen.
Diese Threads helfen dir zum Verständnis:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und ggf.
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
allgemein die gute Doku vom Kollegen pfisterer hier:
http://www.schulnetz.info/2011/04/
und
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
Damit sollte es dann ein Kinderspiel mit deinen Dell Gurken sein,,,
- Lege auf allen Switches ein gleiches VLAN (VLAN ID und Name) an für die Drucker
- Übertrage dieses VLAN tagged auf allen Uplink Ports die die Switches verbinden um das VLAN transparent im Netz zu haben.
- Richte die Drucker Ports untagged in diesen VLANs ein
- Fertisch
Gerade wenn du jetzt die Infrastruktur des Netzes neu aufsetzen kannst solltest du die Chance zur Segmentierung immer nutzen.
Diese Threads helfen dir zum Verständnis:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und ggf.
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
allgemein die gute Doku vom Kollegen pfisterer hier:
http://www.schulnetz.info/2011/04/
und
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
Damit sollte es dann ein Kinderspiel mit deinen Dell Gurken sein,,,
Hallo aqui,
Ich habe noch eine Frage an dich:
Da du ja offensichtlich Netzwerkadmin bist
Ich habe folgende Konstellation:
Ein Netzwerk mit fester IP Adressvergabe wo leider schon fast alle IPs des Netzes vergeben sind (deshalb haben wir den Druckern andere IPs gegeben und am Server die 2. Netzwerkkarte aktiviert.
Was würdest du denn vorschlagen, oder besser gesagt was würdest du empfehlen, wie oder womit kann ich dieses Netz "verbessern"?
Ist die feste IP Adrssvergabe ueberhaupt OK so?
Im Netz befindet sich auch noch eine große Watchguard XMT 5, die mehrere Lans bei uns verwaltet.
Du hast sicherlich auch schon gemerkt das ich wenig Erfahrung/ Wissen über managbare Switche habe.
Aber das Ziel sollte sein, das Netzwerk ein wenig aufzuräumen
Was mache ich wenn alle festen IPs vergeben sind?
Ich kann natürlich all unseren Servern ne 2. IP verpassen.
Die Server laufen alle mit VMWare.
Bitte um Eure Meinung
Bin sehr dankbar für jeden Rat.
Vielen Dank!!!!!
Ich habe noch eine Frage an dich:
Da du ja offensichtlich Netzwerkadmin bist
Ich habe folgende Konstellation:
Ein Netzwerk mit fester IP Adressvergabe wo leider schon fast alle IPs des Netzes vergeben sind (deshalb haben wir den Druckern andere IPs gegeben und am Server die 2. Netzwerkkarte aktiviert.
Was würdest du denn vorschlagen, oder besser gesagt was würdest du empfehlen, wie oder womit kann ich dieses Netz "verbessern"?
Ist die feste IP Adrssvergabe ueberhaupt OK so?
Im Netz befindet sich auch noch eine große Watchguard XMT 5, die mehrere Lans bei uns verwaltet.
Du hast sicherlich auch schon gemerkt das ich wenig Erfahrung/ Wissen über managbare Switche habe.
Aber das Ziel sollte sein, das Netzwerk ein wenig aufzuräumen
Was mache ich wenn alle festen IPs vergeben sind?
Ich kann natürlich all unseren Servern ne 2. IP verpassen.
Die Server laufen alle mit VMWare.
Bitte um Eure Meinung
Bin sehr dankbar für jeden Rat.
Vielen Dank!!!!!
Hallo,
es gibt genug private IP Adresse nach RFC 1918.
Einfach ein neues VLAN mit einem eigenständigen IP Adress Bereich und gut ist.
Eventuell sollte man dann an der Stelle auch gleich mal überlegne welche Struktur man dahinter legt.
Es macht keinen Sinn alle Arbeitsplatzrechner in eine Netz und ein VLAN zu legen. Die sollen sich ja meist garnicht sehen..
(Datenschutzrecht!!).
brammer
es gibt genug private IP Adresse nach RFC 1918.
Einfach ein neues VLAN mit einem eigenständigen IP Adress Bereich und gut ist.
Eventuell sollte man dann an der Stelle auch gleich mal überlegne welche Struktur man dahinter legt.
Es macht keinen Sinn alle Arbeitsplatzrechner in eine Netz und ein VLAN zu legen. Die sollen sich ja meist garnicht sehen..
(Datenschutzrecht!!).
brammer
@glandy
Richtig ! Kollege brammer hat da ganz recht. Fang an zu segmentieren. Du bist ja auch schon richtigerweise auf dem Weg dahin...alles OK also.
Richte einfach ein oder ein paar mehrere VLANs ein auf deinem Switch(es).
Das kannst du problemlos machen im laufenden Betrieb. Ob du die IP Adressen statisch vergibst oder zentral per DHCP auf einem DHCP Server im Netz spielt dafür erstmal keinerlei Rolle.
Generell ist aber bei größer werdenden Netzen DHCP besser damit du dich nicht später nur mit der IP Adresskoordination beschäftigst. Ein Mix aus DHCP mit festen statischen IPs für Server, Printer, NAS etc. pro VLAN ist also immer der richtige Weg.
Also du richtest diese VLANs ein und weisst ihnen Ports und Backbone Links zu und betreibst dann die Geräte dadrin. Da du zwischen den VLANs routen musst, benötigst du entweder einen Layer 3 routing fähgen Zentralswitch oder erledigst das mit einem zentralen Server wie dir diese Tutorials es ja genau erklären.
Damit bist du alle IP Adress Sorgen los und kannst genau und kontrolliert wachsen ohne das dir das Netz kollabiert und langsam wird wenn es nur dumm und flach wäre...
Klassische VLAN Einteilungen sind z.B. separate
VLAN für Rechenzentrum (Server, NAS etc.)
VLAN für Clients (PCs, Drucker) Kann man weiter aufsplitten...
VLAN für Internet und WAN Verbindungen (Firewall Router, VPN Server)
Damit hast du eine saubere Trennung und kontrollierte Broadcast Domains die dich im Adresswachstum nicht weiter behindern.
Richtig ! Kollege brammer hat da ganz recht. Fang an zu segmentieren. Du bist ja auch schon richtigerweise auf dem Weg dahin...alles OK also.
Richte einfach ein oder ein paar mehrere VLANs ein auf deinem Switch(es).
Das kannst du problemlos machen im laufenden Betrieb. Ob du die IP Adressen statisch vergibst oder zentral per DHCP auf einem DHCP Server im Netz spielt dafür erstmal keinerlei Rolle.
Generell ist aber bei größer werdenden Netzen DHCP besser damit du dich nicht später nur mit der IP Adresskoordination beschäftigst. Ein Mix aus DHCP mit festen statischen IPs für Server, Printer, NAS etc. pro VLAN ist also immer der richtige Weg.
Also du richtest diese VLANs ein und weisst ihnen Ports und Backbone Links zu und betreibst dann die Geräte dadrin. Da du zwischen den VLANs routen musst, benötigst du entweder einen Layer 3 routing fähgen Zentralswitch oder erledigst das mit einem zentralen Server wie dir diese Tutorials es ja genau erklären.
Damit bist du alle IP Adress Sorgen los und kannst genau und kontrolliert wachsen ohne das dir das Netz kollabiert und langsam wird wenn es nur dumm und flach wäre...
Klassische VLAN Einteilungen sind z.B. separate
VLAN für Rechenzentrum (Server, NAS etc.)
VLAN für Clients (PCs, Drucker) Kann man weiter aufsplitten...
VLAN für Internet und WAN Verbindungen (Firewall Router, VPN Server)
Damit hast du eine saubere Trennung und kontrollierte Broadcast Domains die dich im Adresswachstum nicht weiter behindern.
Hallo,
Also erstmal muss ich "Vielen Dank" sagen!!!!
Dafür das ihr alle mir so gut helfen wollt, das ist sicherlich nicht alltäglich, aber es ist für mich ein schwieriges Thema, denn ich habe mich mit sowas noch nicht beschäftigt.
ich habe allerdings noch Fragen:
Angenommen ich würde erstmal so Vorgehen:
Ich habe 2 PCs in der EDV stehen mit den IPs
192.168.229.10
Und
192.168.229.20
Wenn ich jetzt ein Vlan einrichte und bringe die 2 PCs da rein, wie kann ich dann auf unseren Server zugreifen der zB
Die IP
192.168.230.1 hat???
Ich bin dann ja nicht mehr im gleichen Netz!
Oder denke ich zu kompliziert???
Als routingfaehigen Switch habe ich einen Dell Power Connect 6248 der das doch sicherlich kann, oder?
Als Verteiler auf den einzelnen Abteilungen habe ich dann die oben bereits erwähnten Dell 5324.
Alle unsere Server haben feste IPs von
192.168.229.3. - 192.168.229.10
Wie kann ich aber dann von einer IP 192.168.225.1 (die IP Könnte ich dann für unsere Buchhaltung nehmen).
Auf den Server zugreifen? die Server sind alle in der VMWareumgebung!
Sorry für die "blöden Fragen, aber wir arbeiten im Echtbetrieb und können uns keinen Ausfall leisten!!!
Vielen Dank nochmals für eure Meinungen und Tips
Grüße
Glandy5
Also erstmal muss ich "Vielen Dank" sagen!!!!
Dafür das ihr alle mir so gut helfen wollt, das ist sicherlich nicht alltäglich, aber es ist für mich ein schwieriges Thema, denn ich habe mich mit sowas noch nicht beschäftigt.
ich habe allerdings noch Fragen:
Angenommen ich würde erstmal so Vorgehen:
Ich habe 2 PCs in der EDV stehen mit den IPs
192.168.229.10
Und
192.168.229.20
Wenn ich jetzt ein Vlan einrichte und bringe die 2 PCs da rein, wie kann ich dann auf unseren Server zugreifen der zB
Die IP
192.168.230.1 hat???
Ich bin dann ja nicht mehr im gleichen Netz!
Oder denke ich zu kompliziert???
Als routingfaehigen Switch habe ich einen Dell Power Connect 6248 der das doch sicherlich kann, oder?
Als Verteiler auf den einzelnen Abteilungen habe ich dann die oben bereits erwähnten Dell 5324.
Alle unsere Server haben feste IPs von
192.168.229.3. - 192.168.229.10
Wie kann ich aber dann von einer IP 192.168.225.1 (die IP Könnte ich dann für unsere Buchhaltung nehmen).
Auf den Server zugreifen? die Server sind alle in der VMWareumgebung!
Sorry für die "blöden Fragen, aber wir arbeiten im Echtbetrieb und können uns keinen Ausfall leisten!!!
Vielen Dank nochmals für eure Meinungen und Tips
Grüße
Glandy5
Je nachdem wie die Subnetzmaske gesetzt ist könntest Du durchaus weiterhin im selben Netz sein. In Deinem Fall wird dann aber eine "klassische" Maske mit 255.255.255.0 zum Einsatz gekommen sein, richtig? Dann muss geroutet werden. Und genau das, also sozusagen die Verbindung zwischen den einzelnen VLANs, soll der CoreSwitch übernehmen. Dein Dell Power Connect kann Routing auf Layer 3 (ist tatsächlich ein nettes Ding!), wie Du hier siehst: http://www.dell.com/de/unternehmen/p/powerconnect-6248/pd.
Übrigens ist ja genau diese Aufteilung der Netzteilnehmer auf einzelne Bereiche das gewünschte Ziel (in Form z.B. von "offensichtlichen" Subnetzen, also z.B. Server und Drucker in 192.168.229.0/24 und Clients in 192.168.230.0/24 oder - was ich lieber machen würde, weil größere Spielräume und geringere Verwechslungsgefahr - Server und Drucker ins genannte, Clients dann z.B. in 172.16.20.0/24) . So könntest Du dann auch die Zugriffe zwischen den Netzen regulieren und auf bestimmte Dienste beschränken.
Übrigens ist ja genau diese Aufteilung der Netzteilnehmer auf einzelne Bereiche das gewünschte Ziel (in Form z.B. von "offensichtlichen" Subnetzen, also z.B. Server und Drucker in 192.168.229.0/24 und Clients in 192.168.230.0/24 oder - was ich lieber machen würde, weil größere Spielräume und geringere Verwechslungsgefahr - Server und Drucker ins genannte, Clients dann z.B. in 172.16.20.0/24) . So könntest Du dann auch die Zugriffe zwischen den Netzen regulieren und auf bestimmte Dienste beschränken.
Hallo kingkong, aqui, brummer:
vielen Dank für die Erläuterungen, du hast Recht so soll das dann ungefähr aussehen:
Lage im Moment:
Alle PCs und Server sind im gleichen Netz: (192.168.229.3- 254)
Alle Drucker sind im gleichen Netz (192.168.228.1 - 254)
Da uns aber im Netz mit der 229.3 - 254 so langsam die IP Adressen ausgehen, habe ich mir die Sache mit den Vlan s überlegt.
Ich habe im Serverraum ebenfalls zum oben genannten Dell Switch noch einen 3Com Baseline Switch 2952-SFP, der ebenfalls nicht "so schlecht" sein sollte. Die Switche (Marke Dell und 3 Com sollte doch hoffentlich kein Problem darstellen???)
Ich stelle mir folgendes vor:
Abteilung EDV: bekommt folgenden IP Bereich: 192.168.222.1 - 254
Abteilung Buchhaltung bekommt folgenden IP Bereich: 192.168.120.1 - 254
Abteilung Verwaltung bekommt folgenden IP Bereich: 192.168.224.1 - 254
Das Routing der Switche stelle ich mir schwierig vor, denn wie kann ich dann unsere Server erreichen, die dann ja eigentlich nicht mehr im gleichen Netz (192.168.229.3- 10) wie die anderen Abteilungen sind.
Muss ich den Servern auch die IPs verpassen? (222.1, 120.1, 224.1) ??? Ausserdem sollte das Netz nicht an "Geschwindigkeit" verlieren!!!
Sorry für die (für euch) wahrscheinlich dummen Fragen, aber ich komme "kopfmäßig" noch nicht klar damit!
Vielen Dank für eure Tips!!
Grüße
vielen Dank für die Erläuterungen, du hast Recht so soll das dann ungefähr aussehen:
Lage im Moment:
Alle PCs und Server sind im gleichen Netz: (192.168.229.3- 254)
Alle Drucker sind im gleichen Netz (192.168.228.1 - 254)
Da uns aber im Netz mit der 229.3 - 254 so langsam die IP Adressen ausgehen, habe ich mir die Sache mit den Vlan s überlegt.
Ich habe im Serverraum ebenfalls zum oben genannten Dell Switch noch einen 3Com Baseline Switch 2952-SFP, der ebenfalls nicht "so schlecht" sein sollte. Die Switche (Marke Dell und 3 Com sollte doch hoffentlich kein Problem darstellen???)
Ich stelle mir folgendes vor:
Abteilung EDV: bekommt folgenden IP Bereich: 192.168.222.1 - 254
Abteilung Buchhaltung bekommt folgenden IP Bereich: 192.168.120.1 - 254
Abteilung Verwaltung bekommt folgenden IP Bereich: 192.168.224.1 - 254
Das Routing der Switche stelle ich mir schwierig vor, denn wie kann ich dann unsere Server erreichen, die dann ja eigentlich nicht mehr im gleichen Netz (192.168.229.3- 10) wie die anderen Abteilungen sind.
Muss ich den Servern auch die IPs verpassen? (222.1, 120.1, 224.1) ??? Ausserdem sollte das Netz nicht an "Geschwindigkeit" verlieren!!!
Sorry für die (für euch) wahrscheinlich dummen Fragen, aber ich komme "kopfmäßig" noch nicht klar damit!
Vielen Dank für eure Tips!!
Grüße
Dumme Fragen gibts nicht nur dumme Antworten und für Fragen ist ein Forum ja da.... !
Mit der Dell Powerconnect Gurke hast du die besten Voraussetzungen das schnell und problemlos umzusetzen !
Hier richtest du die VLANs ein und im Switch gehört zu jedem VLAN auch einen korrespondierende IP Adresse, das ist die Layer 3 IP Gateway Adresse, denn der Switch funktioniert aus Layer 3 Sicht wie ein Router.
Da der Dell Switch ja alle IP Netze genau kennt (sie sind ja direkt an ihm selber angeschlossen !) routet er also alles schon sauber zwischen den VLANs. Du musst also ausser der Default Route auf den Internet Router nix mehr einstellen. Das funktioniert sofort !
Diese Switch IP gibst du den PCs dann als Gateway IP. Der Switch selber bekommt noch eine Default Route auf den Internet Router...fertig !
Salopp gesagt mit deinem o.a Beispiel sieht es so aus:
VLAN 1 (Altnetz)
Dell Switch IP: 192.168.229.254
PC Hostadressen: 192.168.229.3 - .254
PC Gateway: 192.168.229.254
PC DNS Server: <deine DNS IP Adresse>
Hier im Altnetz veränderst du nichts und lässt alles beim alten mit der Adressierung. So kannst du ganz einfach Schritt für Schritt und PC für PC die Rechner für Verwaltung, EDV und Buchhaltung in die neuen Netze bringen ohne das du was abschalten musst. Du migrierst also nur die PCs in die neuen VLANs. Wenn was schiefen gehen sollte (was nicht passiert !) kannst du sofort immer wieder ins Altnetz zurück und alles ist so wie füher.
So hast du die geringstmögliche Störung des Betriebs.
Die Server bleiben im Altnetz denn so bekommst du sukzessive quasi automatisch ein Rechenzentrums Netz indem nur Server und der Internet Router drin sind.
An den Server IPs wird NICHTS verändert, die bleiben so wie sie sind !
Clever...gell aber so ein simples und einfaches VLAN Standardszenario ist so Millionenfach im Einsatz !
Der Rest geht dann so:
VLAN 10 (EDV)
Dell Switch IP: 192.168.222.254 (Ein Router hat immer die letzte IP ganz oben oder ganz unten !)
PC Hostadressen: 192.168.222.10 - .250 (Man lässt immer etwas frei oben und unten)
PC Gateway: 192.168.222.254
PC DNS Server: <deine DNS IP Adresse>
VLAN 20 (Buchhaltung)
Dell Switch IP: 192.168.120.254
PC Hostadressen: 192.168.120.10 - .250
PC Gateway: 192.168.120.254
PC DNS Server: <deine DNS IP Adresse>
VLAN 30 (Verwaltung)
Dell Switch IP: 192.168.224.254
PC Hostadressen: 192.168.224.10 - .250
PC Gateway: 192.168.224.254
PC DNS Server: <deine DNS IP Adresse>
Fertig !
Mit der Erreichbarkeit der Server geht das so:
Wenn nun dein EDV PC 192.168.222.100 (neues VLAN 10) z.B. den Server 192.168.229.1 (Altnetz im VLAN 1) erreichen will schickt der PC das erstmal an den Switch, da der PC ja merkt seinen Ziel IP ist nicht im gleichen Netzwerk wie er, also ab damit ans Gateway (Switch IP).
Der Switch liest die Empfänger IP, sieht in seiner Routing Tabelle nach und "sieht" das das .229 Netzwerk an ihm selber dran ist und forwardet das Paket dahin wo es dann am Server landet.
Die Antwort vom Server funktioniert analog rückwärts !
Für den Switch ist es vollkommen "Latte" ob er im Layer 2 oder Layer 3 Mode das Paket forwarden muss. Vor 20 Jahren war das mal ein Unterschied. Heutzutage können sogar solche Dell Billiteile das in Wirespeed also ohne jegliche Performance Einbuße !
Im Gegenteil !! Durch die Segmentierung deines Netzes hast du erheblich weniger Broad- und Multicast Last auf den Clents die dir dein Netzwerk spürbar schneller machen.
Letztlich kannst du also nur gewinnen !
Was deinen Kopf anbetrifft solltest du zwingend mal ein wenig lesen !!
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
und die o.a. zitierten Tutorials und Anleitungen hier zum Thema VLAN
...dann ist das kinderleicht, auch für blutige Laien.
Mit der Dell Powerconnect Gurke hast du die besten Voraussetzungen das schnell und problemlos umzusetzen !
Hier richtest du die VLANs ein und im Switch gehört zu jedem VLAN auch einen korrespondierende IP Adresse, das ist die Layer 3 IP Gateway Adresse, denn der Switch funktioniert aus Layer 3 Sicht wie ein Router.
Da der Dell Switch ja alle IP Netze genau kennt (sie sind ja direkt an ihm selber angeschlossen !) routet er also alles schon sauber zwischen den VLANs. Du musst also ausser der Default Route auf den Internet Router nix mehr einstellen. Das funktioniert sofort !
Diese Switch IP gibst du den PCs dann als Gateway IP. Der Switch selber bekommt noch eine Default Route auf den Internet Router...fertig !
Salopp gesagt mit deinem o.a Beispiel sieht es so aus:
VLAN 1 (Altnetz)
Dell Switch IP: 192.168.229.254
PC Hostadressen: 192.168.229.3 - .254
PC Gateway: 192.168.229.254
PC DNS Server: <deine DNS IP Adresse>
Hier im Altnetz veränderst du nichts und lässt alles beim alten mit der Adressierung. So kannst du ganz einfach Schritt für Schritt und PC für PC die Rechner für Verwaltung, EDV und Buchhaltung in die neuen Netze bringen ohne das du was abschalten musst. Du migrierst also nur die PCs in die neuen VLANs. Wenn was schiefen gehen sollte (was nicht passiert !) kannst du sofort immer wieder ins Altnetz zurück und alles ist so wie füher.
So hast du die geringstmögliche Störung des Betriebs.
Die Server bleiben im Altnetz denn so bekommst du sukzessive quasi automatisch ein Rechenzentrums Netz indem nur Server und der Internet Router drin sind.
An den Server IPs wird NICHTS verändert, die bleiben so wie sie sind !
Clever...gell aber so ein simples und einfaches VLAN Standardszenario ist so Millionenfach im Einsatz !
Der Rest geht dann so:
VLAN 10 (EDV)
Dell Switch IP: 192.168.222.254 (Ein Router hat immer die letzte IP ganz oben oder ganz unten !)
PC Hostadressen: 192.168.222.10 - .250 (Man lässt immer etwas frei oben und unten)
PC Gateway: 192.168.222.254
PC DNS Server: <deine DNS IP Adresse>
VLAN 20 (Buchhaltung)
Dell Switch IP: 192.168.120.254
PC Hostadressen: 192.168.120.10 - .250
PC Gateway: 192.168.120.254
PC DNS Server: <deine DNS IP Adresse>
VLAN 30 (Verwaltung)
Dell Switch IP: 192.168.224.254
PC Hostadressen: 192.168.224.10 - .250
PC Gateway: 192.168.224.254
PC DNS Server: <deine DNS IP Adresse>
Fertig !
Mit der Erreichbarkeit der Server geht das so:
Wenn nun dein EDV PC 192.168.222.100 (neues VLAN 10) z.B. den Server 192.168.229.1 (Altnetz im VLAN 1) erreichen will schickt der PC das erstmal an den Switch, da der PC ja merkt seinen Ziel IP ist nicht im gleichen Netzwerk wie er, also ab damit ans Gateway (Switch IP).
Der Switch liest die Empfänger IP, sieht in seiner Routing Tabelle nach und "sieht" das das .229 Netzwerk an ihm selber dran ist und forwardet das Paket dahin wo es dann am Server landet.
Die Antwort vom Server funktioniert analog rückwärts !
Für den Switch ist es vollkommen "Latte" ob er im Layer 2 oder Layer 3 Mode das Paket forwarden muss. Vor 20 Jahren war das mal ein Unterschied. Heutzutage können sogar solche Dell Billiteile das in Wirespeed also ohne jegliche Performance Einbuße !
Im Gegenteil !! Durch die Segmentierung deines Netzes hast du erheblich weniger Broad- und Multicast Last auf den Clents die dir dein Netzwerk spürbar schneller machen.
Letztlich kannst du also nur gewinnen !
Was deinen Kopf anbetrifft solltest du zwingend mal ein wenig lesen !!
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
und die o.a. zitierten Tutorials und Anleitungen hier zum Thema VLAN
...dann ist das kinderleicht, auch für blutige Laien.
Hallo,
das liest sich ja ganz einfach, aber es geht trotzdem nicht.
Ich habe heute morgen mal folgendes testen können:
Ich habe auf einem Port (Port 22) auf dem 3 Com Switch ein Vlan erstellen können.
An diesen Port habe ich einen XP Pc geklemmt, und habe die IP Adressen wie oben von aqui beschreiben, eingegeben.
Am Port direkt habe ich ein Vlan mit Namen "Test" mit der IP 192.168.222.254 erstellt.
Ich komme über den PC auch auf die Weboberfläche und Ping geht auch, nur komme ich nicht weiter dann in unser altes Netz.
Ich komme weder ins Internet noch kann ich einen unserer Server erreichen. Muss man auch eine Route "händisch" eingeben?
Ich muss noch anmerken das wir über unsere Watchguard über das Gateway 192.168.229.146 ins Internet gehen.
Dieses Gateway ist natürlich an vielen PCs hier im "alten Netz" eingetragen.
Vielen Dank!
Grüße
das liest sich ja ganz einfach, aber es geht trotzdem nicht.
Ich habe heute morgen mal folgendes testen können:
Ich habe auf einem Port (Port 22) auf dem 3 Com Switch ein Vlan erstellen können.
An diesen Port habe ich einen XP Pc geklemmt, und habe die IP Adressen wie oben von aqui beschreiben, eingegeben.
Am Port direkt habe ich ein Vlan mit Namen "Test" mit der IP 192.168.222.254 erstellt.
Ich komme über den PC auch auf die Weboberfläche und Ping geht auch, nur komme ich nicht weiter dann in unser altes Netz.
Ich komme weder ins Internet noch kann ich einen unserer Server erreichen. Muss man auch eine Route "händisch" eingeben?
Ich muss noch anmerken das wir über unsere Watchguard über das Gateway 192.168.229.146 ins Internet gehen.
Dieses Gateway ist natürlich an vielen PCs hier im "alten Netz" eingetragen.
Vielen Dank!
Grüße
Hallo!
@ aqui:
@ glandy5:
Ich kann mich aqui nur anschließen! Lies Dir mal eine der von ihm angeführten Tutorials durch, dann werden sich die Nebel lichten und dann wirds auch wirklich ein "Kinderspiel".
Falls Du wirklich lediglich den einen Port 22 verändert hast, den rest aber unverändert gelassen hast, ist es eigentlich auch kein Wunder, dass Du nicht in Dein altes Netz kommst...
wie aqui schon erwähnte:
dh, Du brauchst jedenfalls eine Routing Tabelle (die überlicherweise automatisiert mit dem Erstellen der VLANs am Switch angelegt werden).
Wirf darauf mal einen Blick, dann, ob der Gateway wirklich stimmt, (sicherheitshalber auch, ob die Firewall deines angepingten Ziels das Ping-Paket auch "durchlässt) und dann kann einem Ping nichts mehr im Wege stehen...
gutes Gelingen,
lg
Edi
@ aqui:
allgemein die gute Doku vom Kollegen /pfisterer hier:
DANKE @ glandy5:
Ich kann mich aqui nur anschließen! Lies Dir mal eine der von ihm angeführten Tutorials durch, dann werden sich die Nebel lichten und dann wirds auch wirklich ein "Kinderspiel".
Falls Du wirklich lediglich den einen Port 22 verändert hast, den rest aber unverändert gelassen hast, ist es eigentlich auch kein Wunder, dass Du nicht in Dein altes Netz kommst...
wie aqui schon erwähnte:
Der Switch liest die Empfänger IP, sieht in seiner Routing Tabelle nach und "sieht" das das .229 Netzwerk an ihm selber dran ist und
forwardet das Paket dahin wo es dann am Server landet.
forwardet das Paket dahin wo es dann am Server landet.
dh, Du brauchst jedenfalls eine Routing Tabelle (die überlicherweise automatisiert mit dem Erstellen der VLANs am Switch angelegt werden).
Wirf darauf mal einen Blick, dann, ob der Gateway wirklich stimmt, (sicherheitshalber auch, ob die Firewall deines angepingten Ziels das Ping-Paket auch "durchlässt) und dann kann einem Ping nichts mehr im Wege stehen...
gutes Gelingen,
lg
Edi
@glandy
Mein lieber Mann, das ist aber eine schwere Geburt hier mit dir wenn man dir noch die Entstehung der Erde erklären muss....
Kommentare zu deinen Fragen sind eingefügt....weil du es bist:
Ich habe auf einem Port (Port 22) auf dem 3 Com Switch ein Vlan erstellen können.
Ein VLAN erstellt man nicht auf einem Port sondern immer global auf einem Switch ! Dann weist man diesem VLAN Ports des Switches zu !
An diesen Port habe ich einen XP Pc geklemmt, und habe die IP Adressen wie oben von aqui beschreiben, eingegeben.
Gut, soweit richtig. Frage: Hast du auch die VLAN Switch IP zu diesem VLAN auf dem Switch eingerichtet ?
Am Port direkt habe ich ein Vlan mit Namen "Test" mit der IP 192.168.222.254 erstellt.
Auch das ist wieder technsicher Unsinn, denn ein VLAN wird global auf dem Switch eingerichtet, wie oben bereits gesagt, niemals aber an einem Port, denn man weist diesem VLAN immer Ports zu.
Unagged Ports für Endgeräte wie PCs,
Tagged Ports für Uplinks zu anderen Switches.
Ich komme über den PC auch auf die Weboberfläche und Ping geht auch, nur komme ich nicht weiter dann in unser altes Netz.
Gut...das sieht ja schon mal sehr gut aus !! Der erste Schritt klappt also...
WO willst du denn hin im alten Netz ??
Ist das ggf ein Gerät was NICHT den Switch als Gateway eingetragen hat ?? Dann ist es doch logo das es nicht geht wenn das andere Gateway diese neuen VLAN IP Netze nicht kennt ! Antworten gehen dann ins IP Nirwana weil sie falsch oder gar nicht geroutet werden !
Fragen wir uns doch mal: Was passiert denn genau wenn du so ein Gerät aus dem alten Netz anpingst ??
Nur so kann das Antwortpaket doch auch wieder zurückgelangen und du einen erfolgreichen Ping sehen !!
Nachdenken...und #comment-toc9 DAS_hier lesen !!
Fazit: Traceroute (tracert) und Pathping sind deine Freunde beim checken der Routing Wege. Nutze sie !! Da wo es klemmt fehlt eine Route !
Ich komme weder ins Internet noch kann ich einen unserer Server erreichen. Muss man auch eine Route "händisch" eingeben?
Wieder das gleiche Problem wie oben !!
Vermutlich fehlt eine default Route vom VLAN Routing Switch auf den Internet Router / Watchgard !!! Hast du diese Route eingerichtet ???
Auf dem Internet Router/Watchguard müssen logischerweise statische Routen für alle VLAN IP Netze am Switch eingetragen sein, damit die Rückpakete das Ziel auch erreichen können.
Ansonsten routet sie der Internet Router ins Internet wo sie verschwinden weil er keine anderen Wegen kennt..logisch !!
Dort muss also z.B. für das neue EDV Netz sowas stehen wie
Zielnetz: 192.168.222.0, Maske: 255.255.255.0, Gateway: 192.168.229.254 (Switch IP im Altnetz)
Tataaa...und schon kann man das EDV Netz erreichen und Internet geht auch !
Ich muss noch anmerken das wir über unsere Watchguard über das Gateway 192.168.229.146 ins Internet gehen.
OK, das ist völlig egal ob Router, Watchguard oder feuchter Bindfaden....
Auch hier gehören dann die statischen Routen auf die VLAN Netze des Switches rein genau wie oben beschrieben. Richte sie ein und schon klappts !
Ggf. musst du die Firewall Regeln anpassen das auch diese neuen IP Netze ins Internet dürfen wenn das noch nicht gemacht ist.
Wichtig ist das du die Watchguard IP Adresse 192.168.229.146 immer anpingen kannst aus den VLAN Netzen sofern ICMP (Ping) erlaubt ist in den Firewall Regeln auf dieses Interface ! Das musst du beachten und das ist immer ein Indikator das alles sauber funktioniert.
Dieses Gateway ist natürlich an vielen PCs hier im "alten Netz" eingetragen.
Genau DAS ist ja auch dein eigentliches Problem !!
Eigentlich sollten nun alle Geräte die Switch IP 192.168.229.254 als Gateway haben, denn der ist ja nun zentraler Router in deinem VLAN Verbund lokal !
Der Switch selber hat dann eine Default Route (route alles was du nicht kennst auf...) auf die Watchguard 192.168.229.146
Das wäre das Beste und der Idelfall wenn du es einrichtest.
Wenn du DHCP einsetzt dort ist das einfach mit einem Mausklick zu ändern indem nan die Gateway IP im DHCP Server anpasst.
Wenn du die Clients statisch eingerichtet hast und erstmal verständlicherweise nicht alle anfassen willst, dann trage einfach alle Routen der VLANs auf der Watchguard nach. Ist kosmetisch nicht so, gut funktioniert aber problemlos und löst dein Problem auf Anhieb.
Also...immer nachdenken wie IP Pakete sich bewegen in dem Netz dann weisst du auch immer wo es kneift und dann ist die Lösung kinderleicht !
Mein lieber Mann, das ist aber eine schwere Geburt hier mit dir wenn man dir noch die Entstehung der Erde erklären muss....
Kommentare zu deinen Fragen sind eingefügt....weil du es bist:
Ich habe auf einem Port (Port 22) auf dem 3 Com Switch ein Vlan erstellen können.
Ein VLAN erstellt man nicht auf einem Port sondern immer global auf einem Switch ! Dann weist man diesem VLAN Ports des Switches zu !
An diesen Port habe ich einen XP Pc geklemmt, und habe die IP Adressen wie oben von aqui beschreiben, eingegeben.
Gut, soweit richtig. Frage: Hast du auch die VLAN Switch IP zu diesem VLAN auf dem Switch eingerichtet ?
Am Port direkt habe ich ein Vlan mit Namen "Test" mit der IP 192.168.222.254 erstellt.
Auch das ist wieder technsicher Unsinn, denn ein VLAN wird global auf dem Switch eingerichtet, wie oben bereits gesagt, niemals aber an einem Port, denn man weist diesem VLAN immer Ports zu.
Unagged Ports für Endgeräte wie PCs,
Tagged Ports für Uplinks zu anderen Switches.
Ich komme über den PC auch auf die Weboberfläche und Ping geht auch, nur komme ich nicht weiter dann in unser altes Netz.
Gut...das sieht ja schon mal sehr gut aus !! Der erste Schritt klappt also...
WO willst du denn hin im alten Netz ??
Ist das ggf ein Gerät was NICHT den Switch als Gateway eingetragen hat ?? Dann ist es doch logo das es nicht geht wenn das andere Gateway diese neuen VLAN IP Netze nicht kennt ! Antworten gehen dann ins IP Nirwana weil sie falsch oder gar nicht geroutet werden !
Fragen wir uns doch mal: Was passiert denn genau wenn du so ein Gerät aus dem alten Netz anpingst ??
- Ping geht von deinem VLAN PC ans Gerät im alten Netz und PC merkt das es in einem anderen IP Netz ist also sendet er das an die Switch IP (Gateway)
- Switch sieht jetzt nach ob er das Ziel IP Netz (altes Netz) kennt. Sollte er, wenn es analog ein VLAN mit korrespondierender Switch IP in diesem Netz hat, also forwardet er das dahin.
- Nun kommt das Paket (Ping) an am Gerät im alten Netz und das will nun eine Antwort senden an deinen PC im neuen VLAN. Es sieht sich also die Absender IP an (PC im neuen VLAN) und merkt auch wieder das das nicht lokal in seinem (alten) Netz ist. Also sendet es das Paket wieder an sein eingetragenes Default Gateway, denn Gateway kennen immer den Weg !
- Jetzt siehst du was passiert !! Oder ?? Wenn das Gateway der Internet Router oder deine Watchguard ist die KEINE statische (oder dynamische) Route auf dein neues VLAN hat dann landet die Antwort im Nirwana !!!
Nur so kann das Antwortpaket doch auch wieder zurückgelangen und du einen erfolgreichen Ping sehen !!
Nachdenken...und #comment-toc9 DAS_hier lesen !!
Fazit: Traceroute (tracert) und Pathping sind deine Freunde beim checken der Routing Wege. Nutze sie !! Da wo es klemmt fehlt eine Route !
Ich komme weder ins Internet noch kann ich einen unserer Server erreichen. Muss man auch eine Route "händisch" eingeben?
Wieder das gleiche Problem wie oben !!
Vermutlich fehlt eine default Route vom VLAN Routing Switch auf den Internet Router / Watchgard !!! Hast du diese Route eingerichtet ???
Auf dem Internet Router/Watchguard müssen logischerweise statische Routen für alle VLAN IP Netze am Switch eingetragen sein, damit die Rückpakete das Ziel auch erreichen können.
Ansonsten routet sie der Internet Router ins Internet wo sie verschwinden weil er keine anderen Wegen kennt..logisch !!
Dort muss also z.B. für das neue EDV Netz sowas stehen wie
Zielnetz: 192.168.222.0, Maske: 255.255.255.0, Gateway: 192.168.229.254 (Switch IP im Altnetz)
Tataaa...und schon kann man das EDV Netz erreichen und Internet geht auch !
Ich muss noch anmerken das wir über unsere Watchguard über das Gateway 192.168.229.146 ins Internet gehen.
OK, das ist völlig egal ob Router, Watchguard oder feuchter Bindfaden....
Auch hier gehören dann die statischen Routen auf die VLAN Netze des Switches rein genau wie oben beschrieben. Richte sie ein und schon klappts !
Ggf. musst du die Firewall Regeln anpassen das auch diese neuen IP Netze ins Internet dürfen wenn das noch nicht gemacht ist.
Wichtig ist das du die Watchguard IP Adresse 192.168.229.146 immer anpingen kannst aus den VLAN Netzen sofern ICMP (Ping) erlaubt ist in den Firewall Regeln auf dieses Interface ! Das musst du beachten und das ist immer ein Indikator das alles sauber funktioniert.
Dieses Gateway ist natürlich an vielen PCs hier im "alten Netz" eingetragen.
Genau DAS ist ja auch dein eigentliches Problem !!
Eigentlich sollten nun alle Geräte die Switch IP 192.168.229.254 als Gateway haben, denn der ist ja nun zentraler Router in deinem VLAN Verbund lokal !
Der Switch selber hat dann eine Default Route (route alles was du nicht kennst auf...) auf die Watchguard 192.168.229.146
Das wäre das Beste und der Idelfall wenn du es einrichtest.
Wenn du DHCP einsetzt dort ist das einfach mit einem Mausklick zu ändern indem nan die Gateway IP im DHCP Server anpasst.
Wenn du die Clients statisch eingerichtet hast und erstmal verständlicherweise nicht alle anfassen willst, dann trage einfach alle Routen der VLANs auf der Watchguard nach. Ist kosmetisch nicht so, gut funktioniert aber problemlos und löst dein Problem auf Anhieb.
Also...immer nachdenken wie IP Pakete sich bewegen in dem Netz dann weisst du auch immer wo es kneift und dann ist die Lösung kinderleicht !
