9
VLAN Grundverständnis
Hallo!
Ich habe in meinem Netzwerk viele unterschiedliche Geräte: NAS, PC, Router, WLAN-AP, Fernseher, Blu-Ray Spieler, Drucker, Heizung, ... Alle hängen über ein eigenes LAN-Kabel an einem Switch. Soweit funktioniert alles. Mein Problem: Die Geräte können alle gegenseitig aufeinander zugreifen. Dies ist aber unerwünscht, weil es ein potenzielles Sicherheitsrisiko darstellt. Ich möchte insbesondere den Zugriff auf das NAS, den Router und den Drucker auf die Geräte beschränken, die dieses auch wirklich benötigen.
Mein Gedanke ist nun der, dass ich das NAS, den Router und den Drucker jeweils einem eigenen VLAN zuweise. Ist das die richtige Vorgehensweise? Falls ja, stelle ich dies vermutlich am Switch ein, richtig? LAN-Kabel-Port x gehört zu VLAN 1, y zu 2 etc. Aber: Der PC soll auf ALLE Geräte zugreifen können (u.a. zur Administration). Er müsste also zu mehr als einem VLAN gehören. Geht das?
Ich hoffe das ist verständlich!?
Vielen Dank!!
Ich habe in meinem Netzwerk viele unterschiedliche Geräte: NAS, PC, Router, WLAN-AP, Fernseher, Blu-Ray Spieler, Drucker, Heizung, ... Alle hängen über ein eigenes LAN-Kabel an einem Switch. Soweit funktioniert alles. Mein Problem: Die Geräte können alle gegenseitig aufeinander zugreifen. Dies ist aber unerwünscht, weil es ein potenzielles Sicherheitsrisiko darstellt. Ich möchte insbesondere den Zugriff auf das NAS, den Router und den Drucker auf die Geräte beschränken, die dieses auch wirklich benötigen.
Mein Gedanke ist nun der, dass ich das NAS, den Router und den Drucker jeweils einem eigenen VLAN zuweise. Ist das die richtige Vorgehensweise? Falls ja, stelle ich dies vermutlich am Switch ein, richtig? LAN-Kabel-Port x gehört zu VLAN 1, y zu 2 etc. Aber: Der PC soll auf ALLE Geräte zugreifen können (u.a. zur Administration). Er müsste also zu mehr als einem VLAN gehören. Geht das?
Ich hoffe das ist verständlich!?
Vielen Dank!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258957
Url: https://administrator.de/contentid/258957
Printed on: April 18, 2024 at 03:04 o'clock
9 Comments
Latest comment
Moin,
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Gruß jodel32
Zitat von @Aturdent:
Mein Gedanke ist nun der, dass ich das NAS, den Router und den Drucker jeweils einem eigenen VLAN zuweise. Ist das die richtige Vorgehensweise?
Die Geräte die untereinander kommunizieren sollen kommen in ein gemeinsames VLANMein Gedanke ist nun der, dass ich das NAS, den Router und den Drucker jeweils einem eigenen VLAN zuweise. Ist das die richtige Vorgehensweise?
Falls ja, stelle ich dies vermutlich am Switch ein, richtig? LAN-Kabel-Port x gehört zu VLAN 1, y zu 2 etc.
Aber: Der PC soll auf ALLE Geräte zugreifen können (u.a. zur Administration). Er müsste also zu mehr als einem VLAN gehören. Geht das?
yip, über einen Router oder Layer3 Switch kein Problem, lese folgendes Tutorial von @aqui, dort steht alles was du wissen musst Aber: Der PC soll auf ALLE Geräte zugreifen können (u.a. zur Administration). Er müsste also zu mehr als einem VLAN gehören. Geht das?
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Gruß jodel32
Hallo,
ich habe mir das durchgelesen, komme aber noch nicht ganz klar.
Ich habe einen Cisco SG200-26P Switch. Das ist ein Layer-2-Switch, richtig?
Dort habe ich zusätzlich zum VLAN 1 (das gab es schon) noch vier weitere VLANS mit den IDs 2 bis 5 angelegt. Nun wollte ich die Ports zuordnen. Bei allen ist als Interface VLAN mode "Trunk" voreingestellt. Ist das richtig? Alternativ kann ich "General", "Access" oder "Customer" wählen. Und nun?
Sorry, aber irgendwie habe ich das mit den VLANs nicht kapiert. Was ist PVID? Welchen Unterschied macht es, ob die Ports "tagged" oder "untagged" sind?
ich habe mir das durchgelesen, komme aber noch nicht ganz klar.
Ich habe einen Cisco SG200-26P Switch. Das ist ein Layer-2-Switch, richtig?
Dort habe ich zusätzlich zum VLAN 1 (das gab es schon) noch vier weitere VLANS mit den IDs 2 bis 5 angelegt. Nun wollte ich die Ports zuordnen. Bei allen ist als Interface VLAN mode "Trunk" voreingestellt. Ist das richtig? Alternativ kann ich "General", "Access" oder "Customer" wählen. Und nun?
Sorry, aber irgendwie habe ich das mit den VLANs nicht kapiert. Was ist PVID? Welchen Unterschied macht es, ob die Ports "tagged" oder "untagged" sind?
Am besten wählst du "access" für den Switchport-Mode. Trunk wäre nötig, wenn du mehrere VLANs (getagged) aus dem Switchport rausgucken lassen möchtest, das können die allermeisten einfachen Geräte aber ohnehin nicht.
Das Tagging ist relativ einfach erklärt:
Für den Fall, dass der Switchport mit mehreren VLANs gleichzeitig kommunizieren soll, musst du die Pakete markieren, damit das am Switchport angeschlossene Gerät weiß, aus welchem VLAN sie kommen.
Also wird im Ethernet-Header ein 802.1q-Feld (muss man sich nicht merken) mit der entsprechenden PVID ("Port VLAN ID") angehängt. Kommt ein Paket aus VLAN 4, wird im Ethernet-Header eine "4" drinstehen
Das wird z.B. benötigt, wenn du mehrere Switches kaskadierst und über die Switches mehrere VLANs verteilen willst/musst.
Wenn du das VLAN auf dem Switchport als "untagged" konfigurierst, werden ausgehend die Pakete ohne dieses Tagging da rausgeworfen. Ebenso werden alle ungetaggeten eingehenden Pakete vom Switch dem entsprechenden VLAN zugeordnet. Der Vorteil dabei ist, dass jedes noch so dumme Netzwerkgerät damit funktioniert.
Was du auf jeden Fall möglichst vermeiden solltest ist eine Mischung aus Tagged und Untagged auf einem Port - damit schießt man sich früher oder später selbst in den Fuß mit... Entweder "Access" (und dann nur ein VLAN pro Port) oder "Trunk" (und dann alle VLANs getagged). Damit kannst du dann verhindern, dass z.B. fälschlicherweise ungetaggeter Traffic dem falschen VLAN zugeordnet wird. Ist bei dir zu Hause vermutlich eher nur mittelmäßig tragisch, aber grundsätzlich spart man sich dabei eine Menge Zeit bei der Fehlersuche.
Das Tagging ist relativ einfach erklärt:
Für den Fall, dass der Switchport mit mehreren VLANs gleichzeitig kommunizieren soll, musst du die Pakete markieren, damit das am Switchport angeschlossene Gerät weiß, aus welchem VLAN sie kommen.
Also wird im Ethernet-Header ein 802.1q-Feld (muss man sich nicht merken) mit der entsprechenden PVID ("Port VLAN ID") angehängt. Kommt ein Paket aus VLAN 4, wird im Ethernet-Header eine "4" drinstehen
Das wird z.B. benötigt, wenn du mehrere Switches kaskadierst und über die Switches mehrere VLANs verteilen willst/musst.
Wenn du das VLAN auf dem Switchport als "untagged" konfigurierst, werden ausgehend die Pakete ohne dieses Tagging da rausgeworfen. Ebenso werden alle ungetaggeten eingehenden Pakete vom Switch dem entsprechenden VLAN zugeordnet. Der Vorteil dabei ist, dass jedes noch so dumme Netzwerkgerät damit funktioniert.
Was du auf jeden Fall möglichst vermeiden solltest ist eine Mischung aus Tagged und Untagged auf einem Port - damit schießt man sich früher oder später selbst in den Fuß mit... Entweder "Access" (und dann nur ein VLAN pro Port) oder "Trunk" (und dann alle VLANs getagged). Damit kannst du dann verhindern, dass z.B. fälschlicherweise ungetaggeter Traffic dem falschen VLAN zugeordnet wird. Ist bei dir zu Hause vermutlich eher nur mittelmäßig tragisch, aber grundsätzlich spart man sich dabei eine Menge Zeit bei der Fehlersuche.
Danke für die Erklärung!
<<<Für den Fall, dass der Switchport mit mehreren VLANs gleichzeitig kommunizieren soll, musst du die Pakete markieren, damit das am Switchport angeschlossene Gerät weiß, aus welchem VLAN sie kommen.>>>
Frage dazu: Nehmen wir mal vereinfacht an, es gibt nur drei Geräte: NAS, Drucker und PC. NAS ist in VLAN 20, Drucker in VLAN 30 und der PC darf in beiden sein. Wozu muss der PC dann an einem tagged port sein? Warum kann der nicht auch untagged sein? Denn der PC muss ja nicht wissen aus welchem VLAN ein Paket kommt, oder? Er empfängt es (weiß ja anhand der sonstiger Headerdaten von wem es ist), sendet eine Antwort, der Switch prüft ob der Antwortempfänger in einem VLAN ist, auf das der PC Zugriff hat, und leitet es ggf. weiter.
Also können doch alle drei Geräte an untagged Ports hängen, oder? Der Port des PC ist dann sowohl VLAN 20 als auch VLAN 30 zugeordnet.
Für den Fall eines Router mit DSL-Zugang oder mehrere Switche sieht die Sache möglicherweise anders aus (darüber denke ich nach, wenn ich das einfache Beispiel oben mit den drei Geräten verstanden habe).
<<<Für den Fall, dass der Switchport mit mehreren VLANs gleichzeitig kommunizieren soll, musst du die Pakete markieren, damit das am Switchport angeschlossene Gerät weiß, aus welchem VLAN sie kommen.>>>
Frage dazu: Nehmen wir mal vereinfacht an, es gibt nur drei Geräte: NAS, Drucker und PC. NAS ist in VLAN 20, Drucker in VLAN 30 und der PC darf in beiden sein. Wozu muss der PC dann an einem tagged port sein? Warum kann der nicht auch untagged sein? Denn der PC muss ja nicht wissen aus welchem VLAN ein Paket kommt, oder? Er empfängt es (weiß ja anhand der sonstiger Headerdaten von wem es ist), sendet eine Antwort, der Switch prüft ob der Antwortempfänger in einem VLAN ist, auf das der PC Zugriff hat, und leitet es ggf. weiter.
Also können doch alle drei Geräte an untagged Ports hängen, oder? Der Port des PC ist dann sowohl VLAN 20 als auch VLAN 30 zugeordnet.
Für den Fall eines Router mit DSL-Zugang oder mehrere Switche sieht die Sache möglicherweise anders aus (darüber denke ich nach, wenn ich das einfache Beispiel oben mit den drei Geräten verstanden habe).
VLANs trennen Netzwerke.
Verschiedene VLANs wirken wie verschiedene Switche.
Wenn man verschiedenen Netze zusammenführen will kann man sie kurzschließen oder sinnvoll verbinden.
Sinnvoll verbindet man Netze mittels eines Routers oder einer Firewall. Dazu ist es nötig, dass die Netze neben der physikalischen Trennung logisch andere Netze sind. Sie benötigen andere IP-Bereiche.
Am Router stelle man dann über Regeln ein, welches Netz mit welchem verbunden werden kann. Auch der Internetzugang wird dort geregelt.
Damit der Router dieses leisten kann, muss er mit jedem VLAN verbunden sein. Das kann über getrennte Ports pro Netz/VLAN sein oder über einen Trunk - den Port, der alle VLANs trägt, aber getaggt, also mit der VLAN-Erweiterung.
Jetzt musst du nochmal @aquis Anleitung lesen.
Bitte lass das VLAN1 in deiner Konfiguration für die Geräte weg. Es hat meist eine Sonderfunktion (default-VLAN) und sollte nicht für Access-Geräte verwendet werden.
Gruß
Netman
Verschiedene VLANs wirken wie verschiedene Switche.
Wenn man verschiedenen Netze zusammenführen will kann man sie kurzschließen oder sinnvoll verbinden.
Sinnvoll verbindet man Netze mittels eines Routers oder einer Firewall. Dazu ist es nötig, dass die Netze neben der physikalischen Trennung logisch andere Netze sind. Sie benötigen andere IP-Bereiche.
Am Router stelle man dann über Regeln ein, welches Netz mit welchem verbunden werden kann. Auch der Internetzugang wird dort geregelt.
Damit der Router dieses leisten kann, muss er mit jedem VLAN verbunden sein. Das kann über getrennte Ports pro Netz/VLAN sein oder über einen Trunk - den Port, der alle VLANs trägt, aber getaggt, also mit der VLAN-Erweiterung.
Jetzt musst du nochmal @aquis Anleitung lesen.
Bitte lass das VLAN1 in deiner Konfiguration für die Geräte weg. Es hat meist eine Sonderfunktion (default-VLAN) und sollte nicht für Access-Geräte verwendet werden.
Gruß
Netman
Guten Einstieg findest du auch hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
Danke für eure Hilfe!
Ich habe jetzt folgendes probiert:
Vier Geräte:
1. Cisco WLAN-AP (Switch Port 4, Trunk, Tagged auf VLAN 2 und 3, Untagged auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 1)
2. DECT Basisstation (Switch Port 13, Access, Untagged auf VLAN 4, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 4)
3. Drucker (Switch Port 3, Access, Untagged auf VLAN 2, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 2)
4. NAS (Switch Port 10, Acess, Untagged auf VLAN 3, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 3)
Dann verbinde ich mich per Smartphone per WLAN mit dem AP (Gerät 1) und führe einen Ping gegen die (statischen) IP Adressen der Geräte 2 bis 4 aus. Meine Erwartung wäre, dass der Ping mit Gerät 2 (DECT) nicht durchkommt, der Ping mit den Geräten 3 und 4 (Drucker und NAS) dagegen durchkommt.
Tatsächlich kommt der Ping aber gegen keines der Geräte durch.
Muss ich auf dem WLAN AP noch etwas einstellen? Auf diesen ist untagged VLAN aktiviert und steht auf "1". Wenn ich das abschalte, klappt der Ping aber weiterhin nicht. Der WLAN SSID selbst kann ich auch eine VLAN ID zuweisen, die steht auch auf "1". Allerdings kann ich hier nur eine ID eintragen, "2 und 3" geht nicht.
Wo ist mein Denkfehler? Was mache ich falsch?
Vielen Dank für eure Geduld!!!
Ich habe jetzt folgendes probiert:
Vier Geräte:
1. Cisco WLAN-AP (Switch Port 4, Trunk, Tagged auf VLAN 2 und 3, Untagged auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 1)
2. DECT Basisstation (Switch Port 13, Access, Untagged auf VLAN 4, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 4)
3. Drucker (Switch Port 3, Access, Untagged auf VLAN 2, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 2)
4. NAS (Switch Port 10, Acess, Untagged auf VLAN 3, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 3)
Dann verbinde ich mich per Smartphone per WLAN mit dem AP (Gerät 1) und führe einen Ping gegen die (statischen) IP Adressen der Geräte 2 bis 4 aus. Meine Erwartung wäre, dass der Ping mit Gerät 2 (DECT) nicht durchkommt, der Ping mit den Geräten 3 und 4 (Drucker und NAS) dagegen durchkommt.
Tatsächlich kommt der Ping aber gegen keines der Geräte durch.
Muss ich auf dem WLAN AP noch etwas einstellen? Auf diesen ist untagged VLAN aktiviert und steht auf "1". Wenn ich das abschalte, klappt der Ping aber weiterhin nicht. Der WLAN SSID selbst kann ich auch eine VLAN ID zuweisen, die steht auch auf "1". Allerdings kann ich hier nur eine ID eintragen, "2 und 3" geht nicht.
Wo ist mein Denkfehler? Was mache ich falsch?
Vielen Dank für eure Geduld!!!
abgesehen von deiner spannenden oder besser gesagt, abenteuerlichen Konfiguration fehlt dir das Verständnis fürs Trennen und Verbinden der Netze.
Wenn alle Geräte den selben IP-Bereich haben, dann kann man sie über getrennte VLANs nicht erreichen. Wenn Sie getrennte IP-Bereiche haben, dann kann ein Router die Verbindung herstellen.
AM AP wählt man pro SSID ein VLAN. Das verbinden mit einem ungetaggten VLAN hat nur den Sinn, dass man den AP administrieren/konfigurieren kann (default VLAN1). Funktionieren kann der AP ohne das.
Sie auch die von @aqui erwähnten Grundlagen.
Gruß Netman
Wenn alle Geräte den selben IP-Bereich haben, dann kann man sie über getrennte VLANs nicht erreichen. Wenn Sie getrennte IP-Bereiche haben, dann kann ein Router die Verbindung herstellen.
AM AP wählt man pro SSID ein VLAN. Das verbinden mit einem ungetaggten VLAN hat nur den Sinn, dass man den AP administrieren/konfigurieren kann (default VLAN1). Funktionieren kann der AP ohne das.
Sie auch die von @aqui erwähnten Grundlagen.
Gruß Netman
verbinde ich mich per Smartphone per WLAN mit dem AP (Gerät 1) und führe einen Ping gegen die (statischen) IP Adressen der Geräte 2 bis 4 aus.
Die Kardinalsfrage ist hier: Mit WELCHER SSID ?? Dazu leider keinerlei Auskunft deinerseits. Die SSID bestimmt ja dann das VLAN in dem der Smartphone Client landed je nach SSID zu VLAN ID Mapping auf dem AP.Hier kann man also nur im freien Fall raten ober der Client nun in VLAN 1, 2 oder 3 ist, denn das wäre alles möglich.
Gehen wir mal davon aus das der Client in der SSID landet die auf das VLAN 1 gemappt ist, dann ist klar und logisch das er mit keinem VLAN kommunizieren (pingen) kannt.
Vermutlich ist das hier der Fall ?!?
Sieh dir also nochmal ganz genau die Konfiguration des mSSID APs an welche SSID da auf welche VLAN ID gemappt ist !!!
Wie das auszusehen hat kannst du in diesem Forumstutorial nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort ist das SSID zu VLAN Mapping explizit anhand von Real Life Screenshots erklärt die auch ein Netzwerk Laie sofort versteht !
