13
Drucker aus zwei physikalisch getrennten Netzen mit Hilfe eines Layer-3-Switches erreichbar?
Hallo liebe Administrator.de-Fachleute,
ich stehe vor einem kleinen Problem:
Ein großer, leistungsfähiger Netzwerkdrucker, der leider *nur einen Ethernet-Anschluss* besitzt, soll aus zwei physikalisch voneinander getrennten Netzen ansprechbar gemacht werden. Eine Erweiterung mit einem weiteren Ethernet-Port, USB-Ports oder altmodischen Parallelports ist nicht möglich.
Eine Variante, die auch schon hier im Forum zu finden ist, wäre es, einen kleinen Router bzw. eine Firewall vorzuschalten. Soweit habe ich die Situation geklärt. Das wäre mit Mehrkosten und einem zusätzlichen Gerät verbunden.
Eine andere Variante spukt mir jedoch noch im Kopf herum: Da in dem einen der beiden Netze top-of-the-Rack ein Layer-3-Switch steckt und der L3-Standard Routing-Funktionalität bietet, müsste es m.E. möglich sein, ohne ein Zusatzgerät auszukommen. Leider habe ich ein solches Szenario noch nirgends im Netz bzw. hier im Forum gefunden.
Deshalb ganz konkret die Frage: Ist es möglich, mit Hilfe eines L3-Switchs einen Drucker in zwei physikalisch voneinander getrennten Netzen ansprechbar zu machen?
Vielen Dank für Eure Hilfe!
Viele Grüße
Christian
ich stehe vor einem kleinen Problem:
Ein großer, leistungsfähiger Netzwerkdrucker, der leider *nur einen Ethernet-Anschluss* besitzt, soll aus zwei physikalisch voneinander getrennten Netzen ansprechbar gemacht werden. Eine Erweiterung mit einem weiteren Ethernet-Port, USB-Ports oder altmodischen Parallelports ist nicht möglich.
Eine Variante, die auch schon hier im Forum zu finden ist, wäre es, einen kleinen Router bzw. eine Firewall vorzuschalten. Soweit habe ich die Situation geklärt. Das wäre mit Mehrkosten und einem zusätzlichen Gerät verbunden.
Eine andere Variante spukt mir jedoch noch im Kopf herum: Da in dem einen der beiden Netze top-of-the-Rack ein Layer-3-Switch steckt und der L3-Standard Routing-Funktionalität bietet, müsste es m.E. möglich sein, ohne ein Zusatzgerät auszukommen. Leider habe ich ein solches Szenario noch nirgends im Netz bzw. hier im Forum gefunden.
Deshalb ganz konkret die Frage: Ist es möglich, mit Hilfe eines L3-Switchs einen Drucker in zwei physikalisch voneinander getrennten Netzen ansprechbar zu machen?
Vielen Dank für Eure Hilfe!
Viele Grüße
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192128
Url: https://administrator.de/contentid/192128
Printed on: April 25, 2024 at 11:04 o'clock
13 Comments
Latest comment
Moin,
du packst den Drucker einfach in ein seperates IP-Netz (192.168.80.0/30) und machst das Interface am Switch zum Gateway. Danach legst du entsprechende ACLs zur Sicherung ab - fertig. Machen wir bei uns mit allen Druckern so.
Grüße,
Dani
du packst den Drucker einfach in ein seperates IP-Netz (192.168.80.0/30) und machst das Interface am Switch zum Gateway. Danach legst du entsprechende ACLs zur Sicherung ab - fertig. Machen wir bei uns mit allen Druckern so.
Grüße,
Dani
Hallo,
als kleine Ergänzung zu Dani:
Nimm kein 192.168.x.x nim irgendwas wie 10.231.26.254 /30 das macht es dir einfacher wenn ihr irgendwann mal NAT für VPN Tunnel braucht.
Aber ansonsten, ja, mach das was Dani empfiehlt.
brammer
als kleine Ergänzung zu Dani:
Nimm kein 192.168.x.x nim irgendwas wie 10.231.26.254 /30 das macht es dir einfacher wenn ihr irgendwann mal NAT für VPN Tunnel braucht.
Aber ansonsten, ja, mach das was Dani empfiehlt.
brammer
Hallo Dani, Hallo Brammer,
vielen Dank für die schnellen Reaktionen.
Nur muss ich leider nochmal kurz nachfragen, da mir der Hinweis "machst das Interface am Switch zum Gateway" und auch das Packen des Druckers in ein anderes Netz nicht ganz klar sind.
Mein Switch hat eine IP, über die ich auch per Telnet oder WEB-Interface zugreifen kann. Diese IP gehört zum ersten der beiden Netze. Die beiden vorhandenen Netze lauten 10.16.0.0/255.240.0.0 bzw. 192.168.10.0/255.255.255.0.
Soll ich nun den Drucker z.B. wie vorgeschlagen in 10.231.26.254 /30 manuell nehmen, indem ich ihm eine feste IP aus diesem Bereich gebe? Oder muss ich dieses Netz auf dem Switch per Telnet einrichten?
Das Interface am Switch wäre m.E. die feste IP, die der Switch besitzt.
Ich müsste also am Drucker das so einstellen:
IP 10.231.26.253
Subnet 255.255.255.252
Gateway 10.16.X.X (IP des Switches)
So kann ich verstehen, dass ich den Drucker aus dem ersten Netz ansprechen können müsste. Wie kommt jedoch Netz 2 ins Spiel?
Vielen Dank vorab!
Christian
vielen Dank für die schnellen Reaktionen.
Nur muss ich leider nochmal kurz nachfragen, da mir der Hinweis "machst das Interface am Switch zum Gateway" und auch das Packen des Druckers in ein anderes Netz nicht ganz klar sind.
Mein Switch hat eine IP, über die ich auch per Telnet oder WEB-Interface zugreifen kann. Diese IP gehört zum ersten der beiden Netze. Die beiden vorhandenen Netze lauten 10.16.0.0/255.240.0.0 bzw. 192.168.10.0/255.255.255.0.
Soll ich nun den Drucker z.B. wie vorgeschlagen in 10.231.26.254 /30 manuell nehmen, indem ich ihm eine feste IP aus diesem Bereich gebe? Oder muss ich dieses Netz auf dem Switch per Telnet einrichten?
Das Interface am Switch wäre m.E. die feste IP, die der Switch besitzt.
Ich müsste also am Drucker das so einstellen:
IP 10.231.26.253
Subnet 255.255.255.252
Gateway 10.16.X.X (IP des Switches)
So kann ich verstehen, dass ich den Drucker aus dem ersten Netz ansprechen können müsste. Wie kommt jedoch Netz 2 ins Spiel?
Vielen Dank vorab!
Christian
Die beiden vorhandenen Netze lauten 10.16.0.0/255.240.0.0
LOL, was willst du mit 1.048.574 IP-Adressen in diesem Netzwerk?.Du verstehst wohl nicht ganz, was Layer 3 bedeutet. DU kannst problemlos auf jedes Interface bzw. VLAN eine IP-Adresse des entsprechenden Netzwerks konfigurieren. So hast du das hoffentlich auch mit den anderen beiden Subnetze getan.
D.h. du steckst den Drucker nun auf Interface 10 und gibts diesen Interface die 192.168.80.1 und dem Drucker die .2. Danach solltest du noch das Routing auf dem Switch aktivieren und Access-Listen einrichten, da ansonsten Netz1 auf Netz2 und andersrum zugreifen kann.
Grüße,
Dani
Hallo Dani,
dass das Netz überdimensioniert ist stimmt - schreibt aber unsere (Schul-)Serverlösung so vor.
Aktuell gibt es noch keine VLANs. Es sind also zwei echt getrennte Netze mit eigenem Server und eigenen Switchen.
Ich spiele allerdings schon länger mit dem Gedanken auf VLANs umzusteigen und so nebenbei noch Hardware einzusparen.
Wenn ich Dich richtig verstehe, würdest Du also insgesamt drei VLANs einrichten. Zwei für die "alten" Netze und eines für den Drucker. Dann das Routing aktivieren und die beiden VLANs der Netze gegenseitig per ACL sperren. Ist das so richtig?
Gruß
Christian
P.S: Hinter dem Begriff Interface hatte ich nicht einen Port vermutet.
dass das Netz überdimensioniert ist stimmt - schreibt aber unsere (Schul-)Serverlösung so vor.
Aktuell gibt es noch keine VLANs. Es sind also zwei echt getrennte Netze mit eigenem Server und eigenen Switchen.
Ich spiele allerdings schon länger mit dem Gedanken auf VLANs umzusteigen und so nebenbei noch Hardware einzusparen.
Wenn ich Dich richtig verstehe, würdest Du also insgesamt drei VLANs einrichten. Zwei für die "alten" Netze und eines für den Drucker. Dann das Routing aktivieren und die beiden VLANs der Netze gegenseitig per ACL sperren. Ist das so richtig?
Gruß
Christian
P.S: Hinter dem Begriff Interface hatte ich nicht einen Port vermutet.
Wenn ich Dich richtig verstehe, würdest Du also insgesamt drei VLANs einrichten. Zwei für die "alten" Netze und eines für den Drucker. Dann das Routing aktivieren und die beiden VLANs der Netze gegenseitig per ACL sperren. Ist das so richtig?
Richtig erkannt. 
Hallo Dani,
mittlerweile konnte ich Deine Tipps am Switch ausprobieren.
Leider nur mit Teilerfolgen.
Unser Switch ist ein HP ProCurve 4204vl. Laut Doku unterstützt er keine ACLs ;-(
Deshalb habe ich mir gedacht, dass ich die Sache auch mit statischen Routen erledigen können sollte.
Mal laut gedacht: Ich habe drei VLANs: V1, V2, Drucker.
V1 und V2 sollen auf das Drucker-VLAN zugreifen können, jedoch nicht untereinander.
V1 hat das Netz 10.16.0.0 (Switch hat 10.16.1.254)
V2 hat das Netz 192.168.0.0 (Switch hat 192.168.0.254)
Drucker habe ich in 192.168.100.0 gesetzt. (Switch hat 192.168.100.254, ein konkreter Drucker z.B: 192.168.2.10)
Es muss jetzt also eine Route im Switch definiert werden, die besagt, dass sämtlich Anfragen an 192.168.100.0 aus V1 und V2 in das VLAN "Drucker" umgeleitet werden. Alles andere soll abgewiesen bzw. nicht geroutet werden.
Routen kann ich mit "ip route <destination ip> <netmask> <gateway_ip>" im Switch setzen. Allerdings fehlt hier m.E. die Möglichkeit die VLANs anzusprechen. So würde doch z.B: "ip route 192.168.2.0 255.255.255.0 192.168.2.251" alle Anfragen an 192.168.2.x an die 192.168.2.251 schicken.
Liege ich hier richtig, oder liege ich einem Denkfehler auf?
Danke und Gruß
Christian
P.S. Hier ist unsere aktuelle Konfiguration:
; J8770A Configuration Editor; Created on release #L.11.20
hostname "ProCurve Switch 4204vl"
module 1 type J8768A
module 2 type J9033A
module 4 type J9033A
module 3 type J9033A
sntp server 129.x.x.x
sntp server 10.16.x.x
ip routing
timesync sntp
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged A12,B1-B24,C1-C24,D1-D24
ip address dhcp-bootp
no untagged A1-A11,A13-A24
exit
vlan 10
name "Verwaltung"
untagged A1-A11
ip address 192.168.0.254 255.255.255.0
tagged A12
exit
vlan 20
name "Drucker"
untagged A13-A24
ip address 192.168.100.254 255.255.255.0
tagged A12
exit
password manager
mittlerweile konnte ich Deine Tipps am Switch ausprobieren.
Leider nur mit Teilerfolgen.
Unser Switch ist ein HP ProCurve 4204vl. Laut Doku unterstützt er keine ACLs ;-(
Deshalb habe ich mir gedacht, dass ich die Sache auch mit statischen Routen erledigen können sollte.
Mal laut gedacht: Ich habe drei VLANs: V1, V2, Drucker.
V1 und V2 sollen auf das Drucker-VLAN zugreifen können, jedoch nicht untereinander.
V1 hat das Netz 10.16.0.0 (Switch hat 10.16.1.254)
V2 hat das Netz 192.168.0.0 (Switch hat 192.168.0.254)
Drucker habe ich in 192.168.100.0 gesetzt. (Switch hat 192.168.100.254, ein konkreter Drucker z.B: 192.168.2.10)
Es muss jetzt also eine Route im Switch definiert werden, die besagt, dass sämtlich Anfragen an 192.168.100.0 aus V1 und V2 in das VLAN "Drucker" umgeleitet werden. Alles andere soll abgewiesen bzw. nicht geroutet werden.
Routen kann ich mit "ip route <destination ip> <netmask> <gateway_ip>" im Switch setzen. Allerdings fehlt hier m.E. die Möglichkeit die VLANs anzusprechen. So würde doch z.B: "ip route 192.168.2.0 255.255.255.0 192.168.2.251" alle Anfragen an 192.168.2.x an die 192.168.2.251 schicken.
Liege ich hier richtig, oder liege ich einem Denkfehler auf?
Danke und Gruß
Christian
P.S. Hier ist unsere aktuelle Konfiguration:
; J8770A Configuration Editor; Created on release #L.11.20
hostname "ProCurve Switch 4204vl"
module 1 type J8768A
module 2 type J9033A
module 4 type J9033A
module 3 type J9033A
sntp server 129.x.x.x
sntp server 10.16.x.x
ip routing
timesync sntp
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged A12,B1-B24,C1-C24,D1-D24
ip address dhcp-bootp
no untagged A1-A11,A13-A24
exit
vlan 10
name "Verwaltung"
untagged A1-A11
ip address 192.168.0.254 255.255.255.0
tagged A12
exit
vlan 20
name "Drucker"
untagged A13-A24
ip address 192.168.100.254 255.255.255.0
tagged A12
exit
password manager
Hallo,
überprüfe bitte mal deinen Text auf Konsistenz....
Das sind schon mal 4 Netze, aber nur drei VLAN's...
Das default Password..
So was macht man nicht mal in einem Übungsnetz... und in einem Produtkionsnetz erst recht nicht...
brammer
überprüfe bitte mal deinen Text auf Konsistenz....
V1 hat das Netz 10.16.0.0 (Switch hat 10.16.1.254)
V2 hat das Netz 192.168.0.0 (Switch hat 192.168.0.254)
Drucker habe ich in 192.168.100.0* gesetzt. (Switch hat 192.168.100.254, ein konkreter Drucker z.B:
192.168.2.10**)
Es muss jetzt also eine Route im Switch definiert werden, die besagt, dass sämtlich Anfragen an 192.168.100.0 aus
V2 hat das Netz 192.168.0.0 (Switch hat 192.168.0.254)
Drucker habe ich in 192.168.100.0* gesetzt. (Switch hat 192.168.100.254, ein konkreter Drucker z.B:
192.168.2.10**)
Es muss jetzt also eine Route im Switch definiert werden, die besagt, dass sämtlich Anfragen an 192.168.100.0 aus
Das sind schon mal 4 Netze, aber nur drei VLAN's...
Das default Password..
password manager
So was macht man nicht mal in einem Übungsnetz... und in einem Produtkionsnetz erst recht nicht...
brammer
Hallo,
weshalb sind das 4 Netze? V1, V2 und "Drucker". Wo übersehe ich das 4. Netz?
"password manager" hat m.E. nichts mit dem gesetzten Passwort zu tun.
Ich muss jedenfalls etwas *ganz anderes* eingeben um am Switch arbeiten zu können.
Aktuell ist es jedenfalls auch noch ein Übungsnetz. Aber Danke für den Hinweis, ich werde schauen, ob noch ein Default-User mit Default-Passwort aktiv ist. Bislang wäre mir das nicht bekannt.
Hast Du vielleicht noch einen Hinweis bzgl. des eigentlichen Problems?
Danke und Gruß
Christian
weshalb sind das 4 Netze? V1, V2 und "Drucker". Wo übersehe ich das 4. Netz?
"password manager" hat m.E. nichts mit dem gesetzten Passwort zu tun.
Ich muss jedenfalls etwas *ganz anderes* eingeben um am Switch arbeiten zu können.
Aktuell ist es jedenfalls auch noch ein Übungsnetz. Aber Danke für den Hinweis, ich werde schauen, ob noch ein Default-User mit Default-Passwort aktiv ist. Bislang wäre mir das nicht bekannt.
Hast Du vielleicht noch einen Hinweis bzgl. des eigentlichen Problems?
Danke und Gruß
Christian
weshalb sind das 4 Netze? V1, V2 und "Drucker". Wo übersehe ich das 4. Netz?
V1 hat das Netz 10.16.0.0 (Switch hat 10.16.1.254)V2 hat das Netz 192.168.0.0 (Switch hat 192.168.0.254)
Drucker habe ich in 192.168.100.0* gesetzt. (Switch hat 192.168.100.254)
ein konkreter Drucker z.B: 192.168.2.10
Sind bei mir ebenfalls 4 VLANs.
Unser Switch ist ein HP ProCurve 4204vl. Laut Doku unterstützt er keine ACLs ;-( Deshalb habe ich mir gedacht, dass ich die Sache auch mit statischen Routen erledigen können sollte.
Erklär mir bitte wie die beiden Begriffe zusammen gehören?Grüße,
Dani
ein konkreter Drucker z.B: 192.168.2.10
Ok, Tippfehler: Drucker hat natürlich z.B. 192.168.100.10.
Wenn ich die Sache mit den ACLs richtig verstanden habe, sind sie dafür da, Netze ordentlich voneinander abzutrennen.
Habe ich keine ACLs zur Verfügung sollte ich doch auch per "Route reject" Kommunikation unterbinden können. Das dachte ich zumindest...
Trotz allem sind doch die VLANS an sich gegeneinander getrennt. Deshalb muss es doch auf einem L3-Switch, der per Definition Routing bietet, eine Möglichkeit geben unter den Netzen "zu vermitteln".
Wenn ich ganz falsch sein sollte, höre ich mir gerne an, wie es richtig wäre.
Gruß
Christian
Hallo,
noch einen Einwand
Dein Switch kann kein 4204vl sein....
Das ist nur das Gehäuse von HP
Bei einem vergleichbaren Cisco wäre da noch eine "Supervisor Engine" dabei...
Die sollte zumindest ACL's können..
brammer
noch einen Einwand
Unser Switch ist ein HP ProCurve 4204vl. Laut Doku unterstützt er keine ACLs
Dein Switch kann kein 4204vl sein....
Das ist nur das Gehäuse von HP
Bei einem vergleichbaren Cisco wäre da noch eine "Supervisor Engine" dabei...
Die sollte zumindest ACL's können..
brammer
Dein Switch kann kein 4204vl sein....
Ja wenns halt drauf steht... Konkret ist es folgende Konfiguration:
HP ProCurve Switch 4204vl-48GS
HP Modul J9033A
http://www.hp.com/rnd/products/switches/ProCurve_Switch_4200vl_Series/l ...
Bei uns gibts sonst nix. Keine Supervisor-Engine oder ähnliches.
Christian
