diehappy
Goto Top

Grundlagen VLAN - Switch mit Router

Hallo Zusammen,

ich brauche mal Eure Hilfe um ein VLAN zu konfigurieren und einen dazupassenden Router zu finden.

Ich mochte gerne 4 von einander getrennte Bereiche erstellen:

1. Privat = 192.168.0.1
2. Büro = 192.168.100.1
3. Gast = 192.168.200.1
4. Testumgebung = 192.168.250.1

So in der Art.

VLAN Switch ist der LINKSYS SRW2224G4.

Ich hab jetzt die Ports aufgeteilt:

1 = default=untagged
2-10 = VID Privat = tagged
11-20 = VID Buero = Tagged
21-22 = VID Gast = Tagged
23-24 = VID Test = Tagged

Also die PC's kommunizieren innerhalb ihres Bereiches, so wie es sein soll.

Und jetzt kommt die Frage:

Ich hab derzeit nur einen einfachen Netgearrouter, wenn ich den in einem Bereich mit einfüge funktioniert das Internet in diesem Bereich. Aber micht mehr in den anderen.

Ich denke das ich einen anderen Router brauche, was für Leistungsmerkmale braucht der und wie wird der angeschlossen?

z.B. Reicht ein Router mit VLAN-unterstützung und wird dann von den 4 Portswitch des Routers jeweils ein Kabel in jeden Bereich des VLAN Switches gesteckt?

Vielen Dank und viele Grüße

Olaf

Content-Key: 96261

Url: https://administrator.de/contentid/96261

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: spacyfreak
spacyfreak 06.09.2008 um 12:24:30 Uhr
Goto Top
Prinzipell muss der Router 802.1Q unterstützen.

In aller Regel wird die Sache so konfigueriert, dass zwischen Router und Switch ein 802.1Q Trunklink eingerichtet wird.
Bei Cisco Routern konfiguriert man auf dem Routerport der zum Switch führt mit Subinterfaces gearbeitet wird, z. B.

Router(config)#interface FastEthernet1.100
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#encapsulation dot1q 100


Router(config)#interface FastEthernet1.200
Router(config-if)#ip address 192.168.200.1 255.255.255.0
Router(config-if)#encapsulation dot1q 200

Damit wird also EIN physikalischer Routerport so konfiguriert, dass er ueber die Subinterfaces das Default Gateways für verschiedene Subnetze (bzw. VLANs) spielen kann.
Über den Trunklink wandern dann die getaggten Pakete und "finden" anhand der VLAN-Zuordnung ihr richtiges Subinterface und damit Default Gateway.

Die Switchports müssen in das entsprechende VLAN gesteckt werden - jedoch untagged, da angeschlossene pCs mit getaggten Paketen nichts anfangen können.
Das tagged oder untagged attribut sagt ja nur aus, ob an diesem switchport Ethernetframes MIT oder OHNE VLAN Tag erwartet werden. Da der PC jedoch aufgrund der Unfähigkeit der Netzwerkkarte keine VLAN-Tags verarbeiten kann muss der Switchport zwar in das "gewünschte" VLAN gesteckt werden, jedoch müssen die Frames untagged aus dem Port flattern und in den Port flattern dürfen, an dem ein "normaler" PC dranhängt.

switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 100


Der Uplinkport des Switches, der zum Router führt, muss jedoch als Trunkport konfiguriert sein damit er Pakete mit verschiedenen VLAN-IDs transportieren kann.

switch(config-if)#switchport mode trunk
switch(config-if)#switchport trunk encapsulation dot1q
Mitglied: aqui
aqui 06.09.2008 um 14:22:18 Uhr
Goto Top
Wie man das relativ preiswert ohne teuren Cisco mit einer einfachen VLAN (.1q) faehigen PC Karte (Intel) in einem PC loesen kann kannst du hier genau nachlesen:


Damit sollte dann das Routing in deinen VLANs problemlos funktionieren !
Direkt kann das nicht funktionieren, da dein Linksys kein Layer 3 (Routing) faehiger VLAN Switch ist !
Es ist also immer ein externer Router erforderlich !
Dein NetGear und andere Consumer Router mit integriertem 4 Port Switch koennen das nicht da deren 4 Port Switch weder VLAN faehig ist, noch der Router zwischen den 4 Ports routen kann !!

Mit der PC Kartenloesung von oben ist das aber schnell und problemlos loesbar !

Wenn du alles richtig nach dem o.a. aufbaust sähe eine Lösung für dein Netzwerk folgendermaßen aus:

a1e1c8a5dba4756bec0846161086f168-vlan6
Mitglied: spacyfreak
spacyfreak 06.09.2008 um 15:18:06 Uhr
Goto Top
Yo, aquis idee ist gut und auch sehr schön illustriert - das kapier sogar ich! face-wink
Wobei er mit "tagged link" wahrscheinlich einen "trunk link" meint. Aber der transportiert ja tagged frames, also ists auch nicht falsch das so zu schreiben. (ja ich neige manchmal zur klug###eritis..).
Eventuell gibz aber auch für paar euro nen cisco router bei ebay der 802.1Q kann.
Mitglied: aqui
aqui 06.09.2008 um 15:41:26 Uhr
Goto Top
Du hast Recht ! Nur das Wort "Trunk" wird von vielen Herstellern auch oftmals für einen aggregated Link nach 802.3ad benutzt, deshalb vermeide ich den Begriff "Trunk" meistens, da er oft Verwirrung stiftet und technisch natürlich was vollkommen anderes ist in Zusammenhang mit Link Aggregation.

Du hast aber absolut Recht: Es ist im obigen Beispiel ein Link vom verwendeten Linksys Switch auf dem alle VLANs mit einem "Tag" übertragen werden, damit der PC zwischen den VLANs problemlos routen kann face-wink
Mitglied: spacyfreak
spacyfreak 06.09.2008 um 16:07:22 Uhr
Goto Top
...yo aus dem grund schreib ich meist 802.1Q dazu, dann weiss jeder der weiss was das sein könnte was es ist.
Der andere "trunk" wäre eine Art "EtherChannel" wo mehrere physikalische Interfaces zu einem "virtuellen" gebündelt werden was die Bandbreite erhöht u. füer Redundanz sorgt.
Ich hoffe wir haben Dr. Olaf jetzt nicht allzusehr verwirrt dass er resigniert das Handtuch wirft und glücklich stibt (diehappy..). Oh ich hab heut morgen nen Clown gefrühstückt. face-wink
Mitglied: 51705
51705 07.09.2008 um 01:15:28 Uhr
Goto Top
Mich wundert ein wenig, daß die Ports für die Clients 'Tagged' sind, kann da noch jemand was schlaues zu sagen?

Grüße, Steffen
Mitglied: aqui
aqui 08.09.2008 um 11:43:15 Uhr
Goto Top
Ja, da hast du sehr recht ! Das ist auffällig und kann so in der Beschreibung von diehappy niemals richtig sein, denn dann könnten die Endgeräte wie PCs etc. an solchen Ports nicht mehr kommunizieren, da sie den VLAN Tag als korruptes Paket interpretieren !
Nur der Port der zum routenden PC führt wie oben beschrieben muss zwangsweise tagged sein, damit er die VLAN Information zu den Paketen lesen kann um zwischen ihnen routen zu können.
Endgeräte liegen IMMER in port basierenden VLANs und dort sind die Ports immer untagged.
Mitglied: diehappy
diehappy 08.09.2008 um 14:17:22 Uhr
Goto Top
Hi alle Zusammen,

vielen Dank für alles Anregungen und Lösungsvorschläge, ich hab aber noch was spannendes gefunden, das eigentlich genau auf meine Bedürfnisse zugeschnitten ist:

GuestGate von Intellinet.

Auszug:
A: This is the Layer 3 Client Isolation Function of GuestGate. If this option is activated GuestGate will prevent the connected Guest Computers from accessing each other by assigning random TCP/IP Network Settings to the guest computers. This way each Guest operates in its own “Virtual LAN”. The two examples below illustrate how it works :

1. Guest Configuration set to “automatically select network” (no Virtual VLAN)
Guest Computer 1 receives IP Address 172.16.254.253.
Guest Computer 2 receives IP Address 172.16.254.252.
Guest Computer 3 receives IP Address 172.16.254.251.
[…]
In this mode all Guest Computers operate in one network and are therefore able to access each other.

2. Guest Configuration set to “use separate random network for each client” (Virtual VLAN enabled)
Guest Computer 1 receives IP Address 192.168.17.42.
Guest Computer 2 receives IP Address 172.16.25.12.
Guest Computer 3 receives IP Address 10.10.8.178.
[…]
In this mode each Guest Computer operates in its own network and therefore can not access any other device except for the Internet. Since this function is random it is next to impossible for an attacker to know or guess which IP Addresses the other guests have been assigned, making a hacking attempt virtually impossible.

If you are concerned with the security of your guests or are worried about potential liability issues you should activate this option (it is activated by default).

Ist ein Gateway mit Layer3 und VLAN mit 4 Ports für rund 200,00 € + 1 für das interne Netzwerk.

Hab mir schonmal einen testweise bestellt, teile Euch mit ob das Funktioniert.

Viele Grüße Olaf
Mitglied: aqui
aqui 08.09.2008 um 15:11:03 Uhr
Goto Top
Wenn es dir nur um einen Gastzugang geht, das bekommst du mit einem einfachen VLAN Switch und:


viel besser hin und vor allen Dingen unabhängig von einem proprietären Anbieter hin.

Natürlich ist die M0nowall auch VLAN fähig, kann also zwischen VLANs mit einem tagged Interface arbeiten !