13
Realisierung von 5 VLANs im Unternehmen
Hallo,
im Rahmen meiner Ausbildung möchte ich bei uns im Unternehmen auf VLAN umstellen.
Damit eine höhere Sicherheit des Netzwerkes besteht.
Ich planen daher die Einrichtung von 5 VLAN's.
-- Server,Drucker
-- WLAN, AP's
-- Verwaltung, etc.
Insgesamt sollen es wie gesagt 5 werden.
Nun meine Frage, da ich gerade erst in das ganze Thema einsteige.
Angenommen ich trenne jedes Netz mit einem Switch ab und verbinde später diese 5 mit einem letzten der dann an den Router angeschlossen ist.
Wie kann ich diese Switche nachher untereinander verbinden (konfigurieren)?
Derzeit spiele ich mit dem Packettracer rum und versuche es hier erst einmal abzubilden und zu testen.
Ist dies überhaupt so umsetzbar? oder ist das völliger Quatsch?
Über Ratschläge, Tipps, Hinweise oder weitere Lektüre freue ich mich sehr.
im Rahmen meiner Ausbildung möchte ich bei uns im Unternehmen auf VLAN umstellen.
Damit eine höhere Sicherheit des Netzwerkes besteht.
Ich planen daher die Einrichtung von 5 VLAN's.
-- Server,Drucker
-- WLAN, AP's
-- Verwaltung, etc.
Insgesamt sollen es wie gesagt 5 werden.
Nun meine Frage, da ich gerade erst in das ganze Thema einsteige.
Angenommen ich trenne jedes Netz mit einem Switch ab und verbinde später diese 5 mit einem letzten der dann an den Router angeschlossen ist.
Wie kann ich diese Switche nachher untereinander verbinden (konfigurieren)?
Derzeit spiele ich mit dem Packettracer rum und versuche es hier erst einmal abzubilden und zu testen.
Ist dies überhaupt so umsetzbar? oder ist das völliger Quatsch?
Über Ratschläge, Tipps, Hinweise oder weitere Lektüre freue ich mich sehr.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304437
Url: https://administrator.de/contentid/304437
Printed on: April 19, 2024 at 21:04 o'clock
13 Comments
Latest comment
HI,
Bei Cisco müsste das Stichwort InterVLAN Routing sein.
Ansonsten nimm einen Layer 3 Switch, der kann Routern. Du musst nicht pro VLAN ein Switch nehmen, das kannst du auf dem Switch selbst Konfigurieren, außer es ist ein "dummer" Switch.
Gruß
Bei Cisco müsste das Stichwort InterVLAN Routing sein.
Ansonsten nimm einen Layer 3 Switch, der kann Routern. Du musst nicht pro VLAN ein Switch nehmen, das kannst du auf dem Switch selbst Konfigurieren, außer es ist ein "dummer" Switch.
Gruß
Hallo,
ist heute VLAN-Tag?
Schon die gefühlte 10. Frage zu diesem Thema.
Du kannst auf einem Switch (sofern er VLANs überhaupt unterstützt) auch mehrere Netze anlegen, du brauchst also nicht zwingend für jedes VLAN einen eigenen Switch.
Du muss nur darauf achten, dass alle Komponenten welche VLAN IDs übertragen müssen mittels einem tagged uplink verbunden sind.
Und im Netzwerk muss es eben ein L3 Device geben, welches das Routing der versch. VLANs übernimmt.
Hier im Forum gibt es von Kollege @aqui zig Tutorials diesbezüglich.
Einfach SuFu benutzen, lesen, verstehen und Spaß daran haben.
Gruß
Tante Edith:
mal wieder zu langsam :-P
ist heute VLAN-Tag?
Schon die gefühlte 10. Frage zu diesem Thema.
Nun meine Frage, da ich gerade erst in das ganze Thema einsteige.
Angenommen ich trenne jedes Netz mit einem Switch ab und verbinde später diese 5 mit einem letzten der dann an den Router angeschlossen ist.
Das kannst du so machen, musst du aber nicht.Angenommen ich trenne jedes Netz mit einem Switch ab und verbinde später diese 5 mit einem letzten der dann an den Router angeschlossen ist.
Du kannst auf einem Switch (sofern er VLANs überhaupt unterstützt) auch mehrere Netze anlegen, du brauchst also nicht zwingend für jedes VLAN einen eigenen Switch.
Du muss nur darauf achten, dass alle Komponenten welche VLAN IDs übertragen müssen mittels einem tagged uplink verbunden sind.
Und im Netzwerk muss es eben ein L3 Device geben, welches das Routing der versch. VLANs übernimmt.
Hier im Forum gibt es von Kollege @aqui zig Tutorials diesbezüglich.
Einfach SuFu benutzen, lesen, verstehen und Spaß daran haben.
Gruß
Tante Edith:
mal wieder zu langsam :-P
Das Problem welches ich habe, ist dabei die Anzahl der CLients pro Netz.
Dies würde 1 Switch allein nicht schaffen.
Daher die Segmentierung mit mehreren Switches.
Dies würde 1 Switch allein nicht schaffen.
Daher die Segmentierung mit mehreren Switches.
Das ist kein Problem,
dafürsind die Tagged Uplink Ports wie @michi1983 schon geschrieben hat.
Nimm z.B. zwei Switche, konfigurier alles wie du es brauchst und verbinde die Switche mit Tagged Uplinks zum Routing Switch oder Router.
Gruß
dafürsind die Tagged Uplink Ports wie @michi1983 schon geschrieben hat.
Nimm z.B. zwei Switche, konfigurier alles wie du es brauchst und verbinde die Switche mit Tagged Uplinks zum Routing Switch oder Router.
Gruß
und noch ein anderes Problem welches ich gerade entdeckt habe:
was passiert wenn die Clients die in einem VLAN sind an 2 verschiedenen Verteilerschränken bzw. an verschiedenen Räumlichen Standorten hängen?
Bsp.:
WLAN-AP an der Nordseite des Gebäudes und WLAN-AP2 an der Südseite, getrennt durch 2 verschiedene Verteilerschränke?
Gruß
und vielen Danke für eure Hilfe :D
Der Tipp von dem Routing Switch hat mir schon sehr weitergeholfen.
was passiert wenn die Clients die in einem VLAN sind an 2 verschiedenen Verteilerschränken bzw. an verschiedenen Räumlichen Standorten hängen?
Bsp.:
WLAN-AP an der Nordseite des Gebäudes und WLAN-AP2 an der Südseite, getrennt durch 2 verschiedene Verteilerschränke?
Gruß
und vielen Danke für eure Hilfe :D
Der Tipp von dem Routing Switch hat mir schon sehr weitergeholfen.
Hi,
das stellst du ja über die Konfiguration an den Switchen sicher. Daher auch die Uplink Trunk Ports.
Gruß
das stellst du ja über die Konfiguration an den Switchen sicher. Daher auch die Uplink Trunk Ports.
Gruß
OK, Vielen Dank das werde ich gleich mal durch testen und mich genauer mitbefassen :D
Hallo zusammen,
- Wie viele Geräte und Benutzer sind es denn nun?
- Internetanschluss, Geschwindigkeit WAN & LAN?
- Anzahl der Router, Switche und Firewalls?
- WLAN für intern und extern oder beides und dann mit Internetzugriff oder ohne für beide oder eine Gruppe?
schlüssig in einander greift. Und das kostet in der Regel auch immer etwas.
VLAN20 Drucker
VLAN40 extern Gäste
schon wie viele es werden sollen/müssen.
von der zweiten Möglichkeit ein Netzwerk zu separieren oder aufzuteilen und das ist das Routing.
Routing: (ohne VLANs)
- Router oder Firewall mit 6 Ports & 5 einfache nicht verwaltete (unmanaged) Switche.
-- 1 WAN Port und 5 LAN Ports
-- An jedem LAN Port wird ein anderes Netzwerk vergeben (IP Adressbereich) und ein Switch wird dann
daran angeschlossen und an diesen dann die Geräte.
Routing durch den Router oder die Firewall aber mit Layer2 Switch (verwaltet): (mit VLANs)
- An jeden LAN Port des Router oder der Firewall kommt ein Switch und der baut dann die VLANs
auf, aber routen zwischen diesen VLANs tut dann der Router bzw. die Firewall.
Routing durch einen Layer3 Switch (verwaltet): (mit VLANs)
- Das gleiche wie eben nur das die Switche selber zwischen den VLANs routen und der router bzw.
die Firewall entlastet wird.
Router und Switche hast und dann sehen wir uns weiter an was wie wann und wo erledigt werden
muss oder kann.
worden ist und ob das alles so funktioniert wie man sich das vorgestellt hat bzw. wenn es Probleme
damit gibt.
Servern, Benutzern, Druckern, Mitarbeitern, WLAN Benutzern und Gästen und von welchem Router
bzw. welcher Firewall wir hier reden? Da muss einfach mehr kommen von Deiner Seite.
- WLAN Klienten via RadiusServer sichern
- WLAN Gäste via Captive Portal absichern
- Layer3 Switche anschaffen oder alternativ einen sehr starken Router bzw. eine sehr starke Firewall
- DMZ für Server mit Internetkontakt erstellen (Layer2 Switch)
- IDS/IPS Netzwerk basierend oder Host basierend oder beides zusammen einsetzen
- Klare Strukturierung der VLANs nach einem Prinzip aufsetzen, (Abteilungs- oder Geräte orientiert)
- Alle ungenutzten Ports an den Switchen schließen bzw. deaktivieren
- AD/DC Server einsetzen und mit GPOs zentral alles regulieren und steuern
- AV Lösungen am WAN und im LAN Bereich implementieren (WAN = UTM und LAN = Server gestützter AV)
- Backupstrategie erstellen und Geräte dazu anschaffen (eventuell ein Backup VLAN)
- Einen zentralen Syslog Server betreiben der in seinem eigenen VLAN platziert ist.
- Netzwerk und IT Dokumentation anfertigen und pflegen.
- Netzwerkmonitoring mittels eines alten Servers und Nagios 2 oder PRTG ermöglichen.
Das alles wären für mich so Sachen und Punkte die zusammen einher gehen mit Sicherheit und VLANs
man kann das auch sicherlich nach und nach implementieren und muss das nicht alles auf einmal
umsetzen nur wenn man einmal eine klare Struktur (WAN - DMZ - LAN) aufgebaut hat lässt sich so
etwas schneller und einfacher nach und nach erledigen und man fängt nicht immer wieder von vorne
an alles neu umzustellen. Überlege Dir heute zweimal was und wie Du es machen möchtest und dann
setze es erst um.
Gruß
Dobby
im Rahmen meiner Ausbildung möchte ich bei uns im Unternehmen auf VLAN umstellen.
Gute Sache nur zu wenig Angaben um Dir richtig weiterzuhelfen!- Wie viele Geräte und Benutzer sind es denn nun?
- Internetanschluss, Geschwindigkeit WAN & LAN?
- Anzahl der Router, Switche und Firewalls?
- WLAN für intern und extern oder beides und dann mit Internetzugriff oder ohne für beide oder eine Gruppe?
Damit eine höhere Sicherheit des Netzwerkes besteht.
Sicherheit basiert immer auf einem Konzept das in der regele aus mehreren Teilen besteht und dannschlüssig in einander greift. Und das kostet in der Regel auch immer etwas.
Ich planen daher die Einrichtung von 5 VLAN's.
VLAN1 ist das default VLAN und ist nur für Dich als Admin und in dem sind alle Geräte Mitglied.-- Server,Drucker
VLAN10 ServerVLAN20 Drucker
-- WLAN, AP's
VLAN30 intern AngestellteVLAN40 extern Gäste
-- Verwaltung, etc.
VLAN50 Klient PCsInsgesamt sollen es wie gesagt 5 werden.
lege Dich erst einmal fest wie und wonach Du die VLANs aufteilen willst und dann sieht manschon wie viele es werden sollen/müssen.
Nun meine Frage, da ich gerade erst in das ganze Thema einsteige.
Beantworte bitte erst einmal die Fragen weiter oben.Angenommen ich trenne jedes Netz mit einem Switch ab und verbinde später diese 5 mit einem
letzten der dann an den Router angeschlossen ist.
Dann sind ein Router oder Firewall mit mehreren Ports nötig und wir sprechen hier dann eigentlichletzten der dann an den Router angeschlossen ist.
von der zweiten Möglichkeit ein Netzwerk zu separieren oder aufzuteilen und das ist das Routing.
Routing: (ohne VLANs)
- Router oder Firewall mit 6 Ports & 5 einfache nicht verwaltete (unmanaged) Switche.
-- 1 WAN Port und 5 LAN Ports
-- An jedem LAN Port wird ein anderes Netzwerk vergeben (IP Adressbereich) und ein Switch wird dann
daran angeschlossen und an diesen dann die Geräte.
Routing durch den Router oder die Firewall aber mit Layer2 Switch (verwaltet): (mit VLANs)
- An jeden LAN Port des Router oder der Firewall kommt ein Switch und der baut dann die VLANs
auf, aber routen zwischen diesen VLANs tut dann der Router bzw. die Firewall.
Routing durch einen Layer3 Switch (verwaltet): (mit VLANs)
- Das gleiche wie eben nur das die Switche selber zwischen den VLANs routen und der router bzw.
die Firewall entlastet wird.
Wie kann ich diese Switche nachher untereinander verbinden (konfigurieren)?
Schreibe uns doch bitte erst einmal für welche Methode Du Dich entschieden hast und was Du fürRouter und Switche hast und dann sehen wir uns weiter an was wie wann und wo erledigt werden
muss oder kann.
Derzeit spiele ich mit dem Packettracer rum und versuche es hier erst einmal abzubilden und zu
testen.
Klar ist das nett aber in der Regel macht man das nachher um zu sehen ob auch alles richtig konfigurierttesten.
worden ist und ob das alles so funktioniert wie man sich das vorgestellt hat bzw. wenn es Probleme
damit gibt.
Ist dies überhaupt so umsetzbar? oder ist das völliger Quatsch?
Kein völliger Quatsch, nur was sollen wir Dir denn raten wenn wir nicht einmal wissen von wie vielenServern, Benutzern, Druckern, Mitarbeitern, WLAN Benutzern und Gästen und von welchem Router
bzw. welcher Firewall wir hier reden? Da muss einfach mehr kommen von Deiner Seite.
Über Ratschläge, Tipps, Hinweise oder weitere Lektüre freue ich mich sehr.
- LAN Klienten via LADP sichern- WLAN Klienten via RadiusServer sichern
- WLAN Gäste via Captive Portal absichern
- Layer3 Switche anschaffen oder alternativ einen sehr starken Router bzw. eine sehr starke Firewall
- DMZ für Server mit Internetkontakt erstellen (Layer2 Switch)
- IDS/IPS Netzwerk basierend oder Host basierend oder beides zusammen einsetzen
- Klare Strukturierung der VLANs nach einem Prinzip aufsetzen, (Abteilungs- oder Geräte orientiert)
- Alle ungenutzten Ports an den Switchen schließen bzw. deaktivieren
- AD/DC Server einsetzen und mit GPOs zentral alles regulieren und steuern
- AV Lösungen am WAN und im LAN Bereich implementieren (WAN = UTM und LAN = Server gestützter AV)
- Backupstrategie erstellen und Geräte dazu anschaffen (eventuell ein Backup VLAN)
- Einen zentralen Syslog Server betreiben der in seinem eigenen VLAN platziert ist.
- Netzwerk und IT Dokumentation anfertigen und pflegen.
- Netzwerkmonitoring mittels eines alten Servers und Nagios 2 oder PRTG ermöglichen.
Das alles wären für mich so Sachen und Punkte die zusammen einher gehen mit Sicherheit und VLANs
man kann das auch sicherlich nach und nach implementieren und muss das nicht alles auf einmal
umsetzen nur wenn man einmal eine klare Struktur (WAN - DMZ - LAN) aufgebaut hat lässt sich so
etwas schneller und einfacher nach und nach erledigen und man fängt nicht immer wieder von vorne
an alles neu umzustellen. Überlege Dir heute zweimal was und wie Du es machen möchtest und dann
setze es erst um.
Gruß
Dobby
Wie kann ich diese Switche nachher untereinander verbinden
Ganz einfach mit einem tagged Uplink !Lies dir das hiesige Forums Tutorial zu dem Thema durch, das beantwortet alle deinen Fragen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und auch
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Vergiss den
Ein billiger VLAN Switch NetGear 105E und ein Raspberry Pi reichen dafür um was zu lernen und die ganze Thematik zu begreifen:
Netzwerk Management Server mit Raspberry Pi
Hallo Dobby,
deine Fragen werde ich kommende Woche einmal mit meinem Ausbilder durchgehen, da ich nicht weiß in wie weit ich auf unser Netzwerk eingehen darf.
(Ausbildungsstart war im Februar ;) )
Ich werde dann so gut es geht auf deine Fragen antworten.
Liebe Grüße und Vielen Dank
deine Fragen werde ich kommende Woche einmal mit meinem Ausbilder durchgehen, da ich nicht weiß in wie weit ich auf unser Netzwerk eingehen darf.
(Ausbildungsstart war im Februar ;) )
Ich werde dann so gut es geht auf deine Fragen antworten.
Liebe Grüße und Vielen Dank
Hallo Aqui,
ich finde das mit dem packet tracer nicht wirklich Unsinn, da ich das Netz wirklich realisieren möchte.
Sobald dies in die Praxis geht muss es funktionieren, sprich ich muss es vorher schon verstanden und getestet haben.
Wie immer muss das komplette Netz während der Betriebsfreienzeit (Wochenendarbeit) realisiert werden.
Das Thema mit dem billigen Switch und dem Raspi ist Schritt 2 bevor es dann irgendwann richtig los geht.
Danke für die Links die werde ich mir gleich mal durchlesen :D
Liebe Grüße
ich finde das mit dem packet tracer nicht wirklich Unsinn, da ich das Netz wirklich realisieren möchte.
Sobald dies in die Praxis geht muss es funktionieren, sprich ich muss es vorher schon verstanden und getestet haben.
Wie immer muss das komplette Netz während der Betriebsfreienzeit (Wochenendarbeit) realisiert werden.
Das Thema mit dem billigen Switch und dem Raspi ist Schritt 2 bevor es dann irgendwann richtig los geht.
Danke für die Links die werde ich mir gleich mal durchlesen :D
Liebe Grüße
OK, zugegeben etwas hart ausgedrückt. Um das Konzept zu verifizieren ist das natürlich eine gute Sache, keine Frage.
Es bleibt aber immer nur eine theoretische Simulation. Gut, man kann aber davon ausgehen das die dann auch zu 98% in Realität funktioniert.
Bei 10 Switches und entsprechender Vorbereitung der Konfig (die du durch die Simulation ja schon verifiziert hast !) und 5 VLANs bist du da aber in max. 2 Stunden mit fertig.
Das Reinschrauben in die Racks und Umpatchen erfordert wie immer mehr Zeit als die eigentliche Konfiguration der Infrastruktur.
Bei 100 Switches sieht das natürlich anders aus. Leider machst du dazu ja keinerlei Angaben so das man nur wild raten kann.
Du bist aber auf dem richtigen Weg !
Es bleibt aber immer nur eine theoretische Simulation. Gut, man kann aber davon ausgehen das die dann auch zu 98% in Realität funktioniert.
Wie immer muss das komplette Netz während der Betriebsfreienzeit (Wochenendarbeit) realisiert werden.
Das ist oft so. Der Aufwand hängt letztlich davon ab wieviele Switchports bzw. Switches das sind.Bei 10 Switches und entsprechender Vorbereitung der Konfig (die du durch die Simulation ja schon verifiziert hast !) und 5 VLANs bist du da aber in max. 2 Stunden mit fertig.
Das Reinschrauben in die Racks und Umpatchen erfordert wie immer mehr Zeit als die eigentliche Konfiguration der Infrastruktur.
Bei 100 Switches sieht das natürlich anders aus. Leider machst du dazu ja keinerlei Angaben so das man nur wild raten kann.
Du bist aber auf dem richtigen Weg !
Guten Morgen,
Dobby nun möchte ich auf die Fragen mal eingehen:
Hierbei möchte ich betonen, das es sich bei uns um ein Bildungsunternehmen handelt.
Administrativen Spielraum haben wir hinter der Firewall.
schon wie viele es werden sollen/müssen.
VLAN10 Server
VLAN20 Drucker
VLAN30 WLAN, AP's
VLAN40 Verwaltung
VLAN50 Schulungs-PC's (früher: ZIP-Pool genannt)
VLAN60 Referenten-PC's
ich hoffe die Fragen verständlich und ausreichend erklärt zu haben.
Gruß
Fenja
Dobby nun möchte ich auf die Fragen mal eingehen:
Hierbei möchte ich betonen, das es sich bei uns um ein Bildungsunternehmen handelt.
- Wie viele Geräte und Benutzer sind es denn nun?
Es handelt sich um knapp 40 Mitarbeiter-PC's: 20 Schulungs-PC's 23 PC's für Referenten in den Unterrichtsräumen, 8 Netzwerkdrucker, 4 Server (3x Linux, 1x Win 2008 R2) , 1 FIrewall (ipfire) und ein Class C-Netz.- Internetanschluss, Geschwindigkeit WAN & LAN?
16000 DSL über ein Zyxel Router und Modem getrennt durch unsere FIrewall hinter der sich das eigentliche Leben abspielt- Anzahl der Router, Switche und Firewalls?
1 Firewall(IP-Fire), ab dort beginnt die Administration unserer Muttergesellschaft diese Verwaltet auch die DMZ.Administrativen Spielraum haben wir hinter der Firewall.
- WLAN für intern und extern oder beides und dann mit Internetzugriff oder ohne für beide oder eine Gruppe?
WLAn für beides (wir planen WLAN-Zugang für uns Administratoren, WLAN für Gäste, WLAN für Dienst-Mobiltelefone)Insgesamt sollen es wie gesagt 5 werden.
lege Dich erst einmal fest wie und wonach Du die VLANs aufteilen willst und dann sieht manschon wie viele es werden sollen/müssen.
VLAN20 Drucker
VLAN30 WLAN, AP's
VLAN40 Verwaltung
VLAN50 Schulungs-PC's (früher: ZIP-Pool genannt)
VLAN60 Referenten-PC's
Nun meine Frage, da ich gerade erst in das ganze Thema einsteige.
Beantworte bitte erst einmal die Fragen weiter oben.Fenja
