12
VLAN Konfiguration auf einem Netgear Switch
Hallo zusammen,
ich habe ein Problem bei der VLAN-Konfiguration auf einem Netgear Switch. Aus den beiden VLANs (2 und 6) soll der Port 43 erreichbar sein.
Folgende Konfiguration soll erstellt werden bzw. wurde bereits erstellt und funktioniert nicht:
(Port - "VLAN Membership" - "Port PVID Configuration")
VLAN2
1 - VLAN2 untagged - ID2
2 - VLAN2 untagged - ID2
3 - VLAN2 untagged - ID2
4 - VLAN2 untagged - ID2
5 - VLAN2 untagged - ID2
6 - VLAN2 untagged - ID2
43 - VLAN2 tagged - ID2
VLAN6
15 - VLAN6 untagged - ID6
16 - VLAN6 untagged - ID6
17 - VLAN6 untagged - ID6
18 - VLAN6 untagged - ID6
19 - VLAN6 untagged - ID6
43 - VLAN6 tagged - ID6
VLAN14
43 - VLAN14 tagged - ?
44 - VLAN14 tagged -
45 - VLAN14 tagged -
46 - VLAN14 tagged -
47 - VLAN14 tagged -
48 - VLAN14 tagged -
Der Port 43 soll von beiden VLANs aus erreichbar sein. Leider geht das aktuell nicht.
Hat jemand eine Idee?
Ein paar Fragen zu dem Thema habe ich bereits gefunden, nur leider hat es sich dabei um die Verbindung zwischen den Switchen gedreht.
ich habe ein Problem bei der VLAN-Konfiguration auf einem Netgear Switch. Aus den beiden VLANs (2 und 6) soll der Port 43 erreichbar sein.
Folgende Konfiguration soll erstellt werden bzw. wurde bereits erstellt und funktioniert nicht:
(Port - "VLAN Membership" - "Port PVID Configuration")
VLAN2
1 - VLAN2 untagged - ID2
2 - VLAN2 untagged - ID2
3 - VLAN2 untagged - ID2
4 - VLAN2 untagged - ID2
5 - VLAN2 untagged - ID2
6 - VLAN2 untagged - ID2
43 - VLAN2 tagged - ID2
VLAN6
15 - VLAN6 untagged - ID6
16 - VLAN6 untagged - ID6
17 - VLAN6 untagged - ID6
18 - VLAN6 untagged - ID6
19 - VLAN6 untagged - ID6
43 - VLAN6 tagged - ID6
VLAN14
43 - VLAN14 tagged - ?
44 - VLAN14 tagged -
45 - VLAN14 tagged -
46 - VLAN14 tagged -
47 - VLAN14 tagged -
48 - VLAN14 tagged -
Der Port 43 soll von beiden VLANs aus erreichbar sein. Leider geht das aktuell nicht.
Hat jemand eine Idee?
Ein paar Fragen zu dem Thema habe ich bereits gefunden, nur leider hat es sich dabei um die Verbindung zwischen den Switchen gedreht.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 153673
Url: https://administrator.de/contentid/153673
Printed on: April 16, 2024 at 21:04 o'clock
12 Comments
Latest comment
Hallo,
was ist an Port 43 angeschlossen?
Gruß
sk
was ist an Port 43 angeschlossen?
Gruß
sk
Hallo sk,
an Port 43 ist u.a. ein Linux Router angeschlossen.
Grüße
an Port 43 ist u.a. ein Linux Router angeschlossen.
Grüße
Es gibt 3 Möglichkeiten:
1) Der Linux-Router erhält in jedem VLAN ein physisches Interface. In diesem Fall muss auf dem Switch eine entsprechende Anzahl Ports bereitgestellt werden. Diese sind ein- und ausgehend untaggt.
2) Der Linux-Router arbeitet mit virtuellen Interfaces auf einem gemeinsamen physischen Interface. In diesem Fall muss auf dem Switch nur ein Port bereitgestellt werden. Auf diesem Port liegen alle benötigten VLANs getaggt an. <-- So hast Du es versucht, aber scheinbar vergessen, den Router entsprechend zu konfigurieren.
3) Wenn der Router weder genügend physische Interfaces hat, noch VLANs unterstützt (bei einer Linux-Büchse kaum vorstellbar), kann man mit sog. asymmetischem VLAN arbeiten. Dabei geht der Antworttraffic des Routers durch ein anderes VLAN zurück, als der gesendete Traffic des Clients. Hierfür benötigt man n+1 VLANs auf dem Switch, muss mehrere VLANs auf dem gleichen Switchport (ausgehend) untaggt setzen und die PVID getrennt konfigurieren können. Die Netgear-Switche scheinen dies zu unterstützen. Siehe http://kb.netgear.com/ci/fattach/get/19/1236780727/redirect/1
Gruß
sk
1) Der Linux-Router erhält in jedem VLAN ein physisches Interface. In diesem Fall muss auf dem Switch eine entsprechende Anzahl Ports bereitgestellt werden. Diese sind ein- und ausgehend untaggt.
2) Der Linux-Router arbeitet mit virtuellen Interfaces auf einem gemeinsamen physischen Interface. In diesem Fall muss auf dem Switch nur ein Port bereitgestellt werden. Auf diesem Port liegen alle benötigten VLANs getaggt an. <-- So hast Du es versucht, aber scheinbar vergessen, den Router entsprechend zu konfigurieren.
3) Wenn der Router weder genügend physische Interfaces hat, noch VLANs unterstützt (bei einer Linux-Büchse kaum vorstellbar), kann man mit sog. asymmetischem VLAN arbeiten. Dabei geht der Antworttraffic des Routers durch ein anderes VLAN zurück, als der gesendete Traffic des Clients. Hierfür benötigt man n+1 VLANs auf dem Switch, muss mehrere VLANs auf dem gleichen Switchport (ausgehend) untaggt setzen und die PVID getrennt konfigurieren können. Die Netgear-Switche scheinen dies zu unterstützen. Siehe http://kb.netgear.com/ci/fattach/get/19/1236780727/redirect/1
Gruß
sk
Hallo sk,
auf Port 1 liegt ein PC mit der IP 100.100.101.1 (Subnet 255.255.255.0) und auf dem Port 15 liegt die IP 100.100.105.1 (Subnet 255.255.255.0) .
Auf Port 43 liegt der Router mit den IPs 100.100.101.254 und 100.100.105.254 (mit jeweils 255.255.255.0). Diese IPs sollen jeweils auf den VLANs erreichbar sein.
Wenn ich die VLANs wie oben im "VLAN Mebership" einrichte, ist keine Kommunikation möglich. Sollte das nicht so einfach möglich sein? Wenn ich den Port die ausgehende VLAN ID vorschreibe (PVID) dann gehts, allerdings nur ein Netz, da ich dem Port 43 entweder die ID2 oder ID6 geben kann.
Zu 2) genau, dass ist mein Versuch. Allerdings besitzt der Router die virtuellen Adressen auf dem physischen Interface. Aktuell laufen teste ich nur auf "Ping-Ebene" - aber die laufen auch nicht
auf Port 1 liegt ein PC mit der IP 100.100.101.1 (Subnet 255.255.255.0) und auf dem Port 15 liegt die IP 100.100.105.1 (Subnet 255.255.255.0) .
Auf Port 43 liegt der Router mit den IPs 100.100.101.254 und 100.100.105.254 (mit jeweils 255.255.255.0). Diese IPs sollen jeweils auf den VLANs erreichbar sein.
Wenn ich die VLANs wie oben im "VLAN Mebership" einrichte, ist keine Kommunikation möglich. Sollte das nicht so einfach möglich sein? Wenn ich den Port die ausgehende VLAN ID vorschreibe (PVID) dann gehts, allerdings nur ein Netz, da ich dem Port 43 entweder die ID2 oder ID6 geben kann.
Zu 2) genau, dass ist mein Versuch. Allerdings besitzt der Router die virtuellen Adressen auf dem physischen Interface. Aktuell laufen teste ich nur auf "Ping-Ebene" - aber die laufen auch nicht
Port 43 muss tagged in beide VLANs, dann sollte es klappen !
Ein Port kann NICHT untagged in beiden VLANs sein, das klappt (wenigstens bei billigen Consumer Switches wie NetGear) nicht !
Du kannst aber vom Linux nur auf beide VLANs zugreifen wenn du den Linux Port auch taggest !
Siehe hier:
http://www.heise.de/netze/artikel/Linux-224004.html
Weitere Infos erhälst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Damit klappt es auf Anhieb !
Ein Port kann NICHT untagged in beiden VLANs sein, das klappt (wenigstens bei billigen Consumer Switches wie NetGear) nicht !
Du kannst aber vom Linux nur auf beide VLANs zugreifen wenn du den Linux Port auch taggest !
Siehe hier:
http://www.heise.de/netze/artikel/Linux-224004.html
Weitere Infos erhälst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Damit klappt es auf Anhieb !
Zitat von @tilo123:
Wenn ich die VLANs wie oben im "VLAN Mebership" einrichte, ist keine Kommunikation möglich. Sollte das nicht so
einfach möglich sein? Wenn ich den Port die ausgehende VLAN ID vorschreibe (PVID) dann gehts, allerdings nur ein Netz, da ich
dem Port 43 entweder die ID2 oder ID6 geben kann.
Wenn ich die VLANs wie oben im "VLAN Mebership" einrichte, ist keine Kommunikation möglich. Sollte das nicht so
einfach möglich sein? Wenn ich den Port die ausgehende VLAN ID vorschreibe (PVID) dann gehts, allerdings nur ein Netz, da ich
dem Port 43 entweder die ID2 oder ID6 geben kann.
Also auf Port 43 jeweils beide VLANs getaggt, aber eine Kommunikation ist nur für das VLAN möglich, auf das die PVID gesetzt wurde?
Dann antwortet die Linux-Büchse scheinbar untaggt.
Kurze Erklärung, was die PVID ist: Über die Primary VLAN ID legt man fest, in welches VLAN der Switch solche (eingehenden) Pakete packen soll, die keinen 802.1q Header haben (also untaggt sind). Dies ist logischer Weise eine 1:1-Beziehung.
Ob die Linux-Büchse seinerseits nun vom Switch empfangene, getaggte Pakete richtig auswertet und lediglich untaggt antwortet oder schlicht den 802.1q Header der eingehenden Pakete ignoriert, kann man ohne Sniffer nur vermuten. Auf jeden Fall ist die Linux-Büchse momentan nicht so konfiguriert, dass man mit einem getaggten Uplink (also meine Variante 2; im Cisco-Vokabular "Trunkport") arbeiten könnte. Entweder wird die Linux-Büchse entsprechend umkonfiguriert oder es bleibt nur Variante 3: asymmetrisches VLAN.
Ohne Zweifel der Königsweg, aber die Linux-Kiste scheint - so wie sie momentan konfiguriert ist - nicht mitzuspielen.
Ein Port kann NICHT untagged in beiden VLANs sein, das klappt (wenigstens bei billigen Consumer Switches wie NetGear) nicht !
Es geht u.a. bei DLink und bei Zyxel. Und laut verlinktem KB-Eintrag geht es offenkundig auch bei Netgear.
Gruß
sk
Nein, das ist de facto falsch ! Ein untagged Port kann ja niemals per se in 2 VLANs liegen. Das ist technisch nicht möglich, denn wäre es wären diese beiden VLANs ja eins. Das ist ein Trugschluss.
Woher sollte der Switch denn auch wissen welches Paket am Port 43 nun in welches VLAN soll ?? Das kann der Switch unmöglich erkennen denn als Layer 2 VLAN Switch "kennt" ernur Mac Adressen oder VLAN IDs in tagged Paketen....mehr nicht !
Profi Switches können die untagged Pakete über ihre Absender Mac Adressen in entsprechende VLANs forwarden mit einer Zuweisungsliste Mac--->VLAN die entweder statisch auf dem Switch hinterlegt wird oder per Radius Server kommt.
Billige Consumer Switches wie die NetGears supporten sowas logischerweise nicht.
Deshalb ist es auch unmöglich eine Port in 2 VLANs untagged zu bekommen. Zyxel D-Link können das de facto auch nicht !
Wie auch...zaubern geht bei denen auch nicht, schon gar nicht bei dem Preis !
Recht hast du was einen tagged Port betrifft ! Dort wird immer auch das default VLAN (meistens 1) untagged übertragen !
Der weltweite IEEE 802.1q Standard gibt das vor !
Folglich wird untagged Traffic auf einem tagged Port immer ins default VLAN übertragen. Meist lässt sich das konfigurieren so das auch ein Forwarding in andere VLANs als das default VLAN möglich ist.
Nicht möglich ist aber der Betrieb dieses Ports untagged in 2 oder mehr VLANs !
Woher sollte der Switch denn auch wissen welches Paket am Port 43 nun in welches VLAN soll ?? Das kann der Switch unmöglich erkennen denn als Layer 2 VLAN Switch "kennt" ernur Mac Adressen oder VLAN IDs in tagged Paketen....mehr nicht !
Profi Switches können die untagged Pakete über ihre Absender Mac Adressen in entsprechende VLANs forwarden mit einer Zuweisungsliste Mac--->VLAN die entweder statisch auf dem Switch hinterlegt wird oder per Radius Server kommt.
Billige Consumer Switches wie die NetGears supporten sowas logischerweise nicht.
Deshalb ist es auch unmöglich eine Port in 2 VLANs untagged zu bekommen. Zyxel D-Link können das de facto auch nicht !
Wie auch...zaubern geht bei denen auch nicht, schon gar nicht bei dem Preis !
Recht hast du was einen tagged Port betrifft ! Dort wird immer auch das default VLAN (meistens 1) untagged übertragen !
Der weltweite IEEE 802.1q Standard gibt das vor !
Folglich wird untagged Traffic auf einem tagged Port immer ins default VLAN übertragen. Meist lässt sich das konfigurieren so das auch ein Forwarding in andere VLANs als das default VLAN möglich ist.
Nicht möglich ist aber der Betrieb dieses Ports untagged in 2 oder mehr VLANs !
Hallo zusammen,
vielen Dank für die zahlreichen Antworten. Welche PVID erhält dann das VLAN 14?
Ich schaue mir jetzt die Linux Kiste an (Ubuntu ohne Internet )
Grüße
vielen Dank für die zahlreichen Antworten. Welche PVID erhält dann das VLAN 14?
Ich schaue mir jetzt die Linux Kiste an (Ubuntu ohne Internet
)Grüße
Hallo aqui,
Du musst die Richtung beachten! Egress kann ein Port sehrwohl in mehreren VLANs untaggt sein (sofern der Switchhersteller dies entsprechend implementiert hat).
Ingress kann ein Port in der Tat nur in einem VLAN untaggt sein. Das schrieb ich ja bereits. Zitat: "Dies ist logischer Weise eine 1:1-Beziehung" (siehe oben).
In welches VLAN der Switch ein eingehendes untaggt Frame packen soll, entscheidet er bei statischem/portbased VLAN während des Ingress-Checks anhand der PVID bzw. wenn diese nicht explizit konfiguriert wurde anhand der Default VID.
Genau diesen Umstand nutzt man ja beim asymmetrischen VLAN! Siehe http://www.gsi.de/documents/DOC-2006-May-71-1.ppt (Folie Nr. 20)
Ich spreche schon von portbasierten statischen VLANs.
Vielleicht solltest Du mal Deine liebgewonnenen Vorurteile überdenken.
Auch die vermeintlichen Billigheimer bauen nicht nur Consumerswitches, sondern auch solche, die für den professionellen Einsatz gedacht sind. Und dort werden sehrwohl auch "fortgeschrittene" Funktionen implementiert, soweit dafür ratifizierte Standards existieren. Und so ganz billig sind die Büchsen dann auch nicht mehr.
So baut etwa DLink auch mannshohe Chassiswitches, welche mit Sicherheit mehr können, als das Zeug aus dem Mediamarkt.
Aber bleiben wir mal bei Zyxel, weil ich mich da besser auskenne: spätestens ab der 3000er Serie aufwärts können alle Geräte nicht nur Port Based VLAN, sondern auch Subnet Based Vlan und Protocol Based Vlan. Ja sogar QinQ!! Per Classifier/Policy Rule kannst Du zudem u.a. VLAN-Tags umschreiben - z.B. aus VLAN-ID 100 mach VLAN-ID 200. Oder Du taggst Frames entsprechend Deinen Wünschen, die im Payload z.B. das TCP-Protokoll mit Dest-Port 80 haben... usw. usw. Viele dieser Funktionen stehen sogar schon auf einigen Geräten der 2000er Serie zur Verfügung (z.B. die neuen 2200er). Die 2000er Serie ist der Einstieg in die Fullmanaged-Switches von Zyxel. Alles darunter ist unmanaged oder webmanaged. Die fullmanaged Switche haben viele Features, die vorzugsweise für Provider interessant sind, denn in Asien setzen viele Carrier IP-DSLAMs und Metroswitches von Zyxel ein. Auch in Deutschland nutzen mittlerweile Citycarrier im Accessbereich Zyxel-Switches. Z.B. Willhelm.Tel in Norderstedt. Im Corebereich hat Zyxel freilich nichts zu bieten - da kooperiert man in Projekten meist mit Extreme Networks.
Wie gesagt: Egress kann ein Port sehrwohl in mehreren VLANs untaggt Member sein, wenn dies der Switch unterstützt. 802.1Q schließt dies m.W. nicht aus! Du kannst mir aber gern die gegenteilige Passage heraussuchen und all die Hersteller, die den Standard unabhängig voneinander anders interpretieren, eines besseren belehren: http://standards.ieee.org/getieee802/download/802.1Q-2003.pdf
Ich hatte die gleiche Diskussion vor ca. einem Jahr mit einem Consultant, der (bis zu dessen langsamen Sterben) voll auf Nortel abfuhr. Das sei alles nicht Standard-konform, nicht sauber programmiert und außerdem "das Öffnen der Büchse der Pandorra" tönte er herum. Er ist dann schnell wieder zurückgerudert, nachdem er feststellte, dass dies auch bei Nortel möglich ist, wenn man VCC entsprechend einstellt. Siehe http://support.avaya.com/css/P8/documents/100100875 Aber vermutlich haben die Jungs bei Nortel auch keine Ahnung oder einfach nur Langeweile gehabt...
Die Diskussion hat man auch häufig mit den Cisco-Jüngern. Ich muss zugeben, dass ich mich weder mit CatOS noch mit IOS näher auskenne - ich kann also nicht sagen, ob es bei Cisco egress möglich ist oder nicht. Wenn man aus dieser Ecke kommt und gegenteilig argumentieren will, sollte man aber vielleicht bedenken, dass Cisco VLANs bereits weit vor der Verabschiedung von 802.1Q implementiert hatte. 802.1Q dürfte zwar maßgeblich von Ciscos Implementierung inspiriert und auch bewusst dazu kompatibel gehalten worden sein, ist aber vermutlich nicht völlig deckungsgleich.
Gruß
Steffen
Zitat von @aqui:
Nein, das ist de facto falsch ! Ein untagged Port kann ja niemals per se in 2 VLANs liegen. Das ist technisch nicht möglich,
denn wäre es wären diese beiden VLANs ja eins. Das ist ein Trugschluss.
Nein, das ist de facto falsch ! Ein untagged Port kann ja niemals per se in 2 VLANs liegen. Das ist technisch nicht möglich,
denn wäre es wären diese beiden VLANs ja eins. Das ist ein Trugschluss.
Du musst die Richtung beachten! Egress kann ein Port sehrwohl in mehreren VLANs untaggt sein (sofern der Switchhersteller dies entsprechend implementiert hat).
Zitat von @aqui:
Woher sollte der Switch denn auch wissen welches Paket am Port 43 nun in welches VLAN soll ?? Das kann der Switch unmöglich
erkennen denn als Layer 2 VLAN Switch "kennt" ernur Mac Adressen oder VLAN IDs in tagged Paketen....mehr nicht !
Woher sollte der Switch denn auch wissen welches Paket am Port 43 nun in welches VLAN soll ?? Das kann der Switch unmöglich
erkennen denn als Layer 2 VLAN Switch "kennt" ernur Mac Adressen oder VLAN IDs in tagged Paketen....mehr nicht !
Ingress kann ein Port in der Tat nur in einem VLAN untaggt sein. Das schrieb ich ja bereits. Zitat: "Dies ist logischer Weise eine 1:1-Beziehung" (siehe oben).
In welches VLAN der Switch ein eingehendes untaggt Frame packen soll, entscheidet er bei statischem/portbased VLAN während des Ingress-Checks anhand der PVID bzw. wenn diese nicht explizit konfiguriert wurde anhand der Default VID.
Genau diesen Umstand nutzt man ja beim asymmetrischen VLAN! Siehe http://www.gsi.de/documents/DOC-2006-May-71-1.ppt (Folie Nr. 20)
Zitat von @aqui:
Profi Switches können die untagged Pakete über ihre Absender Mac Adressen in entsprechende VLANs forwarden mit einer
Zuweisungsliste Mac--->VLAN die entweder statisch auf dem Switch hinterlegt wird oder per Radius Server kommt.
Profi Switches können die untagged Pakete über ihre Absender Mac Adressen in entsprechende VLANs forwarden mit einer
Zuweisungsliste Mac--->VLAN die entweder statisch auf dem Switch hinterlegt wird oder per Radius Server kommt.
Ich spreche schon von portbasierten statischen VLANs.
Zitat von @aqui:
Billige Consumer Switches wie die NetGears supporten sowas logischerweise nicht.
Deshalb ist es auch unmöglich eine Port in 2 VLANs untagged zu bekommen. Zyxel D-Link können das de facto auch nicht !
Wie auch...zaubern geht bei denen auch nicht, schon gar nicht bei dem Preis !
Billige Consumer Switches wie die NetGears supporten sowas logischerweise nicht.
Deshalb ist es auch unmöglich eine Port in 2 VLANs untagged zu bekommen. Zyxel D-Link können das de facto auch nicht !
Wie auch...zaubern geht bei denen auch nicht, schon gar nicht bei dem Preis !
Vielleicht solltest Du mal Deine liebgewonnenen Vorurteile überdenken.
Auch die vermeintlichen Billigheimer bauen nicht nur Consumerswitches, sondern auch solche, die für den professionellen Einsatz gedacht sind. Und dort werden sehrwohl auch "fortgeschrittene" Funktionen implementiert, soweit dafür ratifizierte Standards existieren. Und so ganz billig sind die Büchsen dann auch nicht mehr.So baut etwa DLink auch mannshohe Chassiswitches, welche mit Sicherheit mehr können, als das Zeug aus dem Mediamarkt.
Aber bleiben wir mal bei Zyxel, weil ich mich da besser auskenne: spätestens ab der 3000er Serie aufwärts können alle Geräte nicht nur Port Based VLAN, sondern auch Subnet Based Vlan und Protocol Based Vlan. Ja sogar QinQ!! Per Classifier/Policy Rule kannst Du zudem u.a. VLAN-Tags umschreiben - z.B. aus VLAN-ID 100 mach VLAN-ID 200. Oder Du taggst Frames entsprechend Deinen Wünschen, die im Payload z.B. das TCP-Protokoll mit Dest-Port 80 haben... usw. usw. Viele dieser Funktionen stehen sogar schon auf einigen Geräten der 2000er Serie zur Verfügung (z.B. die neuen 2200er). Die 2000er Serie ist der Einstieg in die Fullmanaged-Switches von Zyxel. Alles darunter ist unmanaged oder webmanaged. Die fullmanaged Switche haben viele Features, die vorzugsweise für Provider interessant sind, denn in Asien setzen viele Carrier IP-DSLAMs und Metroswitches von Zyxel ein. Auch in Deutschland nutzen mittlerweile Citycarrier im Accessbereich Zyxel-Switches. Z.B. Willhelm.Tel in Norderstedt. Im Corebereich hat Zyxel freilich nichts zu bieten - da kooperiert man in Projekten meist mit Extreme Networks.
Folglich wird untagged Traffic auf einem tagged Port immer ins default VLAN übertragen. Meist lässt sich das
konfigurieren so das auch ein Forwarding in andere VLANs als das default VLAN möglich ist.
Nicht möglich ist aber der Betrieb dieses Ports untagged in 2 oder mehr VLANs !
konfigurieren so das auch ein Forwarding in andere VLANs als das default VLAN möglich ist.
Nicht möglich ist aber der Betrieb dieses Ports untagged in 2 oder mehr VLANs !
Wie gesagt: Egress kann ein Port sehrwohl in mehreren VLANs untaggt Member sein, wenn dies der Switch unterstützt. 802.1Q schließt dies m.W. nicht aus! Du kannst mir aber gern die gegenteilige Passage heraussuchen und all die Hersteller, die den Standard unabhängig voneinander anders interpretieren, eines besseren belehren: http://standards.ieee.org/getieee802/download/802.1Q-2003.pdf
Ich hatte die gleiche Diskussion vor ca. einem Jahr mit einem Consultant, der (bis zu dessen langsamen Sterben) voll auf Nortel abfuhr. Das sei alles nicht Standard-konform, nicht sauber programmiert und außerdem "das Öffnen der Büchse der Pandorra" tönte er herum. Er ist dann schnell wieder zurückgerudert, nachdem er feststellte, dass dies auch bei Nortel möglich ist, wenn man VCC entsprechend einstellt. Siehe http://support.avaya.com/css/P8/documents/100100875 Aber vermutlich haben die Jungs bei Nortel auch keine Ahnung oder einfach nur Langeweile gehabt...
Die Diskussion hat man auch häufig mit den Cisco-Jüngern. Ich muss zugeben, dass ich mich weder mit CatOS noch mit IOS näher auskenne - ich kann also nicht sagen, ob es bei Cisco egress möglich ist oder nicht. Wenn man aus dieser Ecke kommt und gegenteilig argumentieren will, sollte man aber vielleicht bedenken, dass Cisco VLANs bereits weit vor der Verabschiedung von 802.1Q implementiert hatte. 802.1Q dürfte zwar maßgeblich von Ciscos Implementierung inspiriert und auch bewusst dazu kompatibel gehalten worden sein, ist aber vermutlich nicht völlig deckungsgleich.
Gruß
Steffen
Du meinst Port 43 (die PVID ist Portbezogen). Das hängt jetzt davon ab. Wenn Du mangels anderer Optionen wie von mir vorgeschlagen asymmetrisches VLAN implementieren musst, dann benötigst Du zunächst ein weiteres VLAN. Sagen wir mal mit der ID 1000.
Dann stellst Du die Sache folgendermaßen ein:
Membership VLAN 2: Port 1 und Port 43 = untaggt
Membership VLAN 6: Port 15 und Port 43 = untaggt
Membership VLAN 1000: Port 1, 15 und Port 43 = untaggt
PVID Port 1 = 2
PVID Port 15 = 6
PVID Port 43 = 1000
Damit die Geräte an Port 1 und 15 nicht durch explizites Tagging mit der ID1000 miteinander kommunizieren können, solltest Du diese Ports wenn möglich so einstellen, dass sie eingehend nur untaggt Frames akzeptieren.
Auf Seite 20 findest Du ein Schema zur Verdeutlichung der Funktion: http://www.gsi.de/documents/DOC-2006-May-71-1.ppt
Es ist das gleiche, wie im bereits verlinkten Eintrag aus der Knowledebase von Netgear: http://kb.netgear.com/ci/fattach/get/19/1236780727/redirect/1 (Hier ist das allerdings eher schlecht beschrieben).
Generell solltest Du beachten, dass Du bei korrekter Konfiguration zwar die Trennung auf Layer 2 aufrecht erhälst, aber aufgrund des gemeinsamen Zugriffs auf den Router eine Kommunikation auf Layer 3 ermöglichst. Wenn die Netze also nicht miteinander kommunizieren dürfen, musst Du auf dem Router entsprechende ACLs setzen!
Ich schaue mir jetzt die Linux Kiste an (Ubuntu ohne Internet )
)VLAN-Support am Router wäre allemal besser als asymmetrisches VLAN. Weil es leichter verständlich und skalierbarer ist.
Gruß
Steffen
Hallo zusammen,
ich möchte die "saubere" Methode mit dem Linux Router umsetzen. Habe nun auch das VLAN Modul nachinstalliert. Kennst sich jemand mit der VLAN Konfiguration unter Ubuntu bzw. Debian aus?
Auf dem Switch befindet sich folgende Konfiguration (nur die aktive Ports):
(Port - "VLAN Membership" - "Port PVID Configuration")
1 - VLAN2 - untagged - PVID 2 (Port 43 in diesem VLAN ist auf tagged)
15 - VLAN6 - untagged - PVID 6 (Port 43 in diesem VLAN ist auf tagged)
43 - VLAN14 - tagged- PVID 14
Sollte die Switch Config so passen?
Gruß
ich möchte die "saubere" Methode mit dem Linux Router umsetzen. Habe nun auch das VLAN Modul nachinstalliert. Kennst sich jemand mit der VLAN Konfiguration unter Ubuntu bzw. Debian aus?
Auf dem Switch befindet sich folgende Konfiguration (nur die aktive Ports):
(Port - "VLAN Membership" - "Port PVID Configuration")
1 - VLAN2 - untagged - PVID 2 (Port 43 in diesem VLAN ist auf tagged)
15 - VLAN6 - untagged - PVID 6 (Port 43 in diesem VLAN ist auf tagged)
43 - VLAN14 - tagged- PVID 14
Sollte die Switch Config so passen?
Gruß
Hallo zusammen,
es funktioniert :---)))
Die oben genannte Switch Konfiguration läuft so. Es hat nur die Ubuntu VLAN Installation+Konfiguration gefehlt.
Vielen Dank an alle für die guten Ideen!
Grüße
(Nun folgt das Thema IPTABLES....)
es funktioniert :---)))
Die oben genannte Switch Konfiguration läuft so. Es hat nur die Ubuntu VLAN Installation+Konfiguration gefehlt.
Vielen Dank an alle für die guten Ideen!
Grüße
(Nun folgt das Thema IPTABLES....)
