26228
Jan 12, 2015
13963
5
0
VLAN mit Lancom Router und Switch - Allgemeine Verständnisfragen
Hallo zusammen,
aufgrund von Firmenumzug und damit verbundenen neuen Anforderungen beschäftige ich mich gerade mit dem Thema VLAN. Momentan ist das alles noch etwas
Neuland für mich. Ich würde mich freuen, wenn ich hier Anregungen und Tipps zum besseren Verständnis des Themas VLAN finden würde.
Also, momentan haben wir ein kleines Windows-Netzwerk mit SBS 2008, 5 Win7-Clients, Hybrid-TK-Anlage und IP-Telefonen. Das alles hängt in einem Netz
über einen Lancom GS1224P-Switch am Lancom 1781VA-Router.
Nun kommen nach unserem Umzug noch eine Handvoll IP-Kameras (PoE) und eine Zutrittskontrolle hinzu.
Ich möchte die Geräte nun gerne in 4 separate Netze packen. Dachte mir das wie folgt:
Netz1: SBS 2008 und Clients
Netz2: TK-Anlage (F470UC) und Telefone (intern IP, extern ISDN)
Netz3: IP-Kameras und Zutrittskontrolle
Netz4: Testnetz (später Gastzugang WLAN)
Im Prinzip hab ich die Anleitung von Lancom vermutlich verstanden, aber ich glaube, mit den dem Taggen hab ich ein Verständnisproblem.
Howto Lancom siehe hier: https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
Mal sehen, ob ich es kapiert hab
Die physikalische Schnittstelle ETH1 wird mit dem Switch Port 24 verbunden.
Ich definiere im Router 4 Netzwerke und weise den Netzen VLAN-ID's zu:
Netz1 = 192.168.1.0 = VID1
Netz2 = 192.168.2.0 = VID2
Netz3 = 192.168.3.0 = VID3
Netz4 = 192.168.4.0 = VID4
Dann ordne ich alle 4 Netze der logischen Schnittstelle LAN-1 zu, die an die physikalische Schnittstelle ETH1 gebunden ist.
Im Switch erstelle ich diese 4 VLAN-Gruppen, setze die entsprechenden Ports als Member in die jeweiligen Gruppen (je nach Gerätetyp)
und definiere Port 24 als Member aller VLAN-Gruppen.
Hier fange ich jetzt an, gedanklich zu stolpern. Folgendes ist mir nicht klar:
1. Muss ich bereits im Router beim definieren der Netze einen Schnittstellentag festlegen?
2. Ist der VLAN-Mode im Switch Tag-based oder Port-based?
3. Sind im Switch bei Pakettyp "alle" oder "tagged only" anzuhaken?
Vielleicht wäre jemand bereit in kurzen Worten, den grundsätzlichen Ablauf des Tagging zu erklären?
Vorab vielen Dank für die Hilfe.
Gruß Knuddel256
aufgrund von Firmenumzug und damit verbundenen neuen Anforderungen beschäftige ich mich gerade mit dem Thema VLAN. Momentan ist das alles noch etwas
Neuland für mich. Ich würde mich freuen, wenn ich hier Anregungen und Tipps zum besseren Verständnis des Themas VLAN finden würde.
Also, momentan haben wir ein kleines Windows-Netzwerk mit SBS 2008, 5 Win7-Clients, Hybrid-TK-Anlage und IP-Telefonen. Das alles hängt in einem Netz
über einen Lancom GS1224P-Switch am Lancom 1781VA-Router.
Nun kommen nach unserem Umzug noch eine Handvoll IP-Kameras (PoE) und eine Zutrittskontrolle hinzu.
Ich möchte die Geräte nun gerne in 4 separate Netze packen. Dachte mir das wie folgt:
Netz1: SBS 2008 und Clients
Netz2: TK-Anlage (F470UC) und Telefone (intern IP, extern ISDN)
Netz3: IP-Kameras und Zutrittskontrolle
Netz4: Testnetz (später Gastzugang WLAN)
Im Prinzip hab ich die Anleitung von Lancom vermutlich verstanden, aber ich glaube, mit den dem Taggen hab ich ein Verständnisproblem.
Howto Lancom siehe hier: https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
Mal sehen, ob ich es kapiert hab
Die physikalische Schnittstelle ETH1 wird mit dem Switch Port 24 verbunden.
Ich definiere im Router 4 Netzwerke und weise den Netzen VLAN-ID's zu:
Netz1 = 192.168.1.0 = VID1
Netz2 = 192.168.2.0 = VID2
Netz3 = 192.168.3.0 = VID3
Netz4 = 192.168.4.0 = VID4
Dann ordne ich alle 4 Netze der logischen Schnittstelle LAN-1 zu, die an die physikalische Schnittstelle ETH1 gebunden ist.
Im Switch erstelle ich diese 4 VLAN-Gruppen, setze die entsprechenden Ports als Member in die jeweiligen Gruppen (je nach Gerätetyp)
und definiere Port 24 als Member aller VLAN-Gruppen.
Hier fange ich jetzt an, gedanklich zu stolpern. Folgendes ist mir nicht klar:
1. Muss ich bereits im Router beim definieren der Netze einen Schnittstellentag festlegen?
2. Ist der VLAN-Mode im Switch Tag-based oder Port-based?
3. Sind im Switch bei Pakettyp "alle" oder "tagged only" anzuhaken?
Vielleicht wäre jemand bereit in kurzen Worten, den grundsätzlichen Ablauf des Tagging zu erklären?
Vorab vielen Dank für die Hilfe.
Gruß Knuddel256
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 259603
Url: https://administrator.de/contentid/259603
Printed on: April 16, 2024 at 12:04 o'clock
5 Comments
Latest comment
Die gemeinsame Schnitstelle ist komplett getaggt. Also alle VLANs werden auf LAN1 getaggt. Auch der Ethernetport 26 des Switches wird komplett getaggt.
Der VLAN-Modus des Switches ist port-based.
Sonderfall:
Gemischte Betriebsarten für Ports mit getaggten und ungetaggten Frames gibt es sinnvollerweise:
Gruß
Netman
Der VLAN-Modus des Switches ist port-based.
Sonderfall:
Gemischte Betriebsarten für Ports mit getaggten und ungetaggten Frames gibt es sinnvollerweise:
- Wenn ein Telefon am Switch angeschlossen ist, das Telefon mit einem VLAN-Tag in einem und der PC hinter dem Telefon mi einem anderen VLAN genutzt wird. (benötigt einen Port weniger)
- Wenn ein default VLAN für Administrationszwecke benutzt wird.
- Wenn man für etwaige Erweiterungen ein fallback Szenario für unkonfigurierte Switche benötigt.
Gruß
Netman
Hallo Netman,
ein verspätetes Dankeschön für deine Antwort. Hab leider immer noch den Knoten im Kopf. Ich hab das ganze mal etwas abgespeckt, da es sich um eine reine Verständnisfrage handelt.
Ich möchte gerne über einen Switch (Lancom GS1224P) und einen Router (Lancom 1781VA) zwei Netze aufziehen. Alle im jeweiligen Netz betriebenen Geräte sollen die Geräte aus dem jeweils anderen Netz NICHT sehen und nicht mit ihnen kommunizieren können. Das eine Netz ist unsere Produktivumgebung (SBS2008, div. Clients, TK mit Sprechstellen) und der SBS2008 ist der DC in diesem Netz. Das andere Netz ist mein Testnetz (Server 2012 R2 Essentials mit 3 Clients). Auch hier ist der WSE 2012 der DC in seinem Netz. Die DC's sollen sich natürlich nicht in die Quere kommen, da verschiedene FQDN.
So, bei folgenden Punkten sitzt der Knoten: Im Router habe ich die beiden Netze, z.B. 192.168.1.0/24 und 192.168.2.0/24 angelegt.
Binde ich dann erst mal ETH1-4 auf LAN1-4, also alles auf beliebig?
Setze ich dann die Ports am Switch auf VID1 für alle Ports des Produktivnetzes und auf VID2 für alle Ports des Testnetzes und stelle den VLAN-Mode auf "port based"?
So würden doch alle Pakete jedes Netzes durch den Switch bis an den Endport geleitet und dort je nach VID durchgelassen oder verworfen?
Muss ich dann im Switch an der "VLAN per Port Configuration" bei Packet Type "all" oder "tagged-only" einstellen?
Oder ist mein Denkansatz schon im Grundsatz falsch und es gibt einfachere, flexiblere, oder optimalere Konfigurationen?
Gruß Knuddel256
ein verspätetes Dankeschön für deine Antwort. Hab leider immer noch den Knoten im Kopf. Ich hab das ganze mal etwas abgespeckt, da es sich um eine reine Verständnisfrage handelt.
Ich möchte gerne über einen Switch (Lancom GS1224P) und einen Router (Lancom 1781VA) zwei Netze aufziehen. Alle im jeweiligen Netz betriebenen Geräte sollen die Geräte aus dem jeweils anderen Netz NICHT sehen und nicht mit ihnen kommunizieren können. Das eine Netz ist unsere Produktivumgebung (SBS2008, div. Clients, TK mit Sprechstellen) und der SBS2008 ist der DC in diesem Netz. Das andere Netz ist mein Testnetz (Server 2012 R2 Essentials mit 3 Clients). Auch hier ist der WSE 2012 der DC in seinem Netz. Die DC's sollen sich natürlich nicht in die Quere kommen, da verschiedene FQDN.
So, bei folgenden Punkten sitzt der Knoten: Im Router habe ich die beiden Netze, z.B. 192.168.1.0/24 und 192.168.2.0/24 angelegt.
Binde ich dann erst mal ETH1-4 auf LAN1-4, also alles auf beliebig?
Setze ich dann die Ports am Switch auf VID1 für alle Ports des Produktivnetzes und auf VID2 für alle Ports des Testnetzes und stelle den VLAN-Mode auf "port based"?
So würden doch alle Pakete jedes Netzes durch den Switch bis an den Endport geleitet und dort je nach VID durchgelassen oder verworfen?
Muss ich dann im Switch an der "VLAN per Port Configuration" bei Packet Type "all" oder "tagged-only" einstellen?
Oder ist mein Denkansatz schon im Grundsatz falsch und es gibt einfachere, flexiblere, oder optimalere Konfigurationen?
Gruß Knuddel256
Das ist Port-basiertes VLAN.
Jeder Port ist Teilnehmer in einem VLAN (hier am Switch). Kein VLAN hat eine Verbindung zu einem anderen VLAN. Alles Ports sind ungetaggt.
Die Verbindung für die VLANs wird über die beiden Beine (Ports) des Routers gemacht. Der ist für Trennung oder Verbindung zuständig. default verbindet er. Mittels Zugriffsregeln und ACL (Listen) kann er das regeln.
Wenn beide Netze nur aufs Internet, aber nicht gegenseitig Zugriff haben sollen, dann ist die Routingregel entsprechend zu korrigieren. Manchmal will man aber mit einer Maschine ins Nachbarnetz.
Sonderfall: Routing mit einem Routerport. Dann ist die die Verbindung zum Switch getaggt. Alle VLANs sind getaggt. Paket von einem Netz zum andern werden auf der Uplink-Leitung zweimal transportiert.
Gruß
Netman
Jeder Port ist Teilnehmer in einem VLAN (hier am Switch). Kein VLAN hat eine Verbindung zu einem anderen VLAN. Alles Ports sind ungetaggt.
Die Verbindung für die VLANs wird über die beiden Beine (Ports) des Routers gemacht. Der ist für Trennung oder Verbindung zuständig. default verbindet er. Mittels Zugriffsregeln und ACL (Listen) kann er das regeln.
Wenn beide Netze nur aufs Internet, aber nicht gegenseitig Zugriff haben sollen, dann ist die Routingregel entsprechend zu korrigieren. Manchmal will man aber mit einer Maschine ins Nachbarnetz.
Sonderfall: Routing mit einem Routerport. Dann ist die die Verbindung zum Switch getaggt. Alle VLANs sind getaggt. Paket von einem Netz zum andern werden auf der Uplink-Leitung zweimal transportiert.
Gruß
Netman
Hallo Netman,
danke für deine Antwort. Mal sehen, ob ich's verstanden habe:
Ich lege im Switch 2 VLAN-Gruppen an, z.B. VID1 und VID2.
Der Switch ordnet den Endports die PVID zu, also PVID1 und PVID2
Ich verbinde per Patchkabel vom Router ETH1 auf einen Port am Switch, der zu VID1 gehört.
Dann verbinde ich mit einem Patchkabel vom Router ETH2 auf einen Port am Switch, der zu VID2 gehört.
Im Router binde ich ETH1 an LAN1 und ETH2 an LAN2.
Den im Router angelegten Netzen teile ich die VID1 auf LAN1 zu und die VID2 auf LAN2 und vergebe KEINEN Schnittstellentag.
Ist das dann so, das ein unmarkiertes Paket, das von einem Endgerät gesendet wird, am Endport des Switch mit VID1 markiert wird
und dann nur an DEN Endports zugestellt werden kann, die ebenfalls VID1 zugeordnet sind? Dort entfernt der Switch dann die Markierung VID1 und das dort angeschlossene Endgerät nimmt das Paket an.
Und Pakete, deren Ziel nicht im eigenen Netz (z.B. VID1) liegt, werden über den Router entweder ins Internet weitergeleitet oder ins Netz mit VID2 geschickt. Der Router entfernt doch dann die Markierung VID1, wenn das Paket die ETH1 am Router passiert. Dort endet doch dann VID1, oder?
Gruß Knuddel256
danke für deine Antwort. Mal sehen, ob ich's verstanden habe:
Ich lege im Switch 2 VLAN-Gruppen an, z.B. VID1 und VID2.
Der Switch ordnet den Endports die PVID zu, also PVID1 und PVID2
Ich verbinde per Patchkabel vom Router ETH1 auf einen Port am Switch, der zu VID1 gehört.
Dann verbinde ich mit einem Patchkabel vom Router ETH2 auf einen Port am Switch, der zu VID2 gehört.
Im Router binde ich ETH1 an LAN1 und ETH2 an LAN2.
Den im Router angelegten Netzen teile ich die VID1 auf LAN1 zu und die VID2 auf LAN2 und vergebe KEINEN Schnittstellentag.
Ist das dann so, das ein unmarkiertes Paket, das von einem Endgerät gesendet wird, am Endport des Switch mit VID1 markiert wird
und dann nur an DEN Endports zugestellt werden kann, die ebenfalls VID1 zugeordnet sind? Dort entfernt der Switch dann die Markierung VID1 und das dort angeschlossene Endgerät nimmt das Paket an.
Und Pakete, deren Ziel nicht im eigenen Netz (z.B. VID1) liegt, werden über den Router entweder ins Internet weitergeleitet oder ins Netz mit VID2 geschickt. Der Router entfernt doch dann die Markierung VID1, wenn das Paket die ETH1 am Router passiert. Dort endet doch dann VID1, oder?
Gruß Knuddel256
Zitat von @26228:
Ich lege im Switch 2 VLAN-Gruppen an, z.B. VID1 und VID2.
okIch lege im Switch 2 VLAN-Gruppen an, z.B. VID1 und VID2.
Der Switch ordnet den Endports die PVID zu, also PVID1 und PVID2
Du ordnest zu! Ich verbinde per Patchkabel vom Router ETH1 auf einen Port am Switch, der zu VID1 gehört.
Dann verbinde ich mit einem Patchkabel vom Router ETH2 auf einen Port am Switch, der zu VID2 gehört.
Im Router binde ich ETH1 an LAN1 und ETH2 an LAN2.
Den im Router angelegten Netzen teile ich die VID1 auf LAN1 zu und die VID2 auf LAN2 und vergebe KEINEN Schnittstellentag.
Kein Schnittstellentag ok, AM Router kommen zwei verschiedenen LANs an.Dann verbinde ich mit einem Patchkabel vom Router ETH2 auf einen Port am Switch, der zu VID2 gehört.
Im Router binde ich ETH1 an LAN1 und ETH2 an LAN2.
Den im Router angelegten Netzen teile ich die VID1 auf LAN1 zu und die VID2 auf LAN2 und vergebe KEINEN Schnittstellentag.
Ist das dann so, das ein unmarkiertes Paket, das von einem Endgerät gesendet wird, am Endport des Switch mit VID1 markiert wird und dann nur an DEN Endports zugestellt werden kann, die ebenfalls VID1 zugeordnet sind? Dort entfernt der Switch dann die Markierung VID1 und das dort angeschlossene Endgerät nimmt das Paket an.
ein ungetaggtes Paket bekommt die zum Port passende VLAN-ID. Pakete werden nur an Ports weiter kopiert, die die selbe VLAN-ID haben. Und Pakete, deren Ziel nicht im eigenen Netz (z.B. VID1) liegt, werden über den Router entweder ins Internet weitergeleitet oder ins Netz mit VID2 geschickt. Der Router entfernt doch dann die Markierung VID1, wenn das Paket die ETH1 am Router passiert.
Der Router macht gar nichts mit der VLAN-ID er versteht ohen besonder Konfiguration nichts. Der Router verbindet über zwei oder drei Ports zwei oder drei Netze.Sonderfall: Der Router wird mittels eines getagggten Ports mit dem VLAN-Switch verbunden. Dann wird anhand der Konfiguration im Router bestimmt, was gemacht wird. An diesem Port nimmt der Router die Pakete so an, als wären sie ungetaggt, kann sie baen nach zugehörigem LAN trennen und unterscheiden.
Gruß
Netman
Dort endet doch dann VID1, oder?
Gruß Knuddel256
Gruß Knuddel256