knettenbrech
Goto Top

VLAN - Offene Fragen

Hallo zusammen,

ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des hier angebotenen: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Ich arbeite mich Schritt für Schritt nach vorne. Die Grundeinrichtung hat schon einmal funktioniert. Nun soll es mit einem höheren Schwierigkeitsgrad weitergehen.

Nachfolgend habe ich eine Übersicht meines Homelabs erstellt:

diagramm

Erörterung:

An einen LAN-Port meiner Fritz Box habe ich einen Cisco RV130 Router angeschlossen (dort am WAN-Port). Auf dem Cisco gibt es vier VLANs:

VLAN 1 Default
VLAN 3 - 172.16.3.1 /24 - DHCP nicht aktiviert
VLAN 4 - 172.16.4.1 /24 - DHCP aktiviert
VLAN 5 - 172.16.5.1 /24 - DHCP nicht aktiviert

IP des Ciscos: 172.16.1.1 /24

VLAN 3-5 tagged und VLAN 1 untagged habe ich beim Cisco auf Port 1 gelegt, der als Uplink für den Netgear Switch dient.

Der Netgear hat folgende Einstellungen

VLAN 1-5 tagged auf Port 5 (Uplink)
VLAN 1 und 3 untagged auf Port 2 - Server, Domain Controller
VLAN 1 und 4 untagged auf Port 3 - Client
VLAN 1 und 4 untagged auf Port 4 - Client
VLAN 1 und 5 untagged auf Port 5 - WLAN AP für ein späteres Gästenetz

Ich habe es mit dieser Konfiguration geschafft, dass Server und Clients alle VLAN Interfaces anpingen können. Ping auf den Cisco Router und ins Internet (z.B. Google.de) funktioniert ebenfalls.
Dem DC habe ich eine feste IP zugewiesen, die Clients erhalten über den Cisco per DHCP automatisch eine Adresse. Der WLAN AP fällt im Moment hinten runter, da er noch keine Rolle spielt.

Meine Fragen nun:

1. Da VLAN 1 Default ist, kann ich mir den Untagged Flag auf den Netgear Ports 2-5 eigentlich sparen, richtig?

2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?

3. Die Clients sollen in die Domäne des Servers joinen. Es funktioniert jedoch nicht, da der Server von den Clients aus nicht erreichbar ist. Muss ich als Maßnahme den Clients das VLAN 3 untagged des Servers zuweisen oder dem Server das VLAN 4 untagged der Clients? Bitte mit Begründung antworten, da ich hier die Logik noch nicht verstanden habe.

Für eure Unterstützung wäre ich sehr dankbar.

Gruß

Knettenbrech

Content-Key: 371873

Url: https://administrator.de/contentid/371873

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: Th0mKa
Lösung Th0mKa 21.04.2018 um 17:47:09 Uhr
Goto Top
Zitat von @Knettenbrech:

VLAN 3 - 172.16.3.1 /24 - DHCP nicht aktiviert
VLAN 4 - 172.16.4.1 /24 - DHCP aktiviert
VLAN 5 - 172.16.5.1 /24 - DHCP nicht aktiviert
Es darf nur ein untagged VLAN pro Port geben, nämlich das in dem das angeschlossene Gerät sein soll (vereinfacht). Eigentlich dürfte der Netgear auch keine zwei untagged ports zulassen.

/Thomas
Mitglied: Spirit-of-Eli
Spirit-of-Eli 21.04.2018 um 18:12:42 Uhr
Goto Top
Zusätzlich zu meinem Vorredner überträgst du das Vlan1 nicht untagged an den Switch über den Uplink wie es sein müsste.
Mitglied: aqui
Lösung aqui 21.04.2018 um 18:17:02 Uhr
Goto Top
Der Netgear hat folgende Einstellungen
VLAN 1-5 tagged auf Port 5 (Uplink)
Das ist natürlich FALSCH !
Der NetGear darf das VLAN 1 ja niemals taggen wenn du es auf dem RV130 NICHT taggst. (Zitat): "VLAN 3-5 tagged und VLAN 1 untagged habe ich beim Cisco auf Port 1"
So würde das VLAN 1 nicht übertragen werden zum Switch.
Am Switch muss das VLAN 1 dann natürlich auch untagged sein (PVID 1) sonst klappt das logischerweise nicht !

Der Rest VLAN 1 und 3 untagged auf Port 2 usw.) ist natürlich auch Unsinn wie Kollege tkr104 schon richtigerweise gesagt hat.
Ein Switchport kann ja niemals untagged in 2 VLANs sein ?? Wie soll das gehen. Wäre ja auch fatal, denn dann hättest du mit einmal 2 IP Netze "auf einem Draht". VLANs sind immer komplett getrennte Netze !!
Also gehe noch mal in dich. Lies zum Verständnis nochmal die VLAN Schnellschulung:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
...und dann beschreibst du uns nochmal genau wie du die Porets auf dem Switch eingerichtet hast !
Eigentlich dürfte der Netgear auch keine zwei untagged ports zulassen.
Tut er natürlich auch nicht. Relevant ist dort immer die PVID. Was es damit auf sich hat steht hier:
Warum gibt es PVID bei VLANs?
Mitglied: Knettenbrech
Knettenbrech 21.04.2018 um 20:02:29 Uhr
Goto Top
Danke für euren Input.

Die empfohlenen Links habe ich beachtet und mir darüberhinaus auch das hier durchgelesen:

https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
https://de.wikipedia.org/wiki/Virtual_Local_Area_Network#VLAN-Typen

Ich habe es nun wie folgt korrigiert und hoffe auf dem richtigen Weg zu sein.

Cisco Router:

VLAN 1-5 tagged auf Uplink-Port 1

Netgear Switch:

VLAN 1-5 tagged auf Uplink-Port 5

VLAN 3 untagged auf Port 2 - Server, Domain Controller
VLAN 4 untagged auf Port 3 - Client
VLAN 4 untagged auf Port 4 - Client
VLAN 5 untagged auf Port 5 - WLAN AP für ein späteres Gästenetz

Ich bitte um euer Feedback.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 21.04.2018 um 20:34:56 Uhr
Goto Top
Kann man so machen.
Mitglied: Knettenbrech
Knettenbrech 21.04.2018 um 20:58:25 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Kann man so machen.

Hm, ok. Anders wäre besser? Wenn ja, wie?
Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 21.04.2018 aktualisiert um 23:08:04 Uhr
Goto Top
Zitat von @Knettenbrech:

Zitat von @Spirit-of-Eli:

Kann man so machen.

Hm, ok. Anders wäre besser? Wenn ja, wie?

Nun, die Frage ist nicht ob ein anderes Design besser wäre.
Es kommt immer auf die Anforderungen an. Deine Aufstellung ist rein Basic und wir wissen nicht, was du beabsichtigst.

Bei der VLAN Thematik zwischen Geräte gibt es genau nach Standard definierte Regeln:
  • zwischen Geräte ist immer die gleiche Konfig zu verwenden. Ist der Port auf der Source Tagged wird auf der Destination Tagged gefordert.
  • ist das VLAN auf der Source an dem Port untagged wird auf der Destination untagged gefordert.
  • auf jedem Device gibt es im Normal Fall immer ein untagged VLAN.
  • Por Port kann es nur ein VLAN als untagged, aber mehere VLANs tagged, geben.
  • Ein Device muss das VLAN kennen um es auf einen Port zu münzen (einige Geräte legen diese dann automatisch an).
Mitglied: Knettenbrech
Knettenbrech 22.04.2018 aktualisiert um 10:27:38 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Deine Aufstellung ist rein Basic und wir wissen nicht, was du beabsichtigst.

Folgende Reihenfolge möchte ich umsetzen:

1. Clients in die Domäne des Servers aufnehmen
2. WLAN AP als Internetzugang für Gäste einrichten
3. Netzwerkdrucker einrichten, der von Server und Clients angesprochen werden kann
4. WLAN AP umkonfigurieren von Gästezugang auf Mitarbeiterzugang ins interne Netz

Punkt 1 und 2 ist für mich kein Problem, wenn ich ohne VLANs arbeite und sich alle Komponenten in einem gemeinsamen Netz befinden. Nun möchte ich es mir beibringen, wie es mit VLANs und getrennten Netzen funktioniert.

Wenn die Clients in die Domäne joinen sollen, dann muss ich mit VLAN Memberships arbeiten, nehme ich an. Im Moment ist mit meiner Konfig ja alles noch getrennt.
Mitglied: Th0mKa
Lösung Th0mKa 22.04.2018 um 10:31:54 Uhr
Goto Top
Zitat von @Knettenbrech:


Punkt 1 und 2 ist für mich kein Problem, wenn ich ohne VLANs arbeite und sich alle Komponenten in einem gemeinsamen Netz befinden. Nun möchte ich es mir beibringen, wie es mit VLANs und getrennten Netzen funktioniert.
Das funktioniert mit oder ohne VLAN gleich, wichtig ist das Routing und DNS funktionieren.

Wenn die Clients in die Domäne joinen sollen, dann muss ich mit VLAN Memberships arbeiten, nehme ich an. Im Moment ist mit meiner Konfig ja alles noch getrennt.
Du musst zwischen den VLANs routen, dann klappt das problemlos.
Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 22.04.2018 um 11:56:27 Uhr
Goto Top
4. WLAN AP umkonfigurieren von Gästezugang auf Mitarbeiterzugang ins interne Netz

Wieso Umkonfigurieren? MIt den VLans kannst du beides zur selben Zeit realisieren in dem du zwei SSIDs mit je einem VLAN nutzt.
Mitglied: Knettenbrech
Knettenbrech 22.04.2018 um 12:03:13 Uhr
Goto Top
Zitat von @Th0mKa:
Du musst zwischen den VLANs routen, dann klappt das problemlos.

Ok, das mache ich dann folglich über den Router. Muss darüberhinaus auf dem Switch auch etwas konfiguriert werden?
Mitglied: Knettenbrech
Knettenbrech 22.04.2018 aktualisiert um 12:06:51 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

4. WLAN AP umkonfigurieren von Gästezugang auf Mitarbeiterzugang ins interne Netz

Wieso Umkonfigurieren? MIt den VLans kannst du beides zur selben Zeit realisieren in dem du zwei SSIDs mit je einem VLAN nutzt.

Das muss vom AP aber explizit unterstützt werden, soweit ich es gelesen habe. Ich habe hier noch eine uralte Fritz Box, die ich für diesen Zweck verwenden wollte (unterstützt noch kein IEEE 802.11n). Ich kann mir nicht vorstellen, dass ich mit dem Teil mehrere SSIDs abbilden kann.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 22.04.2018 um 12:21:56 Uhr
Goto Top
Ja gut, dann musst du dein Design an der Stelle händisch ändern.
Mitglied: Th0mKa
Lösung Th0mKa 22.04.2018 um 13:33:19 Uhr
Goto Top
Zitat von @Knettenbrech:
Muss darüberhinaus auf dem Switch auch etwas konfiguriert werden?
Nein
Mitglied: Knettenbrech
Knettenbrech 22.04.2018 aktualisiert um 15:39:34 Uhr
Goto Top
Danke an euch.

Könnt ihr mir noch hiermit behilflich sein?

"2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?"
Mitglied: 136037
Lösung 136037 22.04.2018 aktualisiert um 15:48:27 Uhr
Goto Top
Zitat von @Knettenbrech:

Danke an euch.

Könnt ihr mir noch hiermit behilflich sein?

"2. Ping auf den Netgear Switch funktioniert von Server und Clients aus nicht, auf den Cisco Router schon. Woran könnte das liegen?"
Entweder ICMP in der Windows Firewall (wird per Default für fremde Subnetze geblockt!!), am Client freischalten, oder eine ACL am CISCO verhindert ICMP Forwarding zwischen den VLANs.

Gruß
Mitglied: aqui
Lösung aqui 22.04.2018 aktualisiert um 17:02:01 Uhr
Goto Top
Guckst du auch hier:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Hm, ok. Anders wäre besser? Wenn ja, wie?
Wenn man den Default VLAN 1 untagged beibehält. Das machen 90% aller Hersteller so das auf Tagged Uplinks das Dewfault VLAN 1 immer untagged übertragen wird.
Du wärest dann etwas "Standard konformer".
Es ist aber eher kosmetisch. Natürlich kann man auch alle VLAN taggen. Falsch ist das auch nicht. Viele Switches supporten aber oft kein Tagging des Default VLANs. Deshalb ist der quasi Standard etwas universeller.
Mitglied: Knettenbrech
Knettenbrech 23.04.2018 um 19:54:26 Uhr
Goto Top
Vielen Dank an alle. Ihr habt mir sehr weitergeholfen.

DANKESCHÖN!
Mitglied: aqui
aqui 23.04.2018 um 20:43:03 Uhr
Goto Top
Immer gerne wieder... face-smile

Wenn's das denn nun war bitte dann auch
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
nicht vergessen !