8
VLANs mit 2 Cisco Switches und bintec Router
Hi!
Wir möchten gern unser Netzwerk reorganisieren und haben dazu folgende Komponenten:
a) Cisco SGE2000P, 24 Port PoE Gigabit Switch (davon 2 Stacking Ports), 4 GBIC Interfaces
b) Cisco SF 300-24, 24 Port Fast Ethernet Switch, 2 Gigabit Ports, 4 GBIC Interfaces
c) bintec R1202 VPN Gateway/Router, 5 Gigabit Ports (davon ein Port dediziert für WAN Zugang)
Alle Geräte sind VLAN (tagged/untagged) fähig.
Folgendes Szenario soll nun umgesetzt werden:
1. Auf Gerät a) sollen 5 VLANs definiert werden, welche für verschiedene Zwecke dienen (VoIP, Drucker, WLAN, Rechner und Server)
2. Auf Gerät b) soll 1 VLAN für Laborkomponenten definiert werden
3. Das Gerät c) soll für alle VLANs als Internet Gateway dienen
plus zusätzlicher Regeln für die Kommunikation der Clients aus verschiedenen VLANs untereinander.
Meine Frage ist nun: wie baut man so ein Netzwerk richtig auf? Ich habe mit hierfür bereits ein paar Videos angeschaut und etwas im Internet recherchiert und bin nun auf folgendem Kenntnisstand:
1. Auf dem Router erstellt man virtuelle Interfaces und zwar soviele wie es VLANs gibt. Die Adressen dieser Interfaces sind die Gateway Adressen für die einzelnen VLAN Teilnehmer. Ein Beispiel für 3 virt. Interfaces und damit verbundene 3 Gateway Adressen wären: 10.80.10.0/24, 10.80.20.0/24 und 10.80.30.0/24
2. Auf den Switches werden die einzelnen VLANs definiert und den dafür ausgewählten Ports zugewiesen. Hierbei wählt man den "Access" Modus für den Port aus, der nur mit Teilnehmer in dem für ihn festgelegten VLAN kommunizieren darf, und den Modus "Trunk", wenn er auch mit Teilnehmern aus anderen VLANs kommunizieren darf.
3. Um die Kommunikation zwischen VLANs zu ermöglichen, welche auf verschiedenen Switches definiert sind, werden auf jedem Switch dedizierte Trunk-Ports eingerichtet. Diese sind "tagged" um auf Layer-2 feststellen zu können, zu welchem VLAN die entsprechenden Pakete weitergereicht werden sollen
4. Auf dem bintec Router werden 2 Ports mit jeweils einem Switch physisch verbunden.
So und jetzt hört es auf. Ich weiß nun nicht mehr was ich mit dem Router anstellen soll. Die VLANs werden ja immer auf Layer-2 Geräten, d.h. den Switches definiert. Somit kann man hier schon einmal sicherstellen welche VLAN-Teilnehmer untereinander kommunizieren dürfen. Das Einzige, wofür ich den Router doch nun noch brauche, ist doch für das Sicherstellen der Kommunikation in fremde Netze, sprich ins Internet oder?
Was mir ebenfalls noch nicht klar ist: welche IP-Adressen bekommen die Switches bzw. in welchem VLAN befinden sich diese?
Gruss
ef8619
Wir möchten gern unser Netzwerk reorganisieren und haben dazu folgende Komponenten:
a) Cisco SGE2000P, 24 Port PoE Gigabit Switch (davon 2 Stacking Ports), 4 GBIC Interfaces
b) Cisco SF 300-24, 24 Port Fast Ethernet Switch, 2 Gigabit Ports, 4 GBIC Interfaces
c) bintec R1202 VPN Gateway/Router, 5 Gigabit Ports (davon ein Port dediziert für WAN Zugang)
Alle Geräte sind VLAN (tagged/untagged) fähig.
Folgendes Szenario soll nun umgesetzt werden:
1. Auf Gerät a) sollen 5 VLANs definiert werden, welche für verschiedene Zwecke dienen (VoIP, Drucker, WLAN, Rechner und Server)
2. Auf Gerät b) soll 1 VLAN für Laborkomponenten definiert werden
3. Das Gerät c) soll für alle VLANs als Internet Gateway dienen
plus zusätzlicher Regeln für die Kommunikation der Clients aus verschiedenen VLANs untereinander.
Meine Frage ist nun: wie baut man so ein Netzwerk richtig auf? Ich habe mit hierfür bereits ein paar Videos angeschaut und etwas im Internet recherchiert und bin nun auf folgendem Kenntnisstand:
1. Auf dem Router erstellt man virtuelle Interfaces und zwar soviele wie es VLANs gibt. Die Adressen dieser Interfaces sind die Gateway Adressen für die einzelnen VLAN Teilnehmer. Ein Beispiel für 3 virt. Interfaces und damit verbundene 3 Gateway Adressen wären: 10.80.10.0/24, 10.80.20.0/24 und 10.80.30.0/24
2. Auf den Switches werden die einzelnen VLANs definiert und den dafür ausgewählten Ports zugewiesen. Hierbei wählt man den "Access" Modus für den Port aus, der nur mit Teilnehmer in dem für ihn festgelegten VLAN kommunizieren darf, und den Modus "Trunk", wenn er auch mit Teilnehmern aus anderen VLANs kommunizieren darf.
3. Um die Kommunikation zwischen VLANs zu ermöglichen, welche auf verschiedenen Switches definiert sind, werden auf jedem Switch dedizierte Trunk-Ports eingerichtet. Diese sind "tagged" um auf Layer-2 feststellen zu können, zu welchem VLAN die entsprechenden Pakete weitergereicht werden sollen
4. Auf dem bintec Router werden 2 Ports mit jeweils einem Switch physisch verbunden.
So und jetzt hört es auf. Ich weiß nun nicht mehr was ich mit dem Router anstellen soll. Die VLANs werden ja immer auf Layer-2 Geräten, d.h. den Switches definiert. Somit kann man hier schon einmal sicherstellen welche VLAN-Teilnehmer untereinander kommunizieren dürfen. Das Einzige, wofür ich den Router doch nun noch brauche, ist doch für das Sicherstellen der Kommunikation in fremde Netze, sprich ins Internet oder?
Was mir ebenfalls noch nicht klar ist: welche IP-Adressen bekommen die Switches bzw. in welchem VLAN befinden sich diese?
Gruss
ef8619
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 206925
Url: https://administrator.de/contentid/206925
Printed on: April 18, 2024 at 13:04 o'clock
8 Comments
Latest comment
Hi,
Ein Trunk verbindet NICHT die VLANs, der lässt nur zu das über den Port mehrere VLANs laufen können.
Zusammenführen kann die nur ein Router.
Aber ein Switch kann nun auch Routingfunktionen haben ...
Meist ist es das Netzwerk mit dem du den Switch einrichtest.
VG
Deepsys
So und jetzt hört es auf. Ich weiß nun nicht mehr was ich mit dem Router anstellen soll. Die VLANs werden ja immer auf
Layer-2 Geräten, d.h. den Switches definiert. Somit kann man hier schon einmal sicherstellen welche VLAN-Teilnehmer
untereinander kommunizieren dürfen. Das Einzige, wofür ich den Router doch nun noch brauche, ist doch für das
Sicherstellen der Kommunikation in fremde Netze, sprich ins Internet oder?
Nein, im Switch sind und bleiben die VLANs getrennt.Layer-2 Geräten, d.h. den Switches definiert. Somit kann man hier schon einmal sicherstellen welche VLAN-Teilnehmer
untereinander kommunizieren dürfen. Das Einzige, wofür ich den Router doch nun noch brauche, ist doch für das
Sicherstellen der Kommunikation in fremde Netze, sprich ins Internet oder?
Ein Trunk verbindet NICHT die VLANs, der lässt nur zu das über den Port mehrere VLANs laufen können.
Zusammenführen kann die nur ein Router.
Aber ein Switch kann nun auch Routingfunktionen haben ...
Was mir ebenfalls noch nicht klar ist: welche IP-Adressen bekommen die Switches bzw. in welchem VLAN befinden sich diese?
Zumeist eben eine IP in einem VLAN, am ehesten dafür im VLAN 0 oder 1 (keine Ahnung wie Cisco das macht).Meist ist es das Netzwerk mit dem du den Switch einrichtest.
VG
Deepsys
1
Verstehe ich das richtig: Wenn z.B. 2 Teilnehmer physikalisch an denselben Switch angeschlossen sind, sich aber in 2 verschiedenen VLANs befinden und miteinander kommunizieren möchten (ohne Regeln), dann läuft dieser gesamte Traffic über den Router???
Einen groben Überblick über das WIE verschafft dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Verstehe ich das richtig: Wenn z.B. 2 Teilnehmer physikalisch an denselben Switch angeschlossen sind, sich aber in 2 verschiedenen VLANs befinden und miteinander kommunizieren möchten (ohne Regeln), dann läuft dieser gesamte Traffic über den Router???
Ja.
Ein Beispiel für 3 virt. Interfaces und damit verbundene 3 Gateway Adressen wären: 10.80.10.0/24, 10.80.20.0/24 und 10.80.30.0/24
Nein.
Das sind 3 Netzwerk-IDs.
Und Netzwerk-IDs können nicht als IP-Adresse verwendet werden. Die möglichen Adressen wären 10.80.10.1, usw.
und den Modus "Trunk", wenn er auch mit Teilnehmern aus anderen VLANs kommunizieren darf.
Nein, hat @Deepsys ja schon erklärt.
Diese sind "tagged"
Tagged und Trunked sind das selbe.
Trunked heißt es bei Cisco und Tagged beim Rest der Welt.
Dafür heißt Trunked beim Rest der Welt Kabelbündelung (was bei Cisco wiederum Etherchannel heißt).
Was mir ebenfalls noch nicht klar ist: welche IP-Adressen bekommen die Switches bzw. in welchem VLAN befinden sich diese?
Da wo du sie haben willst.
Bei uns sind die in einem Management-VLAN, zusammen mit Druckern, IP-Kameras, ...
1
Vielen Dank für die Antworten. Jetzt bin ich schon ein ganzes Stück schlauer als vorher. Da wir nur Layer-2 Switches haben und der Business Case die Investition in neue (obwohl die Cisco Catalyst ja ganz toll seien soll, wie ich gelesen habe) nicht rechtfertigt, müssen wir das Routing von Paketen zwischen verschiedenen VLANs über den bintec realisieren, mit einem Link vom bintec zu jeweils einem Switch.
Ich denke eine Gigabit-Verbindung sollte hier geradeso ausreichend sein (wenn wir unseren File Server in das wichtigste VLAN mit reinnehmen, dort wo unsere Rechner liegen sollen). Der File Server hat 4 Gigabit Ports mithilfe Port Aggregation zu einem virtuellen zusammengeschaltet (intern läuft Raid 5 mit 3,5" 3TB SATA Platten und 7200upm), um eine akzeptable Geschwindkeit für alle Teilnehmer zu gewährleisten. Würde dieser in einem eigenen VLAN stecken, so gäbe es hier ja Probleme aufgrund des Routings über nur einen Gigabit Port am bintec Router. Richtig?
@dog: Du hast geschrieben, dass die Drucker bei euch im Management-VLAN sind. Jeder, der Zugriff auf die Drucker hat, bekommt doch dann aber auch automatisch Zugriff auf die restlichen Teilnehmer in diesem VLAN oder? Bei uns würde das bei den Labor Teilnehmer dann der Fall sein, was wir vermeiden möchten.
Ich habe mich nun auch noch etwas über WLAN Router und VLANs informiert. Momentan nutzen wir eine Apple Time Capsule als WLAN-Router (m.M.n. nicht professionell). Ich denke aber, dass dieses Gerät kann nicht mit VLANs umgehen. Ich werde deswegen einen CISCO Small Business RV 220W Wireless Router ins Netzwerk integrieren und die Time Capsule entfernen. Was haltet ihr von dem Gerät?
Noch eine kurze Frage, welche ich mir während der Recherche gestellt habe: Port based VLANs sind ja laut Internet mittlerweile etwas aus der Mode gekommen und man versucht das Ganze über Tagged bzw. dynamische VLANs zu lösen. Ist das empfehlenswert für ein kleines Office Netzwerk und wenn ja, werden hier spezielle Bedingungen an die Teilnehmer gestellt (z.B.: müssen die Client-NICs VLAN-Unterstützung mitbringen?)
Gruss
ef8619
Ich denke eine Gigabit-Verbindung sollte hier geradeso ausreichend sein (wenn wir unseren File Server in das wichtigste VLAN mit reinnehmen, dort wo unsere Rechner liegen sollen). Der File Server hat 4 Gigabit Ports mithilfe Port Aggregation zu einem virtuellen zusammengeschaltet (intern läuft Raid 5 mit 3,5" 3TB SATA Platten und 7200upm), um eine akzeptable Geschwindkeit für alle Teilnehmer zu gewährleisten. Würde dieser in einem eigenen VLAN stecken, so gäbe es hier ja Probleme aufgrund des Routings über nur einen Gigabit Port am bintec Router. Richtig?
@dog: Du hast geschrieben, dass die Drucker bei euch im Management-VLAN sind. Jeder, der Zugriff auf die Drucker hat, bekommt doch dann aber auch automatisch Zugriff auf die restlichen Teilnehmer in diesem VLAN oder? Bei uns würde das bei den Labor Teilnehmer dann der Fall sein, was wir vermeiden möchten.
Ich habe mich nun auch noch etwas über WLAN Router und VLANs informiert. Momentan nutzen wir eine Apple Time Capsule als WLAN-Router (m.M.n. nicht professionell). Ich denke aber, dass dieses Gerät kann nicht mit VLANs umgehen. Ich werde deswegen einen CISCO Small Business RV 220W Wireless Router ins Netzwerk integrieren und die Time Capsule entfernen. Was haltet ihr von dem Gerät?
Noch eine kurze Frage, welche ich mir während der Recherche gestellt habe: Port based VLANs sind ja laut Internet mittlerweile etwas aus der Mode gekommen und man versucht das Ganze über Tagged bzw. dynamische VLANs zu lösen. Ist das empfehlenswert für ein kleines Office Netzwerk und wenn ja, werden hier spezielle Bedingungen an die Teilnehmer gestellt (z.B.: müssen die Client-NICs VLAN-Unterstützung mitbringen?)
Gruss
ef8619
Würde dieser in einem eigenen VLAN stecken, so gäbe es hier ja Probleme aufgrund des Routings über nur einen Gigabit Port am bintec Router. Richtig?
Ja, und nur weil es ein Gigabit-Port ist, heißt das noch lange nicht, dass er auch Gigabit-Raten forwarden kann.
Jeder, der Zugriff auf die Drucker hat, bekommt doch dann aber auch automatisch Zugriff auf die restlichen Teilnehmer in diesem VLAN oder?
Wenn du damit meinst "Netzwerkstecker aus dem Drucker ziehen und in eigenes Laptop stecken" - ja. Aber haben die Geräte bei uns auch in dem VLAN alle Passwörter und das Schadensrisiko hält sich in hier Grenzen im Vergleich zum Aufwand den noch ein weiteres VLAN bedeutet.
Wenn du wirklich auf Nummer sicher gehen willst musst du sowieso Kyocera-Drucker kaufen, auf denen IPSec aktivieren und dann das VLAN ausschließlich via IPSec mit dem Router kommunizieren lassen.
Was haltet ihr von dem Gerät?
Nicht viel.
Die RV-Serie stammt primär noch von Linksys, auch wenn mittlerweile Cisco draufsteht.
Port based VLANs sind ja laut Internet mittlerweile etwas aus der Mode gekommen und man versucht das Ganze über Tagged bzw. dynamische VLANs zu lösen.
Port-based und GVRP gehören erstmal nicht zusammen.
Port-based ist heute der Marketing-Begriff für VLANs die nicht 802.1q-konform sind (das wiederum ist aber die Standardeinstellung bei jedem Switch der letzten 10+x Jahre)
Dynamische VLAN-Zuweisung (GARP/GVRP) ist ein recht kompliziertes Verfahren (das bei 802.1q optional verwendet werden kann), dass nur in komplexen Strukturen wirklich Sinn macht (zum Vergleich: Ich hab 9 Switche und mache es da noch lieber von Hand).
Dazu kommt, dass es mittlerweile mit MMRP/MVRP einen aktualisierten Standard gibt, den aber kaum ein Hersteller implementiert hat.
Zudem kenne ich keine GVRP-Implementierung auf Windows oder anderen Nicht-Switch-Geräten.
1
Ok, vielen Dank für deine Antwort. Zum Thema GVRP/MVRP muss ich mich doch noch etwas einlesen, da fehlt mir momentan noch das Verständnis. So wie ich das jetzt aber herausgelesen habe, sollte die Port-basierte Methode für uns ausreichen, da wir eben auch nur eine überschaubare Netzwerkinfrastruktur (Teilnehmer) haben:
4x Apple iMac per LAN-Kabel
5x Apple MacBook Pro per WLAN
2x Dell XPS per LAN-Kabel (Labor)
2x Xerox Drucker
1x Epson Plotter
1x Apple xServe mit 6 Gbit Schnittstellen (2 dieser Ports sind direkt mit einem 19" QNAP NAS verbunden, welches als Backup Appliance dient)
6x snom VoIP-Telefone.
Folgende Aufteilung in VLANs haben wir uns vorgestellt:
ID10: Apple LAN
ID20: VoIP-Telefone
ID30: Drucker
ID40: WLAN
ID50: Labor
ID10-ID40 sollen am Cisco SGE2000P PoE Switch betrieben werden. ID50, also die beiden Labor Rechner am 100Mbit Cisco SF 300-24 Switch. Der bintec Router stellt 4 Gigabit Ports bereit.
Ist das sinnvoll, das Netzwerk derart zu segmentieren (abhängig von der Anzahl der Teilnehmer)?
P.S.: Könnt ihr einen guten WLAN-Router mit VLAN Unterstützung für die SSIDs empfehlen?
Gruss
ef8619
4x Apple iMac per LAN-Kabel
5x Apple MacBook Pro per WLAN
2x Dell XPS per LAN-Kabel (Labor)
2x Xerox Drucker
1x Epson Plotter
1x Apple xServe mit 6 Gbit Schnittstellen (2 dieser Ports sind direkt mit einem 19" QNAP NAS verbunden, welches als Backup Appliance dient)
6x snom VoIP-Telefone.
Folgende Aufteilung in VLANs haben wir uns vorgestellt:
ID10: Apple LAN
ID20: VoIP-Telefone
ID30: Drucker
ID40: WLAN
ID50: Labor
ID10-ID40 sollen am Cisco SGE2000P PoE Switch betrieben werden. ID50, also die beiden Labor Rechner am 100Mbit Cisco SF 300-24 Switch. Der bintec Router stellt 4 Gigabit Ports bereit.
Ist das sinnvoll, das Netzwerk derart zu segmentieren (abhängig von der Anzahl der Teilnehmer)?
P.S.: Könnt ihr einen guten WLAN-Router mit VLAN Unterstützung für die SSIDs empfehlen?
Gruss
ef8619
Ja, diese Segmentierung ist sehr sinnvoll und du bist da absolut auf dem richtigen Weg !
Alle besseren WLAN Router (Cisco, Lancom, Bintec/Funkwerk usw.) supporten deine Anforderungen zum VLAN Routing und dem Multi SSID Support im WLAN problemlos.
Das zitierte VLAN Routing Tutorial von oben bietet einen groben Überblik über diese HW.
Alle besseren WLAN Router (Cisco, Lancom, Bintec/Funkwerk usw.) supporten deine Anforderungen zum VLAN Routing und dem Multi SSID Support im WLAN problemlos.
Das zitierte VLAN Routing Tutorial von oben bietet einen groben Überblik über diese HW.
