Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Frage zu Einrichtung VLAN

Frage Netzwerke Netzwerkmanagement

Mitglied: olly

olly (Level 1) - Jetzt verbinden

02.07.2013, aktualisiert 11:00 Uhr, 1280 Aufrufe, 6 Kommentare, 2 Danke

Hallo,
ich habe ein Problem, das ich noch nicht so wirklich greifen kann, weil ich mir das Thema VLAN’s noch nicht wirklich sicher bin.
Folgende Konstellation:

Internes Netzwerk: 172.16.0.0 Netzmaske 255.255.0.0 Gateway(Firewall Juniper SSG140) 172.16.1.250 = VLAN-1 (Standard)
So.
Nun haben wir ein VLAN20 auf den entsprechenden Switchen (HP-2910) angelegt.
Das VLAN funktioniert, wie es soll. Und zwar:

IP-Adressen von 172.16.21.1 – 172.16.21.255 (Netzmaske 255.255.0.0) dürfen nur untereinander kommunizieren (VLAN20) auf den HP-Switches. D.h. die einzelnen Ports (an denen ein PC hängt) kommen bloß ins VLAN20. Das restliche Netz kommt auch nicht per Ping oder ähnliches auf IP’s von 172.16.21.1 – 172.16.21.255.

Nun haben wir den Fall, dass die IP’s aus VLAN20 plötzlich unser Gateway(Firewall 172.16.1.250) benötigen (Zugriff aufs Internet).
Was muss ich wo konfigurieren, damit IP’s aus VLAN20 zur Firewall kommen, aber nicht in den restlichen Netzwerkbereich/VLAN1(Standard) 172.16.0.x – 172.16.100.x ?

Muss man hier was an der Firewall einstellen (hier sind keine VLANs definiert)?
Muss ich am Switch-Port (HP-2910) wo die Firewall drauf hängt was machen? Hängt nämlich nur in VLAN1(Standard).
Ist es überhaupt möglich diese Einschränkungen zu machen bei einem B-Class-Netz?

Viele Grüße

olly

Im Prinzip: Wie mache das Gateway / die Firewall in VLAN20 verfügbar ? Außerdem muss gewährleistet sein, dass kein Traffic von VLAN1 ins VLAN20 kommt über das Gateway sprich über die Firewall, die keine VLAN's kennt und auf dem Switch in VLAN1(Standard) hängt ?
Mitglied: aqui
02.07.2013, aktualisiert um 11:06 Uhr
Dieses Tutorial sollte alle deine Fragen beantworten:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
denn es behandelt exakt genau deine Anforderung !

Eine gute, praxisorientierte Einführung in VLANs findest du hier:
http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ...

Mit dem Rüstzeug solltest du dann den Durchblick behalten bei VLANs....
Bitte warten ..
Mitglied: sk
02.07.2013 um 12:36 Uhr
Der erste Schritt wäre, sich ein sinnvolles Adressierungskonzept auf Layer 3 zu überlegen. Momentan wird in beiden VLANs das Netz 172.16.0.0/16 verwendet. Da Du offenkundig bereits im 3. Oktett die Netze unterscheidest, wäre es das einfachste, auf eine längere Subnetzmaske zu wechseln. Ob das aber in Deiner Umgebung möglich ist (Anzahl der Hosts je Subnetz), weisst nur Du allein...

Gruß
sk
Bitte warten ..
Mitglied: SlainteMhath
02.07.2013 um 12:40 Uhr
Moin,

zusätzlich zu den links von Aqui kann ich dir schonmal vorab sagen, das du einen Denk/Designfehler in deinem VLANs hast.

VLAN 1 = : 172.16.0.0 / 255.255.0.0
VLAN 20 = 172.16.21.1 – 172.16.21.255 / 255.255.0.0

Das ist das gleich Subnetz - 172.16.0.0 / 255.255.0.0 geht von 172.16.0.1 bis 172.16.254.254 - VLANs braucht aber, sofern du zwischen ihnen routen möchtest separate Subnetze.

lg,
Slainte
Bitte warten ..
Mitglied: olly
02.07.2013 um 13:46 Uhr
OK,
soweit war ich auch schon. Wir haben ein B-Class-Netz, das mittels VLAN's in kleinere Netze geteilt werden soll. Genau deswegen habe ich das Problem die Firewall / das Gateway mit IP 172.16.1.250 im VLAN20 verfügbar zu machen, damit auch alles soweit passt.

Meine Überlegung (wenn möglich): Auf der Firewall das VLAN20 anzulegen und beim Switch-Port der Firewall das VLAN20 mit dazu zunehmen. Irgendwie muss ich dann halt noch der Firewall sagen, dass niemand auf IP-Adressen 172.16.21.x zugreifen darf außer eine andere IP-Adresse 172.16.21.x.

Wäre dies möglich?
Bitte warten ..
Mitglied: SlainteMhath
02.07.2013 um 14:06 Uhr
Alle VLANs als Trunk an die Firewall ist schonmal der richtige Ansatz.Oder eben ein phys. Interface der Firewall pro VLAN.

Aber: Du musst Deine Netzmaske anpassen! Eine /16er Maske nützt dir nichts.
Entweder du nimmst eine /24er Maske, dann sind die ist jede Zahl im 3ten Oktet ein separates Netz, oder du nimmst z.b. eine /20er Maske, dann gehen die Netze z.b. von 172.16.0.0-172.16.15.255 / 172.16.16.0-172.16.31.255 usw.

Die FW brauchst aber in jedem Fall in jedem Netz eine IP Adresse die jeweils als Gateway fungiert.

Ob und Wie das mit Deiner FW geht kannst du sicher dem Handbuch entnehmen.
Bitte warten ..
Mitglied: MrNetman
02.07.2013 um 14:17 Uhr
Wie @SlainteMhath schon sagte:

Erst die Adressierung bereinigen.
Dann die beiden VLANs getrennt zur Firewall bringen.
Ein Routing auf der Firewall einrichten.
Zugriffsregeln (ACL) benutzen umd die Nutzer von VLAN1 zu hindern ins VLAN20 zu kommen und umgekehrt.

Gruß
Netman
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Voice over IP
(Frage) Einrichtung Asterisk und LDAP (Windows Server) (3)

Frage von jeschero zum Thema Voice over IP ...

Switche und Hubs
gelöst Frage zu VLAN mit Zugriffen? (2)

Frage von babylon05 zum Thema Switche und Hubs ...

LAN, WAN, Wireless
gelöst HP Switches - Frage zu Spanning Tree bzw. Loop Back Protection (12)

Frage von chfran zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...