Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gastnetz über VLAN mit DLink DES-1250G

Frage Netzwerke

Mitglied: GordonShumway

GordonShumway (Level 1) - Jetzt verbinden

21.01.2009, aktualisiert 16:23 Uhr, 8228 Aufrufe, 5 Kommentare

Hallo Forum,

Die Idee: Ein Gast-VLAN einrichten und den Zugriff switchübergreifend auf bestimmte ports einschränken. Für einen Versuchsaufbau habe ich 2 Switche von D-LINK DES1250G benutzt, die ich über jeweils port 1 verbunden habe. Gast hängt an Switch A Port 2.

VID 10: firma
VID 20: Gastnetz

Switch A:
VID1 (default): alle untagged
VID10: port 1 tagged, Rest untagged
VID20: port 1 & 2 tagged, Rest "Not Member"

Switch B:
VID1 (default): alle untagged
VID10: port 1,2 & 3 tagged, Rest "Not Member"
VID20: port 1 & 2 tagged, Rest untagged

So, ich dachte jetzt, der Gast (Switch A Port 2) kann auf Switch B nur Port 2, aber nicht Port 3 erreichen (pingen), weil der Gast nur mit VID 20 und der Port 3 auf Switch B eben nicht mit VID 20 getagged ist. Dem ist aber nicht so. Er kann in der Tat beide pingen. Offensichtlich hab ich das Thema nicht kapiert.
Was bedeutet eigentlich "Not Member"? Das Handbuch schweigt sich dazu aus. Wie muss ich das richtig konfigurieren?

Danke.
Mitglied: aqui
21.01.2009 um 18:44 Uhr
Scheinbar sind deine Kenntnisse von VLANs nicht besonders, denn das ist völlig wirr was du da eingestellt hast.

Hier vorab erstmal etwas Lektüre damit du verstehst was du da machst !!!
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
und
http://de.wikipedia.org/wiki/VLAN
http://de.wikipedia.org/wiki/IEEE_802.1Q

Tagged bedeutet das der VLAN Switch auf diesem Link mit den Paketen auch die VLAN ID überträgt, damit ein empfangender Switch weiss in welches VLAN diese Paket muss...so einfach ist das.

Folglich ist also der Verbindungslink zwischen 2 Switches immer tagged in BEIDEN VLANs damit beide Switches die Pakete wieder den VLANs zuordnen können.

Die Endgeräteports weisst du dann immer untagged zu für die Endgeräte pro VLAN pro Switch.

Schematisch sähe dein sauber konfiguriertes VLAN Szenario dann so aus:

7faa561a9fb93d25d2146cebd07a2225-vlan7 - Klicke auf das Bild, um es zu vergrößern

...und so funktioniert es auch !!!


Wenn du jetzt z.B. an Switch 1 und 2 den TAGGED Verbungslink an Port 1 legst und die Switches dann verbindest.
Darauf z.B. auf beiden Switches die Port 2 bis 10 dem Firmen VLAN 10 untagged zuordnest und 10 bis 15 dem Gast VLAN 20 ++untagged** zuordnest.

Nun können sich alle Geräte die im Gast VLAN (Ports 10 bis 15) sind, egal an welchem Switch anpingen und analog alle Geräte die im Firmen VLAN (Ports 2 bis 10) sind.
Nicht funktioniert ein Ping z.B. zwischen einem gerät an Port 2 und Port 12, da diese ja in unterschiedlichen VLANs sind und die getrennt sind !
Also genau das was du willst.

Wie man die beiden VLANs dann wieder gesichert ins Internet oder ggf. teilweise ins Firmennetz bringt kannst du hier nachlesen:

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...
Bitte warten ..
Mitglied: GordonShumway
22.01.2009 um 09:48 Uhr
Vielen Dank für die Belehrung.
Du hast Dir ja wirklich viel Mühe mit der ausführlichen Beschreibung gegeben. Echt super!
Obige Links hab ich übrigens vorher gelesen, wenn auch nicht wirklich verstanden. Ich hab jetzt mal versucht, das so umzusetzen, krieg das aber nicht gebacken. Hab jetzt der Einfachheit halber mal den 2. Switch weggelassen. Port 2-10 VLAN 10 untagged, VLAN 20 tagged, und Port 11-15 VLAN 20 untagged und VLAN 10 tagged.
PC an Port 2 kann aber weiterhin PC an Port 12 anpingen.

Danke.
Bitte warten ..
Mitglied: aqui
22.01.2009 um 11:47 Uhr
Was hast du denn nicht verstanden ???

OK, du solltest erstmal einen Switch nehmen und das Szenario zum laufen bringen...richtige Vorgehensweise !

Handbuch:
ftp://ftp.dlink.de/des/des-1250g/documentation/DES-1250G_man_revALL_10 ...

Seite 19 aufschlagen und ggf. Switch resetten auf Werkseinstellung !!!

So, erstmal richtest du 2 VIDs ein also 2 VLANs !
Einmal VLAN 10 das nennst du Firma und VLAN 20 was du dann Gast nennst.

Nächster Schritt: Den Ports die VLANs zuweisen !

Seite 19 Figure 19 zeigt das !
Hier weist du jetzt z.B. den Ports 1 bis 10 das VLAN 10 zu und das untagged !!!

Dann den Port 11 bis 20 das VLAN 20 ebenfalls untagged !!

So mit dieser Minimalkonfig kannst du schon mal testen....

2 PCs irgendwo in Port 1 bis 10
... und 2 PCs irgendwo in Port 11 bis 20

Jetzt müssen sich die beiden PCs im Portbereich 1 bis 10 untereinander pingen lassen und auch die beiden PCs im Portbereich 11-20 untereinander pingen lassen !
Klar, denn sie sind ja immer im gleichen VLAN !

Ein Ping zwischen einem PC im Portbereich 1-10 mit einem im Portbereich 11-20 darf aber NICHT funktionieren wenn du alles richtig gemacht hast.
Auch klar, denn sie sind in unterschiedlichen VLANs die ja getrennt sind auf dem Switch !

So, wenn das alles sauber funktioniert machst du GENAU die gleiche Konfig auf Switch 2 und testest die Funktion wie oben an Switch 1 !!
Klappt alles konfigurierst du ZUSÄTZLICH auf BEIDEN Switches einen Verbindungslink z.B. den Port 48

Achtung dieser Port 48 MUSS ja nun die VLAN Information mit übertragen, damit die Switches die Pakete mit der VLAN Nummer (Tag) wieder richtig zuordnen können !!!
Folglich MUSS dieser Port auf beiden Switches tagged in beiden VLAN 10 und 20 liegen.
Port 48 hat allso einen TAGGED Eintrag in beiden VLANs !!!

Damit sollte es dann sauber funktionieren !!!
Bitte warten ..
Mitglied: GordonShumway
22.01.2009 um 12:38 Uhr
Ok, Knoten geplatzt!

Ich hab bisher Port VID-Setting komplett ignoriert, weil ich dachte, das bezieht sich lediglich auf portbasiertes VLAN (also ohne tagging). Es war also kein Port den VLANs 10 oder 20 zugewiesen.
Mein Gedankengang war, ich könnte einen Port (z.B. den Drucker) für beide VLANs zugänglich machen (taggen..) und mir so den Router sparen. Jetzt ist mir klar, dass das so nicht klappen kann.

Danke für die Aufklärung.
Bitte warten ..
Mitglied: aqui
22.01.2009 um 12:47 Uhr
Nein, das kann nicht klappen, weil Endgeräte KEINE getaggten Pakete lesen können !! Oder nur mit bestimmten Treibern.

Um Zugriff auf beide VLANs zu bekommen musst du einen Layer 3 (Routing) Switch nehmen, der kann dann routen zwischen den VLANs !
Oder....

Du machst das über einen externen PC oder Server !

Wie das genau geht sagt dir dieses Tutorial:

http://www.administrator.de/VLAN_Routing_%C3%BCber_802.1q_Trunk_auf_MS_ ...

In deinem Falle mit dem Gastzugang kannst du das sogar mit einer kleinen kostenlosen Firewall machen, der M0n0wall...
Die supportet ebenfalls getaggte VLAN Interfaces....
http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...

(siehe Screenshot des Terminal Outputs !)
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN-Gastnetz
gelöst Frage von HoffstaedterLAN, WAN, Wireless10 Kommentare

Hallo, ich hoffe auf eine Lösung für den Knoten, den ich grade im Kopf habe Ich habe hier ein ...

Router & Routing
Neue APs anschaffen, Gastnetz über Vlan etc. Fragen dazu
gelöst Frage von fnbaluRouter & Routing62 Kommentare

Hallo zusammen, bei uns im Netzwerk sollen mehrere APs zusätzlich installiert werden, da bisher lediglich eine DD-WRT WDS Richtfunkstrecke ...

Router & Routing
Cisco C892 Gastnetz Vlan keine Verbindung ins Internet
gelöst Frage von ozerRouter & Routing3 Kommentare

Hallo Community, ich habe hier ein Cisco C892 mit aktuellen IOS. Gäste buchen sich über WLAN ins vlan200 ein. ...

Router & Routing
Mikrotik hinter Fritzbox Gastnetz
gelöst Frage von BoardyRouter & Routing8 Kommentare

Hallo, ich habe ein RB3011 hinter eine Fritzbox 7490 bisher im normalen Lan der FB. Mein Netz habe ich ...

Neue Wissensbeiträge
Windows 10

Windows 10 Hello-Anmeldung per Foto ausgehebelt

Tipp von kgborn vor 3 StundenWindows 10

Windows Hello ist eine Funktion, um sich per Fingerabdruck-, Gesichts- oder Iriserkennung bei Windows 10-Geräten anzumelden (siehe), setzt aber ...

Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 10 StundenPerl2 Kommentare

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 11 StundenSicherheit1 Kommentar

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 1012 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Heiß diskutierte Inhalte
Windows Server
SCCM 2016: PXE Boot des Clients schlägt fehl
Frage von gabeBUWindows Server23 Kommentare

Hallo Zusammen Ich habe eine Testumgebung erstellt um über SCCM 2016 einen virtuellen Client aufzusetzen. Folgende Maschinen habe ich ...

Netzwerkgrundlagen
Belibiges Teilnetz einer Subnetzmaske rausfinden?
gelöst Frage von CenuzeNetzwerkgrundlagen19 Kommentare

Wundervollen Gutentag, mittlerweile kann ich Subnetting so einigermaßen, aber ein Problem habe ich noch. Netzwerkadresse und Boradcast errechnen ist ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless12 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Exchange Server
Exchange empfängt Emails - Kann aber keine Senden
gelöst Frage von niklasschaeferExchange Server11 Kommentare

Hallo, ich stehe gerade bei mir zuhause vor folgender Problemstellung. Gegeben sind 2x Hyper-V Host mit Windows Server 2016 ...