Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gastnetz über VLAN mit DLink DES-1250G

Frage Netzwerke

Mitglied: GordonShumway

GordonShumway (Level 1) - Jetzt verbinden

21.01.2009, aktualisiert 16:23 Uhr, 8072 Aufrufe, 5 Kommentare

Hallo Forum,

Die Idee: Ein Gast-VLAN einrichten und den Zugriff switchübergreifend auf bestimmte ports einschränken. Für einen Versuchsaufbau habe ich 2 Switche von D-LINK DES1250G benutzt, die ich über jeweils port 1 verbunden habe. Gast hängt an Switch A Port 2.

VID 10: firma
VID 20: Gastnetz

Switch A:
VID1 (default): alle untagged
VID10: port 1 tagged, Rest untagged
VID20: port 1 & 2 tagged, Rest "Not Member"

Switch B:
VID1 (default): alle untagged
VID10: port 1,2 & 3 tagged, Rest "Not Member"
VID20: port 1 & 2 tagged, Rest untagged

So, ich dachte jetzt, der Gast (Switch A Port 2) kann auf Switch B nur Port 2, aber nicht Port 3 erreichen (pingen), weil der Gast nur mit VID 20 und der Port 3 auf Switch B eben nicht mit VID 20 getagged ist. Dem ist aber nicht so. Er kann in der Tat beide pingen. Offensichtlich hab ich das Thema nicht kapiert.
Was bedeutet eigentlich "Not Member"? Das Handbuch schweigt sich dazu aus. Wie muss ich das richtig konfigurieren?

Danke.
Mitglied: aqui
21.01.2009 um 18:44 Uhr
Scheinbar sind deine Kenntnisse von VLANs nicht besonders, denn das ist völlig wirr was du da eingestellt hast.

Hier vorab erstmal etwas Lektüre damit du verstehst was du da machst !!!
http://www.heise.de/netze/VLAN-Virtuelles-LAN--/artikel/77832
und
http://de.wikipedia.org/wiki/VLAN
http://de.wikipedia.org/wiki/IEEE_802.1Q

Tagged bedeutet das der VLAN Switch auf diesem Link mit den Paketen auch die VLAN ID überträgt, damit ein empfangender Switch weiss in welches VLAN diese Paket muss...so einfach ist das.

Folglich ist also der Verbindungslink zwischen 2 Switches immer tagged in BEIDEN VLANs damit beide Switches die Pakete wieder den VLANs zuordnen können.

Die Endgeräteports weisst du dann immer untagged zu für die Endgeräte pro VLAN pro Switch.

Schematisch sähe dein sauber konfiguriertes VLAN Szenario dann so aus:

7faa561a9fb93d25d2146cebd07a2225-vlan7 - Klicke auf das Bild, um es zu vergrößern

...und so funktioniert es auch !!!


Wenn du jetzt z.B. an Switch 1 und 2 den TAGGED Verbungslink an Port 1 legst und die Switches dann verbindest.
Darauf z.B. auf beiden Switches die Port 2 bis 10 dem Firmen VLAN 10 untagged zuordnest und 10 bis 15 dem Gast VLAN 20 ++untagged** zuordnest.

Nun können sich alle Geräte die im Gast VLAN (Ports 10 bis 15) sind, egal an welchem Switch anpingen und analog alle Geräte die im Firmen VLAN (Ports 2 bis 10) sind.
Nicht funktioniert ein Ping z.B. zwischen einem gerät an Port 2 und Port 12, da diese ja in unterschiedlichen VLANs sind und die getrennt sind !
Also genau das was du willst.

Wie man die beiden VLANs dann wieder gesichert ins Internet oder ggf. teilweise ins Firmennetz bringt kannst du hier nachlesen:

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...
Bitte warten ..
Mitglied: GordonShumway
22.01.2009 um 09:48 Uhr
Vielen Dank für die Belehrung.
Du hast Dir ja wirklich viel Mühe mit der ausführlichen Beschreibung gegeben. Echt super!
Obige Links hab ich übrigens vorher gelesen, wenn auch nicht wirklich verstanden. Ich hab jetzt mal versucht, das so umzusetzen, krieg das aber nicht gebacken. Hab jetzt der Einfachheit halber mal den 2. Switch weggelassen. Port 2-10 VLAN 10 untagged, VLAN 20 tagged, und Port 11-15 VLAN 20 untagged und VLAN 10 tagged.
PC an Port 2 kann aber weiterhin PC an Port 12 anpingen.

Danke.
Bitte warten ..
Mitglied: aqui
22.01.2009 um 11:47 Uhr
Was hast du denn nicht verstanden ???

OK, du solltest erstmal einen Switch nehmen und das Szenario zum laufen bringen...richtige Vorgehensweise !

Handbuch:
ftp://ftp.dlink.de/des/des-1250g/documentation/DES-1250G_man_revALL_10 ...

Seite 19 aufschlagen und ggf. Switch resetten auf Werkseinstellung !!!

So, erstmal richtest du 2 VIDs ein also 2 VLANs !
Einmal VLAN 10 das nennst du Firma und VLAN 20 was du dann Gast nennst.

Nächster Schritt: Den Ports die VLANs zuweisen !

Seite 19 Figure 19 zeigt das !
Hier weist du jetzt z.B. den Ports 1 bis 10 das VLAN 10 zu und das untagged !!!

Dann den Port 11 bis 20 das VLAN 20 ebenfalls untagged !!

So mit dieser Minimalkonfig kannst du schon mal testen....

2 PCs irgendwo in Port 1 bis 10
... und 2 PCs irgendwo in Port 11 bis 20

Jetzt müssen sich die beiden PCs im Portbereich 1 bis 10 untereinander pingen lassen und auch die beiden PCs im Portbereich 11-20 untereinander pingen lassen !
Klar, denn sie sind ja immer im gleichen VLAN !

Ein Ping zwischen einem PC im Portbereich 1-10 mit einem im Portbereich 11-20 darf aber NICHT funktionieren wenn du alles richtig gemacht hast.
Auch klar, denn sie sind in unterschiedlichen VLANs die ja getrennt sind auf dem Switch !

So, wenn das alles sauber funktioniert machst du GENAU die gleiche Konfig auf Switch 2 und testest die Funktion wie oben an Switch 1 !!
Klappt alles konfigurierst du ZUSÄTZLICH auf BEIDEN Switches einen Verbindungslink z.B. den Port 48

Achtung dieser Port 48 MUSS ja nun die VLAN Information mit übertragen, damit die Switches die Pakete mit der VLAN Nummer (Tag) wieder richtig zuordnen können !!!
Folglich MUSS dieser Port auf beiden Switches tagged in beiden VLAN 10 und 20 liegen.
Port 48 hat allso einen TAGGED Eintrag in beiden VLANs !!!

Damit sollte es dann sauber funktionieren !!!
Bitte warten ..
Mitglied: GordonShumway
22.01.2009 um 12:38 Uhr
Ok, Knoten geplatzt!

Ich hab bisher Port VID-Setting komplett ignoriert, weil ich dachte, das bezieht sich lediglich auf portbasiertes VLAN (also ohne tagging). Es war also kein Port den VLANs 10 oder 20 zugewiesen.
Mein Gedankengang war, ich könnte einen Port (z.B. den Drucker) für beide VLANs zugänglich machen (taggen..) und mir so den Router sparen. Jetzt ist mir klar, dass das so nicht klappen kann.

Danke für die Aufklärung.
Bitte warten ..
Mitglied: aqui
22.01.2009 um 12:47 Uhr
Nein, das kann nicht klappen, weil Endgeräte KEINE getaggten Pakete lesen können !! Oder nur mit bestimmten Treibern.

Um Zugriff auf beide VLANs zu bekommen musst du einen Layer 3 (Routing) Switch nehmen, der kann dann routen zwischen den VLANs !
Oder....

Du machst das über einen externen PC oder Server !

Wie das genau geht sagt dir dieses Tutorial:

http://www.administrator.de/VLAN_Routing_%C3%BCber_802.1q_Trunk_auf_MS_ ...

In deinem Falle mit dem Gastzugang kannst du das sogar mit einer kleinen kostenlosen Firewall machen, der M0n0wall...
Die supportet ebenfalls getaggte VLAN Interfaces....
http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...

(siehe Screenshot des Terminal Outputs !)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Vlan Routing Pfsense APU2 vs L3 (4)

Frage von TimMayer zum Thema Netzwerkgrundlagen ...

LAN, WAN, Wireless
Frage zum Erzeugen eines portbasiertem VLAN (7)

Frage von presto-18 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (9)

Frage von stpb10 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (4)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...