Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundlagen VLAN - Switch mit Router

Frage Netzwerke

Mitglied: diehappy

diehappy (Level 1) - Jetzt verbinden

06.09.2008, aktualisiert 08.09.2008, 21737 Aufrufe, 9 Kommentare

Hallo Zusammen,

ich brauche mal Eure Hilfe um ein VLAN zu konfigurieren und einen dazupassenden Router zu finden.

Ich mochte gerne 4 von einander getrennte Bereiche erstellen:

1. Privat = 192.168.0.1
2. Büro = 192.168.100.1
3. Gast = 192.168.200.1
4. Testumgebung = 192.168.250.1

So in der Art.

VLAN Switch ist der LINKSYS SRW2224G4.

Ich hab jetzt die Ports aufgeteilt:

1 = default=untagged
2-10 = VID Privat = tagged
11-20 = VID Buero = Tagged
21-22 = VID Gast = Tagged
23-24 = VID Test = Tagged

Also die PC's kommunizieren innerhalb ihres Bereiches, so wie es sein soll.

Und jetzt kommt die Frage:

Ich hab derzeit nur einen einfachen Netgearrouter, wenn ich den in einem Bereich mit einfüge funktioniert das Internet in diesem Bereich. Aber micht mehr in den anderen.

Ich denke das ich einen anderen Router brauche, was für Leistungsmerkmale braucht der und wie wird der angeschlossen?

z.B. Reicht ein Router mit VLAN-unterstützung und wird dann von den 4 Portswitch des Routers jeweils ein Kabel in jeden Bereich des VLAN Switches gesteckt?

Vielen Dank und viele Grüße

Olaf
Mitglied: spacyfreak
06.09.2008 um 12:24 Uhr
Prinzipell muss der Router 802.1Q unterstützen.

In aller Regel wird die Sache so konfigueriert, dass zwischen Router und Switch ein 802.1Q Trunklink eingerichtet wird.
Bei Cisco Routern konfiguriert man auf dem Routerport der zum Switch führt mit Subinterfaces gearbeitet wird, z. B.

Router(config)#interface FastEthernet1.100
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#encapsulation dot1q 100


Router(config)#interface FastEthernet1.200
Router(config-if)#ip address 192.168.200.1 255.255.255.0
Router(config-if)#encapsulation dot1q 200

Damit wird also EIN physikalischer Routerport so konfiguriert, dass er ueber die Subinterfaces das Default Gateways für verschiedene Subnetze (bzw. VLANs) spielen kann.
Über den Trunklink wandern dann die getaggten Pakete und "finden" anhand der VLAN-Zuordnung ihr richtiges Subinterface und damit Default Gateway.

Die Switchports müssen in das entsprechende VLAN gesteckt werden - jedoch untagged, da angeschlossene pCs mit getaggten Paketen nichts anfangen können.
Das tagged oder untagged attribut sagt ja nur aus, ob an diesem switchport Ethernetframes MIT oder OHNE VLAN Tag erwartet werden. Da der PC jedoch aufgrund der Unfähigkeit der Netzwerkkarte keine VLAN-Tags verarbeiten kann muss der Switchport zwar in das "gewünschte" VLAN gesteckt werden, jedoch müssen die Frames untagged aus dem Port flattern und in den Port flattern dürfen, an dem ein "normaler" PC dranhängt.

switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 100


Der Uplinkport des Switches, der zum Router führt, muss jedoch als Trunkport konfiguriert sein damit er Pakete mit verschiedenen VLAN-IDs transportieren kann.

switch(config-if)#switchport mode trunk
switch(config-if)#switchport trunk encapsulation dot1q
Bitte warten ..
Mitglied: aqui
06.09.2008 um 14:22 Uhr
Wie man das relativ preiswert ohne teuren Cisco mit einer einfachen VLAN (.1q) faehigen PC Karte (Intel) in einem PC loesen kann kannst du hier genau nachlesen:

http://www.administrator.de/VLAN_Routing_über_802.1q_Trunk_auf_MS_ ...

Damit sollte dann das Routing in deinen VLANs problemlos funktionieren !
Direkt kann das nicht funktionieren, da dein Linksys kein Layer 3 (Routing) faehiger VLAN Switch ist !
Es ist also immer ein externer Router erforderlich !
Dein NetGear und andere Consumer Router mit integriertem 4 Port Switch koennen das nicht da deren 4 Port Switch weder VLAN faehig ist, noch der Router zwischen den 4 Ports routen kann !!

Mit der PC Kartenloesung von oben ist das aber schnell und problemlos loesbar !

Wenn du alles richtig nach dem o.a. Tutorial aufbaust sähe eine Lösung für dein Netzwerk folgendermaßen aus:

a1e1c8a5dba4756bec0846161086f168-vlan6 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: spacyfreak
06.09.2008 um 15:18 Uhr
Yo, aquis idee ist gut und auch sehr schön illustriert - das kapier sogar ich!
Wobei er mit "tagged link" wahrscheinlich einen "trunk link" meint. Aber der transportiert ja tagged frames, also ists auch nicht falsch das so zu schreiben. (ja ich neige manchmal zur klug###ritis..).
Eventuell gibz aber auch für paar euro nen cisco router bei ebay der 802.1Q kann.
Bitte warten ..
Mitglied: aqui
06.09.2008 um 15:41 Uhr
Du hast Recht ! Nur das Wort "Trunk" wird von vielen Herstellern auch oftmals für einen aggregated Link nach 802.3ad benutzt, deshalb vermeide ich den Begriff "Trunk" meistens, da er oft Verwirrung stiftet und technisch natürlich was vollkommen anderes ist in Zusammenhang mit Link Aggregation.

Du hast aber absolut Recht: Es ist im obigen Beispiel ein Link vom verwendeten Linksys Switch auf dem alle VLANs mit einem "Tag" übertragen werden, damit der PC zwischen den VLANs problemlos routen kann
Bitte warten ..
Mitglied: spacyfreak
06.09.2008 um 16:07 Uhr
...yo aus dem grund schreib ich meist 802.1Q dazu, dann weiss jeder der weiss was das sein könnte was es ist.
Der andere "trunk" wäre eine Art "EtherChannel" wo mehrere physikalische Interfaces zu einem "virtuellen" gebündelt werden was die Bandbreite erhöht u. füer Redundanz sorgt.
Ich hoffe wir haben Dr. Olaf jetzt nicht allzusehr verwirrt dass er resigniert das Handtuch wirft und glücklich stibt (diehappy..). Oh ich hab heut morgen nen Clown gefrühstückt.
Bitte warten ..
Mitglied: 51705
07.09.2008 um 01:15 Uhr
Mich wundert ein wenig, daß die Ports für die Clients 'Tagged' sind, kann da noch jemand was schlaues zu sagen?

Grüße, Steffen
Bitte warten ..
Mitglied: aqui
08.09.2008 um 11:43 Uhr
Ja, da hast du sehr recht ! Das ist auffällig und kann so in der Beschreibung von diehappy niemals richtig sein, denn dann könnten die Endgeräte wie PCs etc. an solchen Ports nicht mehr kommunizieren, da sie den VLAN Tag als korruptes Paket interpretieren !
Nur der Port der zum routenden PC führt wie oben beschrieben muss zwangsweise tagged sein, damit er die VLAN Information zu den Paketen lesen kann um zwischen ihnen routen zu können.
Endgeräte liegen IMMER in port basierenden VLANs und dort sind die Ports immer untagged.
Bitte warten ..
Mitglied: diehappy
08.09.2008 um 14:17 Uhr
Hi alle Zusammen,

vielen Dank für alles Anregungen und Lösungsvorschläge, ich hab aber noch was spannendes gefunden, das eigentlich genau auf meine Bedürfnisse zugeschnitten ist:

GuestGate von Intellinet.

Auszug:
A: This is the Layer 3 Client Isolation Function of GuestGate. If this option is activated GuestGate will prevent the connected Guest Computers from accessing each other by assigning random TCP/IP Network Settings to the guest computers. This way each Guest operates in its own “Virtual LAN”. The two examples below illustrate how it works :

1. Guest Configuration set to “automatically select network” (no Virtual VLAN)
Guest Computer 1 receives IP Address 172.16.254.253.
Guest Computer 2 receives IP Address 172.16.254.252.
Guest Computer 3 receives IP Address 172.16.254.251.
[…]
In this mode all Guest Computers operate in one network and are therefore able to access each other.

2. Guest Configuration set to “use separate random network for each client” (Virtual VLAN enabled)
Guest Computer 1 receives IP Address 192.168.17.42.
Guest Computer 2 receives IP Address 172.16.25.12.
Guest Computer 3 receives IP Address 10.10.8.178.
[…]
In this mode each Guest Computer operates in its own network and therefore can not access any other device except for the Internet. Since this function is random it is next to impossible for an attacker to know or guess which IP Addresses the other guests have been assigned, making a hacking attempt virtually impossible.

If you are concerned with the security of your guests or are worried about potential liability issues you should activate this option (it is activated by default).

Ist ein Gateway mit Layer3 und VLAN mit 4 Ports für rund 200,00 € + 1 für das interne Netzwerk.

Hab mir schonmal einen testweise bestellt, teile Euch mit ob das Funktioniert.

Viele Grüße Olaf
Bitte warten ..
Mitglied: aqui
08.09.2008 um 15:11 Uhr
Wenn es dir nur um einen Gastzugang geht, das bekommst du mit einem einfachen VLAN Switch und:

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...

viel besser hin und vor allen Dingen unabhängig von einem proprietären Anbieter hin.

Natürlich ist die M0nowall auch VLAN fähig, kann also zwischen VLANs mit einem tagged Interface arbeiten !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Router Switch zwei APs Verbindung klappt nicht (16)

Frage von c3t1n57 zum Thema LAN, WAN, Wireless ...

Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...