Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration eines VLANs

Frage Netzwerke

Mitglied: Spider00de

Spider00de (Level 1) - Jetzt verbinden

05.03.2007, aktualisiert 07.03.2007, 4798 Aufrufe, 9 Kommentare

Hi, ich bin neu hier und hab vom Thema VLAN noch nicht sehr viel Ahnung.

Also mein Problem:

Ich habe ein Netzwerk, welches in VLAN1 und VLAN2 aufgeteilt ist. Beide VLANs hängen an einem Switch und dieser an einem Router mit integriertem DSL Modem. VLAN1 und VLAN2 dürfen unternander keinen Kontakt haben.

VLAN1 = Gästenotebooks
VLAN2 = Firmen PC

Ich möchte ich das beide VLANs ins Internet können. Die Zuweisung der IP-Adressen soll per DHCP vorgenommen werde.

Nun meine Frage, ist das möglich und wenn ja, wie wird dann die Zuweisung der IP Adressen vorgenommen?
Bekommen alle IP-Adressen aus dem gleichen Bereich? Der Router hat die IP: 192.168.1.1.

Router und Switch unterstützen VLAN.

Hoffe ich habe es verständlich formoliert. Wäre über jede unterstützung sehr dankbar...
Mitglied: aqui
05.03.2007 um 12:57 Uhr
Generell sind auf einem Layer 2 VLAN Switch VLANs komplett getrennt und eine Kommunikation auf der MAC Adress Basis nicht möglich....was ja auch der tiefere Sinn von VLANs sind:
http://www.heise.de/netze/artikel/77832

Um diese Netze zu koppeln benötigst du im Netz einen Layer 3 fähigen Switch, der wieder zwischen diesen VLANs routen kann oder einen externen Router ! Dieser Router kann entweder ein einzelner Router sein dessen Interface IEEE802.1q fähig ist (kann tagged VLAN Frames dort lesen..) oder dieser externe Router kann z.B. auch ein Server mit 2 Netzwerkkarten sein, wo jeweils ein Bein in VLAN 1 und eins in VLAN 2 hängt. Es gibt auch spezielle Netzwerkkarten die ebenfalls 802.1q tagging auf einem Server supporten.
Generell ist das VLAN Routing über Server abein schlechtes Design und sollte möglichst vermieden werden (Performance).

Normalerweise arbeitet jedes VLAN in einem eigenständigen IP Netzwerk also z.B. VLAN-1 in 172.16.1.0/24 und VLAN-2 in 172.16.2.0/24.
Du schreibst das du einen VLAN (tagging) fähigen Router hast. Dann ist die gemeinsame Internetnutzung kein Problem:

Du definierst ein sog. tagged Trunk Link am Switch auf dem du VLAN1 tagged und auch VLAN2 tagged hängst wie auf einen Uplink. Diesen verbindest du dann mit dem Router.
Hier am Router richtest du dann das Interface entsprechend ein das beide netze supportet werden.
Als Beispiel hier mal für einen kleinen Cisco 1700

interface fastethernet 1.1
encapsulation dot1q 1
ip addr 172.16.1.254 255.255.255.0

interface fastethernet 1.2
encapsulation dot1q 2
ip addr 172.16.2.254 255.255.255.0

Die Konfig ist bei Routern anderer Hersteller ggf. anders. !
Achtung !: Über dieses Interface am Router ist natürlich dann wieder eine Möglichkeit der Layer 3 Verbindung zwischen deinen beiden Netzen möglich was ggf. nicht gewollt ist !
Das kann man aber mit einer Access Liste wirksam unterbinden. Wenn nach dem o.a. Beispiel die Gäste natürlich nicht ins Firmen LAN dürfen verhindert eine Konfig ala:

interface fastethernet 1.1
encapsulation dot1q 1
ip addr 172.16.1.254 255.255.255.0
ip access-group 100 in

interface fastethernet 1.2
encapsulation dot1q 2
ip addr 172.16.2.254 255.255.255.0

access-list 100 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 100 permit 172.16.1.0 0.0.0.255 any

dies sehr wirkungsvoll !
Bitte warten ..
Mitglied: Spider00de
05.03.2007 um 13:38 Uhr
Hi aqui, danke für die schnelle Antwort.

Aber ich hab immer noch Probleme mit der Vergabe der IP-Adressen.
Sie sollen ja per DHCP vergeben werden.

Kann der Router denn für beide VLANs in unterschiedlichen Netzen IPs vergeben?

Wie würde die Vergabe teoretisch aussehen?

IP Adressen der Gästenotebooks Z.B 192.168.1. ?
IP Adressen des FirmenPCs Z.B 192.168.2.?

welche IP hat dann der Router bzw. der Standardgateway?

Hoffe du verstehst was ich meine...
Bitte warten ..
Mitglied: aqui
05.03.2007 um 15:03 Uhr
Das hängt doch von dir ab wie du die Adressen verteilen möchtest. Dafür gibt es keinen automatischen Plan....
Meistens vergibt man den Netzkomponenten die Adressen ganz oben also z.B. ab .250 ,dait benutze da nicht aus vershehen mal die Adresse doppelt belegen oder ganz unten.

Also man könnte dann beispielsweise dem Router die .254 geben für beide Segmente, das würde Sinn machen, da es die letzte Adresse ganz oben ist und das Konfig Beispiel zeigt das ja auch schon.

Die DHCP Serverfrage ist spannend. Meist können die sehr einfachen DHCP Serverfunktionen auf Routern keine Netze aus mehreren Bereichen vergeben. Das ist aber Hersteller abhängig, ich meine aber nicht das das geht das diese integrierten Lösungen immer einfach sind und nicht mit DHCP Servern im LAN vergleichbar sind.
Also müsstes du sowohl in VLAN1 als auch in VLAN2 einen DHCP Server betreiben. Im Firmen LAN ist sowas ja meist in Form eines Servers Windows oder Linux vorhanden, so das man den einzelnen DHCP Server im Router also für das Gäste VLAN nehmen könnte.
Solche Konstellation ist auch denkbar.
Eine andere Möglichkeit ist z.B. einen vorhanden DHCP Server im Firmen LAN für die Gäste mitzunutzen.
Dafür musst du aber 2 Dinge sicherstellen:
1.) Dafür sorgen das Bootp/DHCP Requests an den Server geforwardet werden..
2.) Auf dem DHCP Server ein weiteres IP Netz nämlich das Gästenetz eingetragen ist

Dafür muss man was den Punkt 1 betrifft die ACL etwas öffnen für bootp was aber kein Problem darstellt und eine Helper Adresse konfigurieren, damit der Router UDP Bootp Broadcasts in ein anderes netz sendet was er sonst nicht machen würde.
Die Konfig von oben sähe dann mit deinen Adressen so aus:

interface fastethernet 1.1
encapsulation dot1q 1
ip addr 192.168.1.254 255.255.255.0
ip helper-address 192.168.2.253 (Wenn unter der .2.253 der DHCP Server ist !)
ip access-group 100 in

interface fastethernet 1.2
encapsulation dot1q 2
ip addr 192.168.2.254 255.255.255.0

access-list 100 permit udp any any eq bootp
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit 192.168.1.0 0.0.0.255 any

Hast du keinen solchen DHCP Server und auch keinen Router der 2 Netze per DHCP bedienen kann bleibt dir immer noch eine Spar Lösung wie hier:
http://www.heise.de/netze/artikel/78397
mit 2 Consumer Routern beschrieben ist.

Dein Gäste VLAN-1 wäre das als DMZ VLAN beschriebene mit dem IP Netz 192.168.0.0 (das müsstest du denn bei deine Adressierung auf die 192.168.1.0 ändern !) Also das Bein vom Internet "externer" Router ginge in einen Port dieses VLANs (VLAN-1) und dessen DHCP Server bedient das Gäste VLAN-1 !
Der zweite Router ist mit dem WAN/DSL Port (es muss also ein Router OHNE integriertes DSL Modem sein !!!) in diesem VLAN-1 und dessen LAN Bein ist im VLAN-2 dem Firmen VLAN.
Der DHCP Server hier im Router-2 kann das Firmen VLAN versorgen oder wird abgeschaltet sollte sich schon ein DHCP Server im Firmen VLAN befinden
Die NAT Firewall dieses Routers verhindert außerdem wirksam einen Zugriff der Gäste Laptops/PCs aufs Firmen LAN !!!
Einfache sichere Lösung realisierbar mit deinem virhandene VLAN Switch und für kleines Geld...
Bitte warten ..
Mitglied: Spider00de
05.03.2007 um 18:18 Uhr
mmh, hab noch mal nen bißchen im netz rumgeguckt und da ist mir der Cisco 850 aufgefallen.

http://www.cisco.com/en/US/products/hw/routers/ps380/products_configura ...

So wie es hier beschrieben ist, bekommen dann doch alle PCs aus beiden VLANs eine IP Adresse aus dem selben Adressbereich... oder?
Bitte warten ..
Mitglied: aqui
05.03.2007 um 18:31 Uhr
Der 850er hat 4 Ethernet Schnittstellen, die man dedizierten VLANs zuordnen kann. Das wäre also kein Problem was das Thema VLANs betrifft.
Diese Interfaces müssen dann aber in unterschiedlichen IP Netzen liegen denn 2 mal dasselbe IP Netzwerk auf unterschiedlichen Router Interfaces würde der Cisco mit einer Fehlermeldung quittieren ! (Wie sollte er dann auch noch routen ??)

Der integrierte DHCP Server kann aber keine 2 unterschiedlichen Netze (Scopes) bedienen. Er wird vermutlich nur IP Adressen für das Netzwerk ausgeben für das der DHCP Server konfiguriert ist und auf das Segment an ihm das IP netzseitig dazu passt !!!
Bitte warten ..
Mitglied: Spider00de
05.03.2007 um 18:42 Uhr
wäre es denn möglich für VLAN1 DHCP zu aktivieren und für VLAN2 eine feste IP zu vergeben?

Denn im VLAN2 hängt nur ein PC und im VLAN1 sind halt mehrere, welche auch wechseln.

Oder gibt es vielleicht noch andere Möglichkeiten, welche einfacher sind, um den Firmen PC im LAN vor zugriff der anderen zu schützen?
Bitte warten ..
Mitglied: aqui
06.03.2007 um 00:10 Uhr
Ja natürlich geht das !!! Wenns nur ein PC ist würde ich das auch machen. Wäre ja auch noch überschaubar wenns sogar 10 PCs wären....
Der Weg ist so gangbar. Wenn du allerdings nicht soviel Euronen für einen Cisco ausgeben willst (und dein netz hört sich nicht groß an...) würde ich immer die o.a. von Heise vorgeschlagene Sparkonfig mit 2 Consumer Routern vorziehen !!!
Bitte warten ..
Mitglied: Spider00de
06.03.2007 um 00:31 Uhr
Das ist ja schon mal super...

Wäre es also wie folgt möglich:

Router (Gateway) 192.168.1.1
VLAN1 (der FirmenPC) 192.168.1.2 = ip wird fest vergeben
oder hier nen anderes Netz (192.168.2.2)

VLAN2 (Gästenotebooks) 192.168.1.3-... =ip über dhcp
Bitte warten ..
Mitglied: aqui
07.03.2007 um 01:56 Uhr
Ja, das sollte problemlos klappen !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Konfiguration von VLANs
gelöst Frage von eisenbiegerLAN, WAN, Wireless5 Kommentare

Hallo, ich habe mich gerade erst hier registriert, da ich gerade nicht mehr weiter komme. Bereits früher habe ich ...

LAN, WAN, Wireless
Frage zur VLAN Konfiguration
Frage von HamsertLAN, WAN, Wireless8 Kommentare

Hallo liebe Kollegen, da VLANs für mich (wie für Frau Merkel das Internet ;-)) noch völliges Neuland sind wende ...

Router & Routing
VLAN Konfiguration über Telnet
Frage von d3rChri5Router & Routing1 Kommentar

Hallo liebe Community, ich habe aus Leistungsgründen auf einen Router der Firma Linksys (WRT320N) gewechselt. Die Standard Router Software ...

Router & Routing
Problem mit Cisco VLAN-Konfiguration
gelöst Frage von ef8619Router & Routing4 Kommentare

Hallo liebe Leute, wir haben 2 Cisco SGE2000 und SGE2000P im Stacking Mode laufen, dazu einen Cisco ISR 1921 ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 12 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 15 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 16 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 19 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...