spider00de
Goto Top

Konfiguration eines VLANs

Hi, ich bin neu hier und hab vom Thema VLAN noch nicht sehr viel Ahnung.

Also mein Problem:

Ich habe ein Netzwerk, welches in VLAN1 und VLAN2 aufgeteilt ist. Beide VLANs hängen an einem Switch und dieser an einem Router mit integriertem DSL Modem. VLAN1 und VLAN2 dürfen unternander keinen Kontakt haben.

VLAN1 = Gästenotebooks
VLAN2 = Firmen PC

Ich möchte ich das beide VLANs ins Internet können. Die Zuweisung der IP-Adressen soll per DHCP vorgenommen werde.

Nun meine Frage, ist das möglich und wenn ja, wie wird dann die Zuweisung der IP Adressen vorgenommen?
Bekommen alle IP-Adressen aus dem gleichen Bereich? Der Router hat die IP: 192.168.1.1.

Router und Switch unterstützen VLAN.

Hoffe ich habe es verständlich formoliert. Wäre über jede unterstützung sehr dankbar...

Content-Key: 53196

Url: https://administrator.de/contentid/53196

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: aqui
aqui 05.03.2007 um 12:57:08 Uhr
Goto Top
Generell sind auf einem Layer 2 VLAN Switch VLANs komplett getrennt und eine Kommunikation auf der MAC Adress Basis nicht möglich....was ja auch der tiefere Sinn von VLANs sind:
http://www.heise.de/netze/artikel/77832

Um diese Netze zu koppeln benötigst du im Netz einen Layer 3 fähigen Switch, der wieder zwischen diesen VLANs routen kann oder einen externen Router ! Dieser Router kann entweder ein einzelner Router sein dessen Interface IEEE802.1q fähig ist (kann tagged VLAN Frames dort lesen..) oder dieser externe Router kann z.B. auch ein Server mit 2 Netzwerkkarten sein, wo jeweils ein Bein in VLAN 1 und eins in VLAN 2 hängt. Es gibt auch spezielle Netzwerkkarten die ebenfalls 802.1q tagging auf einem Server supporten.
Generell ist das VLAN Routing über Server abein schlechtes Design und sollte möglichst vermieden werden (Performance).

Normalerweise arbeitet jedes VLAN in einem eigenständigen IP Netzwerk also z.B. VLAN-1 in 172.16.1.0/24 und VLAN-2 in 172.16.2.0/24.
Du schreibst das du einen VLAN (tagging) fähigen Router hast. Dann ist die gemeinsame Internetnutzung kein Problem:

Du definierst ein sog. tagged Trunk Link am Switch auf dem du VLAN1 tagged und auch VLAN2 tagged hängst wie auf einen Uplink. Diesen verbindest du dann mit dem Router.
Hier am Router richtest du dann das Interface entsprechend ein das beide netze supportet werden.
Als Beispiel hier mal für einen kleinen Cisco 1700

interface fastethernet 1.1
encapsulation dot1q 1
ip addr 172.16.1.254 255.255.255.0

interface fastethernet 1.2
encapsulation dot1q 2
ip addr 172.16.2.254 255.255.255.0

Die Konfig ist bei Routern anderer Hersteller ggf. anders. !
Achtung !: Über dieses Interface am Router ist natürlich dann wieder eine Möglichkeit der Layer 3 Verbindung zwischen deinen beiden Netzen möglich was ggf. nicht gewollt ist !
Das kann man aber mit einer Access Liste wirksam unterbinden. Wenn nach dem o.a. Beispiel die Gäste natürlich nicht ins Firmen LAN dürfen verhindert eine Konfig ala:

interface fastethernet 1.1
encapsulation dot1q 1
ip addr 172.16.1.254 255.255.255.0
ip access-group 100 in

interface fastethernet 1.2
encapsulation dot1q 2
ip addr 172.16.2.254 255.255.255.0

access-list 100 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list 100 permit 172.16.1.0 0.0.0.255 any

dies sehr wirkungsvoll !
Mitglied: Spider00de
Spider00de 05.03.2007 um 13:38:41 Uhr
Goto Top
Hi aqui, danke für die schnelle Antwort.

Aber ich hab immer noch Probleme mit der Vergabe der IP-Adressen.
Sie sollen ja per DHCP vergeben werden.

Kann der Router denn für beide VLANs in unterschiedlichen Netzen IPs vergeben?

Wie würde die Vergabe teoretisch aussehen?

IP Adressen der Gästenotebooks Z.B 192.168.1. ?
IP Adressen des FirmenPCs Z.B 192.168.2.?

welche IP hat dann der Router bzw. der Standardgateway?

Hoffe du verstehst was ich meine...
Mitglied: aqui
aqui 05.03.2007 um 15:03:52 Uhr
Goto Top
Das hängt doch von dir ab wie du die Adressen verteilen möchtest. Dafür gibt es keinen automatischen Plan....
Meistens vergibt man den Netzkomponenten die Adressen ganz oben also z.B. ab .250 ,dait benutze da nicht aus vershehen mal die Adresse doppelt belegen oder ganz unten.

Also man könnte dann beispielsweise dem Router die .254 geben für beide Segmente, das würde Sinn machen, da es die letzte Adresse ganz oben ist und das Konfig Beispiel zeigt das ja auch schon.

Die DHCP Serverfrage ist spannend. Meist können die sehr einfachen DHCP Serverfunktionen auf Routern keine Netze aus mehreren Bereichen vergeben. Das ist aber Hersteller abhängig, ich meine aber nicht das das geht das diese integrierten Lösungen immer einfach sind und nicht mit DHCP Servern im LAN vergleichbar sind.
Also müsstes du sowohl in VLAN1 als auch in VLAN2 einen DHCP Server betreiben. Im Firmen LAN ist sowas ja meist in Form eines Servers Windows oder Linux vorhanden, so das man den einzelnen DHCP Server im Router also für das Gäste VLAN nehmen könnte.
Solche Konstellation ist auch denkbar.
Eine andere Möglichkeit ist z.B. einen vorhanden DHCP Server im Firmen LAN für die Gäste mitzunutzen.
Dafür musst du aber 2 Dinge sicherstellen:
1.) Dafür sorgen das Bootp/DHCP Requests an den Server geforwardet werden..
2.) Auf dem DHCP Server ein weiteres IP Netz nämlich das Gästenetz eingetragen ist

Dafür muss man was den Punkt 1 betrifft die ACL etwas öffnen für bootp was aber kein Problem darstellt und eine Helper Adresse konfigurieren, damit der Router UDP Bootp Broadcasts in ein anderes netz sendet was er sonst nicht machen würde.
Die Konfig von oben sähe dann mit deinen Adressen so aus:

interface fastethernet 1.1
encapsulation dot1q 1
ip addr 192.168.1.254 255.255.255.0
ip helper-address 192.168.2.253 (Wenn unter der .2.253 der DHCP Server ist !)
ip access-group 100 in

interface fastethernet 1.2
encapsulation dot1q 2
ip addr 192.168.2.254 255.255.255.0

access-list 100 permit udp any any eq bootp
access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 permit 192.168.1.0 0.0.0.255 any

Hast du keinen solchen DHCP Server und auch keinen Router der 2 Netze per DHCP bedienen kann bleibt dir immer noch eine Spar Lösung wie hier:
http://www.heise.de/netze/artikel/78397
mit 2 Consumer Routern beschrieben ist.

Dein Gäste VLAN-1 wäre das als DMZ VLAN beschriebene mit dem IP Netz 192.168.0.0 (das müsstest du denn bei deine Adressierung auf die 192.168.1.0 ändern !) Also das Bein vom Internet "externer" Router ginge in einen Port dieses VLANs (VLAN-1) und dessen DHCP Server bedient das Gäste VLAN-1 !
Der zweite Router ist mit dem WAN/DSL Port (es muss also ein Router OHNE integriertes DSL Modem sein !!!) in diesem VLAN-1 und dessen LAN Bein ist im VLAN-2 dem Firmen VLAN.
Der DHCP Server hier im Router-2 kann das Firmen VLAN versorgen oder wird abgeschaltet sollte sich schon ein DHCP Server im Firmen VLAN befinden
Die NAT Firewall dieses Routers verhindert außerdem wirksam einen Zugriff der Gäste Laptops/PCs aufs Firmen LAN !!!
Einfache sichere Lösung realisierbar mit deinem virhandene VLAN Switch und für kleines Geld...
Mitglied: Spider00de
Spider00de 05.03.2007 um 18:18:16 Uhr
Goto Top
mmh, hab noch mal nen bißchen im netz rumgeguckt und da ist mir der Cisco 850 aufgefallen.

http://www.cisco.com/en/US/products/hw/routers/ps380/products_configura ...

So wie es hier beschrieben ist, bekommen dann doch alle PCs aus beiden VLANs eine IP Adresse aus dem selben Adressbereich... oder?
Mitglied: aqui
aqui 05.03.2007 um 18:31:21 Uhr
Goto Top
Der 850er hat 4 Ethernet Schnittstellen, die man dedizierten VLANs zuordnen kann. Das wäre also kein Problem was das Thema VLANs betrifft.
Diese Interfaces müssen dann aber in unterschiedlichen IP Netzen liegen denn 2 mal dasselbe IP Netzwerk auf unterschiedlichen Router Interfaces würde der Cisco mit einer Fehlermeldung quittieren ! (Wie sollte er dann auch noch routen ??)

Der integrierte DHCP Server kann aber keine 2 unterschiedlichen Netze (Scopes) bedienen. Er wird vermutlich nur IP Adressen für das Netzwerk ausgeben für das der DHCP Server konfiguriert ist und auf das Segment an ihm das IP netzseitig dazu passt !!!
Mitglied: Spider00de
Spider00de 05.03.2007 um 18:42:53 Uhr
Goto Top
wäre es denn möglich für VLAN1 DHCP zu aktivieren und für VLAN2 eine feste IP zu vergeben?

Denn im VLAN2 hängt nur ein PC und im VLAN1 sind halt mehrere, welche auch wechseln.

Oder gibt es vielleicht noch andere Möglichkeiten, welche einfacher sind, um den Firmen PC im LAN vor zugriff der anderen zu schützen?
Mitglied: aqui
aqui 06.03.2007 um 00:10:49 Uhr
Goto Top
Ja natürlich geht das !!! Wenns nur ein PC ist würde ich das auch machen. Wäre ja auch noch überschaubar wenns sogar 10 PCs wären....
Der Weg ist so gangbar. Wenn du allerdings nicht soviel Euronen für einen Cisco ausgeben willst (und dein netz hört sich nicht groß an...) würde ich immer die o.a. von Heise vorgeschlagene Sparkonfig mit 2 Consumer Routern vorziehen !!!
Mitglied: Spider00de
Spider00de 06.03.2007 um 00:31:24 Uhr
Goto Top
Das ist ja schon mal super...

Wäre es also wie folgt möglich:

Router (Gateway) 192.168.1.1
VLAN1 (der FirmenPC) 192.168.1.2 = ip wird fest vergeben
oder hier nen anderes Netz (192.168.2.2)

VLAN2 (Gästenotebooks) 192.168.1.3-... =ip über dhcp
Mitglied: aqui
aqui 07.03.2007 um 01:56:23 Uhr
Goto Top
Ja, das sollte problemlos klappen !