Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mehrere VLANs und ein NAS

Frage Netzwerke Netzwerkgrundlagen

Mitglied: pallinger

pallinger (Level 1) - Jetzt verbinden

28.02.2014, aktualisiert 02.03.2014, 2528 Aufrufe, 12 Kommentare

Hallo zusammen,

ich beschäftige mich seit ein paar Tagen mit VLANs und habe hier noch eine Frage.

Zur einfacheren Erklärung habe ich ein Schema als Bild gemacht so wie ich mir das vorstelle.

Szenario:
Es gib 6 PCs wobei jeder PC in einem eigenen VLAN hängt. Die Rechner sollen untereinander auf keinen Fall kommunizieren dürfen.
3 Rechner sind in Gebäude A (VLANs 10, 20 und 30)
3 Rechner sind in Gebäude B (VLANs 40,50 und 60)
In Gebäude C befindet sich ein NAS welches in VLAN 70 hängt.
Nun möchte ich das NAS aus VLAN 70 für alle Rechner zugänglich machen damit sie ihre Daten dort ablegen können.

In jedem Gebäude gibt es einen Layer-3 Switch und die Gebäude sind per Ethernet Verbunden. Die Verbindungen zwischen den Gebäuden sind VLAN Trunk Ports nach 802.1Q.

ee132056aea851d07b8da3f1035bc895 - Klicke auf das Bild, um es zu vergrößern

Frage:
Ist es möglich mit Level 3 Switches ein Routing von allen VLANs in das VLAN 70 zu realisieren in dem das NAS hängt, ohne dass
die einzelnen VLANs untereinander sprechen können?

Falls nein, wie kann ich da vorgehen? Einen extra Router verwenden?

Grüße,
Peter

Mitglied: emeriks
LÖSUNG 28.02.2014, aktualisiert 02.03.2014
Den Switch-Port, an welchem das NAS hängt, untaged in alle VLAN hängen?

E.
Bitte warten ..
Mitglied: pallinger
28.02.2014 um 17:42 Uhr
Muss ich dem NAS dann für alle Netze (192.168.10.0 bis 192.168.60.0) auch eine IP vergeben oder Wird der Switch das dann
schon richtig Routen?
Bitte warten ..
Mitglied: Kalkulon
LÖSUNG 28.02.2014, aktualisiert 02.03.2014
Also nachdem das hier so ausschaut, als ob im Gebäude C sich der "Serverraum" befindet und die SG300 nur Static Routing beherrschen, würde ich vorschlagen den Switch "C" alle VLANs routen zu lassen.
Bitte warten ..
Mitglied: Dobby
LÖSUNG 28.02.2014, aktualisiert 02.03.2014
Hallo,

rufe doch einfach einmal die Weboberfläche bzw.
Konfigurationsoberfläche der Switche auf und mach
das NAS oder den Switch Port man dem es "hängt"
einfach zu Mitgliedern in allen VLANs, fertig.

Gruß ♪
Dobby♬
Bitte warten ..
Mitglied: pallinger
28.02.2014 um 21:09 Uhr
Hallo,

aber das NAS hat ja ein ganz anderes Subnet, wie können die PC's dann
mit ihm "Sprechen"?

Gruß,
Peter
Bitte warten ..
Mitglied: Dobby
LÖSUNG 28.02.2014, aktualisiert 02.03.2014
Zitat von pallinger:

Hallo,

aber das NAS hat ja ein ganz anderes Subnet, wie können die PC's dann
mit ihm "Sprechen"?

Gruß,
Peter

Hallo nochmal,

das macht dann der Layer3 Switch (Cisco SG300)
der routet zwischen den VLANs.

Aber damit das möglich ist muss das NAS Gerät
natürlich Mitglied in allen VLANs sein!

Gruß ♪
Dobby♬
Bitte warten ..
Mitglied: aqui
LÖSUNG 01.03.2014, aktualisiert 02.03.2014
Das Design ist Unsinn und lässt sich so nicht umsetzen. Oder besser ...es lässt sich umsetzen funktioniert dann aber nicht.
Wenn alle PCs in unterschiedlichen IP Netzen sind brauchst du zwingend einen Router um alle mit einem weiteren Netz (NAS) kommunizieren zu lassen.
VLANs sind reine Layer 2 Trennungen. Also dein Konstrukt verhält sich so als wenn alle PCs und auch das NAS virtuell in einem separaten einzelnen Switch steckt.
Wie bitte willst du da kommunizieren ?? Keines der Geräte "sieht" sich ja !
Dir wird vermutlich die Sinnlosigkeit dieses Designs klar, oder ??
Wenn dann kannst du das Geforderte nur mit einer Firewall erreichen wie es hier beschrieben ist:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
oder mit einem Layer 3 Switch und entsprechende Access Listen.
Da du ja schon layer 3 Switches also Routing fähige Switches einsetzt ist es ein Leichtes das damit umzusetzen.
Du belässt das Design so für Gebäude A und B und benutzt die Switches dort wie oben gezeichnet nur als reine Layer 2 Switches mit einem tagged Uplink auf den Switch in Gebäude C.
Dieser Switch muss aber L3 Routing aktiviert haben und zwischen den PC VLANs und dem NAS VLAN routen.
Damit es hier keine any zu any Kommunikation gibt installierst du auf den PC VLAN IP Adressen des routenden Switches IP Accesslisten die die Kommunikation in die PC VLANs unterbinden und nur ins VLAN 70 zulassen.
So erreichst du das von dir gewollte.

Es geht aber noch viel einfacher ohne diesen Aufwand:
Du installierst ein einzelnes VLAN als ein sog. "Private VLAN" oder "isolated VLAN"und definierst den NAS Port als Uplink oder promiscour Port:
https://www.it-bildungsnetz.de/fileadmin/media/Akademietag_2012/Private% ...
http://en.wikipedia.org/wiki/Private_VLAN
Dieses Setup ist viel einfacher und übersichtlicher und erreicht exakt auch das was du forderst.
Keep ist simple stupid...!
Bitte warten ..
Mitglied: emeriks
LÖSUNG 01.03.2014, aktualisiert 02.03.2014
Doch, das funktioniert so.

Wenn man in jedem VLAN ein anderes IP-Subnet nutzt, dann muss das NAS entweder in jedem Subnet eine IP-Adresse haben (wenn das Teil das kann) oder ein Router muss zwischen den Subnets vermitteln. Ein guter Layer 3 Switch kann auch IP-Routing. Wahrscheinlich meinte Dobby das.

Aber: Warum muss man denn - in Deinem Konstrukt - in jedem VLAN ein anderes Subnet benutzen? Es können doch alle im selben sein. Da die PC durch die VLAN "physisch" getrennt sind können die PC untereinander nicht direkt kommunizieren. Aber jeder mit dem NAS. Wo ist da das Problem? Achte trotz der VLAN auf eindeutige IP-Adressen.

Und das NAS ist sowieso die Schnittstelle, da macht es keinen Unterschied, ob mit mehreren Subnets und Router oder gar mit Firewall oder eben nur mit einem Subnet.

E.
Bitte warten ..
Mitglied: Dobby
LÖSUNG 01.03.2014, aktualisiert 02.03.2014
Hallo nochmal,

@emeriks
Ein guter Layer 3 Switch kann auch IP-Routing. Wahrscheinlich meinte Dobby das.
Jo das war es denn es sind ja drei Cisco SG300-xx Switche vorhanden und die routen
ja selbstständig zwischen den VLANs.

Ok wenn nur Layer2 Switche vorhanden sein sollten wäre da ein Router oder eine
Firewall wohl nicht schlecht, aber wozu nun wenn alle Switche L3 sind?

Aber: Warum muss man denn - in Deinem Konstrukt - in jedem VLAN
ein anderes Subnet benutzen?
Weil man es kann zum Einen und ich persönlich würde ja auch jedem VLAN
ein anderes Subnetz geben, dann ist alles hübsch von einander getrennt und
man reduziert auch noch den Verwaltungsaufwand und engt Fehlerquellen auf
nur ein Netzwerksegment ein.

Ich meine ich habe keine so guten Switche bzw. werde mir dieses Jahr erst
Cisco SG300-xx und SG200-xx Switche kaufen, aber das mit den VLANs
würde ich bei mir genau so aufziehen wollen, zumindest für das NAS und den
Heimserver.

@aqui
Warum soll das denn nun nicht funktionieren wenn man das NAS bzw. den
Switch Port an dem es hängt zu einem Mitglied von mehreren VLANs zu machen?
Ich meine es sind doch selbst routende L3 Switche.

Gruß
Dobby
Bitte warten ..
Mitglied: emeriks
LÖSUNG 01.03.2014, aktualisiert 02.03.2014
"Selbtsroutende Switche" ?! Alice im Wunderland?
Ein L3-Switch routet nicht von selbst, erst wenn ich es ihm sage. Alles andere wäre definitiv kein "guter Switch"!
E.
Bitte warten ..
Mitglied: pallinger
02.03.2014 um 12:51 Uhr
Vielen Dank an alle,

ich werde die Lösungsvorschläge ausprobieren und finde es echt toll das ihr euch so bemüht habt.
Dieses Forum ist immer wieder eine Professionelle Hilfestellung

Viele Grüße,
Peter
Bitte warten ..
Mitglied: Dobby
02.03.2014 um 18:11 Uhr
"Selbtsroutende Switche" ?! Alice im Wunderland?
Ein Layer3 Switch kann selber die VLANs routen
mehr war damit nicht gemeint.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Netzwerkgrundlagen
Sinnvolle Segmentierung des Netzwerks in mehrere VLANs (11)

Frage von j.hart zum Thema Netzwerkgrundlagen ...

Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst 1 Port in mehreren VLANs? (7)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...