9fisi1
Goto Top

Verständnisfrage zum IP-Routing eines Layer-3-Switches

Hallo zusammen,

ich hätte eine kurze Frage zum "inter-vlan-routing" bzw. allgemein zur Routing-Funktionalität eines Layer-3-Switches...

...ist es mit einem Layer-3-Switch möglich, den eingerichteten VLANs unterschiedliche IP-Netze(klassen) zu geben und das Routing zwischen den beiden VLANs / Netzen funktioniert trotzdem?

z.B.--> VLAN1: IP: 192.168.0.1 /24
VLAN2: IP: 10.10.0.1 /16

Also konkret: kann einer Layer-3-Switch die beiden oben genannten Beispiel-Netze (192er und 10er) routen bzw. miteinander verbinden? und lassen sich ACLs definieren, welche den Zugriff zwischen den beiden VLANs auch ggf. blockieren lässt?

Vielen Dank im vorraus!

Content-Key: 215106

Url: https://administrator.de/contentid/215106

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: shjiin
shjiin 23.08.2013 um 19:36:23 Uhr
Goto Top
Ja, geht beides. Oft müssen bei L3 Switchen aber das Routing erst aktiviert werden. Bei Cisco Switchen lautet der Befehl im Global Config Mode z.B. "ip routing".
Mitglied: 9FISI1
9FISI1 23.08.2013 um 19:42:00 Uhr
Goto Top
alles klar, danke für die Info!
Wie das routing auf dem Switch aktiviert wird, wusste ich.

War mir nur unsicher, weil man bei VLAN-Beispielen im Netz immer nur gleiche Netzklassen und gleiche Subnetzmasken sieht - also nur unterschiedliche Subnetze für die einzelnen VLANs: z.B. VLAN1: 192.168.1.1 /24 VLAN2: 192.168.2.1 /24 VLAN3: 192.168.3.1 /24

und nicht wie ich es vor hatte, VLAN1: z.B. IP aus 10ner Netz und VLAN2: aus 192er + unterschiedliche SN-Masken...
Aber wenn das prinzipiell problemlos möglich ist, kann es so konfiguriert werden face-wink
Mitglied: 108012
108012 23.08.2013 um 21:12:37 Uhr
Goto Top
Hallo,

...ist es mit einem Layer-3-Switch möglich, den eingerichteten VLANs unterschiedliche IP-Netze(klassen) zu geben
Ja

und das Routing zwischen den beiden VLANs / Netzen funktioniert trotzdem?
Ja

z.B.--> VLAN1: IP: 192.168.0.1 /24 - VLAN2: IP: 10.10.0.1 /16
Ja das funktioniert man macht es aber nicht so!

Also konkret: kann einer Layer-3-Switch die beiden oben genannten Beispiel-Netze (192er und 10er) routen bzw. miteinander verbinden?
Ja

und lassen sich ACLs definieren, welche den Zugriff zwischen den beiden VLANs auch ggf. blockieren lässt?
Ja aber nicht global für das gesamte Netz aber Switch ACL und Port Security sind hier ganz klar Deine Freunde!

Vielen Dank im vorraus!
Kein Thema, aber meist gehen solche Sache in die Hose!
- Zum einen sagst Du uns nichts rein gar nichts über Dein Netzwerk!
- Und zum anderen nicht wie groß es ist!

Denn man kann auch einen Router nehmen um zwei Netzwerke miteinander zu verbinden!


Gruß
Dobby
Mitglied: 9FISI1
9FISI1 23.08.2013 aktualisiert um 22:53:53 Uhr
Goto Top
Hallo Dobby,

die beiden von mir "in den Raum geworfenen IPs" sollten nur ein Beispiel sein.

Es ist grob folgendens geplant:

- es sollen drei VLANs eingerichtet werden
- VLAN10 soll Abteilung "X" zugeordnet werden
- VLAN20 soll Abteilung "Y" zugeordnet werden
und
- VLAN30 soll für die Server sein

Auf dem zentralen L3-Switch sollen dann die VLANs + routing eingerichtet werden. Zu den Abteilungen ist der L3-Switch mit den "Etagenverteilern / weiteren Switches" entsprechend verbunden.

mit ACLs soll folgendes erreicht werden:
- Abteilung "X" darf keinen Zugriff auf Abteilung "Y" erhalten (andersherum dementsprechend auch nicht!)
- beide Abteilungen sollen aber auf die Server (VLAN30) zugreifen können!

Wenn der einen Abteilung bzw. dem VLAN nun das 192er-Netz /24 und der anderen Abteilung / VLAN das 10er-Netz /16 zugeordnet wird, ist es vom Traffic / Monitoring nachher einfacher zu überblicken und ggf. Zugriffe etc. einfacher zuzuordnen, dachten wir uns!
Vom Host-Anteil reicht es völlig für die Client-Anzahl aus!

Wenn das so nicht üblich ist oder "nicht gemacht wird", kann man natürlich auch noch umstrukturieren auf z.B.:
VLAN1: 192.168.1.1 /24
VLAN2: 192.168.2.1 /24
VLAN3: 192.168.3.1 /24

damit es ein 192er-"Grundnetz" mit /24er-SN-Maske ist und die VLANs nur in unterschiedlichen Subnetzen sind?

Viele Grüße!
Mitglied: 108012
108012 23.08.2013, aktualisiert am 24.08.2013 um 00:08:29 Uhr
Goto Top
die beiden von mir "in den Raum geworfenen IPs" sollten nur ein Beispiel sein.
Oki Doki, ich wollte das ja auch nur anmerken, klar kann man das so machen und eigentlich meine ich
heraus gelesen zu haben das Ihr schon zwei Netzwerke habt und Dir erzählt worden ist, das man die IP Adressen
so bei behalten muss oder will! Man kann sich ja auch mal irren!

- es sollen drei VLANs eingerichtet werden
Jo das ist ja fast schon egal, aber es gibt eben einige Siwtche wie die von D-Link zum Beispiel,
die nicht mehr als 8 IP Adressen vergeben können und wenn es nun ein sehr kleines Netzwerk ist
und Du oder Ihr Euch für die DGS1500-xx Serie entschieden hättet würde dann eben bei 7 VLANs Schluss sein!!!!!
Daher meine Fragen!

- VLAN10 soll Abteilung "X" zugeordnet werden
- VLAN20 soll Abteilung "Y" zugeordnet werden
und
- VLAN30 soll für die Server sein

Und im VLAN1 sind immer alle Geräte vorhanden, das ist bei sehr vielen Switch Herstellern so geregelt und
wird von den Admins daher gerne als Management VLAN benutzt!

VLAN1: 192.168.1.1 /24
VLAN2: 192.168.2.1 /24
VLAN3: 192.168.3.1 /24

VLAN1: 192.168.1.0 /24
Management VLAN für den Admin
VLAN20: 192.168.2.0 /24
Abteilung A
VLAN30: 192.168.3.0 /24
Abteilung B
VLAN40: 192.168.4.0 /24
Server

damit es ein 192er-"Grundnetz" mit /24er-SN-Maske ist und die VLANs nur in unterschiedlichen Subnetzen sind?
Genau so und der L3 Switch selber muss auch eine IP Adresse bekommen und eine/die IP Adresse des VLANs ist
dann in der Regel bei den PC Klienten als Gateway eingetragen!

Sag mal bitte etwas zu dem vorhandenen Router oder der Firewall und der Anzahl der Klienten und Server im Netz.

Gruß
Dobby
Mitglied: 9FISI1
9FISI1 23.08.2013 aktualisiert um 23:58:16 Uhr
Goto Top
> VLAN1: 192.168.1.1 /24
> VLAN2: 192.168.2.1 /24
> VLAN3: 192.168.3.1 /24

VLAN1: 192.168.1.0 /24
Management VLAN für den Admin
VLAN20: 192.168.2.0 /24
Abteilung A
VLAN30: 192.168.3.0 /24
Abteilung B
VLAN40: 192.168.4.0 /24
Server

> damit es ein 192er-"Grundnetz" mit /24er-SN-Maske ist und die VLANs nur in unterschiedlichen Subnetzen sind?
Genau so und der L3 Switch selber muss auch eine IP Adresse bekommen und die ist dann in der Regel bei den
PC Klienten als Gateway eingetragen!

Sag mal bitte etwas zu dem vorhandenen Router oder der Firewall und der Anzahl der Klienten und Server im Netz.

Gruß
Dobby


Das ist so nicht ganz richtig. Auf den Clients wird eigentlich immer die entsprechende VLAN-IP als Gateway eingetragen!

Der L3-Switch wird entweder ein Gerät von Cisco oder eins aus der HP-ProCurve-Reihe und die können aufjedenfall >7 VLANs verwalten!

Das mit dem default VLAN(1) war mir auch bereits bekannt.
Ich war mir nur nicht sicher mit den verschiedenen Netzen - z.B. 192er und 10ner mit unterschiedlichen Netzmasken!
Der L3-Switch erhält natürlich auch noch eine eigene IP, um aus dem Admin / Management-VLAN managebar zu bleiben!

Für die Verbindung zum Internet halt noch die default-route (0.0.0.0) zur Firewall / Router einrichten!
Mitglied: 108012
108012 24.08.2013 um 00:07:03 Uhr
Goto Top
Das ist so nicht ganz richtig. Auf den Clients wird eigentlich immer die entsprechende VLAN-IP als Gateway eingetragen!
Jo danke, da hat sich bei mir der Fehlerteufel eingeschlichen, ist korrigiert!

Cisco SG 300-52 (SRW2048-K9-NA) 52-Port Gigabit Managed Switch
Ist in meinen Augen unschlagbar im Preis- Leistungsverhältnis.

Gruß
Dobby
Mitglied: aqui
aqui 24.08.2013 aktualisiert um 00:15:02 Uhr
Goto Top
Es funktioniert mit einem externen Router auch für nicht Layer 3 fähige VLAN Switches.
Diese beiden Tutorials erklären die Grundlagen dafür:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: 108012
108012 24.08.2013 um 00:34:24 Uhr
Goto Top
das mit dem Router stand auch schon im dritten Beitrag face-wink
Mitglied: aqui
aqui 24.08.2013 um 14:26:21 Uhr
Goto Top
Ooops, sorry überlesen face-smile
Mitglied: 108012
108012 24.08.2013 um 17:10:03 Uhr
Goto Top
Ooops, sorry überlesen
Ich bin ja auch gar nicht so, aber ich habe das eben bei einem Beitrag von Dir und MrNetman gelesen
und dachte das machst Du (ich) jetzt auch mal!

Gruß
Dobby
Mitglied: cosy
cosy 26.08.2013 um 11:27:18 Uhr
Goto Top
Bemerkung zum Problem:
Ein L3-Router ist in der Lage, beliebige Netze miteinander zu verbinden. Das ist die Grundaufgabe eines IP-Routers (der notabene nur die L3-Schicht betrachtet / bedient- also IP). Die L2 Schicht- also VLAN, kann bei Billigprodukten gehörige Probleme verursachen.
Dein Router wird aber bestimmt ein "managed Router" sein, der selbstverständlich mit Virtuellen Netzen umgehen kann.

Eine Bemerkung zum Router:
Es muss nicht immer Cisco sein, es gibt auch andere sehr gute Produkte, z.B. von Netgear für etwa 10 mal weniger Geld. Die Bedienoberfläche ist übrigens bei all den Produkten (HP, IBM, CISCO, NETGEAR...) immer gleich oder nahezu gleich (bis auf das Flashen und recovern). Wer einmal das Cisco IOS gelernt hat, kann das überall anwenden (skripten) oder er klickt sich das am Webinterface zusammen
Mitglied: aqui
aqui 26.08.2013 aktualisiert um 12:23:28 Uhr
Goto Top
Oder VLAN Firewall Router die gar nix kosten wie pfSense, Monowall
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
oder nur einen Bruchteil...mit 35 Euronen:
Mikrotik RB750 - Quick Review
Mitglied: cosy
cosy 26.08.2013 um 15:52:21 Uhr
Goto Top
Zitat von @aqui:
Oder VLAN Firewall Router die gar nix kosten wie pfSense, Monowall
..
Ja im Schulraum oder im Lab ganz nützlich. Ein Router aber, der produktiv eingesetzt wird, muss einige Gigabit/s Transferleistung haben, rund um die Uhr während Jahren ohne Restart / Pflege laufen und dabei noch kaum Strom verbrauchen. Oft sind sie auch in ungekühlten Metallschränken untergebracht.
Ausserdem erwartet man von einem Router, dass er problemlos Glasfasern (Verbindung zwischen Gebäuden / Stockwerken) mit Gigabit CAT5/6 Ethernet Kabeln verbindet. Meist sind es so um die 20 bis 100 Anschlüsse, die dann jeweils pro Router dranhängen in einem Unternehmen.

Nur so nebenbei: solche Geräte sind meist redundant ausgelegt:
- nicht nur hat so ein Router zwei unabhängige Netzteile die von a) Netz und b) UPS gespiesen werden, sondern
- sind auch redundant vorhanden (Stichwort HSRP , siehe hier : http://de.wikipedia.org/wiki/Hot_Standby_Router_Protocol)
Mitglied: 108012
108012 26.08.2013 um 16:44:14 Uhr
Goto Top
Hallo,

Ja im Schulraum oder im Lab ganz nützlich.
Also das kommt eben immer auch auf den Unterbau, also sprich die Hardware drauf an, so pauschal lässt sich das meiner
Meinung nach nicht klein reden!

Wenn man ein Server Mainbord mit zwei Xeon E5-2690 und 64 GB ECC/REG RAM bestückt und darauf dann
pfSense installiert ist das schon wieder eine ganz andere Sache! Auch was die Portdichte betrifft oder aber die
Qualität der Ports am Router lässt sich da schon einiges machen.
- HotLava Adapter mit 256 MB EEC RAM und Exar (Hifn) Chip aus der 81xx Serie
- Lanner FW-8895 die mit 4 Modulen (je 8 LAN oder SFP Ports) bestückt werden können
und pro Modul ein Tilera TILE Gx8036 SoC mit High Performance encryption Engine MiCA!

Und via pfsync (CARP & Arp balance) kann man dann auch mehrere Router zu einem Cluster zusammenschließen
und das nicht nur mittels VRRP (active/pasive) sondern sogar zu einem (active/active) Cluster der zum einen die
gesamte Netzwerklast ausbalanciert und auch automatisch falls ein Router "verreckt" den neuen Master im Cluster
bestimmt, das kann so auch kein anderer und das ganze bitte schön für "umme" also als OpenSource!

Also so soll es ja nicht sein, dass man nicht auch mit OpenSource hochperformante Router oder Firewalls
schrauben kann, aber wenn es, so wie es eben oft das Fall ist, dann zu dem Punkt der Zertifizierung (ICSA) kommt
und das wird eben doch sehr oft durch Unternehmensleitlinien gefordert und nicht zum Schluss recht oft durch
Versicherungen vorgegeben die jedes Unternehmen ja auch abschließt um seine unternehmerischen Aktionen
abzusichern.

Aber das war ja auch gar nicht Gegenstand der Verhandlungen, sondern das Bilden von
VLANs an einem Layer3 Switch und das Versorgen eben dieser VLANs mit eigenen IP Adressen!

und sicherlich stimme ich Dir zu dass auch Netgear in letzter Zeit recht nette Switche heraus gebracht
hat und diese sogar in einem "Bundle" wo man für ca. ~10.000 € gleich drei Switche nebst Zubehör
(Stacking Module, SFP+ Tranceiver und Kabel) bekommt, wo man bei anderen Anbietern gerade mal
einen einzigen nackten Switch erhält, aber das ist auch nur Makulatur denn das macht eben auch wider
jeder "frei gusto" also sprich so wie er es gerne hätte und sich eben auch leisten kann.

Ich persönlich favorisiere lieber die Lösung bei der man zwei Routingpunkte im Netz hat, und zwar zum Einen
am Router und zum anderen im LAN mittels Switchen die gestapelt sind!

Gruß
Dobby
Mitglied: aqui
aqui 26.08.2013 um 19:49:16 Uhr
Goto Top
@cosy
Na ja nun übertreibst du etwas und verlierst den Boden unter den Füssen....
"...Ein Router aber, der produktiv eingesetzt wird," Ja ja keine Frage nur das "produktiv eingesetzt" ist ja ein weitreichender Begriff !
Das geht vom dummen Speedport bei Lischen Müller über einen Mikrotik beim pfiffigen Studenten zum kelinen Lancom oder Cisco beim Steuerberater oder KFZ Werkstatt über einen Midrange Unternhemensrouter zu einem dicken Internet Backbone Router.
Das alles diese eine Glasfaseroption haben sollen (was per se die Unterbringung in ungekühlten Schränken faktisch ausschliesst), ohne Lüfter betrieben werden sollen, mind 20 Ports haben usw. usw. widerspricht sich per se und ist auch völlig realitätsfern.
Wenn sollte man schon genau auf das Einsatzgebiet, Umfeld und Anforderung schauen und dann die Features festlegen die so ein System erfüllen muss !
Mitglied: 9FISI1
9FISI1 26.08.2013 um 21:40:07 Uhr
Goto Top
was könnt ihr denn für einen Layer-3-Switch (idealerweise von Cisco oder HP) für das eingangs beschriebene Szenario empfehlen? (etwa 350 Clients + 5 Server im Netz aktiv)

Mit folgenden mind. Anforderungen:
- managebar
- 1 Gbit/s Ethernet Ports mind. 24stk
- "VLANs" + (inter-vlan)-Routing
- GF-Module (SFP / Mini-GBIC) für die Anbindung / zur Verbindung zu der Etagenverteiler
- PoE


pfSense finde ich im Prinzip auch genial - nur müsste hier wieder (um den Gigabit-Traffic im gesamten Netz sättigen zu können, ohne als "Flaschenhals" darzustehen) wieder "dicke Server-Hardware" angeschafft werden... Ich denke eine schöne / stromsparende Soekris-Box oder ein Alix-Board mit installierter pfSense kriegen die Anforderungen nicht erfüllt...
Mitglied: aqui
aqui 27.08.2013 aktualisiert um 08:38:48 Uhr
Goto Top
Cisco SF300 oder SG300er Serie bei non Catalyst, Catalyst 29xx, Brocade ICX 6430, ....die Herstellerliste ist unendlich lang und die Frage ungefähr so sinnvoll als wenn du die Allgemeinheit nach einer Autoempfehlung fragst.
Die Liste der Antworten wird dann wieder unendlich lang ohne das es dich wirklich weiterbringt. Will sagen: In dem Billigbereich ist alles austauschbar und die meisten entscheiden nach Portemonaie und nicht nach Anforderungen und Features !
Mitglied: cosy
cosy 27.08.2013 um 09:08:52 Uhr
Goto Top
Zitat von @108012:
..
Ich persönlich favorisiere lieber die Lösung bei der man zwei Routingpunkte im Netz hat, und zwar zum Einen
am Router und zum anderen im LAN mittels Switchen die gestapelt sind!

Gruß
Dobby

Das kann Sinn machen, hat aber nebst den Vorteilen (Flexibilität, zugeschneidert nach Deinen wirklichen Bedürfnissen) auch
NACHTEILE:
  • Robustheit insgesamt (ungekühlte Umgebung, redundante Stromversorgung bei mässigem Gesamtverbrauch (UPS-Belastung)
  • Dein Ferienvertreter steht wie der Esel am Berg, wenn nichts mehr geht- hingegen kann jeder Cisco geschulte Mensch die gängigen Professional - Produkte auf Anhieb mit Hilfe Deiner Doku bedienen
  • PoE ist wohl ein mühsames Ding mit deinen PC-basierten Zusatzkarten. Kommt dazu dass die Saubere Entkopplung Schirm / Masse bei solchen Kartenlösungen selbst gebastelt werden muss

Für den Durchschnitts- ICT-Techniker sehe ich solche Lösungen definitiv nicht. Frage mal Deinen CEO oder besser noch CFO, wieviel in Deinem Unternehmen die Stunde Totalausfall kostet. Und dabei ist von gesichert anfallenden Kosten sowie von hypothetischen Kosten die Rede. Die hypothetischen Kosten waren bei meinem Unternehmen (125 MitarbeiterInnen) etwa 50 mal höher als die gesicherten- wegen Angebotsanfrage- und Bestellungsausfall von Vertragsunternehmen von USA bis Japan..
Wenn Du diese Zahl hast, wirst Du erkennen, dass Du oft mit dem Wert von etwa 2 Ausfallstunden die ganze Netzwerkinfrastruktur kaufen kannst.

Eine Investition in eine Infrastruktur, die im Worst Case (du bist in den Ferien oder im Spital, und irgend ein Heini muss nun die Welt retten)
sehr sehr viel Kosten sparen kann.

Darum :
Im Lab, bei der Lehrlingsausgbildung, in Testumgebung: Ja zu selbstgebauten Lösungen
Im produktiven Betrieb im ICT Bereich von Unternehmen: zertifzierbare Qualitätsprodukte, wobei es nicht unbedingt CISCO sein muss

Anmerkung:
Ich empfinde es als Qualitätszeichen (für das Forum und die TN), dass sich eine Frage aus der Bastlerecke in Stellungnahmen wie die Deine entwickelt.
Mitglied: cosy
cosy 27.08.2013 um 09:12:41 Uhr
Goto Top
..ach, und was ich noch sagen wollte: die Trennung von Router und Switches ist ja vollkommen in Ordnung, nur müssen die Switches voll managebar sein, damit sie in die Security-Policy eingebunden werden können.
Dies ist sowieso unbedingt notwendig, wenn man den Einsatz von VLAN im Unternehmen richtig und sicherheitsbewusst managen muss. Die Rhulesets sind ja richtig komplex geworden mit der überall vorhanden Virtualisierung.
Seit Virtuellen und lastgesteuerten Serverfarmen ist auch die Anforderung an die Reaktionszeit bei Änderungen an der Security-policy enorm gestiegen.