Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN Grundverständnis

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Aturdent

Aturdent (Level 1) - Jetzt verbinden

05.01.2015 um 18:21 Uhr, 4688 Aufrufe, 9 Kommentare

Hallo!

Ich habe in meinem Netzwerk viele unterschiedliche Geräte: NAS, PC, Router, WLAN-AP, Fernseher, Blu-Ray Spieler, Drucker, Heizung, ... Alle hängen über ein eigenes LAN-Kabel an einem Switch. Soweit funktioniert alles. Mein Problem: Die Geräte können alle gegenseitig aufeinander zugreifen. Dies ist aber unerwünscht, weil es ein potenzielles Sicherheitsrisiko darstellt. Ich möchte insbesondere den Zugriff auf das NAS, den Router und den Drucker auf die Geräte beschränken, die dieses auch wirklich benötigen.

Mein Gedanke ist nun der, dass ich das NAS, den Router und den Drucker jeweils einem eigenen VLAN zuweise. Ist das die richtige Vorgehensweise? Falls ja, stelle ich dies vermutlich am Switch ein, richtig? LAN-Kabel-Port x gehört zu VLAN 1, y zu 2 etc. Aber: Der PC soll auf ALLE Geräte zugreifen können (u.a. zur Administration). Er müsste also zu mehr als einem VLAN gehören. Geht das?

Ich hoffe das ist verständlich!?

Vielen Dank!!
Mitglied: 114757
05.01.2015, aktualisiert um 18:47 Uhr
Moin,
Zitat von Aturdent:
Mein Gedanke ist nun der, dass ich das NAS, den Router und den Drucker jeweils einem eigenen VLAN zuweise. Ist das die richtige Vorgehensweise?
Die Geräte die untereinander kommunizieren sollen kommen in ein gemeinsames VLAN
Falls ja, stelle ich dies vermutlich am Switch ein, richtig? LAN-Kabel-Port x gehört zu VLAN 1, y zu 2 etc.
Aber: Der PC soll auf ALLE Geräte zugreifen können (u.a. zur Administration). Er müsste also zu mehr als einem VLAN gehören. Geht das?
yip, über einen Router oder Layer3 Switch kein Problem, lese folgendes Tutorial von @aqui, dort steht alles was du wissen musst
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Gruß jodel32
Bitte warten ..
Mitglied: Aturdent
05.01.2015 um 22:43 Uhr
Hallo,

ich habe mir das durchgelesen, komme aber noch nicht ganz klar.

Ich habe einen Cisco SG200-26P Switch. Das ist ein Layer-2-Switch, richtig?

Dort habe ich zusätzlich zum VLAN 1 (das gab es schon) noch vier weitere VLANS mit den IDs 2 bis 5 angelegt. Nun wollte ich die Ports zuordnen. Bei allen ist als Interface VLAN mode "Trunk" voreingestellt. Ist das richtig? Alternativ kann ich "General", "Access" oder "Customer" wählen. Und nun?

Sorry, aber irgendwie habe ich das mit den VLANs nicht kapiert. Was ist PVID? Welchen Unterschied macht es, ob die Ports "tagged" oder "untagged" sind?
Bitte warten ..
Mitglied: LordGurke
06.01.2015, aktualisiert um 03:06 Uhr
Am besten wählst du "access" für den Switchport-Mode. Trunk wäre nötig, wenn du mehrere VLANs (getagged) aus dem Switchport rausgucken lassen möchtest, das können die allermeisten einfachen Geräte aber ohnehin nicht.

Das Tagging ist relativ einfach erklärt:
Für den Fall, dass der Switchport mit mehreren VLANs gleichzeitig kommunizieren soll, musst du die Pakete markieren, damit das am Switchport angeschlossene Gerät weiß, aus welchem VLAN sie kommen.
Also wird im Ethernet-Header ein 802.1q-Feld (muss man sich nicht merken) mit der entsprechenden PVID ("Port VLAN ID") angehängt. Kommt ein Paket aus VLAN 4, wird im Ethernet-Header eine "4" drinstehen
Das wird z.B. benötigt, wenn du mehrere Switches kaskadierst und über die Switches mehrere VLANs verteilen willst/musst.

Wenn du das VLAN auf dem Switchport als "untagged" konfigurierst, werden ausgehend die Pakete ohne dieses Tagging da rausgeworfen. Ebenso werden alle ungetaggeten eingehenden Pakete vom Switch dem entsprechenden VLAN zugeordnet. Der Vorteil dabei ist, dass jedes noch so dumme Netzwerkgerät damit funktioniert.

Was du auf jeden Fall möglichst vermeiden solltest ist eine Mischung aus Tagged und Untagged auf einem Port - damit schießt man sich früher oder später selbst in den Fuß mit... Entweder "Access" (und dann nur ein VLAN pro Port) oder "Trunk" (und dann alle VLANs getagged). Damit kannst du dann verhindern, dass z.B. fälschlicherweise ungetaggeter Traffic dem falschen VLAN zugeordnet wird. Ist bei dir zu Hause vermutlich eher nur mittelmäßig tragisch, aber grundsätzlich spart man sich dabei eine Menge Zeit bei der Fehlersuche.
Bitte warten ..
Mitglied: Aturdent
06.01.2015 um 07:07 Uhr
Danke für die Erklärung!

<<<Für den Fall, dass der Switchport mit mehreren VLANs gleichzeitig kommunizieren soll, musst du die Pakete markieren, damit das am Switchport angeschlossene Gerät weiß, aus welchem VLAN sie kommen.>>>

Frage dazu: Nehmen wir mal vereinfacht an, es gibt nur drei Geräte: NAS, Drucker und PC. NAS ist in VLAN 20, Drucker in VLAN 30 und der PC darf in beiden sein. Wozu muss der PC dann an einem tagged port sein? Warum kann der nicht auch untagged sein? Denn der PC muss ja nicht wissen aus welchem VLAN ein Paket kommt, oder? Er empfängt es (weiß ja anhand der sonstiger Headerdaten von wem es ist), sendet eine Antwort, der Switch prüft ob der Antwortempfänger in einem VLAN ist, auf das der PC Zugriff hat, und leitet es ggf. weiter.

Also können doch alle drei Geräte an untagged Ports hängen, oder? Der Port des PC ist dann sowohl VLAN 20 als auch VLAN 30 zugeordnet.

Für den Fall eines Router mit DSL-Zugang oder mehrere Switche sieht die Sache möglicherweise anders aus (darüber denke ich nach, wenn ich das einfache Beispiel oben mit den drei Geräten verstanden habe).
Bitte warten ..
Mitglied: MrNetman
06.01.2015 um 09:56 Uhr
VLANs trennen Netzwerke.

Verschiedene VLANs wirken wie verschiedene Switche.

Wenn man verschiedenen Netze zusammenführen will kann man sie kurzschließen oder sinnvoll verbinden.
Sinnvoll verbindet man Netze mittels eines Routers oder einer Firewall. Dazu ist es nötig, dass die Netze neben der physikalischen Trennung logisch andere Netze sind. Sie benötigen andere IP-Bereiche.

Am Router stelle man dann über Regeln ein, welches Netz mit welchem verbunden werden kann. Auch der Internetzugang wird dort geregelt.
Damit der Router dieses leisten kann, muss er mit jedem VLAN verbunden sein. Das kann über getrennte Ports pro Netz/VLAN sein oder über einen Trunk - den Port, der alle VLANs trägt, aber getaggt, also mit der VLAN-Erweiterung.

Jetzt musst du nochmal @aquis Anleitung lesen.
Bitte lass das VLAN1 in deiner Konfiguration für die Geräte weg. Es hat meist eine Sonderfunktion (default-VLAN) und sollte nicht für Access-Geräte verwendet werden.

Gruß
Netman
Bitte warten ..
Mitglied: aqui
06.01.2015 um 14:36 Uhr
Guten Einstieg findest du auch hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
Bitte warten ..
Mitglied: Aturdent
07.01.2015 um 06:56 Uhr
Danke für eure Hilfe!

Ich habe jetzt folgendes probiert:

Vier Geräte:

1. Cisco WLAN-AP (Switch Port 4, Trunk, Tagged auf VLAN 2 und 3, Untagged auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 1)
2. DECT Basisstation (Switch Port 13, Access, Untagged auf VLAN 4, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 4)
3. Drucker (Switch Port 3, Access, Untagged auf VLAN 2, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 2)
4. NAS (Switch Port 10, Acess, Untagged auf VLAN 3, Excluded auf VLAN 1, PVID-Häkchen gesetzt bei VLAN 3)

Dann verbinde ich mich per Smartphone per WLAN mit dem AP (Gerät 1) und führe einen Ping gegen die (statischen) IP Adressen der Geräte 2 bis 4 aus. Meine Erwartung wäre, dass der Ping mit Gerät 2 (DECT) nicht durchkommt, der Ping mit den Geräten 3 und 4 (Drucker und NAS) dagegen durchkommt.

Tatsächlich kommt der Ping aber gegen keines der Geräte durch.

Muss ich auf dem WLAN AP noch etwas einstellen? Auf diesen ist untagged VLAN aktiviert und steht auf "1". Wenn ich das abschalte, klappt der Ping aber weiterhin nicht. Der WLAN SSID selbst kann ich auch eine VLAN ID zuweisen, die steht auch auf "1". Allerdings kann ich hier nur eine ID eintragen, "2 und 3" geht nicht.

Wo ist mein Denkfehler? Was mache ich falsch?

Vielen Dank für eure Geduld!!!
Bitte warten ..
Mitglied: MrNetman
07.01.2015 um 08:48 Uhr
abgesehen von deiner spannenden oder besser gesagt, abenteuerlichen Konfiguration fehlt dir das Verständnis fürs Trennen und Verbinden der Netze.
Wenn alle Geräte den selben IP-Bereich haben, dann kann man sie über getrennte VLANs nicht erreichen. Wenn Sie getrennte IP-Bereiche haben, dann kann ein Router die Verbindung herstellen.
AM AP wählt man pro SSID ein VLAN. Das verbinden mit einem ungetaggten VLAN hat nur den Sinn, dass man den AP administrieren/konfigurieren kann (default VLAN1). Funktionieren kann der AP ohne das.

Sie auch die von @aqui erwähnten Grundlagen.

Gruß Netman
Bitte warten ..
Mitglied: aqui
07.01.2015 um 09:24 Uhr
verbinde ich mich per Smartphone per WLAN mit dem AP (Gerät 1) und führe einen Ping gegen die (statischen) IP Adressen der Geräte 2 bis 4 aus.
Die Kardinalsfrage ist hier: Mit WELCHER SSID ?? Dazu leider keinerlei Auskunft deinerseits. Die SSID bestimmt ja dann das VLAN in dem der Smartphone Client landed je nach SSID zu VLAN ID Mapping auf dem AP.
Hier kann man also nur im freien Fall raten ober der Client nun in VLAN 1, 2 oder 3 ist, denn das wäre alles möglich.
Gehen wir mal davon aus das der Client in der SSID landet die auf das VLAN 1 gemappt ist, dann ist klar und logisch das er mit keinem VLAN kommunizieren (pingen) kannt.
Vermutlich ist das hier der Fall ?!?
Sieh dir also nochmal ganz genau die Konfiguration des mSSID APs an welche SSID da auf welche VLAN ID gemappt ist !!!
Wie das auszusehen hat kannst du in diesem Forumstutorial nachlesen:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Dort ist das SSID zu VLAN Mapping explizit anhand von Real Life Screenshots erklärt die auch ein Netzwerk Laie sofort versteht !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Switche und Hubs
gelöst VLAN fähiger VPN Router gesucht (33)

Frage von Leo-le zum Thema Switche und Hubs ...

Netzwerkmanagement
gelöst Mehrere Switche per Trunk verbinden - korrekte VLAN-Config (8)

Frage von Stadtaffe84 zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...