14
VLAN in einem Haus mit mehreren Mietern
Hallo *,
ich habe ein kleines Problem. Wir haben eine Bürogemeinschaft (5 kleine Firmen). Diese Firmen sollen sich in Zukunft einen DSL-Anschluss teilen. Jedoch dürfen sich die Firmen untereinander nicht erreichen! Wir haben einen VLAN-Switch (Netgear-DSM7352S) im Büro - nutzt mir dieser
Switch etwas? Ich kann doch einzelne Ports für Firmen belegen - nur wie mache ich das mit dem Gateway? Vielen Dank für eure Hilfe.
Tristan
ich habe ein kleines Problem. Wir haben eine Bürogemeinschaft (5 kleine Firmen). Diese Firmen sollen sich in Zukunft einen DSL-Anschluss teilen. Jedoch dürfen sich die Firmen untereinander nicht erreichen! Wir haben einen VLAN-Switch (Netgear-DSM7352S) im Büro - nutzt mir dieser
Switch etwas? Ich kann doch einzelne Ports für Firmen belegen - nur wie mache ich das mit dem Gateway? Vielen Dank für eure Hilfe.
Tristan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 65691
Url: https://administrator.de/contentid/65691
Printed on: April 18, 2024 at 13:04 o'clock
14 Comments
Latest comment
Auf dem Switch steckst du die Ports in verschiedene VLANs. jedes VLAN entspricht einem eigenen von den anderen getrennten Subnetz.
Auf dem Router müssen dann noch die Routen gesetzt werden für jedes einzelne Subnetz, sowie ACLs, die Zugriff von einem VLAN aufs andere blockieren bzw. unterbinden.
Ob das mit nem handelsüblichen DSL Router geht glaub ich eher nicht. Die können keine VLAN Tags lesen. Und wenn der Switch uplink zum Router alle VLANs tragen soll, muss der Router das jedoch können, da er ansonsten mit getaggten Paketen nichts anfangen kann.
Auf dem Router müssen dann noch die Routen gesetzt werden für jedes einzelne Subnetz, sowie ACLs, die Zugriff von einem VLAN aufs andere blockieren bzw. unterbinden.
Ob das mit nem handelsüblichen DSL Router geht glaub ich eher nicht. Die können keine VLAN Tags lesen. Und wenn der Switch uplink zum Router alle VLANs tragen soll, muss der Router das jedoch können, da er ansonsten mit getaggten Paketen nichts anfangen kann.
Das mit den VLANs sollte soweit klar sein. Einfach am Switch 5 verschiedene VLANs konfigurieren und die einzelnen Clients an die jeweiligen Ports hängen.
Das mit dem Router ist mir noch nicht klar geworden. Die Routen sind klar, damit der Router mit jeden Subnetz kommunizieren kann aber was sind diese "ACLs"?
Das mit dem Router ist mir noch nicht klar geworden. Die Routen sind klar, damit der Router mit jeden Subnetz kommunizieren kann aber was sind diese "ACLs"?
Es wird daruf hinauslaufen das du einen Rechner brauchen wirst mit 6 Netzwerkkarten der als Router fungiert. 1 Netzwerkkarte zum Router bzw. DSL-Modem die anderen 5 zu den jeweiligen Firmen. Um zu verhindern das sie sich gegenseitig sehen musst du den Router so konfigurieren das jede der 5 Firmenanschlüsse nur auf die Route des Internets zugreifen kann. Das wäre es eigentlich schon gewesen.
Also nochmal zusammengefasst die Zutatenliste
1 Rechner als Router konfiguriert
6 Netzwerkkarten
1 DSL-Modem/Router
5 Switche je Firma einen
5 Netzwerkleitungen je eine zu jeder Firma
CU DORNI
Edit: gerade gesehen das du geschrieben hast
ACL sind zugangskontrolllisten
http://de.wikipedia.org/wiki/Access_Control_List
Also nochmal zusammengefasst die Zutatenliste
1 Rechner als Router konfiguriert
6 Netzwerkkarten
1 DSL-Modem/Router
5 Switche je Firma einen
5 Netzwerkleitungen je eine zu jeder Firma
CU DORNI
Edit: gerade gesehen das du geschrieben hast
ACL sind zugangskontrolllisten
http://de.wikipedia.org/wiki/Access_Control_List
Gibt es denn außer dieser Möglichkeit keinen anderen Lösungsweg?
Ich denke dieser Weg ist mit ziemlich viel Aufwand bestückt, oder?
Ich habe noch nie einen Rechner als Router konfiguriert, wie funktioniert sowas?
Greetz
Ich denke dieser Weg ist mit ziemlich viel Aufwand bestückt, oder?
Ich habe noch nie einen Rechner als Router konfiguriert, wie funktioniert sowas?
Greetz
Hab grad mal kurz zu dem Thema gegoogelt schau mal hier das könnte dir nützlich sein
http://www.heise.de/netze/artikel/77832/0
http://www.heise.de/netze/artikel/77832/0
Jaa das sieht schonmal sehr gut aus. Das werde ich mir mal heute als Abendlektüre reinziehen =)
Schonmal danke für eure Hilfe, hoffe ich bekomme das hin *g*
Aber ich weiss ja, google ist mein Freund =)
Schonmal danke für eure Hilfe, hoffe ich bekomme das hin *g*
Aber ich weiss ja, google ist mein Freund =)
Jeder Rechner ist mehr oder weniger ein Router oder lässt sich dazu machen wenn er mehr als eine NIC hat. Mit einer entsprechenden Netzwerkkarte benötigst du auch nur EINE für deine 5 VLANs und eine für den DSL Router:
Die klassiche Variante ist hier:
Wenn du etwas Basteln kannst gehts recht preiswert auch so:
Technisch die beste Lösung ist einen Layer 3 fähigen Switch zu erwerben der direkt zwischen den VLANs routen kann. NetGear hat sowas auch im Portfolio wie du auf deren ebseite sehen kannst !
( http://www.netgear.de/Unternehmen/Switches/Managed/ überall da wo Layer 3 steht !!!)
Damit kannst du das ganze dann clever auf dem Switch lösen. Eine ACL ist eine sog. Access Liste. Eine Filterliste die sicher verhindert das Clients aus den unterschiedlichen Firmen VLANs über den Router versuchen untereinander zu kommunizieren.
Ansonsten macht es Sinn wenn du keinen routenden PC verwenden oder keinen L3 Switch anschaffen willst keinen Billig Consumer DSL Router zu erwerben, sondern ein Modell was mit VLAN Tagging wie oben beschrieben von einfach-mal di.... umgehen kann. Jedes ältere Modell von Cisco z.B. was du preiswert über eBay beziehen kannst kann sowas.
Auf einem einzelnen Ethernet Port hast du dann sog. virtuelle Subinterfaces pro VLAN, die dir dann wieder die Verbindung ins Internet pro Mieter VLAN sicherstellen. Jedes Cisco 1700, 2600 etc. Modell kann das mit 2 Ethernet Interfaces.
Die klassiche Variante ist hier:
Wenn du etwas Basteln kannst gehts recht preiswert auch so:
Technisch die beste Lösung ist einen Layer 3 fähigen Switch zu erwerben der direkt zwischen den VLANs routen kann. NetGear hat sowas auch im Portfolio wie du auf deren ebseite sehen kannst !
( http://www.netgear.de/Unternehmen/Switches/Managed/ überall da wo Layer 3 steht !!!)
Damit kannst du das ganze dann clever auf dem Switch lösen. Eine ACL ist eine sog. Access Liste. Eine Filterliste die sicher verhindert das Clients aus den unterschiedlichen Firmen VLANs über den Router versuchen untereinander zu kommunizieren.
Ansonsten macht es Sinn wenn du keinen routenden PC verwenden oder keinen L3 Switch anschaffen willst keinen Billig Consumer DSL Router zu erwerben, sondern ein Modell was mit VLAN Tagging wie oben beschrieben von einfach-mal di.... umgehen kann. Jedes ältere Modell von Cisco z.B. was du preiswert über eBay beziehen kannst kann sowas.
Auf einem einzelnen Ethernet Port hast du dann sog. virtuelle Subinterfaces pro VLAN, die dir dann wieder die Verbindung ins Internet pro Mieter VLAN sicherstellen. Jedes Cisco 1700, 2600 etc. Modell kann das mit 2 Ethernet Interfaces.
Also laut der Netgear Homepage habe ich einen Layer-3-Switch (FSM7352S).
Wie genau muss ich mir dann die Konfiguration vorstellen?
Grüße
Tristan
Wie genau muss ich mir dann die Konfiguration vorstellen?
Grüße
Tristan
Na prima - dann brauchst du ja keinen "extra" Pc, der Router spielen soll.
Das kannst alles mit dem Netgear abbilden.
1. VLANs anlegen
2. Switchports ins jeweilige VLAN stecken
3. Routen dürfte der Switch dann selber passend anlegen, wenn Layer 3 bzw. Routing aktiviert wurde!
4. Damit die VLANs nicht untereinander kommunizieren können, per ACLs (Access Listen) definieren, welches Netz mit welchem kommunizieren darf
5. Default Route wäre glaub ich 0.0.0.0 255.255.255.255 über das Interface, wo das DSL Modem dranhängt. D. h. Alle Pakete, die NICHT für eins der lokalen Netze gedacht sind, werden automatisch über die Default Route ins Internet geleitet.
Wie man das konkret bei Netgear einstellt weiss nur der liebe Gott und das Netgear-Handbuch.
Das kannst alles mit dem Netgear abbilden.
1. VLANs anlegen
2. Switchports ins jeweilige VLAN stecken
3. Routen dürfte der Switch dann selber passend anlegen, wenn Layer 3 bzw. Routing aktiviert wurde!
4. Damit die VLANs nicht untereinander kommunizieren können, per ACLs (Access Listen) definieren, welches Netz mit welchem kommunizieren darf
5. Default Route wäre glaub ich 0.0.0.0 255.255.255.255 über das Interface, wo das DSL Modem dranhängt. D. h. Alle Pakete, die NICHT für eins der lokalen Netze gedacht sind, werden automatisch über die Default Route ins Internet geleitet.
Wie man das konkret bei Netgear einstellt weiss nur der liebe Gott und das Netgear-Handbuch.
Super, ich denke das dürfte mich in meiner Recherche deutliche weiter bringen.
Danke für die Hilfe
Danke für die Hilfe
Das vereinfacht die Sache in der Tat sehr und ermöglicht dir eine technisch sehr gute und massgeschneiderte Lösung ! Da hast du intuitiv genau das Richtige gekauft ! Folgendermaßen gehst du vor:
Grundlage Switchmanual unter http://kbserver.netgear.com/pdf/fsm_7300s_software_manual.pdf
Grundlage Switchmanual unter http://kbserver.netgear.com/pdf/fsm_7300s_software_manual.pdf
- VLANs einrichten für die Büro Mieter gemäß Seite 8-48. Dabei nicht vergessen ein separates VLAN für den Internet Router einzurichten !!!
- Jedem VLAN inkl. dem Internet Router VLAN gibst du gemäss dem ip address Kommando (Seite 10-7) eine IP Adresse. Hier macht es Sinn den jeweiligen Parteien ganze Netze zuzuweisen. Wenn du z.B. mit 253 Geräten pro Mieter auskommst dann reichen Class C Adressen wie z.B. 172.16.1.0/24 f. Mieter 1, 172.16.2.0/24 f. Mieter 2, 172.16.3.0/24 f. Mieter 3 usw. (/24 bedeutet eine 24 Bit Maske wie 255.255.255.0). Andernfalls verwendest du einfach einen Class B Maske 255.255.0.0. Die jeweiligen IP Adressen des Switches, die dann für den jeweiligen Mieter sein Default- oder Standardgateway sind, solltest du immer fest z.B. ans oberste Ende legen also z.B. immer die .254 verwenden pro Mieter VLAN !
- Unbedingt Access Control Listen anlegen (ACLs) damit du den Betrieb Mieter zu Mieter unterbindest und nur in das VLAN mit dem Internetzugang zulässt. Wie das geht verrät dir das o.a. Manual auf Seite 11-1.
Hi @ all,
sooo leider wurde das Projekt für längere Zeit auf Eis gelegt. Gab wichtere Sache zu erledigen
So irgendwie komm ich damit überhaupt nicht zurecht. Hat jemand vielleicht eine Anleitung wie man es über das Web-Interface konfiguriert?
Die Anleitung von aqui ist an sich ganz in Ordnung aber ich komm überhaupt nicht mit dem Manual klar...
Kann mir vielleicht jemand Schritt für Schritt erklären welche Befehle ich wo eingeben muss...?
Hatte leider, außer in der Schule, noch nie mit VLANs zu tun und kenne mich in dem Thema irgendwie gar nicht aus!
Wäre cool wenn mir jemand helfen könnte!
Viele Grüße
Tristan Rehberg
sooo leider wurde das Projekt für längere Zeit auf Eis gelegt. Gab wichtere Sache zu erledigen
So irgendwie komm ich damit überhaupt nicht zurecht. Hat jemand vielleicht eine Anleitung wie man es über das Web-Interface konfiguriert?
Die Anleitung von aqui ist an sich ganz in Ordnung aber ich komm überhaupt nicht mit dem Manual klar...
Kann mir vielleicht jemand Schritt für Schritt erklären welche Befehle ich wo eingeben muss...?
Hatte leider, außer in der Schule, noch nie mit VLANs zu tun und kenne mich in dem Thema irgendwie gar nicht aus!
Wäre cool wenn mir jemand helfen könnte!
Viele Grüße
Tristan Rehberg
Schaut mal: ftp://ftp.netgear.de/download/support/Routing-Konfiguration-Netgear-Layer3-Switches.pdf
Das habe ich im Netz gefunden. Aber Seite 3 wird das VLAN-Routing erklärt. Im Grunde genommen ist es doch genau die Situation die ich habe oder?
Also könnte ich doch genauso vorgehen wie in dem Beispiel!?!
VG
Das habe ich im Netz gefunden. Aber Seite 3 wird das VLAN-Routing erklärt. Im Grunde genommen ist es doch genau die Situation die ich habe oder?
Also könnte ich doch genauso vorgehen wie in dem Beispiel!?!
VG
Die Konfig ist in der Tat bei NetGear mehr als krank... Komplizierter gehts nicht mehr aber was will man erwarten von einem Billigheimer... Aber versuchen wirs mal...
Bleiben wir mal beim einfachen Beispiel von oben:
Du hast 2 VLANs
1.) VLAN 10, Gateway IP vom Switch 172.16.10.254 /24
2.) VLAN 20, Gateway IP vom Switch 172.16.20.254 /24
Seite 9 in deinem o.a. PDF zeigt dir das analog auf.
Du gehst im Web Menü auf VLAN Routing Configuration und wählst dort deine VLAN ID 10, dann trägst du danach die IP Adresse dazu in den ausgegebenen virtuellen Interface x.y ein 172.16.10.254 und die Maske 255.255.255.0 danach auch Create.
Das wiederholst du gneauso für VLAN 20.
Du musst wie danach geschildert noch das System Routing auf enable klicken sonst routet der Switch gar nicht !
Auf dem CLI ist es das Kommando vlan routing <vlan_id> und dann vergibst du in deisem Menü IP und Maske !
Auch hier musst du das Routing glabal aktivieren wenn du das CLI statt der Weboberfläche nutzt !
Steht alles im Manual in der Rubrik IP Routing bzw. VLAN Routing.
Damit nun deinen PCs über die VLAN geroutet werden müssen sie gemäß der o.a. Adressen folgende Einstellungen haben:
PC-1:
IP Adresse: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254 (die Switch IP !)
PC-2:
IP Adresse: 172.16.20.1
Maske: 255.255.255.0
Gateway: 172.16.20.254 (die Switch IP !)
Damit sollte es dann final klappen...
Komplizierter gehts nicht mehr aber was will man erwarten von einem Billigheimer... Aber versuchen wirs mal...Bleiben wir mal beim einfachen Beispiel von oben:
Du hast 2 VLANs
1.) VLAN 10, Gateway IP vom Switch 172.16.10.254 /24
2.) VLAN 20, Gateway IP vom Switch 172.16.20.254 /24
Seite 9 in deinem o.a. PDF zeigt dir das analog auf.
Du gehst im Web Menü auf VLAN Routing Configuration und wählst dort deine VLAN ID 10, dann trägst du danach die IP Adresse dazu in den ausgegebenen virtuellen Interface x.y ein 172.16.10.254 und die Maske 255.255.255.0 danach auch Create.
Das wiederholst du gneauso für VLAN 20.
Du musst wie danach geschildert noch das System Routing auf enable klicken sonst routet der Switch gar nicht !
Auf dem CLI ist es das Kommando vlan routing <vlan_id> und dann vergibst du in deisem Menü IP und Maske !
Auch hier musst du das Routing glabal aktivieren wenn du das CLI statt der Weboberfläche nutzt !
Steht alles im Manual in der Rubrik IP Routing bzw. VLAN Routing.
Damit nun deinen PCs über die VLAN geroutet werden müssen sie gemäß der o.a. Adressen folgende Einstellungen haben:
PC-1:
IP Adresse: 172.16.10.1
Maske: 255.255.255.0
Gateway: 172.16.10.254 (die Switch IP !)
PC-2:
IP Adresse: 172.16.20.1
Maske: 255.255.255.0
Gateway: 172.16.20.254 (die Switch IP !)
Damit sollte es dann final klappen...
