45455
Goto Top

VLAN mit NETGEAR und gemeinsame Geräte

Hallo,

ich habe leider noch keine eingehenden Kenntnisse über VLANs (kompletter Anfänger damit halt) und kämpfe zusätzlich mit der etwas holperigen Oberfläche meiner Netgear-Switches dazu.
Man verzeihe mir also, wenn ich Unsinn schreibe. face-wink

Ich hab mir mal ein paar Dokus durchgelesen. Im Grund möchte ich portbasiert vom Switch aus unterscheiden, da ich auf die Geräte eh keinen durchgehenden Einfluss habe (weder in Auswahl noch Konfig über IP-Bereich hinaus).

Ich hab das hoffentlich richtig verstanden, dass im Switch ein Paket an einem Port, der zu einem VLAN zugeordnet ist, dessen tagg bekommt und beim Verlassen über einen ebenfalls zugeordneten Port der tagg wieder entfernt wird (sofern untagged, tagged überträgt das Tagging), und der Switch so intern die VLANs auseinander hält, ohne dass eine äußere Konfiguration nötig wird.
Die getaggten Pakete werden dabei intern nur an die zugeordneten Ports übertragen.


Zum Szenario:

Es gibt eine Internetverbindung über einen Router (DrayTek Vigor 2950)
Als Switche fungieren zwei Netgear (GS752TXS und GS728TXS) im Stack (10G-Verbindung).

Umgesetzt werden sollten zunächst mal zwei getrennte VLANs.

Soweit ichs verstanden habe, kann ich das folgendermaßen machen:
- Zwei statische VLANs definieren, zB. VLAN10 und VLAN20
- VLAN10-Ports untagged und PVID zuordnen, VLAN20-Ports ebenso
- Die Uplinks zwischen den Switchen in beiden VLANs tagged, keine PVID
Im Netgear scheint das so gemeint zu sein, dass die PVID-Zuordnung über das eingehende Tagging entscheidet und die Member-Konfiguration über das ausgehende Tagging sowie die interne Zielzuordnung.

Der Draytek kann selbst eine Art VLAN (eher Zonen) und zwei IP-Bereiche, die LAN-Ports lassen sich zuordnen und können dann zwar ins Internet, aber nicht untereinander kommunizieren.
Das würde ich nutzen, um eine Leitung aus einer Zone des DrayTek an einen VLAN1-Port zu verbinden und dasselbe aus der anderen Zone auf einen VLAN2-Port.
Schöner wäre natürlich auch hier eine VLAN-Konfig, aber so geht's ja auch.

Also:
Internet - DrayTek
DrayTek-VLAN0 - VLAN10-Switch-VLAN10-Ports - Devices
DrayTek-VLAN1 - VLAN20-Switch-VLAN20-Ports - Devices

Die Devices müssten dann alle Internetverbindung haben und nur innerhalb des VLANs kommunizieren können.


Soweit irgendwelche Denkfehler?


Der nächste Schritt wäre nun die Frage nach gemeinsam genutzten Geräten (Drucker).
Reicht es, die betreffenden Ports für beide VLANs untagged ohne PVID (bzw. die Default PVID 1) zu konfigurieren?

In einer VLAN-Doku hab ich das als VLAN-Trunk-Ports gelesen, die dann für beide VLANs erreichbar sind, finde das aber im Netgear alles so nicht wieder.

Gruß
kai

Content-Key: 258718

Url: https://administrator.de/contentid/258718

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 31.12.2014 aktualisiert um 12:06:27 Uhr
Goto Top
Ich habe leider noch keine eingehenden Kenntnisse über VLANs (kompletter Anfänger damit halt
Dann solltest du dir mal die Suchfunktion hier im Forum zueigen machen face-wink
Dieses Forumstutorial erklärt dir die nötigen Grundlagen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und auch
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren

Was ein VLAN generell ist kannst du z.B. hier nachlesen:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
und auch hier:
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
https://www.heise.de/artikel-archiv/ct/2010/24/176_Paket-Pipeline

Leider hast du dir mit den NetGear Gurken eins der übelsten Produkte zugelegt was die VLAn Konfig anbetrifft. Kein Switch außer vielleicht noch Zyxel macht es Anwendern so kompliziert.
Aber keine Sorge....das obige VLAN Tutorial geht eingehend auf die recht eigenwillige NetGear Konfig Logik ein so das auch der blutigste Anhänger es auf Anhieb hinbekommt !
Wichtig ist aber das du dir wenigstens die einfachsten Basiscs von VLANs aneignest.

Nur soviel zu deiner Schilderung:
VLAN Tagging und untagging ist ein weltweiter Standard und überall gleich (IEEE 802.1q) also auch bei Draytek und NetGear. Leider ist die Logik der Beschreibung immer etwas unterschiedlich, wenn man aber weiss wovon man redet wird auch das schnell klar.
Die Uplinks zwischen den Switchen in beiden VLANs tagged, keine PVID
Das musst du nicht, denn wenn es wirklich richtig ist was du schreibst das beide NetGear Gurken in einem Stack konfiguriert sind agiert der Stack wie ein einzelner Switch. Durch das Stacking musst du dich dann nicht um Tagging usw auf dem Switch Uplinks kümmern.
Das muss man immer nur machen wenn man 2 Switches ohne Stacking Option über ein Tagged Upling verbindet um die VLANs transparent zu übertragen.
dass die PVID-Zuordnung über das eingehende Tagging entscheidet
Das ist leider falsch und darauf fallen viele NetGear Geschädigte rein ! Die PVID bei incoming Traffic bestimmt in welches VLAN aller untagged Traffic an diesem Port geforwardet wird. Im Default ist das immer das Default VLAN (native VLAN) das meist die 1 ist. Bei NetGear muss aber dieser Standard entgegen zu allen anderen Herstellern immer angegeben werden.
NetGear verfährt da leider nach dem Motto: "Warum einfach machen wenn es umständlich auch geht".
Besser also von diesem Hersteller die Finger lassen aber die Warnung kommt ja nun für dich zu spät face-sad
Mitglied: 45455
45455 31.12.2014 um 14:51:49 Uhr
Goto Top
Hersteller war quasi vorgegeben, da das gesamte restliche Geswitche aus dem Hause kommt. Und ich kapier lieber einmal den Durcheinander von einem Hersteller, als zig davon nebeneinander zu haben. Dazu kommt zentrales Inventory aus demselben Haus gleich mit, das ist eigentlich ganz schick.

Andererseits find ichs jetzt auch nicht soooo schlimm, wenn mans einmal kapiert hat.
Die verlinkten Dokus hab ich nämlich gelesen face-wink

Ich wollte ja eher die Frage nach eventuellen Denkfehlern an den Schlüssen im beschriebenen Szenario stellen.


Ich hab das daher jetzt mit der gleichen (aber physikalisch erreichbaren) Hardware mal einfach klein ausprobiert:
- PC10 an Port mit Member VLAN10 untagged, PVID10
- PC20 an Port mit Member VLAN20 untagged, PVID20
- PC30 an Port mit Member VLAN10+20 untagged, PVID1
(Member Default-VLAN1 untagged sind alle)

Funktioniert absolut wie gewünscht:
- PC10 (VLAN10) sieht PC30(Trunk-VLAN) und umgekehrt,
- PC20(VLAN20) sieht PC30(Trunk-VLAN) und umgekehrt
- PC10 sieht nicht PC20 und umgekehrt.
Habs also soweit verstanden, vielleicht ein bisserl kompliziert ausgedrückt face-wink

Und mach das jetzt erst mal so.
Die Kür mit dem Routing wegen der unterschiedlichen Subnetze kommt nächstes Jahr. Das muss nicht gleich.


An einer Stelle vermute ich aber einen Denkfehler:
Die zwei Leitungen vom Draytek zum Switch dürften durch die Trunked-VLAN-Ports kollidieren, da die Geräte an diesen Ports dann ja zwei Wege hätten.
Oder bekommt der das hin, weil er beides getrennt routet?
(Muss ich wohl auch ausprobieren)
Ansonsten häng ich den Draytek halt an einen Trunked-VLAN-Port (verhält sich dann ja wie PC30 im Testszenario, also auch wieder wie gewünscht).

Gruß und guten Rutsch
kai
Mitglied: 45455
45455 31.12.2014 um 15:05:02 Uhr
Goto Top
Jetzt erst die Ergänzung gesehen:
Das musst du nicht, denn wenn es wirklich richtig ist was du schreibst das beide NetGear Gurken in einem Stack
konfiguriert sind agiert der Stack wie ein einzelner Switch. Durch das Stacking musst du dich dann nicht um Tagging usw auf
dem Switch Uplinks kümmern.
Ja, da hab ich wohl zuviel interpretiert, aber er nimmt das Tagged auch nicht an auf den Stacking-Ports.

Das ist leider falsch und darauf fallen viele NetGear Geschädigte rein ! Die PVID bei incoming Traffic bestimmt in welches
VLAN aller untagged Traffic an diesem Port geforwardet wird. Im Default ist das immer das Default VLAN (native VLAN) das meist
die 1 ist.
Da hab ich mich wohl etwas blöd ausgedrückt.
Ich meinte damit, dass die PVID darüber entscheidet, welches Tagg das eingehende ungetaggte Paket erhält und damit, zu welchem VLAN es weitergeleitet wird.
Sie ordnet aktiv den eingehenden allgemeinen Datenverkehr einem VLAN zu.
Darüber, was der Port von außen annimmt, hab ich mir in meinem Szenario keine Gedanken gemacht, da außerhalb vom Switch keine Taggs existieren sollen.

Gruß
kai
Mitglied: aqui
aqui 31.12.2014 um 15:07:10 Uhr
Goto Top
Hersteller war quasi vorgegeben, da das gesamte restliche Geswitche aus dem Hause kommt.
Igitt...das kann nur ein Kaufmann und nicht ITler verbrochen haben face-big-smile
Andererseits find ichs jetzt auch nicht soooo schlimm, wenn mans einmal kapiert hat.
Da hast du absolut Recht !
Ich wollte ja eher die Frage nach eventuellen Denkfehlern an den Schlüssen im beschriebenen Szenario stellen.
Ach so... OK da gabs aber auch nichts zu mäkeln das ist banaler Popel Standard und eine klassische Konfig !
Außer....
- PC30 an Port mit Member VLAN10+20 untagged, PVID1
Das ist natürlich Blödsinn ! Ein untagged Endgerät kann niemla Mitgliet zweier oder mehrere Port basierten VLANs sein, das ist technisch unmöglich.
Macht außerdem auch keinen Sinn, da ja in den unterschiedlichen VLANs auch immer unterschiedliche IP Netze konfiguriert sind so das die so oder so nie kommunizieren könnten. Wenigstens nicht ohne einen Router !
(Member Default-VLAN1 untagged sind alle)
Das ist genau so ein Blödsinn und geht gar nicht technisch !
Du schreibst ja oben selber "- PC10 an Port mit Member VLAN10 untagged, PVID10" Damit ist PC10 fest Member von VLAN 10 und kann niemals gleichzeitig auch untagged Member von VLAN 1 sein. In Port basierten VLANs ist das völlig unmöglich und wie gesagt auch unsinnig.

Zwischen den VLANs können sich Endgeräte niemals sehen !! Jede VLAN Doamin ist vollkommen getrennt zu anderen VLAN Domains, was ja auch der tiefere Sinn von VLANs auf einem Switch sind.
VLAN übergreifende Kommunikation ist ausschliesslich nur über einen Router möglich oder über den Switch selber sofern der ein Layer 3 also ein Routing Switch ist !
An einer Stelle vermute ich aber einen Denkfehler:
Ja das stimmt ! Wenn du zusätzlich zu einem Trunk (tagged Uplink) auch noch zusätzlich eine einzelne Strippe pro VLAN gesteckt hast dann ja.
Damit kommt es zu einem Loop (Schleife) in jedem VLAN die per Definition im Ethernet verboten ist.
Ohne ein aktive Spanning Tree Protokoll kollabieren dir dann die Netze in den VLANs durch den Loop ! Das ist der Todesstoß eines jeglichen Ethernet LANs ohne STP.
Oder bekommt der das hin, weil er beides getrennt routet?
Rein im Layer 2 definitiv NEIN, dann loopt der und tötet das Netzwerk !
Ansonsten häng ich den Draytek halt an einen Trunked-VLAN-Port
Das wäre der richtige Weg oder eben die Einzelstrippen pro VLAN !
Es geht aber nur entweder oder !! Niemals beiedes parallel weil der Draytek m.W. kein STP supportet ?!
Das o.a. Tutorial beschreibt ganz genau wie man einen Router oder Firewall mit einem Trunk anbindet zum VLAN routen !!
Bitte lesen !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel: VLAN Routing !
Mitglied: 45455
45455 31.12.2014 aktualisiert um 15:34:29 Uhr
Goto Top
Die txs machen vlan Routing.

Uns der Draytek beherrscht kein stp - das bleibt also eine Strippe.

Gruß
Kai