Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLANs mit 2 Cisco Switches und bintec Router

Frage Netzwerke Netzwerkmanagement

Mitglied: ef8619

ef8619 (Level 1) - Jetzt verbinden

23.05.2013, aktualisiert 16:15 Uhr, 4282 Aufrufe, 8 Kommentare, 4 Danke

Hi!

Wir möchten gern unser Netzwerk reorganisieren und haben dazu folgende Komponenten:

a) Cisco SGE2000P, 24 Port PoE Gigabit Switch (davon 2 Stacking Ports), 4 GBIC Interfaces
b) Cisco SF 300-24, 24 Port Fast Ethernet Switch, 2 Gigabit Ports, 4 GBIC Interfaces
c) bintec R1202 VPN Gateway/Router, 5 Gigabit Ports (davon ein Port dediziert für WAN Zugang)

Alle Geräte sind VLAN (tagged/untagged) fähig.

Folgendes Szenario soll nun umgesetzt werden:

1. Auf Gerät a) sollen 5 VLANs definiert werden, welche für verschiedene Zwecke dienen (VoIP, Drucker, WLAN, Rechner und Server)
2. Auf Gerät b) soll 1 VLAN für Laborkomponenten definiert werden
3. Das Gerät c) soll für alle VLANs als Internet Gateway dienen
plus zusätzlicher Regeln für die Kommunikation der Clients aus verschiedenen VLANs untereinander.

Meine Frage ist nun: wie baut man so ein Netzwerk richtig auf? Ich habe mit hierfür bereits ein paar Videos angeschaut und etwas im Internet recherchiert und bin nun auf folgendem Kenntnisstand:

1. Auf dem Router erstellt man virtuelle Interfaces und zwar soviele wie es VLANs gibt. Die Adressen dieser Interfaces sind die Gateway Adressen für die einzelnen VLAN Teilnehmer. Ein Beispiel für 3 virt. Interfaces und damit verbundene 3 Gateway Adressen wären: 10.80.10.0/24, 10.80.20.0/24 und 10.80.30.0/24
2. Auf den Switches werden die einzelnen VLANs definiert und den dafür ausgewählten Ports zugewiesen. Hierbei wählt man den "Access" Modus für den Port aus, der nur mit Teilnehmer in dem für ihn festgelegten VLAN kommunizieren darf, und den Modus "Trunk", wenn er auch mit Teilnehmern aus anderen VLANs kommunizieren darf.
3. Um die Kommunikation zwischen VLANs zu ermöglichen, welche auf verschiedenen Switches definiert sind, werden auf jedem Switch dedizierte Trunk-Ports eingerichtet. Diese sind "tagged" um auf Layer-2 feststellen zu können, zu welchem VLAN die entsprechenden Pakete weitergereicht werden sollen
4. Auf dem bintec Router werden 2 Ports mit jeweils einem Switch physisch verbunden.

So und jetzt hört es auf. Ich weiß nun nicht mehr was ich mit dem Router anstellen soll. Die VLANs werden ja immer auf Layer-2 Geräten, d.h. den Switches definiert. Somit kann man hier schon einmal sicherstellen welche VLAN-Teilnehmer untereinander kommunizieren dürfen. Das Einzige, wofür ich den Router doch nun noch brauche, ist doch für das Sicherstellen der Kommunikation in fremde Netze, sprich ins Internet oder?

Was mir ebenfalls noch nicht klar ist: welche IP-Adressen bekommen die Switches bzw. in welchem VLAN befinden sich diese?

Gruss
ef8619
Mitglied: Deepsys
23.05.2013 um 16:28 Uhr
Hi,

Zitat von ef8619:

So und jetzt hört es auf. Ich weiß nun nicht mehr was ich mit dem Router anstellen soll. Die VLANs werden ja immer auf
Layer-2 Geräten, d.h. den Switches definiert. Somit kann man hier schon einmal sicherstellen welche VLAN-Teilnehmer
untereinander kommunizieren dürfen. Das Einzige, wofür ich den Router doch nun noch brauche, ist doch für das
Sicherstellen der Kommunikation in fremde Netze, sprich ins Internet oder?
Nein, im Switch sind und bleiben die VLANs getrennt.
Ein Trunk verbindet NICHT die VLANs, der lässt nur zu das über den Port mehrere VLANs laufen können.

Zusammenführen kann die nur ein Router.
Aber ein Switch kann nun auch Routingfunktionen haben ...

Was mir ebenfalls noch nicht klar ist: welche IP-Adressen bekommen die Switches bzw. in welchem VLAN befinden sich diese?
Zumeist eben eine IP in einem VLAN, am ehesten dafür im VLAN 0 oder 1 (keine Ahnung wie Cisco das macht).
Meist ist es das Netzwerk mit dem du den Switch einrichtest.


VG
Deepsys
Bitte warten ..
Mitglied: ef8619
23.05.2013 um 16:36 Uhr
Verstehe ich das richtig: Wenn z.B. 2 Teilnehmer physikalisch an denselben Switch angeschlossen sind, sich aber in 2 verschiedenen VLANs befinden und miteinander kommunizieren möchten (ohne Regeln), dann läuft dieser gesamte Traffic über den Router???
Bitte warten ..
Mitglied: aqui
23.05.2013 um 19:04 Uhr
Einen groben Überblick über das WIE verschafft dir dieses Tutorial:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: dog
23.05.2013 um 21:35 Uhr
Verstehe ich das richtig: Wenn z.B. 2 Teilnehmer physikalisch an denselben Switch angeschlossen sind, sich aber in 2 verschiedenen VLANs befinden und miteinander kommunizieren möchten (ohne Regeln), dann läuft dieser gesamte Traffic über den Router???

Ja.

Ein Beispiel für 3 virt. Interfaces und damit verbundene 3 Gateway Adressen wären: 10.80.10.0/24, 10.80.20.0/24 und 10.80.30.0/24

Nein.
Das sind 3 Netzwerk-IDs.
Und Netzwerk-IDs können nicht als IP-Adresse verwendet werden. Die möglichen Adressen wären 10.80.10.1, usw.

und den Modus "Trunk", wenn er auch mit Teilnehmern aus anderen VLANs kommunizieren darf.

Nein, hat @Deepsys ja schon erklärt.

Diese sind "tagged"

Tagged und Trunked sind das selbe.
Trunked heißt es bei Cisco und Tagged beim Rest der Welt.
Dafür heißt Trunked beim Rest der Welt Kabelbündelung (was bei Cisco wiederum Etherchannel heißt).

Was mir ebenfalls noch nicht klar ist: welche IP-Adressen bekommen die Switches bzw. in welchem VLAN befinden sich diese?

Da wo du sie haben willst.
Bei uns sind die in einem Management-VLAN, zusammen mit Druckern, IP-Kameras, ...
Bitte warten ..
Mitglied: ef8619
23.05.2013, aktualisiert um 22:43 Uhr
Vielen Dank für die Antworten. Jetzt bin ich schon ein ganzes Stück schlauer als vorher. Da wir nur Layer-2 Switches haben und der Business Case die Investition in neue (obwohl die Cisco Catalyst ja ganz toll seien soll, wie ich gelesen habe) nicht rechtfertigt, müssen wir das Routing von Paketen zwischen verschiedenen VLANs über den bintec realisieren, mit einem Link vom bintec zu jeweils einem Switch.

Ich denke eine Gigabit-Verbindung sollte hier geradeso ausreichend sein (wenn wir unseren File Server in das wichtigste VLAN mit reinnehmen, dort wo unsere Rechner liegen sollen). Der File Server hat 4 Gigabit Ports mithilfe Port Aggregation zu einem virtuellen zusammengeschaltet (intern läuft Raid 5 mit 3,5" 3TB SATA Platten und 7200upm), um eine akzeptable Geschwindkeit für alle Teilnehmer zu gewährleisten. Würde dieser in einem eigenen VLAN stecken, so gäbe es hier ja Probleme aufgrund des Routings über nur einen Gigabit Port am bintec Router. Richtig?

@dog: Du hast geschrieben, dass die Drucker bei euch im Management-VLAN sind. Jeder, der Zugriff auf die Drucker hat, bekommt doch dann aber auch automatisch Zugriff auf die restlichen Teilnehmer in diesem VLAN oder? Bei uns würde das bei den Labor Teilnehmer dann der Fall sein, was wir vermeiden möchten.

Ich habe mich nun auch noch etwas über WLAN Router und VLANs informiert. Momentan nutzen wir eine Apple Time Capsule als WLAN-Router (m.M.n. nicht professionell). Ich denke aber, dass dieses Gerät kann nicht mit VLANs umgehen. Ich werde deswegen einen CISCO Small Business RV 220W Wireless Router ins Netzwerk integrieren und die Time Capsule entfernen. Was haltet ihr von dem Gerät?

Noch eine kurze Frage, welche ich mir während der Recherche gestellt habe: Port based VLANs sind ja laut Internet mittlerweile etwas aus der Mode gekommen und man versucht das Ganze über Tagged bzw. dynamische VLANs zu lösen. Ist das empfehlenswert für ein kleines Office Netzwerk und wenn ja, werden hier spezielle Bedingungen an die Teilnehmer gestellt (z.B.: müssen die Client-NICs VLAN-Unterstützung mitbringen?)

Gruss
ef8619
Bitte warten ..
Mitglied: dog
24.05.2013 um 00:02 Uhr
Würde dieser in einem eigenen VLAN stecken, so gäbe es hier ja Probleme aufgrund des Routings über nur einen Gigabit Port am bintec Router. Richtig?

Ja, und nur weil es ein Gigabit-Port ist, heißt das noch lange nicht, dass er auch Gigabit-Raten forwarden kann.

Jeder, der Zugriff auf die Drucker hat, bekommt doch dann aber auch automatisch Zugriff auf die restlichen Teilnehmer in diesem VLAN oder?

Wenn du damit meinst "Netzwerkstecker aus dem Drucker ziehen und in eigenes Laptop stecken" - ja. Aber haben die Geräte bei uns auch in dem VLAN alle Passwörter und das Schadensrisiko hält sich in hier Grenzen im Vergleich zum Aufwand den noch ein weiteres VLAN bedeutet.

Wenn du wirklich auf Nummer sicher gehen willst musst du sowieso Kyocera-Drucker kaufen, auf denen IPSec aktivieren und dann das VLAN ausschließlich via IPSec mit dem Router kommunizieren lassen.

Was haltet ihr von dem Gerät?

Nicht viel.
Die RV-Serie stammt primär noch von Linksys, auch wenn mittlerweile Cisco draufsteht.

Port based VLANs sind ja laut Internet mittlerweile etwas aus der Mode gekommen und man versucht das Ganze über Tagged bzw. dynamische VLANs zu lösen.

Port-based und GVRP gehören erstmal nicht zusammen.
Port-based ist heute der Marketing-Begriff für VLANs die nicht 802.1q-konform sind (das wiederum ist aber die Standardeinstellung bei jedem Switch der letzten 10+x Jahre)

Dynamische VLAN-Zuweisung (GARP/GVRP) ist ein recht kompliziertes Verfahren (das bei 802.1q optional verwendet werden kann), dass nur in komplexen Strukturen wirklich Sinn macht (zum Vergleich: Ich hab 9 Switche und mache es da noch lieber von Hand).
Dazu kommt, dass es mittlerweile mit MMRP/MVRP einen aktualisierten Standard gibt, den aber kaum ein Hersteller implementiert hat.
Zudem kenne ich keine GVRP-Implementierung auf Windows oder anderen Nicht-Switch-Geräten.
Bitte warten ..
Mitglied: ef8619
24.05.2013, aktualisiert um 09:56 Uhr
Ok, vielen Dank für deine Antwort. Zum Thema GVRP/MVRP muss ich mich doch noch etwas einlesen, da fehlt mir momentan noch das Verständnis. So wie ich das jetzt aber herausgelesen habe, sollte die Port-basierte Methode für uns ausreichen, da wir eben auch nur eine überschaubare Netzwerkinfrastruktur (Teilnehmer) haben:

4x Apple iMac per LAN-Kabel
5x Apple MacBook Pro per WLAN
2x Dell XPS per LAN-Kabel (Labor)
2x Xerox Drucker
1x Epson Plotter
1x Apple xServe mit 6 Gbit Schnittstellen (2 dieser Ports sind direkt mit einem 19" QNAP NAS verbunden, welches als Backup Appliance dient)
6x snom VoIP-Telefone.

Folgende Aufteilung in VLANs haben wir uns vorgestellt:

ID10: Apple LAN
ID20: VoIP-Telefone
ID30: Drucker
ID40: WLAN
ID50: Labor

ID10-ID40 sollen am Cisco SGE2000P PoE Switch betrieben werden. ID50, also die beiden Labor Rechner am 100Mbit Cisco SF 300-24 Switch. Der bintec Router stellt 4 Gigabit Ports bereit.

Ist das sinnvoll, das Netzwerk derart zu segmentieren (abhängig von der Anzahl der Teilnehmer)?

P.S.: Könnt ihr einen guten WLAN-Router mit VLAN Unterstützung für die SSIDs empfehlen?

Gruss
ef8619
Bitte warten ..
Mitglied: aqui
24.05.2013 um 10:21 Uhr
Ja, diese Segmentierung ist sehr sinnvoll und du bist da absolut auf dem richtigen Weg !
Alle besseren WLAN Router (Cisco, Lancom, Bintec/Funkwerk usw.) supporten deine Anforderungen zum VLAN Routing und dem Multi SSID Support im WLAN problemlos.
Das zitierte VLAN Routing Tutorial von oben bietet einen groben Überblik über diese HW.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Monitoring
gelöst Auflistung von CISCO-Switches (3)

Frage von honeybee zum Thema Monitoring ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Switche und Hubs
gelöst Frage zu SFP+ Einschub für Cisco SG-500X Switches (4)

Frage von the-datzl zum Thema Switche und Hubs ...

DSL, VDSL
gelöst VPN-Probleme (CISCO AnyConnect) in Zusammenhang mit Router "Vodafone EasyBox" (7)

Frage von donnyS73lb zum Thema DSL, VDSL ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...