bwurst
Goto Top

VLANs über Switch verbinden

Hallo,

ich habe hier ein Netzwerk (bisher mit einfachen Switches) über mehrere Gebäude hinweg. Wir haben eine Telefonanlage mit mehreren DECT-Basisstationen, die alle per Netzwerk kommunizieren. Zwischen den Gebäuden liegt jeweils ein Adernpaar Glasfaser mit einfachem Medienwandler. Es gab jetzt immer wieder Störungen bei der Telefonanlage und der Hersteller drängt mich dazu, den VoIP-Verkehr mittels Managed-Switches zu priorisieren, da hier auch noch IPTV im Netzwerk gemacht wird.

Dazu habe ich jetzt mal die Möglichkeiten der einfachen Managed Switches angeschaut. Priorisierung von VoIP läuft wohl zunächst mal immer auf ein separates VLAN raus. Daher habe ich mich jetzt erstmal ein paar Tage in das Thema VLAN eingelesen.

Eine Frage blieb mir dabei aber offen:
Wenn ich jetzt die DECT-Stationen, Telefone und die Telefonanlage in ein separates VLAN packe und einen Port mit diesem VLAN dann einfach im DSL-Router mit einstecke (also via normalem Switch mit dem Haupt-Netz verbinde), kann ich dann davon ausgehen, dass der interne VoIP-Traffic trotzdem quasi ungestört auf dem separaten VLAN inklusive der Priorisierung über die Switches läuft und dennoch alle VoIP-Geräte normalen Internet-Zugang haben ohne dass ich dafür noch zusätzliche Router brauche?

Netz-Segmentierung zwecks Sicherheit ist im Moment kein Thema, es geht wirklich nur um die Priorisierung auf den Strecken zwischen den Gebäuden. Mir geht es jetzt um die Frage, ob ich damit verhindern kann, dass anderer Traffic unsinniger Weise in das VoIP-VLAN geleitet wird. Ich stell mir das so vor, dass sogar ein unmanaged Switch schon erkennt, dass der normale Web-Traffic in dem VoIP-Netz-Segment nicht gebraucht wird und daher die Telefonanlage mit den Telefonen quasi ungestört kommunizieren kann ohne dass ich gleich ein zweites IP-Netz-Segment mit allem Aufwand (Router, DHCP-Server, statische Routen im Gateway) einrichten muss.

Schonmal vielen Dank für Erfahrungen oder andere Anregungen für das geschilderte Problem.

Gruß,
Bernd

Content-Key: 346581

Url: https://administrator.de/contentid/346581

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: ashnod
ashnod 17.08.2017 um 20:17:49 Uhr
Goto Top
Ahoi
Du schreibst zwar sehr umfangreich, die wirklich wichtigen Details fehlen zumindest mir.

Wenn der Router die Priorisierung nicht unterstützt und du am Router an mehreren Ports die Verbindung abgreifst, wird das Ergebnis wohl eher bescheiden bis nicht vorhanden sein.
Sanfte Grüße
Mitglied: bwurst
bwurst 17.08.2017 um 21:30:53 Uhr
Goto Top
Danke für die Antwort.

Was ich wirklich nicht deutlich geschrieben habe: Ich will nicht die VoIP-Verbindung ins Internet priorisieren sondern die Verbindung von Telefonanlage zu den DECT-Basisstationen, also nur innerhalb unseres LAN.

Dass man in großen Netzwerken all das ganz anders angehen wird ist mir schon klar. face-smile

Ich hab das mal im Ansatz getestet und bin zuversichtlich, dass das klappt. Mein Managed-Switch kann ja die übertragenen Pakete zählen und wenn ich den einfach an den alten Switch anschließe und dann auf dem alten Switch Traffic generiere, dann kommen beim Managed-Switch diese Pakete nicht an. Also müsste das wie ich eingangs beschrieben habe klappen.

Zwei VLANs die "auf der Strecke" getrennt sind und dann am Internet-Zugang zusammen laufen. Der Traffic ist dann auf dem jeweiligen VLAN und ich kann die Verbindungen innerhalb meines Netzes priorisieren.
Mitglied: chiefteddy
Lösung chiefteddy 18.08.2017 um 10:13:19 Uhr
Goto Top
Hallo,

Priorisierung hat formal erstmal nichts mit VLANs zu tun.

Bei einer Priorisierung werden Datenpakete durch die erzeugende Applikation (zB. VoIP) markiert und in den beteiligten Geräten (Switch und Router mit QoS) bevorzugt bearbeitet (weitergeleitet).

Mit VLANs kann man Netzwerke strukturieren und damit Broadcast-Domänen verkleinern. Da Broadcast nicht geroutet wird, verringert sich der Datenverkehr in den einzelnen VLANs generell und die VoIP-Pakete können ungehinderter transportiert werden. Das ist aber kein Priorisieren.

Um das mal bildlich darzustellen:

Wenn auf einer Straße im Berufsverkehr ein Krankenwagen mit Blaulicht (Priorisierung) fährt und alle machen Platz und die Kreuzungen werden freigehalten - das ist Priorisierung.

Wenn 2 Straßen parallel laufen, eine nur für LKWs und eine nur für PKWs, ist auf der jeweiligen Straße "weniger los" als wenn es nur eine Straße für LKWs und PKWs gäbe. Und natürlich kommt der Krankenwagen auf der PKW-Straße schneller vorran (auch ohne Blaulicht), da dort ja keine LKWs mehr fahren. Das ist Segmentierung mit VLANs und nicht Priorisierung.

https://de.wikipedia.org/wiki/Datenframe --> 802.1Q-Tag
https://de.wikipedia.org/wiki/Ethernet#VLAN-Tag --> VLAN-Tag
https://de.wikipedia.org/wiki/IEEE_802.1Q


Jürgen
Mitglied: aqui
Lösung aqui 18.08.2017 um 11:09:15 Uhr
Goto Top
Dieser Thread hat ebenfalls ein paar Grundlagen zu dem Thema:
Kaufberatung - Switches mit VoIP-Priorisierung
Mitglied: bwurst
bwurst 18.08.2017 um 11:35:23 Uhr
Goto Top
Danke euch beiden für die Grundlagen zum Thema Priorisierung. Dass es diverse Methoden und Verfahren gibt, macht es ziemlich unübersichtlich.

Der Switch kann soweit ich das verstehe beides, QoS mit CoS/Diffserv und VLAN. Da ich nur wenige VoIP-Geräte habe und deren Switch-Ports sich nicht ändern, wird ein separates VLAN einfacher zu verwalten sein, das lasse ich auf den Switches einfach mit höherer Priorität laufen und habe dann mit wenig Konfiguration alle diese Geräte priorisiert, egal ob die selbst irgendwelche Priorisierungs-Flags setzen oder nicht.

Oder um bei Jürgens Analogie zu bleiben: Ich habe dann zwei Straßen, eine nur für die Krankenwagen und eine für den Berufsverkehr. Und wenn die Krankenwagen dann an den Kreuzungen immer Vorrang haben, müsste das ja passen.
Mitglied: aqui
aqui 18.08.2017 um 11:50:01 Uhr
Goto Top
Dass es diverse Methoden und Verfahren gibt, macht es ziemlich unübersichtlich.
Sorry, aber diese Aussage ist laienhafter Unsinn. Weistt du vermutlich auch selber.
Es gibt genau 2 (zwei !) Verfahren zur Priorisierung. 802.1p auf Layer 2 Basis (Mac Adressen) und DSCP (DiffServ) auf Layer 3 (IP Adress) Basis.
Mit 2 popeligen Verfahren sollte ja auch jeder Anfänger problemlos klar kommen, oder ?
Der Switch kann soweit ich das verstehe beides
Ist auch in der Regel Standard heute bei managebaren Switches. Auch wenn es China Billigware ist.
wird ein separates VLAN einfacher zu verwalten sein
Nicht nur das es ist auch simpler Standard Voice immer in ein separates VLAN isoliert vom Produktivtraffic zu legen !
und habe dann mit wenig Konfiguration alle diese Geräte priorisiert,
Hast du den o.a. Thread gelesen ???
Wichtig ist für dich als Allererstes herauszubekommen WIE die Telefone oder VoIP Endgeräte ihren Voice Traffic priorisieren !!!
In der Regel setzen die per Default DSCP Bits und der Switch priorisiert diese dann entsprechend einem Default Profile was er hat.
Dazu muss man aber wissen WAS und mit welchem Wert diese Geräte die DSCP Bits setzen in den Paketen !!
Ein Wireshark Sniffer ist hier dein bester Freund, denn der zeigt dir das sofort schwarz auf weiss.
Setzen die Endgeräte nix wird auch nix priorisiert.
Klassifizieren direkt selber am Switch sollte man wenn irgend möglich immer vermeiden !!
Mitglied: sk
sk 18.08.2017 aktualisiert um 12:58:24 Uhr
Goto Top
Zitat von @bwurst:
habe ich jetzt mal die Möglichkeiten der einfachen Managed Switches angeschaut. Priorisierung von VoIP läuft wohl zunächst
mal immer auf ein separates VLAN raus.

Wie hier schon richtiger Weise angemerkt wurde, haben VLANs zunächst einmal nichts mit Priorisierung zu tun. Priorisierung im Ethernetumfeld (also auf Layer 2) wird üblicherweise über das Setzen eines speziellen Priority-Tags im Ethernetheader realisiert. Entsprechend dieser Kennzeichnung wird dann der Traffic verschiedenen Queues auf dem Switch zugeordnet. Diese Queues werden vom Switch mit unterschiedlicher Priorität abgearbeitet. Auf diese Weise ist es möglich, bestimmten Traffic gegenüber anderem bevorzugt abzuarbeiten. Praktische Auswirkung hat dies aber nur in 2 Fällen:
a) sehr hohe Auslastung einzelner Links
b) sehr hohe Auslastung der Switchbackplane

Gute Switche geben dem Admin umfangreiche Möglichkeiten an die Hand, das Priority-Tag anhand gewisser Kriterien umzuschreiben. Eine davon wäre auch die Berücksichtigung der VLAN-Zugehörigkeit. Kann gut sein, dass Dein Switch das ebenfalls ermöglicht oder sogar aus Vereinfachungsgründen ein direktes Mapping VLAN nach Queue/Priorität anbietet. Da Du uns aber in Unkenntnis über die eingesetzten Modelle lässt, kann das hier niemand wissen.

VLANs können freilich auch ohne Priorisierung einen positiven Effekt haben. Dieser ist darin begründet, dass Du auf diese Weise sog. Broadcast-Traffic eingrenzen kannst. Auf den beteiligten Accessports ist dann im Ergebnis deutlich weniger Traffic. Da VLANs jedoch nunmal eine Virtualisierungstechnologie sind, teilen sie sich die gleiche Basisinfrastruktur wie Uplinks, Switchbackplane usw. VLANs helfen Dir daher nicht, wenn gemeinsam genutzte Uplink-Ports oder die Switchbackplane ausgelastet sind. Ersterem kann man ggf. durch Erhöhung der Bandbreiten und Kapazitäten der Uplinks begegnen. Bei letzteren kommt man um eine echte Priorisierung nicht herum.

Für Dein Vorhaben ist es also sehr entscheidend zunächst herauszufinden, wo überhaupt der Engpass liegt und worin dieser begründet ist. Ich vermute folgende Hauptursachen:
1) Der Multicast-Traffic des IP-TV wird nicht herausgefiltert, sondern landet per Flooding auf allen Ports
2) Deine Uplinks sind ausgelastet


Zitat von @bwurst:
Eine Frage blieb mir dabei aber offen:
Wenn ich jetzt die DECT-Stationen, Telefone und die Telefonanlage in ein separates VLAN packe und einen Port mit diesem VLAN dann einfach im DSL-Router mit einstecke (also via normalem Switch mit dem Haupt-Netz verbinde), kann ich dann davon ausgehen, dass der interne VoIP-Traffic trotzdem quasi ungestört auf dem separaten VLAN inklusive der Priorisierung über die Switches läuft und dennoch alle VoIP-Geräte normalen Internet-Zugang haben ohne dass ich dafür noch zusätzliche Router brauche?
Netz-Segmentierung zwecks Sicherheit ist im Moment kein Thema, es geht wirklich nur um die Priorisierung auf den Strecken zwischen den Gebäuden. Mir geht es jetzt um die Frage, ob ich damit verhindern kann, dass anderer Traffic unsinniger Weise in das VoIP-VLAN geleitet wird. Ich stell mir das so vor, dass sogar ein unmanaged Switch schon erkennt, dass der normale Web-Traffic in dem VoIP-Netz-Segment nicht gebraucht wird und daher die Telefonanlage mit den Telefonen quasi ungestört kommunizieren kann ohne dass ich gleich ein zweites IP-Netz-Segment mit allem Aufwand (Router, DHCP-Server, statische Routen im Gateway) einrichten muss.

Wenn Du die VLANs im Endeffekt wieder auf einem einfachen Switch untagged verbindest, hast Du genau gar nichts erreicht! Beide VLANs gehören dann noch immer zur selben Broadcastdomain.


Zitat von @bwurst:
Ich hab das mal im Ansatz getestet und bin zuversichtlich, dass das klappt. Mein Managed-Switch kann ja die übertragenen Pakete zählen und wenn ich den einfach an den alten Switch anschließe und dann auf dem alten Switch Traffic generiere, dann kommen beim Managed-Switch diese Pakete nicht an. Also müsste das wie ich eingangs beschrieben habe klappen.
Zwei VLANs die "auf der Strecke" getrennt sind und dann am Internet-Zugang zusammen laufen. Der Traffic ist dann auf dem jeweiligen VLAN und ich kann die Verbindungen innerhalb meines Netzes priorisieren.

Dein Test bzw. die Schlussfolgerung ist falsch. Bitte beschäftige Dich mit folgenden Begriffen:
a) Unicast, Multicast, Broadcast
b) Filterung, Flooding

Dein obiges Ansinnen mit Beibehaltung des einfachen Routers ließe sich mit sog. asymmetrischen VLANs realisieren (hierzu habe ich mich in diesem Forum schon oft geäußert; SUFU hilft). Selbst wenn Deine Switche dies ermöglichen sollten, wäre dies jedoch aus meiner Sicht dennoch NICHT empfehlenswert.


Gruß
sk
Mitglied: bwurst
bwurst 18.08.2017 um 13:04:56 Uhr
Goto Top
Ich glaube ehrlich gesagt gar nicht, dass ich überhaupt ein Auslastungsproblem im Netz habe. Weder Wireshark noch die Zähler des Switches deuten auf Last hin, die Engpässe verursacht. Auch ist mit IPTV hier kein Entertain gemeint sondern Unicast-Verbindungen wie Youtube, Amazon Prime Video und ein Streaming vom lokalen TVHeadend. Auch wenn ich die Counter am Switch anschaue, da kommt vergleichsweise wenig Multicast und Broadcast an.

Wie gesagt, wir haben zwar Probleme mit der DECT-Telefonanlage aber ich halte die DECT-Verbindung für das Problem und nicht die IP-Verbindung. Ich muss nur irgendwas machen damit ich das IP-Netz als Fehlerquelle ausschließen kann, da der Hersteller der Telefonanlage natürlich zu erst mal meine Infrastruktur als Ursache im Verdacht hat und in den Richtlinien natürlich auch steht, man solle ein LAN exklusiv für die Telefonanlage aufbauen.

Wenn ich also ein separates VLAN habe, an dessen "Eingang" ich das Trafficaufkommen sehen und im Notfall dann auch noch filtern kann, dann ist das doch schonmal was.

Ja, ich habe von Layer2/3-Protokollen wenig Ahnung, bin normal eher von Layer 4 aufwärts zuständig. Ich habe auch nicht die Ressourcen um das alles sauber zu strukturieren oder Beratung einzukaufen. Da ich bisher auch keinen Hinweis drauf habe, dass es überhaupt ein Problem im Netzwerk gibt, kann ich das auch nur halbherzig verfolgen.

Danke für eure geduldigen Antworten und ja, wenn jemand mit gefährlichem Halbwissen in meinem Fachgebiet rummacht, ärgert mich das auch. face-smile
Mitglied: aqui
aqui 18.08.2017 aktualisiert um 15:05:59 Uhr
Goto Top
Weder Wireshark noch die Zähler des Switches deuten auf Last hin, die Engpässe verursacht.
Das ist doch dann gut ! Wenn das auch so bleibt und wenig bis keine Skalierbarkeit gefordert is,t kannst du ganz banal auch alles "mit Bandbreite" erschlagen und auf jegliche Priorisierung verzichten.
Du richtest das dann erst dann ein wenns über längere Perioden mal Aussetzer oder Störungen gibt.
Priorisierung ist gut um sicher zu gehen aber keinesfalls zwingend wenn man es nicht unbedingt braucht.

Um dein IP Netz auszuschliessen mache mit NetIO ein paar unabhängige Performance Tests und halte das dem Telefoniker unter die Nase.
http://www.nwlab.net/art/netio/netio.html
Voice nutzt pro Gespäch ca. 56 kbit/s das ist sogar für ein 100Mbit Fast Ethernet LAN eine Lachnummer sogar wenn 10 oder auch 100 Leute gleichzeitig telefonieren. Nur um mal die Relationen aufzuzeigen.
Solange du also keine Performance Engpässe auf der Infrastruktur hast oder größere Latencies ist dein Netzwerk ganz sicher nicht der Bremsklotz.
Ja, ich habe von Layer2/3-Protokollen wenig Ahnung,
Dagegen kann man ja was tun... face-wink