VLANs über Switch + WAN via Router einrichten

ram99

ram99

Neuling
Thread Starter
Mitglied seit
07.04.2003
Beiträge
474
Hallo

Ich habe mehrere Rechner welche ins Internet sollen sich aber gegenseitig nicht sehen dürfen. Noch dazu gibt es einen Netzwerkdrucker auf den alle zugreifen sollen.

Der Gedanke:
1.)Router inkl. DSL Modem von Telekom (Speedport W723) wird normal parametriert (Einwahldaten, Firewall ...) das ein WAN Zugang entsteht.

2.)Port 1 vom Vlan Switch 8-Port z.B. (TP-Link SG2109WEB) wird mit einem LAN Port vom Router verbunden

3.)Port 2 vom Vlan Switch wird mit dem Netzwerkdrucker verbunden

4.)Port 3-8 wird mit den einzelen Rechnern verbunden

5.)Der Vlan Switch wird so parametriert, dass es 6 Vlans gibt. Jeweils ein Rechner mit Port 1+2 bilden ein Vlan. z.B. Port 4, 1 und 2 sind ein Vlan.

Sind diese Rechner noch getrennt voneinander oder sehen diese sich durch die gemeinsame Verbindung auf Port 1 oder 2 ??

Gruß

Thomas
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
kommt immer auf den switch an
wenn der ingress filtering kann, kannst du ihn so einstellen dass er nur die jeweilig richtig geflagten vlan pakete zu deinem rechner durchlässt

ausserdem musst du den rechnern und dem switch auch noch ein vlan zuweisen
so wie ich das sehe hast du immoment alles in einem netz sonst könntest du nicht auf den router zugreifen
 
Zuletzt bearbeitet:
Hi

Rechner nur unsichtbar machen ist nicht. Es müssen einzelen Netze sein die sich auch via Ping nicht sehen lassen! Der Betreiber hat mit Würmern schon negative Erfahrungen gemacht weshalb für mich die einfachste Lösung die VLANs sind. Die Rechner dürfen keine Verbindungen untereinander haben!!
Momentan existiert das Netz noch nicht. Ich richte es gerade ein.

Ich habe eben noch einen alten Draytek 2900 Router welche Vlan unterstütz bei mir gefunden. Habe den Router nur als Switch betrieben und Vlans eingerichtet.
Port 1 vom Switch mit DSL Router/Modem verbunden -> WAN
Port 2, 3 und 4 jeweils mit Port 1 ein eigenes Vlan zugewiesen:

VLAN1 Port 1+2
VLAN2 Port 1+3
VLAN3 Port 1+4

Alle drei Rechner (Port 2-4) sind ins Internet gekommen und konnten sich via Ping nicht sehen. Ich gehe also davon aus das die Idee funktioniert.
Als nächstes wollte ich mir dann ein 8X VLan Switch besorgen.
An Port 8 würde dann noch der Netzwerkdrucker kommen. So soll es dann im Switch aussehen:

VLAN1 Port 1+2+8
VLAN2 Port 1+3+8
VLAN3 Port 1+4+8
VLAN4 Port 1+5+8
VLAN5 Port 1+6+8
VLAN6 Port 1+7+8

Die Rechner sind reine Workstations welche ins Internet + Drucken müssen. Kein Multimedia oder sonst was. Passt meine Idee oder liege ich mit etwas falsch.

Gruß

Thomas

---------- Beitrag hinzugefügt um 19:16 ---------- Vorheriger Beitrag war um 16:11 ----------

Eben noch etwas gelesen.
Der Aufbau soll über Portbasierte statisch VLANs (Layer 1) realisiert werden also die einfachste Form! Nicht über Tagged VLANs!!

Thomas
 
Zuletzt bearbeitet:
Dein VLAN-Plan ist IMHO nur umsetzbar wenn:
- Port 1 und 8 "tagged" betrieben werden
- Der Router und der Drucker auf mehreren VLANs gleichzeitig arbeiten können
- Der Router dann dementsprechend getrennte interne Schnittstellen (eine pro VLAN) bildet

Gerade für den Drucker seh aus o.g. Gründen ich schwarz. Entsprechende Router sind zu bekommen, notfalls konfiguriert man sowas mit nem Atom-PC o.ä. und entsprechender Software (Vyatta z.B.).
 
Hi

Danke für die Info. Auf tagged kann ich umstellen. Stellt sich mir nur die Frage ob der Telekom Speedport 723 damit klar kommt.
Für den Drucker hätte ich noch eine alternative wobei das wahrscheinlich kein Unterschied macht. Vom Vlan Switch geh ich mit Port1 auf den Router. Dieser hat noch einen normalen 4X Switch. Dort könnte ich den Drucker mit anschließen. Dieser würde dann auch über Port1 erreicht werden.
Mir ist nur nicht klar ob das eine saubere Trennung ist. Alle Rechner haben ja Zugriff über Port1 vom Router Switch.
Ich denke auch das die einfache Portbasierene Vlans nicht sauber funktionieren da diese sich alle auf dem Router Switch wieder vermischen.

- Der Router dann dementsprechend getrennte interne Schnittstellen (eine pro VLAN) bildet

Kannst du mir das eventuell bisschen besser erklären?

Danke

Thomas
 
Warum nur tagged? Port based funktioniert da auch ohne Probleme. ;)

Habe selber ein VLAN Netz.
In meinem fall 4 Netze mit je 5 Rechnern.

Netz 1 - 3 haben je einen eigenen Router für Internetzugang, Netz 4 ist ein reines LAN.
Desweiteren steht ein FTP / Gameserver da.

Habe den Server in allen 4 Netzen mit eingebunden. Die Leute im Netz sehen sich untereinander ist klar, aber in ein anderes Netz kann keiner von allen rein.
Ist das selbe Prinzip wie das der TE möchte. ;)

Btw. bei mir im Bildungsträger, haben die auch Port based VLAN im Einsatz.
Jeder Port kann zum Server und zum Drucker, aber untereinander sieht sich keiner!

Zur Not, kannst du den Drucker auch an das Speedport hängen, dann eine feste IP geben und die Clients bekommen entweder Statische IP's oder halt dynamische und fängst erst ab der 3 an .

mfg :wink:
 
Zuletzt bearbeitet:
Hi

Also ich habe jetzt auch noch ein wenig gelesen. Ich habe mehrere Beispiele gefunden wo mein Wunsch beschrieben wurde. Richte X Vlans ein und aktivere den Port der mit allen kommunizieren soll in allen. Dieser nennt sich dann
Trunk-Port. Dort wird nun der Router angeschlossen welcher ins WAN geht.

Gruß

Thomas
 
wie schon gesagt wurde, dazu müsste dein Router VLAN fähig sein, sprich virtuelle NICs für jedes VLAN erstellen können, was bei einem Speedport eher nicht der Fall sein wird.
 
Und genau das hat Murdock auch geschrieben.

Du brauchst dann aber auch einen Router, der einen Trunk Port aufnehmen kann. Dieser nimmt eben den Trunk vom Switch auf, in diesem Trunk kommen die Pakete mit den VLAN Tags versehen an und werden dann vom Router interpretiert und seinen eigenen VLANs zugeordnet.
Damit muß der Router in der Lage sein auf dem Trunkport Subinterfaces zu nutzen, wenn man so will, wird der Router quasi mit mehreren getrennten Interfaces auf einem Interface eingerichtet und kann dann entsprechend den Anforderungen Routen, sowohl nach WAN, aber auch bei Bedarf zwischen den LANs, das Ganze ist flexibel.

Nur kannst du mit so billig Routern das Ganze vergessen. Im übrigen wird dann der Drucker auch am Router angeschlossen und die Clients connecten dann auf den Router mit dem Drucker als Ziel, der Router leitet dann die Pakete an den Drucker weiter. (Alternativ kommt der Drucker auch in ein VLAN am Switch und der Router routet dann bei Connections auf die IP eben in das Drucker VLAN und das Switch drückt das Paket dann wieder zum Drucker.)

@Coolhand
Dein Server verfügt über 4 Interfaces?! Damit ist es so, als wenn du 4 Server hättest und jeder in seinem VLAN serviert.

Das Ganze geht aber mit einem Drucker nicht, da ein Drucker im Regelfall nur über ein LAN Port verfügt.

Und bei dir im Bildungsträger werden sicherlich auch richtige Geräte eingesetzt.

Wie oben bereits geschrieben, ist das alles möglich, nur bewegen wir uns hier auf einer andere Ebene der Netzwerkerei und damit Gerätschaften.
 
Zuletzt bearbeitet:
Mhhh, dann verstehe ich aber nicht die Wiki Erklärung. Dort hört es sich an als ob man Portbasierende Vlans (ohne Taggs) mit einem Port verbinden kann.

Virtual Local Area Network

Statische VLANs

Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet. Er gehört dann zu einem Port-basierten VLAN oder zu einem tagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört. Die Konfiguration eines Ports ist bei statischen VLANs fest durch den Administrator vorgegeben. Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLANs unveränderlich fest. Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLANs möglich. Gehört ein Port zu mehreren VLANs, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLANs über mehrere Switches hinweg.

Durch die Möglichkeit, einen Port in mehrere VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzwerkschnittstelle vorhanden sein muss. Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.
Diese VLAN-Trunks dürfen nicht mit den Trunks im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung „gebündelt“ werden.
 
das widerspricht sich doch nicht.
Ja, es ist möglich mehrere VLANs auf einem einzigen Port rauszuführen.
ABER, der Router/Server/Switch der da dranhängt muss das auch unterstützen, und die VLANs auch wieder aufdröseln können. Und ein 0815 Heimrouter kann das idR nicht (evtl. mit Custom Firmwares a lá DD-WRT).
 
Das Ganze ist mit EINEM port based VLAN Switch möglich, aber nur mit einem einzigen Switch eben. Wenn du also eine skalierbare Lösung hast, bzw haben möchtest, dann artet das Ganze extremst aus.

Port based VLAN ist die einzige Möglichkeit einem Port mehrere VLANs zuzuordnen.

Um bei deiner Lösung zu bleiben:

P2 kann mit P1 und P8 reden
P3 kann mit P1 und P8 reden
P4 kann mit P1 und P8 reden
P5 kann mit P1 und P8 reden
P6 kann mit P1 und P8 reden
P7 kann mit P1 und P8 reden

Keiner der Ports mit Rechnern kann mit anderen Rechnerports reden.
Natürlich müssen alle Rechner im selben Subnetz sein, damit sie sowohl Router als auch Drucker ansprechen können.

Aber wie gesagt, dass ist eine Lösung, die dir spätere Upgrades bzw Ausbau der Infrastruktur sehr erschwert. Denn man kann nicht einfach so ein weiteres Switch ranhängen.

Das ist auch der Grund, warum man von dem port based VLAN weg ist, weils einfach zu unflexibel ist
Dennoch ist es eine Lösung, sie ist einfach, kostengünstig, wenn auch nicht unbedingt die Beste.

Ich habe mich mit dem Switch nicht beschäftig, prüfe bitte unbedingt, ob er auch port based kann, das kann nicht jedes VLAN Switch.
Und überdenke bitte auch die Dimensionen des Switches, denn es sind eben nur max 6 Rechner möglich, alles weitere erfordert ein neues Switch.
Zur Maximierung wäre es noch möglich, den Drucker direkt an den Router zu hängen. So bilden Router und Drucker P1 und alle Rechner können auf beide Geräte zugreifen, was P8 freimacht, bzw V7 ermöglich und damit einen weiteren Rechner.
 
Zuletzt bearbeitet:
underclocker2k4 schrieb:
Denn man kann nicht einfach so ein weiteres Switch ranhängen.
Zum Vergrößern anklicken....

was redest du da? Natürlich kann man. Man richtet auf beiden Switches die selben VLANs ein, und gibt sie dann auf den Verbindungsports tagged rüber.
Oder, wenn alle auf dem 2. Switch sowieso im selben VLAN sein sollen konfiguriert man den Verbindungsport auf dem 1. Switch als untagged mit diesem VLAN.
 
Wir reden hier aber von einer port based Geschichte.

Tagged sieht das natürlich anders aus, das war aber nicht die Frage.

Bei einer port based Variante gibt es keine Manipulation der Ethernetframes und damit keine Tags.
 
@ underclocker2k4

Nein der Server hat keine 4 Interfaces...

Der hat einen normalen GB Lanport, der hängt auf der 1 am Switch, Netz 1 hat die Ports P2 - P7 + P1, Netz 2 hat P8 - P13 + P1, usw.
Es funktionieren alle Dienste in allen Netzen, also DNS, DHCP, FTP, Gameserver und da ist nix tagged! ;)
Sehen können sich nur die Leute im jeweiligen Netz, darüber hinaus sehen sie keinen anderen.

Das habe ich deswegen so gemacht, da wir 3 DSL Anschlüsse haben, wo je bis 5 Leute dran hängen, da bei 19 Leuten an einem Anschluss das DSL wie 11k Modem wäre... xD
Also ist in jedem Netz ein DSL-Modem
/ Router mit statischer IP, dann 5 Leute mit Dynamischen IP's und der Server ist in dem Fall am Trunk-Port, der hat auch eine Statische IP und bietet halt den DHCP ab der x.x.x.10 an, alles drunter ist halt statisch vergeben (Router, Server, evtl. bald Drucker).
Sind alle im selben Subnetz, sonst würde das ganze ja nicht funktionieren. :)
Der Server ist in unserem Falle ein Stink normaler Rechner (Asus P5B, E6420, 4GB DDR", 7TB HDD's :fresse:) ...

Edit: Mir fällt gerade auf, ich habe auch ein TP-Link im Einsatz -> TP-Link 24-Port 10/100Mbps Web Smart Switch.

mfg :wink:
 
Zuletzt bearbeitet:
underclocker2k4 schrieb:
Bei einer port based Variante gibt es keine Manipulation der Ethernetframes und damit keine Tags.
Zum Vergrößern anklicken....

jetzt versteh ich was du meinst. Aber das macht ja heutzutage kein Mensch mehr, der TE sicher auch nicht. Port-based ist für mich ein Synonym für statisch nach 802.1q, im Gegensatz zu dynamischen (Protocol based etc.).
 
Doch, genau ist doch das "Problem".

Es ist alt und ziemlich starr, aber eben, wie oben schon geschrieben eine simple Lösung, wenngleich sie nachteilig ist, wenn man upgraden will.

port based hat ja direkt nichts mit 1Q zu tun.

Im Grund muß man 1Q auch geteilt betrachten. Innerhalb eines Switches ist eine Nähe zum port based VLAN zu erkennen, erst beim Trunken wird 1Q interessant.

Trunk muß hier auch wieder unterschiedlich definieren. Trunks gibt es auf 2 Ebenen, 1x Layer 1 und einmal eben für die VLANs.

1Q hat halt das Problem, dass es nur ein VLAN zuläßt, denn wo will man mehrere VLAN im Frame eintragen, daher artet dass dann in Routing aus.

@coolhand
Hatte sich für mich so gelesen, dass du auch IP technisch getrennte Netze hast und der Server ja dann zwangsläufig in allen Netzen rumspielen muß.
 
Zuletzt bearbeitet:
Hi

Danke für die vielen Infos.
Kurz zur Erklärung. Das Netz soll in einem kleinen Autohaus aufgebaut werden. Es gibt ein DSL Zugang, 5 Rechner und ein Netzwerkdrucker. Es gibt bis auf ein Rechnerpaar (Rechnungsdatenbank) kein Grund das sich die Rechner gegenseitig sehen. Um mehr als 1-2 Rechner wird das Netz nicht wachsen. Wenn doch könnte ich noch immer an einen Vlan Port einen kleinen normalen Switch setzen welcher 1Vlan erweitert. Diese Rechner würden sich dann natürlich alle sehen.
Inzwischen bin ich auch soweit, dass ich den Drucker an den Switch vom Router anschlissen möchte. Der Speedport Router bietet auch noch ne USB Schnittstelle an welche ich noch einen zweiter Drucker für alle einrichten werde.

Ich habe gestern einiges über VLAN gelesen und ich denke auch das der Aufbau mit einem statischen portbasierenden VLan funktioniert. Klar ist das Steinzeit aber der Hardware + Konfigurationsaufwand soll möglichst einfach, günstig und übersichtlich gehalten werden.
Der 8X VLAN Switch kostet ~ 45.- Euro. Router/Modem sind schon vorhanden. Ein VLan fähiger Router welcher mit tagged Frames 802.1Q umgehen kann geht oft erst bei 300-400 Euro los! Dieser hat dann noch Einstelloptionnen von welchen ich noch nie gehört habe.

Der Switch unterstütz zwei Arten von VLans:
Possible VLAN group settings include IEEE 802.1Q VLAN and port-based VLAN.

Was ich mich aber noch frage ist, wie der Switch über Port 1 die Pakete vom Router auf die richtigen VLans durchreicht. Es kann eigentlich nur über MAC oder IP Adressen sortiert werden da die Frames ja nicht verändert werden?

Happy X-mas

Thomas
 
Das Switch reicht die Pakete nicht an bestimmte VLANs weiter, sondern an alle, mehr oder weniger.

Das Switch weiß, an welche MAC das Paket gehen soll und schaut dann einfach nach, an welchen Port das Paket soll. Dann prüft es, ob es zulässig ist, dass der Port mit dem Router an zB Port 2 ein Paket schickt, das ist die VLAN Geschichte. Wenn das erlaubt ist, dann ist das OK.

Wenn aber P3 nach P4 was schicken möchte, dann erkennt das Switch, dass die VLAN policy das denied und das Paket wird verworfen.
 
So machen das die Profis: Private VLAN - Wikipedia, the free encyclopedia

Deine Lösung - einfach allen VLAN Traffic ungetagged auf einem Interface rausjagen - kann man zwar machen, ist aber alles andre als schön...

Für den professionellen Einsatz solltet ihr halt das Geld in die Hand nehmen und nen Switch kaufen, der das ordentlich kann... So exorbitant teuer sind die in der Größenordung (< 10 Ports) auch nicht...
 
Hi

Mit der oben beschriebenen Hardware habe ich heute das Netzwerk eingerichtet. Den Drucker habe ich auf den Router Switch gelegt und alles funktioniert so wie ich es mir erhofft habe. Die Rechner können sich nicht gegenseitig sehen/pingen und mehr war auch nicht gefordert!
Mit mehr Geld wäre bestimmt mehr gegangen aber für ein wenig Internet Traffic + Druckaufträge gefällt mir die Lösung ganz gut.

Gruß und Danke für die Hilfe

Thomas
 
Anmelden, um zu antworten.

Ähnliche Themen

M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
657
BobbyD
BobbyD
G
OPNsense Vlan konfigurieren
Antworten
14
Aufrufe
1K
KurantRubys
KurantRubys
M
Openwrt anlegen mehrerer VLANs nicht möglich
Antworten
6
Aufrufe
389
Mater1984
M
flautze
Netzwerkumzug , wie vorgehen? (Ubiquiti)
Antworten
2
Aufrufe
398
p4n0
p4n0
kaiser
Cisco CBS350 Switch - MAC based VLAN Assignment
Antworten
0
Aufrufe
243
kaiser
kaiser
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh