Fragen zu VLAN - Linksys SRW2016 / SRW2024

S

safexy

Neuling
Thread Starter
Mitglied seit
02.12.2004
Beiträge
186
Hi,

habe mich die letzten Wochen mit VLANs beschäftigt (Beitrag aus der C't, im Netz und hier im Forum) und mich durch so einige Handbücher von Switches durchgearbeitet.

Also wenn ich es richtig verstanden habe, gibt es Port-Based VLAN und Tagged-VLAN.

1. Port-Based braucht keine spezielle Hard- und Software der Clients.
Alles was in den Switch reingeht über den Port, wird vom Switch getagte und was über den Port rausgeht wird vorher enttagt.

Dabei wird es so bei den Switch eingestellt, dass man ein VLAN(ID) einrichtet und ihm sagt, welche Ports alle dazugehören (sofern ich es richtig verstanden habe)
Dabei dürfen auch Ports mehreren VLANs(ID) angehören (damit gehören die Clients an denjeweiligen Port mehreren VLANs an)

2. Tagged-VLAN, dann bekommt der Port direkt vom Client oder von einem anderen Switch getagte (mit einem Tag versehende Frames) rein, und der Switch schickt auch getagte Pakete raus.

Bei den Switches kann man dann einstellen, ob er nur getagte Frames erlaubt, oder ALL Frames erlaubt (und weiter nichts).
Mit nur getagte Frames ist doch 2. gemeint oder?

Was ist, wenn man Port-Based einstellt und dann ALL Frames (was ja dann ja muss, weil ja keine getagten Pakete ankommen) erlaubt und ein Client nun getagte Frames sendet, zu einem VLAN, zu dem er gar nicht gehört?


In welcher Beziehung steht Trunked (was man meist noch auswählen kann) [bei Linksys wählt man zwischen Trunked und Access]
Not Trunked bzw. not Trunking ist dann wie Access bei Linksys (wenn ich es richtig verstanden habe)


Dann habe ich noch eine spezielle Frage zu dem Linksys SRW2016 / SRW2024.
Kann man VLAN nutzen und einen Port auch auf eine bestimmte MAC-Adresse beschränken?
Habe den Fall, dass zwei PCs nebeneinander stehen und verschiedenen VLANs angehören.
Man soll dann nicht so einfach durch Netzwerkkabeltausch zu fremden Rechten kommen. (Zwar lassen sich auch MACs fälschen/ändern, aber das ist dann mit schon etwas mehr Aufwand verbunden...)


safexy
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hmm, also eigentlich sind VLANs eine reine Unterstützung der Switche. Das dies auch Clientseitig geht wuste ich gar nicht.

Aber verstehe auch nicht welchen Sinn das ganze haben soll, es Clientseitig zu betreiben. Eine "erhöhung" der Sicherheit kommt dadurch auch nicht zustande. Da wenn der Client das VLAN bestimmt, kann er ja auch einfach zu anderen VLANs ein Paket schicken.

Ansonsten wird auf meiner Arbeit die Möglichkeit benutzt VLANs über die MAC Adresse zu bestimmen. Dazu wird eine Tabelle im Switch angelegt der die MAC Adresse zu einem VLAN zuordnet.

Ein Trunking Port ist ein Port der alle Pakete aller VLANs überträgt. Dieses wird dazu verwendet wenn du z.B. zwei Switche miteinander verbindest. Damit auch der andere Switch alle Pakete erhält.


Ansonsten nur nebenbei gesagt. Der Aufwand für das Ändern der MAC Adresse liegt bei 0 (in Worten: NULL). Das ändern der MAC Adresse ist wenn überhaupt einer der leichtesten Möglichkeiten überhaupt eine andere Identität (Spoofen) vozutäuschen.

Unter Linux tippe ich dafür "ifconfig eth0 hw 00:01:02:03:04:05" ein, um meine MAC Adresse zu ändern. Nicht gerade ein großer Aufwand...

Für Windows gibt es Tools, die das machen. Die Information dazu wird aber auch in der Registry gespeichert.
 
Zuletzt bearbeitet:
Sid Burn schrieb:
Hmm, also eigentlich sind VLANs eine reine Unterstützung der Switche. Das dies auch Clientseitig geht wuste ich gar nicht.

Aber verstehe auch nicht welchen Sinn das ganze haben soll, es Clientseitig zu betreiben. Eine "erhöhung" der Sicherheit kommt dadurch auch nicht zustande. Da wenn der Client das VLAN bestimmt, kann er ja auch einfach zu anderen VLANs ein Paket schicken.
Zum Vergrößern anklicken....

Du hast ein Server der zwischen VLANs vermittelt über Firewall z.b., oder Dienste verschiedenen VLANs anbietet und das ganze mit weniger Netzwerkkarten als VLANs.

Unter Linux tagt der Kernel (muss man u.a. noch dieses reinladen) und bei Windows geht dies über den Netzwerkkartentreiber.

Und was für einen Server funzt, funzt natürlich für einen Client.

Es soll ja nicht Clientseitig getagt werden dürfen (das will ich ja nicht erlaubt haben)
Und damit Clients nicht in Fremde VLANs kommt, will ich, dass die Ports der Clients auch nur die VLANs benutzen kann, für der Rechte hat und sich nicht selbst die Frames tagt und dann in fremde VLANs kommt.

Das war ja meine Frage, was man einstellen muss im Switch damit der Switch getagte Frames an ungetagte Ports abweist/verwirft und nur ungetagte annimmt, und diese dann mit dem richtigen Tag versieht.
(jetzt meine Frage klar?)

Wie schon gesagt: man kann einstellen, dass
nur getagte Frames erlaubt, oder ALL Frames erlaubt sind (und weiter nichts).
(bei D-Link, Syslink, Ovislink, Longshine...)

Was muss ich einstellen, damit der Client kein Schindluder treiben kann.

Oder tagt der Switch "falsch getagte" einfach um?
Oder verwirft er die falsch getagten einfach weg?
Oder ist es eine ganz andere Option, wo man es einstellen kann...

Sid Burn schrieb:
Ansonsten wird auf meiner Arbeit die Möglichkeit benutzt VLANs über die MAC Adresse zu bestimmen. Dazu wird eine Tabelle im Switch angelegt der die MAC Adresse zu einem VLAN zuordnet.
Zum Vergrößern anklicken....

Und was für Switches nutzt ihr da?

Kann man (nach außen hin) ungetagten Ports überhaupt mehreren VLANs zuweisen?
Wenn ja, woher weiß der Switch mit welchen Tag das aktuelle Frame versehen werden soll...


Sid Burn schrieb:
Ansonsten nur nebenbei gesagt. Der Aufwand für das Ändern der MAC Adresse liegt bei 0 (in Worten: NULL). Das ändern der MAC Adresse ist wenn überhaupt einer der leichtesten Möglichkeiten überhaupt eine andere Identität (Spoofen) vozutäuschen.

Unter Linux tippe ich dafür "ifconfig eth0 hw 00:01:02:03:04:05" ein, um meine MAC Adresse zu ändern. Nicht gerade ein großer Aufwand...

Für Windows gibt es Tools, die das machen. Die Information dazu wird aber auch in der Registry gespeichert.
Zum Vergrößern anklicken....

Ja, aber immerhin schon mehr Aufwand als einfach ein Netzwerkkabel umstecken (und die andere MAC muss einem erstmal bekannt sein)
Später wird wohl ein Radius-Server eingerichtet (der Syslink SRW 20xx unterstützt dieses).
Ich möchte erst einmal kleine Brötchen backen... und wenn es dann funzt...

safexy
 
Das war ja meine Frage, was man einstellen muss im Switch damit der Switch getagte Frames an ungetagte Ports abweist/verwirft und nur ungetagte annimmt, und diese dann mit dem richtigen Tag versieht.
(jetzt meine Frage klar?)
Zum Vergrößern anklicken....
Ja, jetzt verstehe ich dich. ;)

Nun, die Information zu den VLANs werden eigentlich nur von den Switchen hinzugefügt, und wieder entfernt. Der Client bekommt davon ja nichts mit. Daher wäre es auch logisch das der Switch Standardmäßig erst gar keine Frames annimmt, sofern diese vom Client getagt wurden. Ob dies aber extra einstellbar ist, und wie, dass weiß ich nicht.

Kann ich Montag wenn ich wieder Arbeite mal nach Fragen.

Und was für Switches nutzt ihr da?

Kann man (nach außen hin) ungetagten Ports überhaupt mehreren VLANs zuweisen?
Wenn ja, woher weiß der Switch mit welchen Tag das aktuelle Frame versehen werden soll...
Zum Vergrößern anklicken....
Wir haben Cisco Switche.

Also, das ganze Funktioniert so, wie gesagt das in dem Switch eine tabelle geführt wird, welche MAC Adresse, in welches VLAN gehört. Wenn du ein Rechner an einem Switch anschlißt, und das erste Frame gesendet wird, dann wird anhand der MAC Adresse geschaut in welches VLAN der Rechner soll. Daraufhin wird der Port in dieses VLAN gesetzt. In welches VLAN der Port also gesetzt wird, hängt ganz alleine davon ab welche MAC Adresse gesendet wird.

Und man weißt den Port keine VLANs zu. Jeder Port kann alle VLANs, und es wird das VLAN genommen, je nachdem welche MAC gesendet wurde.

Die Tabelle musst du natürlich selber von Hand im Switch eintragen...

Das ganze heißt bei Cisco "VMPS" (VLAN Membership Policy Server)

Ja, aber immerhin schon mehr Aufwand als einfach ein Netzwerkkabel umstecken (und die andere MAC muss einem erstmal bekannt sein)
Zum Vergrößern anklicken....
Hmm, ich sage mal beides ist relativ einfach. ;)
Hängt davon ab wie die Geographischen gegebenheiten sind, was einfacher ist. ;) Und ja die MAC muss bekannt sein, was sicherlich in diesem Fall das größte Problem dar stellt.

Wenn ich aber Geogaphisch gesehn einfach den Netzwerkkabel tauschen kann, werde ich wohl auch an die MAC Addresse des Zielrechners kommen...
 
Zuletzt bearbeitet:
Sid Burn schrieb:
Ja, jetzt verstehe ich dich. ;)
...
Kann ich Montag wenn ich wieder Arbeite mal nach Fragen.
Zum Vergrößern anklicken....

wäre nicht schlecht

Sid Burn schrieb:
Wir haben Cisco Switche.
...

Und man weißt den Port keine VLANs zu. Jeder Port kann alle VLANs, und es wird das VLAN genommen, je nachdem welche MAC gesendet wurde.

Die Tabelle musst du natürlich selber von Hand im Switch eintragen...

Das ganze heißt bei Cisco "VMPS" (VLAN Membership Policy Server)
Zum Vergrößern anklicken....

Ja, Cisco ist eine ganz andere Welt (kosten mehr und können mehr und haben ihre Cisco-Besonderheiten)

Es gibt mehrere Möglichkeiten VLANs einzurichten.
Mir sind Portbased und VLAN nach 802.1q bekannt.

VMPS kann der Linksys nicht (aber wohl sowas ähnliches, nennt sich LAG (Link Aggregation Group) ftp://ftp.linksys.com/pdf/SRW2016_and_SRW2024_user_guide.pdf (gedruckte Seite 20)

Statt LAG kann man auch einen Port auswählen. (weiß aber nicht, ob dann noch der Eintrag für MAC aktiviert ist)

Wenn ich ja so ein Teil da hätte, würde ich alles mal ausprobieren...
Aber sowas zahl ich nicht mal grad aus der Portokasse...

Am besten wäre es, wenn sich hier mal einer meldet der einen SRW20xx hat...


Ich kann ja mal meine gewünschte Netztopologie aufschreiben.

PC 1
PC 2
Notebook
NAS-Server (Linux-based)
Print-Server (hardware)
Router (hardware)
VioP-ATA


Dabei sollen PC 1, PC 2, und Notebook nicht aufeinander zugreifen können.
PC 1, PC 2, und Notebook jedoch auf den Printserver
PC 1, PC 2, und Notebook auf den NAS-Server über 2 Gbit-Netzwerkkarten
NAS-Server über 3. Netzwerkkarte für Updates auf Router (wird zur Sicherheit nur bei Bedard aktiviert)
PC 1, PC 2, und Notebook haben noch ein Shared-Laufwerk auf dem NAS-Server
PC 1, PC 2, und Notebook auf Router
Router aber nicht auf Printserver
VioP-ATA auf Router
PC 1 auf VioP-ATA-Configport

Später kommen dann wohl noch ein paar Sachen hinzu.

safexy
 
Zuletzt bearbeitet:
Habe mal Linksys-Support angeschrieben, vielleicht hilft es auch anderen.
Wenn ich den Switch besitze und getestet habe, werde ich hier wieder posten:

>> Hallo!
>>
>> Habe mich schon durch die Bedienungsanleitung des SRW2016/2024 gewälzt, es
>> blieben jedoch noch Fragen offen...
>>
>> Kann ich einem Port (oder MACadresse) der ungetagte Frames erhält/sendet
>> auch
>> mehreren VLANs zuweisen?
>>
>> Beispiel
>> PC1 zugehörig VLAN1, VLAN2, VLAN3 (sendet und empfängt ungetagte Frames)
>> PC2 zugehöirg VLAN4, VLAN5, VLAN6 (sendet und empfängt ungetagte Frames)
>> Printserver VLAN1, VLAN4 (sendet und empfängt ungetagte Frames)
>> Router VLAN2, VLAN5 (sendet und empfängt ungetagte Frames)
>> ...
>>
>> Nun erhält der Switch ein Daten-Paket, was von PC1 ausgeht und zu
>> Printserver vermittelt werden soll.
>> Anhand der Sende und Empfängermac erkennt der switch ob sie ein gemeinsames
>> VLAN belegen und tagt nach obigen Bespiel die Frames mit VLAN1.
>>
>> Die Kommunikation mit PC2 und Printserver würde dann über VLAN4 laufen.
>>
>> Ist dies mit dem SRW2016/2024 möglich?
>>
>> MfG
>> <zensiert>


Sehr geehrter Herr <zensiert>,

danke, dass Sie sich an den technischen Support von Linksys gewendet haben.

Zunächst möchte ich Ihnen für Ihre Geduld danken, wir haben dies nachgestellt und mit unseren internationalen Kollegen abgeklärt.

Ja, Ihr Vorhaben ist durchaus realisierbar.

Ich hoffe, dass Ihnen meine Informationen geholfen haben. Sollten weitere
Fragen offen sein, stehe ich Ihnen gerne weiterhin zur Verfügung.

Mit freundlichen Grüssen
<zensiert>

Viele hilfreiche Informationen zu unseren Produkten finden Sie unter:
http://kb.linksys.com
http://www.linksys.com
http://www.linksys.de


Linksys Germany, ein Tochterunternehmen von Cisco Systems, Inc.
Deutschland: 0800-101-3311 / Support.de@linksys.com
Österreich: 01360-277-2061 / Support.at@linksys.com
Schweiz: 022-5675330 / Support.ch@linksys.com
 
Anmelden, um zu antworten.

Ähnliche Themen

L
TL-SG3424 VLAN Konfiguration Verständnis Problem
Antworten
2
Aufrufe
407
logan517
L
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
1K
BobbyD
BobbyD
W
sas3ircu Verhalten bei locate auf disk in enclosure
Antworten
4
Aufrufe
465
Wesumat
W
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh