Default Gateway, Routing Fragen.

Status
Für weitere Antworten geschlossen.

Zero_Official

Lieutenant
Registriert
Sep. 2012
Beiträge
778
und Zwar:
was Default Gateway ist weiß ich..... aber!
Es gibt viele Wege es zu nutzen und ich möchte wissen welches das Beste ist und warum?
Beispiel:
3 Vlans, 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24
ein Switch L2+/3 mit Interfaces zu Vlans und jeweils 192.168.*.1 als Interface IP.
ein Router der Vlan fähig ist/oder nicht, und in einem Vlan Subnet ist zb. mit 192.168.0.2 IP.

Jetzt kann man:
auf dem Switch IP vom Router zu Default Gateway machen 0.0.0.0/0 192.168.0.2
auf dem Router statische Einträge zu anderen Vlans angeben, läuft!

Ich würde behaupten das das die klassische Methode ist die 90% der Anwender nutzen.

Man kann aber:

ein zusätlziches Vlan für Default Route creiern.. also ein Viertes(dediziertes only wan) und darüber die 3 Vlans ansprechen.

Zwei zusätliche Vlans creiern und hin(vlan50 wan) und zurück(Vlan60 vlans) statische Routen) einrichten.

Man kann auf den Router Vlan Interfaces einrichten zu jedem Vlan, Statische Routen entfallen, da direct connected.

Man kann Clients GW IP von Switch vergeben DGW auf dem Switch oder vom Router, DGW auf dem Router

Man kann alle Vlans auf einem Port einrichten, oder ein Vlan pro Port auf dem Router.

Es gibt wahrscheinlich noch mehr Varianten je nach Hardware.

Was ist zu bevorzugen? und warum? Sicherheit?

Bedenken: Router kennt gesamte Mac/ip Tabelle? Broadcasts auf dem Router? Routing Strict Mode Probleme?
Jitter Drops weil nicht der Gleiche weg/port zurück?


Bitte keine Theoretischen Mutmaßungen, oder ungefragte Hilfsleitungen.
 
Ichtiander schrieb:
Bitte keine Theoretischen Mutmaßungen, oder ungefragte Hilfsleitungen.
Ok. Davon abgesehen klingt das nach ziemlichem Unfug.
Du mischst hier munter VLANs und verschiedene Subnets und zugehöriges Routing miteinander.
 
  • Gefällt mir
Reaktionen: GTrash81 und rezzler
Ichtiander schrieb:
Jetzt kann man:
auf dem Switch IP vom Router zu Default Gateway machen 0.0.0.0/0 192.168.0.2
auf dem Router statische Einträge zu anderen Vlans angeben, läuft!

Ich würde behaupten das das die klassische Methode ist die 90% der Anwender nutzen.
90% der Anwender werden kein VLAN nutzen ;)
Ichtiander schrieb:
ein zusätlziches Vlan für Default Route creiern.. also ein Viertes(dediziertes only wan) und darüber die 3 Vlans ansprechen.
Wie meinst du das? Was hat ein WAN-VLAN mit einem Gateway zu tun?
Ichtiander schrieb:
Zwei zusätliche Vlans creiern und hin(vlan50 wan) und zurück(Vlan60 vlans) statische Routen) einrichten.
Was soll das bringen?
Ichtiander schrieb:
Man kann auf den Router Vlan Interfaces einrichten zu jedem Vlan, Statische Routen entfallen, da direct connected.
Das wäre die übliche und sinnvolle Methode.
Ichtiander schrieb:
Was ist zu bevorzugen? und warum? Sicherheit?
Üblicherweise nutzt man VLANs um Netzwerke virtuell zu segmentieren, damit nicht alle Geräte miteinander sprechen können. Als Schnittstelle dazwischen braucht es, wie auch bei physikalisch segmentierten Netzen, einen Router. Sicherheit ist ein Aspekt davon, damit bspw. Gäste im Gast-(W)LAN nicht auf deine Hausgeräte zugreifen können oder falls du IoT-Gedöhns nicht wirklch vertraust.
Ichtiander schrieb:
Bitte keine Theoretischen Mutmaßungen, oder ungefragte Hilfsleitungen.
Du machst es einem aber auch nicht leicht.
 
  • Gefällt mir
Reaktionen: LukS, Lawnmower und herrhannes
rezzler schrieb:
90% der Anwender werden kein VLAN nutzen ;)
Es sind die gemeint die das nutzen.
rezzler schrieb:
Wie meinst du das? Was hat ein WAN-VLAN mit einem Gateway zu tun?
Ein Vlan das nur zu Zwecken des Internet Routings genutzt wird. 2 ip eine auf dem Switch 1 auf dem Router sonst nix.
rezzler schrieb:
Was soll das bringen?

Das wäre die übliche und sinnvolle Methode.
sagt wer?
rezzler schrieb:
Üblicherweise nutzt man VLANs um Netzwerke virtuell zu segmentieren, damit nicht alle Geräte miteinander sprechen können. Als Schnittstelle dazwischen braucht es, wie auch bei physikalisch segmentierten Netzen, einen Router. Sicherheit ist ein Aspekt davon, damit bspw. Gäste im Gast-(W)LAN nicht auf deine Hausgeräte zugreifen können oder falls du IoT-Gedöhns nicht wirklch vertraust.
Was Vlans sind weiss ich zu genüge also keine Wiki copy/paste.
rezzler schrieb:
Du machst es einem aber auch nicht leicht.
Die Fragen richten sich auch nicht an einen Otto von der Strasse.
 
Ichtiander schrieb:
Ein Vlan das nur zu Zwecken des Internet Routings genutzt wird. 2 ip eine auf dem Switch 1 auf dem Router sonst nix.
Was hat der Switch mit IPs zu tun? Nix!
Ichtiander schrieb:
Leute, die sich damit auskennen ;-)
Ichtiander schrieb:
Was Vlans sind weiss ich zu genüge also keine Wiki copy/paste.
Ich beginne daran zu zweifeln...

Ichtiander schrieb:
Die Fragen richten sich auch nicht an einen Otto von der Strasse.
Deine Fragestellung aber auch nicht an den Profi.

VLANs werden in der Praxis fast ausschließlich in Kombination mit Subnetzen benutzt. I.d.R hast du eine 1:1 Beziehung: Subnetz A <-> VLAN X, Subnetz B <-> VLAN Y. Man definiert auf dem Layer 2 Device, also dem Switch, VLANs, in denen sich Clients befinden. Diese Clients haben, je nach VLAN, unterschiedliche IP Adressen aus unterschiedlichen IP Subnetzen. Damit die Clients mit dem Rest der Welt reden können, werden die VLANs vom Switch zu einem Router transportiert (802.1Q nennt sich der Standard). Der Router hat eine Verbindung in jedes VLAN und eine IP Adresse in jedem VLAN - das Default Gateway für die Clients. Der Switch selbst hat höchstens eine IP Adresse für die Administration. Einem anderen Zweck dient sie nicht.

Edit: Ich bereue meine Antwort leider schon....
 
  • Gefällt mir
Reaktionen: wesch2000 und LukS
Ichtiander schrieb:
Ein Vlan das nur zu Zwecken des Internet Routings genutzt wird. 2 ip eine auf dem Switch 1 auf dem Router sonst nix.
Ergibt für mich erstmal keinen Sinn. Ein VLAN für die WAN-Verbindung zwischen einem Modem und dem Router würde für mich Sinn ergeben.
 
rezzler schrieb:
Ergibt für mich erstmal keinen Sinn. Ein VLAN für die WAN-Verbindung zwischen einem Modem und dem Router würde für mich Sinn ergeben.
Ehrlich... manchmal denke ich ich rede mit Chinesen(nicht chinesisch)

auf dem Switch 3 Vlans... es wird ein 4 gemacht auf dem Switch und Router, das als Default Gateway fungiert,
damit der gesamter Traffik nicht über einen der anderen Vlans läuft.... was ist da so schwer zu verstehen?
 
  • Gefällt mir
Reaktionen: JohnWayne78
Ichtiander schrieb:
auf dem Switch 3 Vlans... es wird ein 4 gemacht auf dem Switch und Router, das als Default Gateway fungiert,
damit der gesamter Traffik nicht über einen der anderen Vlans läuft.... was ist da so schwer zu verstehen?

wozu? der traffic läuft nicht über eines der anderen vlans.
der (gesamte) traffic geht über einen switchport zum router, ob tagged oder untagged spielt keine rolle, wenn alle anderen segmente eh schon tagged sind. das ungetaggte segment ist prinzipiell nichts anderes als ein weiteres vlan oder bezeichner :)
 
  • Gefällt mir
Reaktionen: LukS
Ichtiander schrieb:
Was ist zu bevorzugen? und warum? Sicherheit?

Bedenken: Router kennt gesamte Mac/ip Tabelle? Broadcasts auf dem Router? Routing Strict Mode Probleme?
Jitter Drops weil nicht der Gleiche weg/port zurück?


Bitte keine Theoretischen Mutmaßungen, oder ungefragte Hilfsleitungen.

Antwort: Router haben ARP. Switche MAC-Adresstabelle - ARP nur für SVI. Wenn Router = Switch, da L3 Switch, dann beides. Broadcasts abhängig von Broadcast-Domaine. Jitter Drops bei Router-on-a-Stick kaum wahrscheinlicher. Für VoIP QoS implementieren. Sicherheit kaum Unterschied, wenn auf Switch alle VLANs. Hier Abhängigkeit mit physikalischer Zugänglichkeit.
 
Zuletzt bearbeitet:
Eigentlich wünschte ich mir Antworten von Experten wie @Raijin ....
und nicht irgendwelche Belehrungenn wie was ist SVI, ARP oder OSI Schicht Modell....

 
Ichtiander schrieb:
auf dem Switch 3 Vlans... es wird ein 4 gemacht auf dem Switch und Router, das als Default Gateway fungiert,
damit der gesamter Traffik nicht über einen der anderen Vlans läuft.... was ist da so schwer zu verstehen?
Was haben VLANs und Gateway miteinander zu tun?
Ergänzung ()

Ichtiander schrieb:
Eigentlich wünschte ich mir Antworten von Experten wie @Raijin ....
Dann schreib doch einfach eine PN. Und/oder beschreibe dein Problem besser.
 
Ich habe gar kein Problem!!! und habe nicht um Hilfestellung oder Belehrung gebeten.

ich habe ein Netzwerk mit Vlans und Router, was alles Problemlos funktioniert, trotzdem frage ich mich warum es so gemacht wird und nicht anders?

Es gibt viele Wege... und nur weil die meisten Autobahn bevorzugen muss das nicht heißen das andere Straßen schlechter sind.

Eigentlich verabscheue ich Standardlösungen und suche immer andere Wege um das Ziel zu erreichen...
das hält mich wach und munter.
 
Ichtiander schrieb:
Ich habe gar kein Problem!!!
Mein Fehler. Dann beschreibe bitte deine Frage/Situation besser.
Ichtiander schrieb:
ich habe ein Netzwerk mit Vlans und Router, was alles Problemlos funktioniert, trotzdem frage ich mich warum es so gemacht wird und nicht anders?
Weils problemlos funktioniert? ;)
Ichtiander schrieb:
Eigentlich verabscheue ich Standardlösungen und suche immer andere Wege um das Ziel zu erreichen...
das hält mich wach und munter.
Kaffee soll da auch helfen. Hab ich gehört...

Erinnert mich jetzt aber, gerade in dem Kontext, an "Warum einfach, wenns auch kompliziert geht?". Nur weil etwas die Standardlösung ist muss es ja nicht schlecht sein.
 
Einfach ist, wenn man die Fritze mit einem Switch aus dem Mediamarkt zusammenklemmt und sich freut.

Es gibt aber Ziele die man nicht mit solchen Lösungen erreichen kann, sonst gebe es keine Firewalls, acl's, vlans etc.

Ich betreibe ein ziemlich komplexes 10Gbe LAN mit Enterprise Router, Docker Containern, VM's, Gäste W/Lans, VPN usw.
Klar für Daheim überdimensioniert, aber das ist mein Steckenpferd.
 
Ich verstehe die Fragestellung nicht wirklich, versuche aber trotzdem ein paar Punkte aufzugreifen. Eine genauere Erklärung Deinerseits, vielleicht auch ein Schaubild, würde einiges vereinfachen. Ich komme eher aus der Cisco Ecke, aber ich denke jeder andere Hersteller hat die selben Eigenheiten.

Ob jetzt ein VLAN durch den Switch "durchgeschliffen" wird, und auf einem L3 Interface auf einem Router terminiert oder ob ein L3 Transfer Netzwerk zwischen Router und Switch existiert kann Vor- und Nachteile haben. Im Enterprise Bereich können Switches Inter VLAN Routing durchführen mit Wirespeed (bei Cisco nennt es sich CEF "Cisco Express Forwarding"). Heißt, wenn der Switch die entsprechenden L2 UND L3 Informationen kennt, dass Pakete ohne Umwege weitergeleitet werden können, hierzu werden die Informationen in TCAM Zuweisungen hardwareseitig programmiert. Auch ACLs können so über Hardware performant "abgelegt" und "abgearbeitet"werden.

Du nimmst also Last vom Router, ebenso muss dieser nicht alle ARP Einträge kennen, sondern diese werden vom Intervlan Switch abgearbeitet. Du kannst also mit der Auslastung "spielen".

Meistens werden Router mit wenigeren Interfaces ausgeliefert als nun ein Brot und Butter Switch. Heißt warum sollte man die Strecke zwischen Router und Switch mit internen Traffic verstopfen, wenn ein Routing schon vorher (inline) passieren könnte? Ausnahmen sind wie immer die Regel.

Ob Du nun den Traffic zwischen Router und Switch in ein VLAN packst kann Dir ein wenig Dynamik in der Verkabelung bringen. Während physische L3 Interfaces die Geschwindigkeit auf dieses angeschlossene Interface beschränkt ist, können logische Interfaces über Trunk Ports einfach dazu- oder abgeschaltet werden, ohne etwas an der Verkabelung zu ändern. Ebenso hast Du den Vorteil von Port Channeling (Redundanz + Performancegewinn). Physische L3 Interfaces sind aber für viele einfacher zu verstehen und bieten natürlich auch ein wenig mehr Sicherheit, da ein Angreifer schwerer den Traffic umleiten kann auch ohne die Verkabelung zu ändern. Zudem sind Physische L3 Interfaces ein wenig einfacher für außenstehende zu verstehen, da die korrespondierende L2 und L3 Schaubilder gleich aufgebaut sind. Bei logischen L3 Interfaces können die Schaubilder sehr weit auseinanderdiffundieren.

Bei Deinen beschriebenen asymetischen Routen hast Du gerade in der Firewalltechnik ein Problem (wenn eine dedizierte Firewall das Routing übernimmt und nicht ein "dummer" Router), dass Verbindungen nicht sauber erkannt werden, da Hin- und Rückroute unterschiedlich sind und die SYN ACK Pakete nicht passen. Ich kann Dir dazu diesen Artikel empfehlen. https://community.cisco.com/t5/secu...g-troubleshooting-and-mitigation/ta-p/3117045
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Zero_Official und emulbetsup
@dasTTS
ich danke dir, endlich mal Jemand der konstruktive Gedanken beisteuert.

Genau das waren auch die ansätze
dasTTS schrieb:
Meistens werden Router mit wenigeren Interfaces ausgeliefert als nun ein Brot und Butter Switch. Heißt warum sollte man die Strecke zwischen Router und Switch mit internen Traffic verstopfen, wenn ein Routing schon vorher (inline) passieren könnte? Ausnahmen sind wie immer die Regel.
Wobei zb. bei hin und Zurück Vlan(assymetrisch) könnte man acl's gezielt einsätzen ohne den Resttraffik zu beeinflüssen.
und jeder Vlan auf dem Router bedeutet auch das Broadcasts und Multicasts vom jeweiligen Vlan auch das Interface vom Router belasten.... denn was haben zb. ssdp broadcasts da zu suchen?
Bei statischen Routen passiert das nicht hat aber wahrscheinlich andere Nachteile.....
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben