Grundsätzliche Fragen zu VLAN

[Bob.Dig]

Vorab, ich bin völlig unbeleckt, was vlan angeht, und ebenso, was Switches betrifft. Wenn man unter Switches in Geizhals sucht, ist vlan nicht mal ein Auswahlkriterium. 😲

Ich möchte @ home die einzelnen Geräte besser trennen. Ein geeigneter Router ist vorhanden.

1. Bezüglich vlan, wenn ich nun in einzelnen NICs einen vlan-Tag eintragen könnte, würde dies theoretisch schon reichen, um diese NICs zu separieren, selbst wenn ein vorhandener Switch nur ein ganz günstiger unmanaged Switch ist, der Router aber vlan kann?
   
   
2. Unabhängig davon sollte der neue Switch definitiv vlan tagging unterstützen, nicht nur an den einzelnen Ports, sondern vermutlich über die MAC-Adressen. 8 Port mit normalen GBit würde reichen. Fanless. Welche Klasse von Switches wäre das?
   
   
3. Wollte ich nun das gleiche mit Wifi machen, also vlans, was würdet ihr da empfehlen?

 

[Coca_Cola]

Ich würde vermutlich nur verschiedene Netze aufbauen, das sollte einfacher und günstiger aufzubauen sein.

 

[Tamron]

Mach eine Router Kaskade mit einem günstigen TP-Link Router oder gebrauchte FritzBox von eBay:

Einfacher
Billiger

Dein AP und alles muss natürlich auch VLAN unterstützen. Macht es teuer und unnötig für daheim.

 

[leipziger1979]

wenn ich nun in einzelnen NICs einen vlan-Tag eintragen könnte, würde dies theoretisch schon reichen, um diese NICs zu separieren

Und was passiert dann?

ich bin völlig unbeleckt, was vlan angeht

Ein geeigneter Router ist vorhanden.

Keine Ahnung von VLAN aber der Router kann das angeblich?
Welcher wäre das denn?

Ich befürchte du hast irgendwas im Internet auf verschiedenen Seiten gelesen und hast das toll gefunden, auch wenn du keine Ahnung davon hast?
Und vor allem was das im Detail bedeutet, wie man das umsetzt und, ganz wichtig, warum man das macht?

 

[Bob.Dig]

@leipziger1979 pfSense

Hintergrund ist, ich möchte z.B. VMs, die auf einem Rechner laufen, der mit Ethernet erst an einem dummen Switch angeschlossen ist, separieren. Ich kann daher nicht einfach getrennte Netze machen. Außerdem möchte ich IoT Device separieren. Mir ist klar, dass das kostet.

Ergänzung (14. April 2020)

Ich befürchte du hast irgendwas im Internet auf verschiedenen Seiten gelesen und hast das toll gefunden, auch wenn du keine Ahnung davon hast?

Ruhig Brauner. 😉

Wenn jetzt jemand auf meine 3 Fragen eingehen wollte, wäre das nett.

 

[Masamune2]

Wenn man unter Switches in Geizhals sucht, ist vlan nicht mal ein Auswahlkriterium. 😲

Doch, es ist nur nicht gleich erkennbar da der Standard eigentlich 802.1Q heißt, danach kannst du auch filtern.

Zu 1: Nein.

Zu 2: Tagging über die MAC Adressen ist nicht trivial und geht in der Regel nur wenn man die Geräte per 802.1X gegen einen Radius Server authentifiziert und der dann die VLAN ID mitgibt. Im privaten Netz ist das aber Way over the Top.

Zu 3: Da würde ich immer die Geräte von Ubiquiti empfehlen: https://www.ui.com/products/#unifi

 

[Schwabe66]

Netgear 8 Port PoE
Unifi Nano HD

 

[rowein]

Wenn du bereits Pfsense in Einsatz hast, reicht ein kleiner Switch, der Vlans unterstützt. Wäre von Netgear z. B. der Gs108e oder eben höher Gs116e.
Hatte mit denen aber Probleme sobald länger Last und vor allem mehrere Geräte dran hingen. Bin dann auf Mikrotik mit dem CSS326 ausgewichen.

 

[Bob.Dig]

Zu 2: Tagging über die MAC Adressen ist nicht trivial und geht in der Regel nur wenn man die Geräte per 802.1X gegen einen Radius Server authentifiziert und der dann die VLAN ID mitgibt.

Ok, das will ich schon mal nicht. Ich möchte halt nicht nur über den physischen Port trennen können, wie auch immer das dann abläuft. Weboberfläche wäre ebenfalls ein muss.

 

[leipziger1979]

Für mich stellt sich immer noch die Frage nach dem Warum?
Ich trenne ja nicht weil es machbar ist sondern es muss ja einen Grund geben.

Zur Not kann ich auch mehrere Netzwerke bilden ohne VLAN.

 

[Bob.Dig]

Für mich stellt sich immer noch die Frage nach dem Warum?

Hatte ich hier geschrieben.

 

[Masamune2]

So funktioniert das aber in der Regel und ist auch nicht schlimm. Ich habe dazu in meinem Netz einen Zyxel GS1900-24E im Einsatz und als Firewall eine Sophos UTM Home. Darauf sind zwei VLANs die zu dem Port der Firewall beide tagged sind.
Zu den APs sind dann ebenfalls beide Netze tagged und ich kann ein Gast und ein Heim Netzwerk ausstrahlen.

 

[Bob.Dig]

@Masamune2 Mein Beispiel mit der VM, die auf einem PC läuft und damit das selbe Kabel benutzt, dann geht eben schon nicht mehr nur über Port oder irre ich?

 

[Masamune2]

Das kommt drauf an welchen Virtualisierer du nutzt aber in der Regel können alle mehrere Netze die physikalische in verschiedene VLANs gehen. Deine Netzwerkkarte muss es natürlich auch unterstützen und der richtige Treiber muss drauf sein.

Zu Beispiel eine Intel Desktop Karte für 20 EUR mit dem vollständigen Treiber. Dann kannst du im Gerätemanager mehrere virtuelle Netzwerkkarten erzeugen die mit verschiedenen VLAN Taggs senden. Die VM weißt du dann dem passenden VLAN zu.

 

[Groug]

Bezüglich vlan, wenn ich nun in einzelnen NICs einen vlan-Tag eintragen könnte, würde dies theoretisch schon reichen, um diese NICs zu separieren, selbst wenn ein vorhandener Switch nur ein ganz günstiger unmanaged Switch ist, der Router aber vlan kann?

Alle beteiligten Switche müssen vlan unterstützen. Ich würde mich mal bei Mikrotik umsehen. Da gibt es auch Modelle die WLan haben und alles unterstützen was du willst. ZB. dieser.

 

[Bob.Dig]

Dann kannst du im Gerätemanager mehrere virtuelle Netzwerkkarten erzeugen die mit verschiedenen VLAN Taggs senden. Die VM weißt du dann dem passenden VLAN zu.

Das ist dann aber schon nicht mehr Port spezifisch. Ich hoffe, man versteht mich.

Port spezifisch auf dem Router darf es natürlich sein, aber das Tagging sollte nicht alleine nur durch die Verwendung eines bestimmten Ports am Switch passieren, das meine ich.

 

[Masamune2]

Ehrlich gesagt nicht, was meinst du mit portspezifisch?

 

[Bob.Dig]

Wo taggt man eigentlich, wenn die NIC das nicht selbst unterstützt. Ich hätte jetzt vermutet im Switch, anhand der MAC-Adressen, was wohl nicht der Fall zu sein scheint. Dass man einzelne Ports taggen kann ist klar, aber was wenn an einem Port mehr als ein Rechner hängt, Beispiel VM auf einem PC und man will diese auch voneinader trennen.

 

[Raijin]

Normalerweise sind VLANs nur Infrastruktur, also Router, Switches und APs. Diese Geräte werden daher mit tagged VLANs versorgt, weil sie über ein und denselben LAN-Port mehrere Netzwerke, in VLANs gekapselt, bedienen.
Ein Endgerät im Sinne eines Smartphones, TVs und PCs weiß in der Regel auch nichts von VLANs und wird daher an untagged Ports angeschlossen.

Wenn du nun am PC mit Host und VMs in verschiedene VLANs willst, muss der Host das eben auch unterstützen. D.h. sowohl das Betriebssystem an sich als auch der Netzwerkadapter müsse 802.1Q beherrschen. Dann würde man aus dem physischen Ethernetadapter mehrere virtuelle erstellen, jeder einem VLAN zugeordnet, und diesen würde man dann der VM zur Verfügung stellen.

VLANs müssen immer über einen virtuellen NIC gehen, weil eine Netzwerkanwendung eben auschließlich mit IP und Ports arbeitet und nicht mit VLAN-Tags! Diese werden auf OS-Ebene in virtuellen Adaptern gehandhabt und Anwendung xy - zB die VM - sieht einfach nur "LAN-Verbindung 23" und das ist dann eben der physische LAN-Port mit dem VLAN-Tag.

Einfacher ginge es sonst, wenn du dem VM-Host einen zweiten NIC verpasst. Dann kannst du den exklusiv in die VM verbinden und brauchst für die VM dann gar kein VLAN, weil der Hoet einfach mit 2x LAN am Switch hängt, einmal an einem untagged VLAN X Port des Switches und einmal am untagged VLAN Y Port.



*ein
Sobald aus einem Port tagged VLANs rauskommen, muss das Gerät am anderen Ende ebenfalls den Port als tagged mit denselben VLAN IDs definieren. Sonst klappt das nun mal nicht.

 

[Bob.Dig]

@Raijin Ok und warum kann ein Switch nicht einfach, anhand z.B. der MAC-Adressen, zum Tagging benutzt werden? Das hätte den Vorteil, dass die einzelnen Geräte das nicht selbst können müssten? Oder habe ich Denkfehler?

Ergänzung (14. April 2020)

Ein Endgerät im Sinne eines Smartphones, TVs und PCs weiß in der Regel auch nichts von VLANs und wird daher an untagged Ports angeschlossen.

Die werden oder können dann aber durch den Switch getagged werden, abhängig vom Port?