ComputerBase Menü
Aktuelles

Grundsätzliche Fragen zu VLAN

Status
Für weitere Antworten geschlossen.
VLAN-Tags haben nichts mit Endgeräten zu tun. Dem Switch ist es vollkommen egal wer oder was an ihm angeschlossen ist. Sei es ein PC, ein smarter Kühlschrank, ein Internetradio oder ein intelligentes Bücherregal. Auch ein VLAN-Switch ist im Grunde ein dummes Stück Hardware. Er hat eine Liste von MACs, die er "aus Erfahrung" sammelt (also MAC x kommt immer an Port 3) und so switcht er dann, Paket kommt rein, Ziel-MAC x --> Port 3, fertig. Wenn er jetzt noch intelligent die Endgeräte verwalten müsste, die ja potentiell in die Hunderte gehen können, bräuchtest du überall einen dicken Layer3-Switch mit allem PiPaPo und ob der dafür überhaupt genug CPU-Leistung hätte, sei mal dahingestellt.

VLANs sind nun mal per Design Teil der Infrastruktur. Ein Endgerät kennt nur sein eigenes Layer2-Netzwerk bzw. sein(e) eigenes/eigenen L3-Subnetze. VLANs sind für Endgeräte schlicht und ergreifend nicht vorgesehen.

PCs bzw. Server bilden eine gewisse Ausnahme, da sie durch ihre flexible Hard- und Software eben durchaus auch mit VLANs umgehen könn(t)en.

Man kann sich VLANs bildlich mit eingefärbten Paketen vorstellen. Alles was aus einem untagged Port mit zB VLAN 10 rausgeht, ist farblos, da das angeschlossene (End-)Gerät keine Ahnung von Farben/VLANs hat und auch nicht haben soll. Alles was an diesem Port reingeht kommt farblos vom (End-)Gerät rein, wird im Switch dann aber markiert, mit VLAN 10, sagen wir mal rot.

Aus einem tagged Port kommen hingegen farbige Pakete raus, je VLAN eine Farbe. Bei einfachen tagged Ports dann eben nur rote oder nur blaue Pakete, bei einem Trunk-Port - eine Art Uplink mit mehreren VLANs drauf - wird es dann entsprechend bunt, weil blaue und rote Pakete rauskommen. Kann die Gegenstelle aber nicht mit VLANs umgehen, ist also farbenblind, knallt es, weil die Pakete nicht mehr unterschieden werden können.

Ein VLAN-Switch wird im Prinzip nur in einzelne Teile zersägt, nicht physisch, sondern eben virtuell.

Beispiel:

16-Port-Switch mit 2 VLANs
Port 1-8 --> (untagged) VLAN 10
Port 9-16 --> (untagged) VLAN 20

Das ist dasselbe wie 2 8er Switches ohne VLANs.

Würde man nun zB Port 16 mit tagged 10+20 konfigurieren, könnte man dort zB einen Access Point mit 2 SSIDs anschließen, der jeweils eine SSID einem VLAN-Tag zuordnet, also eine blaue SSID und eine rote.
 
  • Gefällt mir
Reaktionen: Fenugi, Tobl, Bob.Dig und eine weitere Person
So wie ich das versteh, können die meisten Switche also nur anhand der verwendeten Ports selbst taggen. Eine ziemliche Enttäuschung, wie ich finde. 😕

Und ein einfachster, unmanged Switch kann nicht mal eine ggf. vorher stattgefundenes Tagging einfach durchleiten? Sprich was blau reinkommt, geht schwarz raus? Ich frage, da ich so einen ja im Einsatz habe und wenn ich nun mit dem PC oder der VM etwas taggen würde...
 
Bob.Dig schrieb:
Und ein einfachster, unmanged Switch kann nicht mal eine ggf. vorher stattgefundenes Tagging einfach durchleiten?
Zum Vergrößern anklicken....
Darauf kannst du dich schlicht und ergreifend nicht verlassen. Um ehrlich zu sein halte ich das auch für ein fragwürdiges Setup. Smart managed L2-Switches sind nur marginal teurer als ihre dummen L2-Pendants.

Wenn du mit VLANs arbeiten willst, mach es richtig. Wenn du pfuschen willst, lass es bleiben. Verpasse deinem VM-Host einfach eine zweite Netzwerkkarte und weise sie exklusiv deiner VM zu und du kannst gänzlich ohne VLANs zwei physisch getrennte Netzwerke erstellen - maximal durch untagged VLANs im zentralen Switch unterteilt.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Bob.Dig schrieb:
Ich möchte @ home die einzelnen Geräte besser trennen. Ein geeigneter Router ist vorhanden.
  1. Bezüglich vlan, wenn ich nun in einzelnen NICs einen vlan-Tag eintragen könnte, würde dies theoretisch schon reichen, um diese NICs zu separieren, selbst wenn ein vorhandener Switch nur ein ganz günstiger unmanaged Switch ist, der Router aber vlan kann?

  2. Unabhängig davon sollte der neue Switch definitiv vlan tagging unterstützen, nicht nur an den einzelnen Ports, sondern vermutlich über die MAC-Adressen. 8 Port mit normalen GBit würde reichen. Fanless. Welche Klasse von Switches wäre das?

  3. Wollte ich nun das gleiche mit Wifi machen, also vlans, was würdet ihr da empfehlen?
Zum Vergrößern anklicken....

Zu 1: Grundsätzlich schon, das Ethernetpaket sollte "as is" weiter geleitet and die entsprechende Ziel Mac-Adresse (der VLAN Tag sitzt im Frame nach den Daten die ein normaler L2 Switch verarbeitet). Der VLAN Tag sollte unangetastet bleiben. Kannst du dir wie einen Trunk auf einen managed Switch vorstellen. Ist aber vermutlich nicht das, was du willst.
Bei Unifi APs sollte (könnte) es funktionieren, da VLAN kompatibel: Je nach Konfiguration werden die ingress Pakete mit dem entsprechenden tag auf das WLAN geleitet und die egress Pakete getaggt.

Zu 2: Schau dir den Unifi 8 Port Switch an (mit PoE), habe gute Erfahrungen gemacht damit. Können Port-based taggen und unterstützen auch 802.1X (MAC based tagging). Nachdem du pfSense verwendest könntest du z.B. den FreeRadius Server von der pfSense für das Tagging verwenden, musst mal googeln. Hab 802.1X aber selber noch nicht mit UniFi Produkten verwendet.

Zu 3: Habe ich mit Unifi APs am laufen und funktioniert wunderbar.

Bob.Dig schrieb:
Hintergrund ist, ich möchte z.B. VMs, die auf einem Rechner laufen, der mit Ethernet erst an einem dummen Switch angeschlossen ist, separieren. Ich kann daher nicht einfach getrennte Netze machen. Außerdem möchte ich IoT Device separieren. Mir ist klar, dass das kostet.

Wenn jetzt jemand auf meine 3 Fragen eingehen wollte, wäre das nett.
Zum Vergrößern anklicken....

Das ist ein ganz gewöhnliches Setup bei virtualisierten Lösungen. Den dummen Switch gegen einen managed Switch austauschen. Du fährst vom HV per Trunk auf den Switch, der Switch leitet die getaggten Pakete an die entsprechenden Ports.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Ortan schrieb:
Grundsätzlich schon, das Ethernetpaket sollte "as is" weiter geleitet and die entsprechende Ziel Mac-Adresse (der VLAN Tag sitzt im Frame nach den Daten die ein normaler L2 Switch verarbeitet). Der VLAN Tag sollte unangetastet bleiben.
Zum Vergrößern anklicken....
Eben nicht zwingend. Wenn ein Switch nicht explizit 802.1Q unterstützt, ist es nicht definiert wie er mit den VLAN-Tags umgeht. Im Optimalfall ignoriert er sie und reicht die Pakete stur weiter. Im absolut schlimmsten Falle sieht er die Pakete als fehlerhaft an und schmeißt sie weg - nicht zuletzt, weil ein Paket mit VLAN-Tag 4 Byte länger ist bzw. sein kann und somit auch die MTU sprengen kann, wenn der Switch sich des Tags nicht bewusst ist....

Zwar gehe ich davon aus, dass heutzutage jeder halbwegs aktuelle Switch auch ohne Unterstützung von 802.1Q die Pakete zumindest nicht wegwirft, aber von vornherein verlassen würde ich mich darauf nicht. Wenn man unbedingt tagged VLANs durch einen unmanaged Switch jagen will, muss man das zwingend vorher ausgiebig testen.

So oder so rate ich aber von so einem Setup ab. Zum einen ist der Aufpreis von L2 auf smart L2 marginal und zum anderen nimmt man sich damit selbst die Flexibilität, an diesem Switch individuell auf eine geänderte VLAN-Situation reagieren zu können.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Bin doch etwas enttäuscht vom Stand der Technik. 😉

Angeblich kann ich an meinem alten Asus mittels Merlin und Userscripten mein Wifi taggen. Hätte den Vorteil, es wäre quasi kostenlos. Das Gerät ist schon direkt mit dem virtualisierten Router verbunden, allerdings über Realtek-NICs...
Der unmanaged Switch erwähnt nirgends 802.1Q, kein Wunder bei dem damaligen Preis.

That's how I roll.. 😁

Was meine besagte VM betrifft, diese soll auch weiterhin mittels VMware Player realisiert sein und der unterstützt kein Tagging wie es ausschaut. Auch habe ich keine Lust auf ein weiteres Kabel hier, denke daher, ich werde das erst mal begraben und mich ganz langsam an das Thema herantasten.

Danke an alle.
 
Zuletzt bearbeitet:
@Raijin ich stimme dir da uneingeschränkt zu. TE hat gefrag ob es gehen kann und es könnte gehen. Zum probieren zuhause reicht das alle mal. Ich habe auch sollte geschrieben :D

Bob.Dig schrieb:
Bin doch etwas enttäuscht vom Stand der Technik. 😉

Angeblich kann ich an meinem alten Asus mittels Merlin und Userscripten mein Wifi taggen. Hätte den Vorteil, es wäre quasi kostenlos. Das Gerät ist schon direkt mit dem virtualisierten Router verbunden, allerdings über Realtek-NICs...
Der unmanged Switch Switch erwähnt nirgends 802.1Q, kein Wunder bei dem damaligen Preis.

That's how I roll.. 😁

Was meine besagte VM betrifft, diese soll auch weiterhin mittels VMware Player realisiert sein und der unterstützt kein Tagging wie es ausschaut. Auch habe ich keine Lust auf ein weiteres Kabel hier, denke daher, ich werde das erst mal begraben und mich ganz langsam an das Thema herantasten.

Danke an alle. Hier kann zu.
Zum Vergrößern anklicken....

Wie virtualisierst du (also deine pfSense)? Mir ist bis dato noch keine NIC untergekommen welche nicht 802.1Q unterstützt (linux).
 
  • Gefällt mir
Reaktionen: Bob.Dig und Raijin
Ortan schrieb:
@Raijin ich stimme dir da uneingeschränkt zu. TE hat gefrag ob es gehen kann und es könnte gehen. Zum probieren zuhause reicht das alle mal. Ich habe auch sollte geschrieben :D



Wie virtualisierst du (also deine pfSense)? Mir ist bis dato noch keine NIC untergekommen welche nicht 802.1Q unterstützt (linux).
Zum Vergrößern anklicken....
Hyper-V, mit Realtek NICs... Die NICs selbst sind nicht durchgereicht, sondern virtuelle (-Switche).
Wenn die physischen NICs dafür keine Rolle spielen, um so besser...? ist mir noch nicht ganz klar.
 
Zuletzt bearbeitet:
Bob.Dig schrieb:
Hyper-V, mit Realtek NICs... Die NICs selbst sind nicht durchgereicht, sondern virtuelle (-Switche).
Wenn die physischen NIC dafür keine Rolle spielen, um so besser...?
Zum Vergrößern anklicken....
Um die VLANs kümmert sich der virtuelle Switch und die virtuellen NICs mit denen die VMs (und der host!) an dem virtuellen Switch hängen. (zumindest beim Hyper-V)
Wenn die NIC vlan offloading über den Treiber unterstützt, dann wird die CPU entlastet, ist aber normalerweise nicht notwendig damit es funktioniert.

Weil du von deinem Asus Router sprichst. Router haben oft konfigurierbare switches, die VLAN fähig sind. Musst dich mal einlesen (z.B. hier), eventuell hast du ja schon einen VLAN fähigen Switch zuhause :)
 
  • Gefällt mir
Reaktionen: Bob.Dig
Ortan schrieb:
Weil du von deinem Asus Router sprichst. Router haben oft konfigurierbare switches, die VLAN fähig sind. Musst dich mal einlesen (z.B. hier), eventuell hast du ja schon einen VLAN fähigen Switch zuhause :)
Zum Vergrößern anklicken....
Jau, letzteres sieht so aus. Wenn es sogar fürs WiFi geht, warum nicht auch für die Ethernet Ports. Wenn ich so drüber nachdenke, könnten die sogar reichen für das, was ich will. Der Asus-Router und der D-Link Switch stehen eh nebeneinander.
 
Bob.Dig schrieb:
Bin doch etwas enttäuscht vom Stand der Technik.
Zum Vergrößern anklicken....
Das wird daran liegen, dass du das Konzept, das dahintersteckt, noch nicht verstanden hast. Gerade Netzwerktechnik ist bis ins kleinste Detail durchdacht und strukturiert - das muss es auch, weil es zuverlässig funktionieren muss. Dadurch wirken einige Dinge für Otto Normal manchmal etwas sperrig, auch wenn sie im Hintergrund einfach nur sehr logisch sind ;)

Bestes Beispiel: IP-Adressen und Subnetzmasken. Für Otto Normal ist es schwer verständlich, das dahinter nur Bitmuster stehen, die verUNDet werden. Otto sieht nur dezimale Zahlen und kapiert Bits nicht. Sind IPs deswegen "enttäuschend"? Im Gegenteil, sie sind reine Mathematik.

Bob.Dig schrieb:
Angeblich kann ich an meinem alten Asus mittels Merlin und Userscripten mein Wifi taggen.
Zum Vergrößern anklicken....
Unwahrscheinlich. Im WLAN gibt es keine VLANs. In 802.11 - egal ob a/b/g/n/ac/x - gibt es keine VLAN-Tags. VLANs sind ausschließlich im Ethernet-Standard definiert. Deswegen braucht man ja für jedes VLAN eine eigene SSID, weil man eben nicht getaggte VLANs durch ein und dasselbe WLAN/SSID schicken kann. Ich vermute aber, dass du es richtig gemeint hast ;)
 
  • Gefällt mir
Reaktionen: Ortan
Wie auch immer. 😉
Für Unterhaltung ist in den nächsten Tagen gesorgt. Mal sehen, wie weit ich komme.
 
  • Gefällt mir
Reaktionen: Ortan
Also das Einrichten der VLANs im Router und das anschließende taggen direkt an der VM im Player brachte schon mal keinen Erfolg, weder am Switch, noch am AP.

Habe den Host dann direkt an den Router angeschlossen, auch da klappt es mit der VM so nicht. 🙁
 
Zuletzt bearbeitet:
Ich arbeite ehrlich gesagt nicht mit VMs in VLANs, aber mein Weg wäre wohl der, dass ich am Host die VLANs bzw. die virtuellen Adapter einrichten würde und diese dann an die VM durchreiche. So bekommt jede VM ihren "eigenen" LAN-Adapter, der im Host dann dem jeweiligen VLAN zugeordnet ist. Allerdings kommt es hier darauf an welches Host-System bzw. welcher Virtualisierer eingesetzt wird. Da kann sich die Vorgehensweise stark unterscheiden.

Bei VM-Ware gibt's zB das Tool vmnetcfg.exe, mit dem man neue vmnet-Adapter erstellen und eben auf physische (oder virtuelle) Schnittstellen des Hosts bridgen kann. Das heißt konkret, dass man im Treiber des LAN-Adapters zusätzliche Schnittstellen für jedes VLAN hinzufügen muss (wie das geht, hängt natürlich vom Treiber ab), und diese neu erstellten Schnittstellen konfiguriert man dann in vmnetcfg.exe und weist anschließend der jeweiligen VM ihren vmnet-Adapter zu.

Das ist aber wie gesagt nur eine rudimentäre Beschreibung, weil ich a) nur mit dem 08/15 VMWare-Player arbeite und b) weder VLANs am Rechner noch in meinen VMs habe.


Hier wird anhand eines Beispiels mit Intel-NIC erklärt wie man VLAN-Interfaces unter Windows erstellt.
Hier wird erklärt wie man vmnetcfg verwendet. Gilt natürlich nur für VMWare.
 
Danke @Raijin vmnetcfg hab ich schon am laufen, obwohl ja kein Bestandteil mehr vom Player. Vielleicht werde ich auch mal WS installieren.
Ich werde mal die richtigen Treiber von Realtek laden, momentan nutze ich nur die von Windows.
Hab hier auch noch 10Gb-Intel Karten am Start, die kommen dann danach dran.
 
Der reine VMWare Player ist eigentlich auch nicht für solche Szenarien gedacht (aus Sicht von VMWare). Da möchte VMWare natürlich die Pro-Pakete an den Mann (und die Frau) bringen. Deswegen bevorzuge ich für No-Budget VMs ehrlich gesagt VirtualBox. Da muss man nicht so'n Schmu machen und sich das Konfigurations-Tool irgendwo nachladen....

Aber wie immer gilt bei (für privat) kostenloser Software wie dem Player: Einem geschenkten Gaul, schaut man nichts ins Maul. Für 99% der Nutzer des Players ist vmnetcfg.exe vollkommen irrelevant. Und das verbliebene Prozent kann sich das Tool ja glücklicherweise nachladen - oder kauft sich ne Lizenz.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

Delgado
Winget - grundsätzliche Fragen
Antworten
7
Aufrufe
907
Delgado
Delgado
T
USB-C PD Grundsätzliche Frage zur Leistung
Antworten
11
Aufrufe
1.203
h00bi
h00bi
O
AMD-Plattform - Grundsätzliche Frage zur Treiberinstallation
Antworten
19
Aufrufe
1.882
Nickel
N
I
Grundsätzliche Fragen zu Elster und Grundsteuerreform
Antworten
16
Aufrufe
1.526
Mongoo
M
D
Neuanschaffung: Grundsätzliche Frage
Antworten
7
Aufrufe
1.032
CB-Andi
CB-Andi
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz