Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Können Geräte aus unterschiedlichen VLANs unmöglich miteinander kommunizieren?
Könnte man ein PC, der in VLAN1 ist, mit einem Drucker, der in VLAN2 ist, verbinden? Mein Ausbilder meinte das würde gehen, jedoch wurde mir in der Schule erklärt, dass es unmöglich sei, dass Geräte aus unterschiedlichen VLANs miteinander kommunizieren.
Das geht, man benötigt aber einen Router. Es sind halt zwei Netze und die muss man halt verbinden. Ob die Netze nun physisch oder als VLAN vorhanden sind, spielt dort keine Rolle.
Warum ein zweiter Thread zum Thema VLAN? Frag doch alles in einem?
Ja, das geht allgemein mit einem Router (der VLANs kann), nein das geht nicht mit einer Fritzbox und der Kommunikation zwischen Gast- und Hauptnetz.
Streng genommen reicht es für eine inter-VLAN Kommunikation aus, wenn man eine Bridge (die ist Layer 2) konfiguriert. VLAN ist nämlich auch Layer 2. Da heutzutage sowas aber niemand mehr macht und ein VLAN gleichzeitig auch ein passendes Layer 3 Netz (also ein IP Netz) hat, ermöglicht man die Kommunikation zwischen den Layer 3 Netzen mittels Router (ebenfalls Layer 3). Es gab (gibt?) aber auch Protokolle, die sind nicht routingfähig, daher die Variante mit der Bridge.
Stimmt, genau genommen braucht man kein Router. Ich kann auch zwei Switche mit einem LAN-Kabel verbinden, aber warum dann überhaupt noch (getrennte) (V)LANs?
Wieso zwei Switche? Du kannst auch mehrere VLANs auf einem Switch nutzen. zB Port 1-8 VLAN 10, Port 9-16 VLAN 20. VLANs nutzt man um Fehlerdomänen zu verkleinern, Stichwort Broadcasts. Hast du jetzt ein Gerät an Port 1 und ein Gerät an Port 10, können die nicht miteinander kommunizieren. Da hilft dann eine (konfigurierte) Bridge, die die Kommunikation über die VLANs ermöglicht. Alles ganz ohne Layer 3.
Ich erläutere hier nur Basics. Das bedeutet nicht, dass man sowas in der Regel in der Praxis macht. Teilweise sind das auch veraltete Methoden (wie sie aber immer noch gerne an Berufsschulen vermittelt werden).
Ein VLAN (ohne IEEE 802.1Q etc.) zerlegt ein physischen Switch in mehrere "virtuelle'. Ob ich nun zwei physische Switche per Kabel oder zwei 'virtuelle' verbinde, spielt funktional keine Rolle.
Das geht, man benötigt aber einen Router. Es sind halt zwei Netze und die muss man halt verbinden. Ob die Netze nun physisch oder als VLAN vorhanden sind, spielt dort keine Rolle.
Also, auch wenn die Geräte zu unterschiedlichen VLANs gehören können sie dank dem Routing miteinander kommunizieren? Wäre das nicht genau das, was VLANs verhindern möchten?
Ergänzung ()
Nilson schrieb:
nein das geht nicht mit einer Fritzbox und der Kommunikation zwischen Gast- und Hauptnetz.
Das heißt, auch wenn ein Drucker im VLAN 6 ist und der PC, welcher auf den Drucker zugreifen möchte, im VLAN 2 ist, könnten sie per Bridge kommunizieren? Mein Ausbilder meinte es gibt ein Weg wie man z.B. nur ein Gerät in einem anderen VLAN mit einem PC in einem anderen VLAN verbindet, ohne das die restlichen Geräte auch auf das andere VLAN zugreifen können. Gibt es dafür wirklich eine Funktion, oder liegt ein Fehler vor?
Also, auch wenn die Geräte zu unterschiedlichen VLANs gehören können sie dank dem Routing miteinander kommunizieren? Wäre das nicht genau das, was VLANs verhindern möchten?
Ein Router routet erst einmal immer alles, dem ist das egal, der macht nichts anderes. Nun kommt dazu aber immernoch eine Firewall, mit der man festlegen kann, welcher Datenverkehr von wo nach wo kann. Die Firewall ist übrigens im Router integriert.
Das heißt, auch wenn ein Drucker im VLAN 6 ist und der PC, welcher auf den Drucker zugreifen möchte, im VLAN 2 ist, könnten sie per Bridge kommunizieren? Mein Ausbilder meinte es gibt ein Weg wie man z.B. nur ein Gerät in einem anderen VLAN mit einem PC in einem anderen VLAN verbindet, ohne das die restlichen Geräte auch auf das andere VLAN zugreifen können. Gibt es dafür wirklich eine Funktion, oder liegt ein Fehler vor?
Dein Ausbilder stellt komische Fragen. Ich weiß ja nicht welche Lösung ihm da vor schwebt, aber ich bin sicher, dass man an der ein oder anderen Stelle auch Filter auf zB MAC Adressen definieren kann.
1. Ein VLAN unterteilt erste mal einen physikalischen Switch in zwei oder mehr virtuelle
2. Wie auch zwei physikalische Switche kann man zwei VLANs einfach verbinden.
3. Es wäre denkbar diese Verbindung nach Quell- bzw. Ziel-MAC-Adresse zu filtern
4. In der Regel werden aber VLANs über einen Router mit integrierter Firewall verbunden. Der Router bzw. die Firewall regelt dann, was zwischen den Netzen ausgetauscht wird.
VLANs sind virtuelle LANs = Software. Erstmal nicht mehr und nicht weniger. Damit kann man einige Dinge tun (zwei Netze auf einem nicht-virtuellem LAN = LAN-Kabel = Hardware legen), aber man kann auch andere Dinge damit tun.
Eduardo77 schrieb:
nur ein Gerät in einem anderen VLAN mit einem PC in einem anderen VLAN verbindet, ohne das die restlichen Geräte auch auf das andere VLAN zugreifen können. Gibt es dafür wirklich eine Funktion, oder liegt ein Fehler vor?
Also, auch wenn die Geräte zu unterschiedlichen VLANs gehören können sie dank dem Routing miteinander kommunizieren? Wäre das nicht genau das, was VLANs verhindern möchten?
Ich glaube du missverstehst ein wenig was VLANs sind und wie sie funktionieren. Grundsätzlich sind VLANs nichts anderes als wenn man einfach mehrere separate Netzwerke mit eigener Infrastruktur, also eigenen Switches, eigenen Kabeln, eigenen Access Points, etc, verwendet. Der virtuelle Aspekt von VLANs kommt dann zum Tragen, wenn man mehrere Netzwerke auf derselben Infrastruktur betreiben möchte, also gemeinsame Kabel, Switches, etc. Dadurch wird der Aufwand für die physische Installation minimiert und genau das ist der Sinn und Zweck von VLANs. Man darf VLANs daher nicht mit Sicherheitsfunktionen verwechseln, weil Sicherheit nicht das Ziel ist, sondern die Wiederverwendung der Infrastruktur.
Diese beiden Szenarien sind äquivalent:
Router
+--(eth0) --- Switch#1 ---- Port1 = PC_A und Port2 = Drucker_A in Netzwerk#1
+--(eth1) --- Switch#2 ---- Port1 = PC_B und Port2 = Drucker_B in Netzwerk#2
+--(ethx) --- Switch#x ---- Port1 = PC_x und Port2 = Drucker_x in Netzwerk#x
Jedes Netzwerk hat einen eigenen Switch, der wiederum mit einem eigenen Kabel zum Router verbunden ist. Alle Geräte am jeweiligen Switch#1 bzw Switch#2 sind ausschließlich in dessen Netzwerk unterwegs, sie sind also strikt physisch gebunden.
Beispiel "Gemischte Büros in einer Firma":
Vertriebs-, Technik- und Personalabteilung sitzen in einem Büro und haben jeweils eigene Netzwerke. Der IT-Admin dürfte nun drei Kabel in das Büro ziehen und drei Switches aufstellen, für jede Abteilung einzeln. Morgen kommt der Chef aber auf die Idee, noch einen Mitarbeiter aus dem Service in das Büro zu setzen, also noch ein Kabel und noch ein Switch, aus Spaß an der Freud...
Router
(eth0 VLAN 10 @ x.y.10.1 und VLAN 20 @ x.y.20.1)
|
(Port1 @ VLAN 10 und 20)
VLAN-Switch
|
+--(Port2 @ VLAN 10) ----- (x.y.10.11) PC_A in Netzwerk#1
+--(Port3 @ VLAN 10) ----- (x.y.10.12) Drucker_A in Netzwerk#1
+--(Port4 @ VLAN 20) ----- (x.y.20.21) PC_B in Netzwerk#2
+--(Port5 @ VLAN 20) ----- (x.y.20.22) Drucker_B in Netzwerk#2
Auch hier haben wir mehrere Netzwerke mit jeweils einem PC und einem Drucker. Mit Hilfe von VLANs lässt sich aber der Switch und dessen Uplink-Kabel zum Router gemeinsam nutzen, virtuell getrennt durch die VLANs.
Beispiel "Gemischte Büros":
Dasselbe Szenario wie oben, ein Büro, drei Mitarbeiter, drei Abteilungen. Das Büro bekommt aber nur genau ein Kabel, auf dem die virtuellen Netzwerke laufen. Ein VLAN-Switch im Büro kann dann entsprechend je nach Konfiguration ein paar Ports für den Vertriebler, den Techniker und den Personaler bereitstellen. Und jetzt kommt der Kollege vom Service dazu. Was macht der IT-Admin? In den Switch einloggen, zwei Ports ins Service-VLAN konfigurieren, fertig. Kein Kabel ziehen, keinen Switch aufstellen, kein gar nichts, einfach aus dem HomeOffice die Einstellungen ändern.
Wenn's ganz bunt läuft, kann der IT-ler in einem Büro auch 30 Abteilungen unterbringen und muss trotzdem nicht von seinem Stuhl aufstehen.
Und wo kommen jetzt die Zugriffsbeschränkungen ins Spiel? Im Router. Beim Router laufen die Netzwerke zusammen und der Router bzw. dessen Firewall entscheidet dann ob Verbindungen von Netzwerk#1 auf Netzwerk#2 erlaubt sind oder nicht, ggfs vielleicht auch nur auf einzelne Geräte wie zB den Drucker. Auf dieser Ebene spielt es keine Rolle ob die Netzwerke mit oder ohne VLANs verteilt werden.
Kleine Anmerkung: Es gibt auch L3-Switches, die ebenfalls rudimentäre Router sein können (Stichwort: Inter-VLAN-Routing und Access Control Lists). Das Prinzip bleibt aber dasselbe.
VLANs sind also kein Sicherheitsmerkmal, sondern sogesehen eher eine Komfortfunktion. Für die Sicherheit ist die Firewall im Router bzw. die ACLs in L3-Switches zuständig. L2-Switches mit oder ohne VLANs haben mit Sicherheit überhaupt nichts am Hut.
Die Frage ob ein PC in VLAN x auf einem Drucker in VLAN y drucken kann, ist also nicht eine Frage der VLANs, sondern eine Frage des Routers zwischen diesen VLANs. Wenn dieser die Verbindung zulässt, kann der PC drucken. Blockiert er die Verbindung, muss der PC eben woanders drucken...
Mein Ausbilder meinte es gibt ein Weg wie man z.B. nur ein Gerät in einem anderen VLAN mit einem PC in einem anderen VLAN verbindet, ohne das die restlichen Geräte auch auf das andere VLAN zugreifen können
