So wer kann VLAN und deren Subnetze erklären?

[Derderniewusste]

Hallo,

irgendwie glaube ich, ich hab etwas falsch in Erinnerung oder das Netzwerk hier ist umständlich konfiguriert.
Wir bekommen für jedes VLAN einen eigenen Port Anschluss.
Wenn also mein PC ins VLAN10 und VLAN20 muss, dann bekomme ich 2 NiCs und 2 IP Adressen.
Sind VLANs nicht Layer2 und haben nichts mit IP Adressen zu tun?

Kann zb ein Gerät mit der IP 192.168.2.10 das sowohl in VLAN10 ist und VLAN20 nicht je nachdem wie der Switch konfiguriert ist in beide Netze pingen!? Reicht da nicht einfach nur das GW?
hier meint man, man braucht dann jeweils eine IP, also 192.168.2.10 und 192.168.3.10.

Keine Ahnung wo da mein Knoten im Kopf liegt, bitte helft mir!?

 

[Nilson]

Sind VLANs nicht Layer2

Schon, aber der Rest nicht. Der Netzwerkstack muss ja wissen über welches der beiden Netzwerke er das Paket senden soll, daher brauchst du pro NIC eine IP.
192.168.2.0/24 geht über NIC1 ins VLAN10 und kann mit anderen Geräte im VLAN10 reden, 192.168.3.0/24 wird über NIC2 ins VLAN20 geschickt.
Bei Portbased-VLAN weiß der PC ja nichts von den VLANs. Für den könnten das auch zwei getrennte physikalische Switche sein.

 

[madmax2010]

du kannst allerdings auch mehrere vlans und ips auf einem Interface konfigurieren.
Siehe bspw. hier:
https://opentechtips.com/one-interface-multiple-vlan-ips-on-linux/

 Create a subinterface on VLAN100, using DHCP
 auto ens18.100
 iface ens18.100 inet dhcp
 Create a subinterface on VLAN101, assigning static IP
 auto ens18.101
 iface ens18.101 inet dhcp
   address 10.0.1.5/24

 

[Conqi]

Kann zb ein Gerät mit der IP 192.168.2.10 das sowohl in VLAN10 ist und VLAN20 nicht je nachdem wie der Switch konfiguriert ist in beide Netze pingen!?

Nein. Zwischen Netzen vermitteln Router und nicht Switches. Dort, bzw. in der Firewall, würde man entsprechend einstellen, von welchem VLAN was in welches andere VLAN gesendet werden darf. Alternativ muss ein Gerät tatsächlich in mehr als ein VLAN und braucht dann auch mehr als eine IP, wobei das in den meisten Fällen die unschönere Lösung ist.

 

[Nilson]

du kannst allerdings auch mehrere vlans und ips auf einem Interface konfigurieren.

Was aber nichts daran ändert, dann man pro VLAN eine IP braucht. In deinem Beispiel eben einmal DHCP und einmal 10.0.1.5. Liegen nun halt auf SubInterfaces statt auf physikalischen NICs. Man spart sich so ein Kabel und ein NIC.

 

[Derderniewusste]

Nein. Zwischen Netzen vermitteln Router und nicht Switches. Dort, bzw. in der Firewall, würde man entsprechend einstellen, von welchem VLAN was in welches andere VLAN gesendet werden darf. Alternativ muss ein Gerät tatsächlich in mehr als ein VLAN und braucht dann auch mehr als eine IP, wobei das in den meisten Fällen die unschönere Lösung ist.

Was ist die schönste Lösung wenn Geräte in mehrere VLANs müssen?

du kannst allerdings auch mehrere vlans und ips auf einem Interface konfigurieren.
Siehe bspw. hier:
https://opentechtips.com/one-interface-multiple-vlan-ips-on-linux/

 Create a subinterface on VLAN100, using DHCP
 auto ens18.100
 iface ens18.100 inet dhcp
 Create a subinterface on VLAN101, assigning static IP
 auto ens18.101
 iface ens18.101 inet dhcp
   address 10.0.1.5/24

Das wusste ich zumindest, dass man ja mehrere IPs zuweisen kann, aber hier wird das irgendwie nicht gemacht weil angeblich die NiCs mehrere VLANs nicht unterstützen. Keine Ahnung warum.

Also muss doch jedes Gerät zumindest eine IP aus dem VLAN in das es muss haben!? Brauch da echt ein ja oder nein sonst kapiert das mein Hirn irgendwie nicht!

P.s.: Switch oder Router oder Firewall ist doch relativ, ich habs nicht dazu gesagt aber ich rede wenn dann immer nur von Layer3 switchen. Die routen doch auch die VLANs.

 

[Nilson]

Was ist die schönste Lösung wenn Geräte in mehrere VLANs müssen?

Kommt auf die Anwendung drauf an. Wenn man irgendwelche Broadcasts braucht hat man oft keine Wahl, ansonsten eben wie von @Conqi erwähnt ein Router bzw. Firewall.

P.s.: Switch oder Router oder Firewall ist doch relativ,

Die Unterscheidung ist aber grundlegend wichtig, weil die Geräte ganz andere Funktionen und Aufgaben haben.

 

[madmax2010]

Das wusste ich zumindest, dass man ja mehrere IPs zuweisen kann, aber hier wird das irgendwie nicht gemacht weil angeblich die NiCs mehrere VLANs nicht unterstützen. Keine Ahnung warum.

[x] Doubt
mal probiert oder glaubst du einer lokalen legende?

Also muss doch jedes Gerät zumindest eine IP aus dem VLAN in das es muss haben!? Brauch da echt ein ja oder nein sonst kapiert das mein Hirn irgendwie nicht!

entweder das, oder du hast inter vlan routing. Was bei euch sinnvoller ist musst du entscheiden.
So macht man es bspw bei dell - hier im thread sehr kompakt beschrieben: https://www.dell.com/community/Netw...VLAN-routing-with-multiple-VLANs/td-p/5114395

 

[Raijin]

Ob ein PC mehrere NIC - seien sie physisch oder virtuell - für jedes Subnetz braucht oder nicht, hängt vom Anwendungsfall ab. VLANs trennen die Broadcast Domänen, selbst wenn sie auf ein und demselben Kabel laufen.

Sofern ihr Anwendungen nutzt, die auf Broadcasts (Layer 2) aufbauen, und der fragliche PC diese Anwendungen sowohl in Netzwerk 1 als auch in Netzwerk 2 ausführen soll, muss er zwangsläufig in beiden Netzwerken vertreten sein - es sei denn im Gateway wird ein Broadcast-Relay eingerichtet (wenig empfehlenswert).

Nutzt der PC Ressourcen im Netzwerk jedoch ausschließlich via IP-Adresse bzw Hostname (Layer 3), ist es ausreichend und auch üblich, dass er nur mit einem Netzwerk verbunden ist und der Zugriff auf das zweite Netz über das Gateway / Router / HW-Firewall / L3-Switch realisiert wird.

Wenn möglich, sollte man es stets vermeiden, Endgeräte in mehrere Netzwerke zu packen. Dadurch wird dieses Endgerät nämlich ein potentieller unerwünschter Zugang ins jeweils andere Netz, der an etwaigen Beschränkungen im Router vorbeigeht. Mehrere Netzwerke sollten daher weitestgehend nur einen einzigen Übergang in ein anderes Netz haben und nicht x verschiedene über diverse Endgeräte, die jeweils mit einem Bein in beiden Netzen stehen.