ComputerBase Menü
Aktuelles

VLAN einrichten

R

RedSkall

Cadet 4th Year
Registriert
Sep. 2005
Beiträge
91
Hi,

habe ziemliche Probleme beim Einrichten von meinem VLAN zuhause.

Habe mir den "ZyXel GS1910-24" Switch geholt und verzweifle (Vorher hatte ich ein Level1-Switch zurückgeschickt weil ich dachte dass dieser Switch Benutzerunfreundlich war und ich nicht damit klar kahm).

Meine Topologie sieht so aus:
- Port 19: Alle Netzwerkteilnehmer aus dem Obergeschoss
- Restliche Ports: Netzwerkteilnehmer aus meinem Erdgeschoss
> Port 16: Server

Ich möchte:
- Alle Rechner im Untergeschoss dürfen sich untereinander unterhalten
- Port 19 (Also alles aus dem Obergeschoss) darf sich nur mit Port 16 unterhalten, sonst mit nichts.

Ich hätte nicht gedacht dass ich solche Probleme damit habe dieses Netzwerk einzurichten!
Dieses Tutorial hat schon geholfen: http://www.smallnetbuilder.com/lanwan/lanwan-howto/30071-vlan-how-to-segmenting-a-small-lan?start=2

Dort ist aber die Konfiguration für VLANs an einem Punkt anders als bei meinem ZyXel-Gerät: Der Zugang ZU den eingerichteten VLANs (Nicht VLAN-Membership).

Mein Versuch war:
- Ein VLAN für alles, ausser Port 19
- Zweites VLAN mit nur Port 19 und 16

Habe viele Einstellungsmöglichkeiten durchprobiert, ohne Erfolg.

Das Manual habe ich auch gelesen:
ftp://ftp2.zyxel.com/GS1910-24/user_guide/GS1910-24_v1.00_ed1.pdf

Ich glaube dass mir die Einstellung fehlt zu bestimmen ob z.B. VLAN1 mit VLAN2 sprechen darf!?

Gruß,
Marco
 

Anhänge

  • VLAN.jpg
    VLAN.jpg
    109,6 KB · Aufrufe: 1.013
  • Ports.jpg
    Ports.jpg
    216,6 KB · Aufrufe: 1.115
RedSkall schrieb:
Mein Versuch war:
- Ein VLAN für alles, ausser Port 19
- Zweites VLAN mit nur Port 19 und 16
Zum Vergrößern anklicken....

Ich versuche zu verstehen, was du geschrieben hast.
Du willst zwei VLANs nutzen? Also VLAN10 und 11?

Also grundsätzlich gibt es zwei sorten von konfigurierbaren Ports. Entweder Accessport oder Trunkport.
Von Endgeräten werden meistens nur Accessports unterstützt. Trunkport nutzt man um, z.B. mehrere VLANs mit .1q - Tag über einen Uplink zu schicken.
Ein Accessport kann immer nur ein (native) VLAN haben. Per Default ist das immer VLAN 1.

Einer deiner Fehler ist, dass du glaubst, du hättest zwei VLANs auf dem Switch, dem ist aber nicht so. Du hast tatsächlich 3: 1,10 und 11.
Das VLAN 1 ist immer Default mit dabei, kann aber meist dekonfiguriert werden. Aktuell hast du laut Screenschots mindestens zwei VLANs pro Port konfiguriert. Das geht aber so nicht. Denn entweder ist das dann ein Trunkport (mehrere getaggte VLANs + evtl. ein Native VLAN) oder oder du hast einen Accessport.

Die meisten Endgeräte (abgesehen von ein paar Server Netzwerkkarten) kommen mit getaggten Paketen nicht klar. Also kannst du defacto nur 1 VLAN pro Port bei Endgeräten nuten, weil immer nur ein VLAN native (untagged) sein kann.

Ich glaube du übersiehst, dass die Kommunikation zwischen zwei VLANs nur durch Routing herzustellen ist. Dazu benötigst du einen Router mit VLAN-Funktion (keine DSL Consumerteil) zusätzlich. Das können noch nicht mal Fritzboxen. Ein Switch kann das nicht. Das würde ja das Prinzip der VLANs ad absurdum führen. Du hast scheinbar ein konzeptionellen Fehler in deinem Design. Was du schreibst, was du haben willst, wird nicht durch VLANs, sondern eher durch eine Firewall realisiert. Außer beide Endgeräte an den Ports drüfen mit sonst niemanden "sprechen". Sobald aber eines der beiden Endgerätes auch mit den anderen VLAN kommunizieren soll, ist eine Firewall am Server die bessere Lösung. Dort kannst du z.B. "permit <Ip von Endgerät am port 16> any any" und "Deny any" setzen, und schon darf nur noch der PC am Port 16 mit dem Server "reden."

Vielleicht hilft die das erstmal: http://de.wikipedia.org/wiki/VLAN

Bei deiner aktuellen Konfig sind alle Geräte im VLAN1!
 
Zuletzt bearbeitet:
Am Besten Du nimmst VLAN 1 (default) raus.
Dann gibst Du dem Router VLAN 2, allen EG Anschlüssen VLAN 3 und dem OG VLAN 4.

Anschließend stellst Du ein, dass das Routing im Switch nur von VLAN 3 nach VLAN 2 und von VLAN 4 nach VLAN 2 zulässt.
 
"...stellst Du ein, dass das Routing im Switch..." geiler Satz!

Bis auf das Inter-Vlan Routing alles auch eine Möglichkeit, aber Switche können nicht routen, zumindest nicht die billgen, mit einem Cisco 3560 (mit ip-services-k9 Firmware, ipbase kann das auch nicht) wäre das ja kein Problem... Aber kosten im viertelligen Bereich sind hier wohl nicht angebracht.

Alternativ kannst du das Inter-Vlan Routing auf einem der folgenden Geräte einrichten:
http://geizhals.de/?fs=cisco+IP+Service&in=

Ich empfehle hier aber dringend vorher mehr Knowhow anzueignen, ich kann es gerne kurz (wie teilweise bereits getan) kurz anreißen, aber für mehr Details fehlt mir die Zeit, nicht umsonst dauert der ICDN 1 + 2 Kurs zusammen 2 Wochen und dabei wurde dann dort das Routing nur kurz angerissen. Denn scheinbar mangelt es bereits am am Verständnis von VLAN (tagged, untagged, IEEE 802.1q) und dem Unterschied zwischen Routing und Switching.

Noch mal in aller Deutlichkeit:
  • Für das Ziel,
    Ich möchte:
    - Alle Rechner im Untergeschoss dürfen sich untereinander unterhalten
    - Port 19 (Also alles aus dem Obergeschoss) darf sich nur mit Port 16 unterhalten, sonst mit nichts.
    Zum Vergrößern anklicken....
    ist VLAN afaik der falsche Weg, dazu wäre eine Firewall am / auf dem Server besser.    (Bedenke bei ACL basierten Firewalls, dass die erste Rule greift, also das deny any als letztes konfigurieren, da du die sonst selbst den Ast absägst.)
  • Obwohl ich seit 6 Jahren Enterprise Netzwerke betriebsführe (Konfigurieren und Troubleshooten), für zu Hause ist mir noch kaum ein sinnvolles Szenario für VLANs eingefallen - außer evtl. eins für Gäste oder DMZ (betreibe ja zu Hause auch Server). Für Gäste ist aber ein Gast WLAN sinnvoller. Der Sinn von VLANs ist ja durchgehend getrennte Netze zu haben, das schließt das Routing eigentlich mit ein (Stichwort VRF), ok in Unternehmen kann es auch sinnvolle Implenetierungen geben, die mehrere VLANs in einem VRF routen (z.B. VOIP + Data des gleichen Kunden aber nicht Data + Data verschiedener Kunden, oder Data und Mgmt-VLAN in einem VRF macht auch keinen Sinn oder sonstiges). Die Idee bei VLANs ist ja, dass man Hardware sparen kann, nicht Access Control.

Eine andere Alternative, wenn du auf eine Firewall und Intervlan Routing verzichten möchetst wäre. Dem Server einfach eine IP aus einem anderen Netz zu geben. Man kann durchaus auf VLAns verzichten und zwei IP Netze in einer Broadcastdomäne fahren. Besonders gut geht das, solange nur eines der Netze DHCP nutzt, der Rest statisch läuft. Angenommen du hast als normals LAN das Netz 192.168.1.0/24 (DHCP). Dannbekommt der Server einfach ein IP aus dem Netz 192.168.2.0/24 (Non-DHCP). Dazu bekommt auch noch der andere PC (Port 16?) eine Pseudo-NIC (virtuelle Netzwerkkarte) mit der IP aus dem Servernetz und eine mit der IP aus dem normalen Bereich (192.168.1.0/24). So können sich die Geräte den Server ebenfalls nicht per IP erreichen, außer eben der am Port 16. Der kann beides. Ausnahme wäre, wenn man eines der anderen Geräte statisch mit einer IP des Servernetzes versorgt, aber mal ehrlich, die viele Anwender wissen nicht wie das geht und die Lösung sollte für den häuslichen Bedarf der Zugriff gut genug geregelt sein. Aber besser wäre die Firewalllösung. Die eleganteste Lösung ist das mit zwei IP Netzen in einer Broadcastdomäne nicht, aber sie ist günstig und erfordert weniger Detailwissen. Wenn es sicherer sein soll, muss man sich eh Gedanken über den physikalischen Zugriff machen und das Heim ist dann der falsche Ort. Besser gut geschütze Bereich in Rechenzentren....

Man kann natürlich die Netzgrößen anpassen, du hat sicherlich keine 254 Geräte, oder? Dann gehe hin, reduziere das Normale Netz auf eine 192.168.1.0/25 (126 Endgeräte reichen doch auch?)und das Server-Netz lautet dann 192.168.1.128/29 (6 Endgeräte). Natürlich darf man nicht vergessen die Maske anzupassen.

Das wäre dann eine reine Softwarelösung. Es ist durchaus gängige Praxis, dass in einer Broadcastdomäne zwei IP-Netze laufen.
 
Zuletzt bearbeitet:
VLANs sind dann sinnvoll, wenn man zwei getrennte Netze über ein vorhandenes Kabel leiten möchte. Hier sollte also der Server zwei IPs der beiden VLAN Netze haben und mit der eigenen Firewall die Pakete aus dem unerwünschten Netz blocken. Der Port, an dem der Server hängt, muß daher Teil beider VLANs sein. Das war mit üblichen Realtek Karten mit Linux kein Problem bei mir, soweit ich mich erinnern kann, der Router sollte halt die doppelte VLAN Zuweisung vom serverport (das trunking) auch erlauben.
 
Ja, bei Linux..... Windows macht da nicht so ohne weiteres mit, weil die Closed-Sourcetreiber das nicht erlauben, bzw. höherpreisige Modelle verlangen. Mit einer Standard Realtek Karte sind unter Windows keine .1q Trunks möglich. Da muss schon eine 40 € Intel Serverkarte her. Mit der "billigen" Konkurenz habe ich bisher eher schlechte Erfahrungen gemacht.
 
Zuletzt bearbeitet:
Danke für Eure Hilfe!

Das Prinzip von einem VLAN habe ich wirklich missverstanden, und ja: Eine Firewall macht bei diesem Anwendungsfall doch am meisten Sinn! So habe ich das Switch jetzt auch konfiguriert und es funktioniert :)

Danke und Gruß,
Marco
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Vlan für Gast Wlan einrichten
Antworten
16
Aufrufe
1.291
norKoeri
N
O
Vlan Omada einrichten Wifi
Antworten
5
Aufrufe
1.720
Flossen_Gaming
Flossen_Gaming
L
Unify EdgeRouter X VLan einrichten
Antworten
6
Aufrufe
4.476
Raijin
Raijin
K
Heimnetzwerk einrichten
Antworten
14
Aufrufe
2.073
norKoeri
N
D
VLAN einrichten an Zyxel Switch
Antworten
1
Aufrufe
3.322
foo_1337
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz