ComputerBase Menü
Aktuelles

Zwei (physisch) getrennte Netze über einen Switch?

J

Joachim87

Cadet 4th Year
Registriert
Feb. 2020
Beiträge
80
Hallo,

gibt es irgendwie die Möglichkeit zwei separate Netze über einen Switch o.ä. laufen zu lassen, wenn zwischen Gebäudeteilen/Räumen nur ein Netzwerkkabel liegt? VLAN dürfte ja für sowas nicht geeignet sein.

Es gibt zwei separate 16.000er DSL-Anschlüsse, aufgrund Brandschaden müsste jetzt zwei Arbeitsplätze innerhalb vom Gebäude mit umziehen. Zwischen Hausanschlussraum mit den zwei Routern und den Räumen liegt nur ein altes 60m Netzwerkkabel. Wäre halt optimal, wenn die Anschlüsse der beiden Unternehmungen/Vertragspartner weiterhin "getrennt" sind.


Grüße
 
Physisch = Kabel legen

Alles andere ist Logisch getrennt....

Bei 100Mbit braucht es nur 4 Adern, daher könnte man auch die 8 Adern auf 2 100MBit Anschlüsse splitten oder eben VLAN einsetzten, wie vorgeschlagen
 
  • Gefällt mir
Reaktionen: KillerCow, Tornhoof und qqALEXpp
je nach Aufbau wäre VPN möglich...




alles andere könnte man zwar über unterschiedliche IP Bereiche hinbekommen ... DHCP muss dann aber aus sein ...

da dies aber nicht sicher ist wenn die User die IP´s selbst verstellen können ... nein.
 
Zwei kleine managebare Switches mit jeweils
Port1 - VLAN1 untagged
Port2 - VLAN2 untagged
Port3 - VLAN1 tagged und VLAN2 tagged
Das "Verbindekabel" in Port3, auf der einen Seite die Router in Port 1 und 2, auf der anderen Seite die jeweilige zu trennende Infrastruktur an Port 1 bzw. 2. Kann natürlich umgangen werden, wenn physischer Zugang zu den Switches besteht.
 
  • Gefällt mir
Reaktionen: AB´solut SiD, gaym0r, Raijin und 3 andere
Joachim87 schrieb:
VLAN dürfte ja für sowas nicht geeignet sein.
Zum Vergrößern anklicken....
Warum? Dafür ist sowas da. Das einzige was sie da beide "teilen", wenn nicht näher konfiguriert ist die Bandbreite des gemeinsamen Links..... aber auch das wäre beherrschbar mit QoS.

Also was du halt brauchst sind managebare Switche, Dump-Switche können das naütrlich nicht.
@ms007 Du hast bei Port 1 und 2 vergessen, dass das jeweils getaggte VLAN gesperrt ist bzw. nur das eine VLAN erlaubt ist oder als Access-Port mit Access-VLAN gesetzt wird, je nach Hersteller. Also:

Port1 - VLAN1 untagged (erlaubt), VLAN 2 gesperrt/verboten / Accessport VLAN1
Port2 - VLAN2 untagged (erlaubt), VLAN 1 gesperrt/verboten / Accessport VLAN 2
Port3 - VLAN1 tagged und VLAN2 tagged

Hier noch mal als Bild. Port 3 wäre jeweils die Verbindung untereinander, VLAN 1 blau und VLAN 2 grün:
1695019973187.png

Bildquelle: https://ilja-schlak.de/vlan-virtuelle-netze/


Je nach Switch-OS ist das einstellen der VLANs mal mehr mal weniger umständlich.... mitunter viel umständlicher als das Konzept selbst (bspw negativ Beispiel Mikrotik, Positivbeispiel Cisco IOS, Belkin, HPE):D: "Wie schwer wollen wir die VLAN-Konfig machen?" - "Ja" :D
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin, AB´solut SiD, derchris und 4 andere
Ist es ein 8 adriges Kabel? Dann einfach 2x4 adrig draus machen und halt nur 100 MBit nutzen können, das wäre dann physisch getrennt (@tRITON war schneller und ich habs total überlesen)
 
tRITON schrieb:
Bei 100Mbit braucht es nur 4 Adern, daher könnte man auch die 8 Adern auf 2 100MBit Anschlüsse splitten
Zum Vergrößern anklicken....

qqALEXpp schrieb:
Dann einfach 2x4 adrig draus machen und halt nur 100 MBit nutzen können
Zum Vergrößern anklicken....
wenn wir hier von firmen und arbeitsplätzen reden wäre das zwar möglich aber schon pfusch.

VLAN wäre hier sinnvoll und ausreichen. zwar keine physische trennung aber in dem umfeld wohl ausreichend
 
  • Gefällt mir
Reaktionen: AB´solut SiD, Autokiller677, KillerCow und eine weitere Person
Geht alles über VLAN. Switch muss VLAN fähig sein, und du brauchst ein Gerät vor dem Switch was auch VLAN kann, z.b einen Router. Am Router tagst du das VLAN z.b ID 2 und 3. Ob du beide Netzwerke oder nur eins tags ist egal. Wichtig ist, dass am Switch beide eingehenden Netzwerke über ein Kabel laufen und als getaggt erkannt werden. Die Ausgabe auf den Ports für die beiden seperaten Rechner dann untagged durchführen.

Evtl. kann es passieren, dass der Switch in beiden Netzwerken dann sichtbar ist, also Admin Passwort am Switch absichern, damit kein Unbefugter Dummheiten treibt.
 
Vlan Switch trennt physchisch.
Normaler Switch trennt nicht. Wobei wenn beide Parteien eigene subnetze haben und vertrauen haben zb. A 192.168.0.x und B 193.168.10.x können sich beide Netzwerke nur beim ändern der ip trotzdem sehen.
 
Ja, würde hier einfach Cablesharing-Adapter auf das Problem werfen, sofern das Kabel achtadrig ist. Wenn beides 16.000er-DSL sind, dann fällt das gar nicht auf, wenn der Link auf 100 MBit/s begrenzt ist. Außerdem liest es sich für mich so, als wäre das eine temporäre Lösung und sollte nicht auf Dauer so bleiben. Warum also für teuer Geld zwei VLAN-Switches kaufen und damit beschäftigen wie man das sicher konfiguriert, wenn es zwei Adapter für wenige Euro auch tun?
 
gaym0r schrieb:
Was daran Pfusch ist, weißt wohl nur du...
Zum Vergrößern anklicken....
ich vermute, das wissen noch ein paar andere. ich vermute aber, dass man keine ethernet spec findet die besagt, dass es OK ist ein 8ter kabel aufzusplitten, wegen dem übersprechen zwischen den kabeln. die sind ja nicht umsonst doppelt geschirmt und twisted etc. Ich sage nicht, dass es nicht funktioniert, und dass ich es nicht zuhause auch machen würde, aber wohl eher nicht im firmen umfeld
 
  • Gefällt mir
Reaktionen: Autokiller677
Was ist denn der Unterschied dazwischen, wenn nun zwei UTP-Kabel die ganze Strecke mit Kabelbinder zusammen gebunden sind oder zwei Links in einem Kabel laufen? Keiner würde ich sagen.

Mir wäre das im Firmenumfeld tausendmal lieber als zwei Links von fremden Firmen über einen VLAN-Switch tunneln zu müssen.
 
  • Gefällt mir
Reaktionen: TomH22
honky-tonk schrieb:
die sind ja nicht umsonst doppelt geschirmt und twisted etc.
Zum Vergrößern anklicken....
Wieso hält sich eigentlich hartnäckig das Gerücht, dass Ethernet Kabel immer geschirmt sein müssen? CAT5(E) Kabel gibt es komplett in UTP. Es war früher durchaus üblich sogar in Installationen zwei RJ45 Buchsen mit einem gesplitteten Kabel zu versorgen. Das war auch einer der Gründe warum sich 100BaseTX gegenüber 100BaseT4 als Übertragungstandard durchgesetzt hat.
(T4 kommt zwar mit CAT3 aus, benötigt aber alle 4 Adernpaare)


@Joachim87 : Werden eigentlich beide DSL Anschlüsse in beiden Gebäudeteilen benötigt? Ich habe die Frage so verstanden. Es gibt quasi zwei Firmen und von jeder Firma zieht jeweils ein Arbeitsplatz in den anderen Gebäudeteil? Die übrigen bleiben im Gebäude mit dem Hausanschlussraum?
 
chrigu schrieb:
Vlan Switch trennt physchisch.
Normaler Switch trennt nicht. Wobei wenn beide Parteien eigene subnetze haben und vertrauen haben zb. A 192.168.0.x und B 193.168.10.x können sich beide Netzwerke nur beim ändern der ip trotzdem sehen.
Zum Vergrößern anklicken....
VLANs trennen nur auf der logischen Ebene. Die Netzwerke "sehen" sich zudem bei jedem Broadcast, wenn sie auf dem gleichen dummen Switch bzw. im gleichen VLAN sind.
 
  • Gefällt mir
Reaktionen: Autokiller677
Joachim87 schrieb:
Es gibt zwei separate 16.000er DSL-Anschlüsse, aufgrund Brandschaden müsste jetzt zwei Arbeitsplätze innerhalb vom Gebäude mit umziehen. Zwischen Hausanschlussraum mit den zwei Routern und den Räumen liegt nur ein altes 60m Netzwerkkabel. Wäre halt optimal, wenn die Anschlüsse der beiden Unternehmungen/Vertragspartner weiterhin "getrennt" sind.
Zum Vergrößern anklicken....
Wie lief das denn vorher? Wenn da nur ein Kabel aus dem Router-Raum kommt, wie wurden dann bisher die Firmennetzwerke mit ihrem jeweiligen Router verbunden? Oder zieht jetzt Firma A gewissermaßen in die Räumlichkeiten von Firma B ein und da gab es bisher eben nur das eine Kabel zum Router B und das Kabel von Router A ging bisher in den nun vom Brandschaden betroffenen Bereich?

Wenn dem so ist, liefern die Beiträge von @ms007 bzw. @conf_t die leistungsfähigste Lösung. Zwei VLAN-fähige Switches, jeweils einer an einem Ende des fraglichen Kabels, der Port am Switch als Trunk konfiguriert (also beide VLANs "tagged") und die übrigen Ports nach Bedarf als "untagged" den jeweiligen Firmen-VLANs zuordnen und dort die Arbeitsplätze bzw. Router, etc. anschließen.


Sollten jedoch auf der Seite der Router des Kabels ausschließlich eben diese Router mit ihren schmalen 16 Mbit/s Anschlüssen kommen, kann man auch die Low-Cost-Variante mit LAN-Splittern nehmen, wenn nicht eh schon managed Switches vorhanden sind. Ich bin zwar kein Freund von den Dingern, aber dieses Set (Klick!) steckt man einfach auf beiden Seiten in die entsprechende Dose und hat dann effektiv 2x 4-adrige Kabel mit je 100 Mbit/s, die über das eine 8-adrige Kabel laufen - so es denn 8 Adern hat und die Dosen voll beschaltet sind. Für die reine Internetnutzung mit 16 Mbit/s sind die 100 Mbit/s je Port auch kein Thema, aber sobald im Router-Raum noch Server stehen, sind diese in Richtung der Arbeitsplätze ebenfalls auf 100 Mbit/s begrenzt und das ist je nach Nutzungsverhalten deutlich spürbar (zB Fileserver).
Diese Lösung hatten u.a. @tRITON und @qqALEXpp schon angesprochen, ich hab im Prinzip nur den Link zu solchen Splittern ergänzt.


LAN-Splitter sind aber stets mit Vorsicht zu genießen, weil sie eben Performance kosten (was ein Problem sein kann, aber nicht muss) und vor allem kann man sie nach Sanierung der Brandschäden vermutlich einfach nur noch wegwerfen, weil man sie höchstwahrscheinlich nie wieder benutzen wird. VLAN-Switches wiederum sind in der Anschaffung teurer, wenn nicht bereits vorhanden, und sie wollen natürlich auch korrekt konfiguriert werden. Ist zwar kein Hexenwerk, aber für Netzwerkunerfahrene kann es trotzdem eine Herausforderung sein.
 
thom53281 schrieb:
Was ist denn der Unterschied dazwischen, wenn nun zwei UTP-Kabel die ganze Strecke mit Kabelbinder zusammen gebunden sind oder zwei Links in einem Kabel laufen? Keiner würde ich sagen.
Zum Vergrößern anklicken....
Auf den ersten Blick fällt mir da die Differenz von 2x 100 Mbit/s zu 1000 Mbit/s sein. Was abhängig von der DSL-Geschwindigkeit ein Thema sein könnte.

Edit: gerade gesehen, dass es hier nur um 2x 16 Mbit/s geht.

thom53281 schrieb:
Mir wäre das im Firmenumfeld tausendmal lieber als zwei Links von fremden Firmen über einen VLAN-Switch tunneln zu müssen.
Zum Vergrößern anklicken....
Die Trennung in V[X]LANs reicht für unterschiedliche Netzwerkmandanten grundsätzlich aus. Siehe auch die div. größeren RZ-/Cloudanbieter, die nicht für jeden Kunden eine eigene Netzwerkinfrastruktur hochziehen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz