Archiv der Kategorie: VLAN

Layer-3-Fähigkeit auf einem Cisco Small Business SG300 (=SRW2024)

Die Switches der Reihe SG 300 (von 8 bis 52 Ports erhältich) sind Layer-3 fähig, dh, sie können als Router verwendet werden, um zwischen VLANs zu routen – und dies zu einem sehr günstigen Preis!

Leider (?) wird auf diesen Switches aber per default das Routing NICHT aktiviert, dh, wenn dies nicht explizit aktiviert wird, funktionieren die Switches dieser Baureihe „nur“ auf Layer 2 Ebene.

Und dann gäbe es da noch einen Stolperstein:
Die Routingtabelle (im CLI show ip route bzw. in der GUI IP Configuration // IPv4 Static Routs) zeigt nur jene Routen zwischen den VLANs an, in denen auch tatsächlich Clients hängen… sprich: solange man nur mit einem einzigen Client die Interfaces anlegt, erscheint in der Routingtabelle auch nur dieser eine Eintrag. ARGHHH

Vorgangsweise, um den Routing-Modus auf einem SG 300 zu aktivieren Weiterlesen

IT Kustodentag PH Eisenstadt

Am 26. 9. 2011 durfte ich im Rahmen des IT Kustodentags kurz über den Einsatz von VLANs in Schulen sprechen.

Zum Nachlesen hier nochmals die Schmalspur-Präsentation:IT_Kustodentag_2011 [[downloadcounter(IT_Kustodentag_2011)] x heruntergeladen]

Ich hoffe, die TeilnehmerInnen konnten einen kleinen Einblick in die Materie gewinnen.
Falls ihr bei der Umsetzung oder Beschaffung neuer Hardware / Überprüfung der Eignung bestehender Hardware Unterstützung benötigt -> schickt mir einfach ein Mail, ich helfe Euch gerne!

edi[at]schulnetz.info

WLAN in Schulen:
im Pausenraum – eventuell
im Klassenraum – nein Danke!

Gleich vorweg:

WLAN ist für mich eine Technologie, die für den laufenden Schulbereich wenig geeignet ist!
Gründe dafür:

  • die Strahlenbelastung verursacht wissenschaftlich nachgewiesen zelluläre Stressreaktionen, Störungen des zentralen Nervensystems und ist krebserregend!
  • die aktuelle maximale Geschwindigkeit von WLAN  ist für den Schulbetrieb kaum ausreichend!
  • mobile Devices (IPAD, Handy, etc) verfügen meist ohnehin bereits über einen werkseitigen Internetzugang; ein Zugang zum lokalen Netz ist meist vom User gar nicht erwünscht (weil er zb mit seinem IPAD ohnehin nicht drucken kann, am Handy kein Word-document bearbeiten kann, etc…)
    » Kostenabwälzung auf den „Kunden“ würden wir Betriebswirte das nennen 😉 Weiterlesen

mehrteilige Artikelserie: Umstellung auf VLANs?

In dieser Artikelserie möchte ich den Umstieg auf VLANs erläutern und erleichtern…

  1. Grundsätzliches
  2. Kann eine bestehende Microsoft-Infrastruktur (mit Active Directory) nachträglich in VLANs unterteilt werden?
  3. Die Einkaufsliste (Layer2 vs Layer3)
  4. Woher weiss mein Netzwerk, aus welchem VLAN der Traffic stammt?
  5. Welche IP-Adressen sollen wir verwenden?
  6. Was machen wir nun mit DHCP?
  7. Wie schützen wir die einzelnen Netzwerke gegen Angriffe aus anderen Netzwerken?
  8. Wie bauen wir eine Verbindung ins Internet auf – die Bedeutung von „default Gateway“? 
  9. Abschluss: die Kontrolle

VLAN – Einstieg: Was ist ein VLAN?

Die Grundidee, die hinter dem Konzept von VLANs (Virtuelle Netzwerke) steht, lässt sich einfach formulieren:

Es können einzelne Netzwerke voneinander „abgeschottet“ werden.

Warum wollen wir diese „Abschottung“?

  • Wir können Zu- bzw. Angriffe in definierte Netzwerke gezielt verhindern
  • das Schulnetz kann nur noch partiell angegriffen werden
  • Fehler können viel rascher lokalisiert werden
  • ein Totalausfall des gesamten Netzwerks wird viel unwahrscheinlicher
  • das Netzwerk gewinnt enorm an Geschwindigkeit, weil unnötiges Broadcasting minimiert wird Weiterlesen

VLAN – Teil 1: Die Einkaufsliste (Layer2 vs Layer3)

Da wir durch die Trennung in Virtuelle Netzwerke das selbe Ergebnis erzielen, als würden wir die Netze physikalisch trennen, brauchen wir die Möglichkeit, zwischen den Netzwerken zu routen.

Wenn wir einen Blick auf das ISO/OSI – Modell werfen, so sehen wir, dass sich erst ab Layer 3 das IP-Protokoll dazu gesellt. Genau dieses Protokoll benötigen wir aber, um zwischen Netzen, die in unterschiedlichen IP-Adress-Bereichen liegen, zu vermitteln.
Ergo lautet der Name dieser Layer 3 – Schicht auch: Vermittlungsschicht. Weiterlesen

VLAN – Teil 3: IP-Addressierung – Routing – ISA-Server

Step-by-Step-Anleitung: IP-Adressierung und Routing in VLANs inkl. ISA-Server

Es eignen sich mehrere IP-Adressbereiche für die internen Adressen:
10.0.0.0 bis 10.255.255.255
172.16.0.0 bis 172.31.255.255
192.168.0.0 bis 192.168.255.255

ich verwende in diesem Beispiel: 172.16.0.0 bis 172.16.4.0

zur Subnetzmaske:

sie gibt Aufschluss über die Größe des jeweiligen Netzwerks.
wir verwenden 255.255.255.0 → es stehen uns 255 Adressen im jeweiligen Netz zur Verfügung

Anmerkung: man kann obige Entscheidung (172.16.1.0 + 255.255.255.0) auch wie folgt angeben: 172.16.1.0/24

Nun soll unser Netzwerk (wir kennen es schon aus Artikel 2) wie folgt aussehen:

Unser Problem nun: Weiterlesen

VLAN – Teil 4: DHCP und VLANs (inkl. WDS)

Step-by-Step Anleitung: Konfiguration eines DHCP-Servers unter Windows bei der Verwendung von VLANs

Inhalt des heutigen Artikels:
Wie konfiguriert man den Layer3-Switch und den in in Windows Server 2003 bzw. 2008 integrierten DHCP-Server für die Verwendung von VLANs richtig?

In Teil 2 dieser Serie habe ich bereits die Bedeutung von VLAN-TAGS (IEEE 802.1Q) angesprochen. Auch der DHCP-Server verwendet diese TAGS, um den Clients die richtigen Adressen aus dem jeweiligen VLAN zuzuteilen.

Leider ist es mit den TAGs alleine aber noch nicht getan! Wir brauchen noch eine weitere Technologie:

den sogenannten DHCP-Helper (oder DHCP-Relay genannt) Weiterlesen

VLAN – Teil 5: Access Lists

Step-by-Step-Anleitung: Einrichtung von Access Lists (ACL) zur „Isolierung“ der VLANs

Nachdem wir in den Artikeln 1 bis 4 erfolgreich VLANs konfiguriert haben, wollen wir nun voneinander isolieren – dies ist ja schließlich Zweck der Umstellung auf VLANs.

(Ohne Access Lists [ACL] sind VLANs nur der halbe Spass – es wird lediglich das Broadcasting stark reduziert, was zu einem Performancegewinn führt;
aus Sicherheitstechnischem Blickwinkel haben wir aber ohne ACLs noch nichts erreicht!

Für Access Lists gilt: Weiterlesen