VLAN – Teil 2: Woher weiss mein Netzwerk, aus welchem VLAN der Traffic stammt?


sehr verwirrender ArtikelNaja, ganz OKbrauchbar für Checker...guter Artikelsehr guter Artikel - Danke [21 Bewertung, Durchschnitt: 4,52]

Step-by-Step-Anleitung: mehrere VLAN auf 2 Switches verteilt

Voraussetzung:
2 VLAN-fähige Switches (802.1q)

[ich achte hier NICHT auf die IP-Addressierung, es geht lediglich um die komplette Trennung in mehrere Netzwerke, die sich gegenseitig NICHT erreichen können auf Layer 2! ]

Zur Konfiguration:

Grundsätzlich gilt:
Man muss jedem Switchport (ich spreche hier von den einzelnen Anschlussbuchsen)
3 Informationen mitteilen:

  1. zu welchem VLAN der Traffic gehört, der im jeweiligen Port vom daran angeschlossenen Client ankommt
  2. welche anderen VLANs durch diesen Port nach Aussen (also zum daran angeschlossenen Client) kommunizieren dürfen
  3. ob das an diesen Port angeschlossene Gerät die Information braucht, aus welchem VLAN der jeweilige Traffic ursprünglich stammte

Nachstehend ein Beispiel, was damit gemeint ist:
Wir haben zwei Switches mit je 5 Switchports (also 5 Buchsen).

ZIEL4 voneinander komplett getrennte VLANS in 2 Räumen/Stockwerken/Gebäuden!


Nun zu den 3 oben genannten Informationen, die wir jedem Switchport mitteilen müssen:

ad Info 1 (zu welchem VLAN gehört der Port?):

Zur Info:
x Jeder Switchport kann in mehreren VLANs Mitglied sein, kann aber selbst nur EINEM VLAN zugewiesen werden.
x bei Netgear nennt sich dies PVID (= Port VLAN ID)
x bei anderen Herstellern wird diese Zuweisung automatisch vorgenommen, wenn ein Switchport im Modus “ACCESS” betrieben wird…

x Ich bleibe zwecks einfacherer Verständlichkeit in der Folge bei PVID


Ein Hinweis an dieser Stelle in eigener Sache:
Nehmen Sie sich bitte etwas Zeit und werfen einen Blick auf unser Tool "ADMINOMAT",
das aus unseren vielen Erfahrungen mit dem Thema Netzwerk und Active Directory im Laufe der letzten Jahre entstand

Port 1 » PVID 101
Port 2 » PVID 102
Port 3 » PVID 103
Port 4 » PVID 104
Port 5» PVID 1 (default VLAN)

ad Info 2 (welche anderen VLANs durch den jeweiligen Port?)
dies wird durch das Membership im jeweiligen VLAN geregelt.

Ziel:
Port 5 soll den Verkehr aus allen VLANs akzeptieren

Port 1, 2, 3, 4 sollen nur den Verkehr aus dem eigenen VLAN akzeptieren

daher müssen wir folgende Konfiguration vornehmen:

Port 1 » Membership in VLAN 101
Port 2 » Membership in VLAN 102
Port 3 » Membership in VLAN 103
Port 4 » Membership in VLAN 104
Port 5 » Membership in VLAN 101, VLAN 102, VLAN 103, VLAN 104 und VLAN 1

ad Info 3 (soll die Information, aus welchem VLAN der Traffic stammt, mitgegeben werden?)
das “Fahnderl” nennt sich TAG. (geregelt in IEEE 802.1q)…

Port5 TAGGED -  alle anderen Ports sind UNTAGGED

ERGEBNIS:
Annahme: Der Client im VLAN 104 sendet ein Paket ins Netz. Der Switch weiss intern, dass dieses Paket aus VLAN 104 stammt – daher darf es den Switch auch nur an einem Port verlassen, der im VLAN 104 Mitglied ist.
Dies ist nur der  Port 4 und der Port 5. Hier verlässt das Paket nun den Switch. Da der 2. Switch aber wissen soll, aus welchem VLAN das Paket stammt, hängen wir dem Traffic am Port 5 den TAG an…
Mit diesem Tag “bewaffnet”, macht sich nun der Traffic auf den Weg zum anderen Switch…
Der 2. Switch weiss nun, dass dieses Paket aus VLAN 104 stammt (weils im TAG steht), daher darf es den Switch wieder nur auf Port 4 verlassen.

Es findet nun nur noch Verkehr innerhalb der VLANs statt – auch über Switchgrenzen hinweg!!! So als wären die 4 Netze physikalisch voneinander getrennt!!!

Allerdings haben wir jetzt ein Problem:
Da die VLANs wie physikalisch getrennte Netze behandelt werden, kann nun niemand mehr den gemeinsamen Drucker nützen!!!
Wollen wir nun in einem solchen Szenario gemeinsame Resourcen nützen (Printer, Server, Internetzugang, etc), so müssen wir die nunmehr auf Layer2 getrennten Netze im nächsthöheren Layer3 wieder (nunmehr kontrolliert!!!) miteinander verbinden.

–> Wir müssen ein Routing zwischen den VLANs einrichten!

Lesen Sie weiter: Im nächsten Artikel gehts um die IP-Addressierung!

[ACHTUNG: die untenstehenden Kommentare beziehen sich auf eine ältere Vorversion und sind nicht mehr relevant!!!]



This entry was posted in Netzwerk, VLAN. Bookmark the permalink.

32 Responses to VLAN – Teil 2: Woher weiss mein Netzwerk, aus welchem VLAN der Traffic stammt?

  1. Falk says:


    Port 1 » PVID 101
    Port 2 » PVID 102
    Port 3 » PVID 103
    Port 4 » PVID 104
    Port 4» PVID 1 (default VLAN)

    Port 4 mit PVID 1 soll wohl Port 5 heißen.

  2. Edi Pfisterer says:

    @ Falk:
    Danke für den Hinweis, Du hast recht! Habe das im Artikel bereits ausgebessert.
    Vielen Dank für den Verbesserungsvorschlag!
    LG
    Edi

  3. Dominik says:

    Hallo,

    warum unterscheiden sich Port 1 und Port 5 bei ihrem Interesse an den VLans, sprich:

    -> Warum benötigt Port 5 überhaupt das DefaultVLAN (PVID 1)?
    -> Warum benötigt Port 1 (der Drucker) dies nicht?

    Danke für die Info,
    Dominik

    • Edi Pfisterer says:

      @Domink:
      Grundsätzlich gilt: jeder Port muss eine PVID haben. Da in unserem Beispiel Port 5 keinen Traffic verursachen kann (da kein Endgerät angeschlossen ist) ist es eigentlich egal, welche PVID er hat.
      Da per default alle Ports mit der default VLAN-ID (PVID) 1 angelegt werden, habe ich Port 5 dort belassen.

      Zum Port1:
      Grundsätzlich kann Traffic nur jene Ports verlassen, die Mitglied sind im VLAN, aus dem der Traffic stammt (=PVID des ursprünglichen Ports.)

      Ich habe den Artikel nun dahin gehend verändert, dass alle Ports auch Mitglied im VLAN 101 (=PrinterVLAN) sind, dadurch sollte es dann leichter verständlich sein.

      Danke für den Hinweis,
      gutes Gelingen, lg
      Edi

  4. Harald says:

    Hallo!

    Erklär mir bitte warum der Drucker in mehreren VLANs hängt und wie das funktionieren soll, dass aus allen VLANs, auf den Drucker zugegriffen werden kann?

    Würde man das ganze nämlich nicht mit VLANS sondern mit wirklich physikalisch getrennten Netzwerken machen bräuchte der Drucker 4 Netzwerkkarten um aus allen Netzen erreichbar zu sein.
    VLANs helfen ja nur den materiellen Aufwand zu sparen der durch die physikalische Trennung entstehen würde. -> Analog bedeutet das nun dass der Drucker eine VLAN fähige Netzwerkkarte brauchen würde.

    Lg Harald

    • Edi Pfisterer says:

      Hallo!
      VLANs bauen auf Layer2 im ISO/OSI-Modell auf.

      Jedes Paket, das aus einem beliebigen VLAN stammt (erkennbar durch den TAG), darf den Switch an all jeden Ports verlassen, die in diesem VLAN Mitglied sind.

      Daher erreichen in meinem Diagramm alle angeschlossenen Clients den Drucker. Voraussetzung ist natürlich, dass alle eine einheitliche IP-Adressierung verwenden (z.B. 10.0.0.x / 24) – das ist aber Layer-3 und deshalb wird es hier nicht erwähnt.

      Vielleicht hilft ein (hinkender ;-) ) Vergleich:
      In einer Schule gibt es je ein Mädchen/Knaben/LehrerInnen-WC mit jeweils 1 Tür.
      Wenn sich alle an die Regeln halten, dann dürfen alle männlichen Schüler das KnabenWC benutzen, alle Mädchen das MädchenWC, alle Lehrer aber das KnabenWC und das LehrerInnenWC, die Lehrerinnen das MädchenWC und das LehrerInnenWC, die Reinigungskraft darf alle WCs besuchen.
      Nun kann es durchaus 50 Leherer geben, es reicht trotzdem 1 Tür je WC.

      Hoffe, der – hinkende – Vergleich wird nicht als “stinkender” Vergleich gesehen ;-)
      und bringt etwas Licht in die Sache…

      lg
      gutes Gelingen,
      Edi

    • Edi Pfisterer says:

      Nachsatz:
      Der Drucker benötigt keine VLAN-fähige Netzwerkkarte!

  5. Harald says:

    “dass alle eine einheitliche IP-Adressierung verwenden”

    Ich glaube darin liegt der Hund begraben! Erklär mal wie du das machen würdest bei 3 Netzen, am besten anhand von Bsp Netzen mit Bsp IPs.

    Vielleicht verstehe ich es ja dann. :-)

    • Edi Pfisterer says:

      Hallo Harald!

      Prinzipiell gilt: Es können nur Clients via TCP/IP – ohne einen Router - miteinander kommunizieren, wenn alle im selben Subnetz sind.
      (wie das ganze MIT einem Router funktioniert, beschreibe ich in den anderen Artikeln dieser Serie – Artikelübersicht findet sich rechts im Menü…)

      Falls wir – wie in diesem Artikel – keinen Router (der auf Layer 3 – Ebene verschiedene Subnetze miteinander verbinden kann) verwenden, dann müssen also alle Clients im selben Subnetz sein.

      Als Adressraum kommen für ein privates Netzwerk nun folgende in Frage:

      10.0.0.0 bis 10.255.255.255 –
      Subnetzmaske: 255.0.0.0 (oder 255.255.0.0 oder 255.255.255.0

      172.16.0.0 bis 172.31.255.255 –
      Subnetzmakse: 255.255.0.0 oder 255.255.255.0

      192.168.0.0 bis 192.168.255.255 –
      Subnetzmakse: 255.255.0.0 oder 255.255.255.0

      Es müssen alle Clients die selbe Subnetzmaske eingetragen haben!!! Die Subnetzmaske gibt Auskunft darüber, wie groß das Netzwerk ist.

      Beispiel:
      10.0.x.x -> SN 255.255.0.0 (Dein Netzwerk ist 255^2 Clients groß)
      oder
      10.0.0.x -> SN 255.255.255.0 (Dein Netzwerk ist 255 Clients groß)

      Anders herum:
      10.0.0.1 und 10.0.1.1 können kommunizieren, wenn beide als Subnetzmaske 255.255.0.0 eingetragen haben. (weil das Subnetz 255^2 Clients zulässt)

      10.0.0.1 und 10.0.1.1 können NICHT miteinander kommunizieren, wenn beide als Subnetzmakse 255.255.255.0 eingetragen haben. (weil das jeweilige Subnetz nur 255 Clients zulässt und die beiden Clients in einem jeweils anderen Subnetz sind…)

      Für unser Beispiel würde es also genügen, wenn alle Rechner eine Adresse aus dem Bereich 10.0.0.x mit der Subnetzmaske 255.255.255.0 haben.
      Jene, die durch ihre Mitgliedschaft im selben VLAN sind (oder Mitglied im anderen), können nun miteinander kommunizieren, die anderen könnten zwar auf Layer3 (TCP-IP), NICHT aber auf Layer2 (VLAN) und daher sind sie voneinander getrennt…

      Falls meine Erklärung verwirrend ist, bitte um einen weiteren Kommentar. Danke, lg
      Edi
      (ansonsten würde ich mich über ein Voting (unter der Überschrift gibts diese Sternchen) oder ein FB-like freuen… ;-)

      • Harald says:

        Hallo!

        Danke für die Erklärung! Grundsätzlich verstehe ich deinen Denkansatz.
        -> ein Subnet aufgeteilt auf mehrere VLANs
        (an sowas hatte ich bis jetzt noch nie gedacht) – bei der Recherche deines Denkansatzes bin ich dann auch auf den Denkansatz: “mehrere Subnets in einem VLAN” gestoßen. — möglich ist halt vieles, sauber etwas anderes
        Ob es wirklich eingesetzt werden sollte ist eine andere Frage.

        Wenn ich nämlich an bidirektionale Kommunikation denke, frage ich mich was mit Paketen passiert die zurückgesendet werden (also vom Drucker zu einem Client)? Werden die dann in ALLE VLANs gesendet?
        Außerdem was passiert wenn es in zwei VLANs die selben IPs gibt? Grundsätzlich ist das ja kein Problem dass es in jedem VLAN die selben IPs gibt, bei deiner Konstellation darf das aber ja nicht sein da ja sonst der Drucker keine eindeutigen Empfänger mehr hat.

        Vor allem geholfen hat es mir, dass ich mich mit der Materie wieder grundsätzlich beschäftigt habe und neue Sichtweisen kennengelernt habe.
        Nun bin ich wieder um einiges besser gewappnet gegen schlecht konfigurierte Netzwerke.

  6. Dominik says:

    Laut meiner Netgear Doku steht PVID für Port VLAN ID – bei Dir im Text schreibst Du von Personal VLAN ID.

    • Edi Pfisterer says:

      @ Dominik:
      Danke fürs aufmerksame Lesen des Artikels – und für das Feedback!
      Du hast natürlich recht, ich habe den entsprechenden Begriff im Artikel nun ausgebessert.
      Vielen Dank,
      lg
      edi

  7. Rob Smiler says:

    Die Hersteller haben offenbar ein unterschiedliches Vorgehen bei VLANs. Ihr verwendet keine HP ProCurve Geräte. Da ist das was du angedacht hast scheinbar nicht möglich. Zumindest nicht mit dem managed Switch HP ProCurve 1810G.

    • Edi Pfisterer says:

      Hallo Rob!
      Da kann ich Dir nicht recht geben – alle mir bekannten Hersteller halten sich an den IEEE 802.1Q Standard – so auch HP.

      Dieser Artikel ist von mir so gedacht, dass er einem Anfänger in 30 Minuten erklären sollte, was es mit VLANs auf sich hat bzw. warum man VLANs einführen sollte und dass sich dadurch Netze einfach auf Layer-2-Ebene trennen lassen. Der geneigte Leser sollte sich dann durch die Artikelserie hanteln – um am Ende ein fertiges geroutetes Netz zu haben.

      Die Quintessenz dieses Artikels liegt also im Unterschied von TAGed und UNTAGed bzw. dass es Ports gibt, die mehrere VLANs “durchlassen” (damit durch diese Ports Traffic mit anderen Switches/Routern möglich ist).
      Diese Ports könnten wir Uplink (oder je nach Hersteller “Trunk”) nennen.

      Um dies zu verdeutlichen, habe ich nicht nur den Uplink (jeweils Port 5), sondern auch den Drucker in das Schema aufgenommen.
      Wichtig ist in diesem Beispiel (falls das wirklich so jemand umsetzen würde), dass alle PCs und der Drucker im selben Subnetz sind (= selbe IP-Adressierung, zb 192.168.0.x mit Subnetzmaske 255.255.255.0) .
      (ich habe mir vorgenommen, die Grafik oben entsprechend zu erweitern…)

      Wichtig: diese Struktur hat NICHTS mit einem gerouteten Netz zu tun, es geht lediglich um die Trennung von Netzen mittels VLANs auf LAYER 2!
      (geroutete Netze kommen erst später in dieser Artikelserie…)

      Der von Dir genannte Switch funktioniert natürlich auch nach diesem Prinzip, dh, es ist möglich, einen “Uplink” zu konfigurieren, und damit lässt er sich problemlos in obiges Szenario integrieren…

      Hier ist ein Hinweis, wie die Konfiguration auf dem von Dir genannten Switch aussehen müsste:
      http://www.administrator.de/index.php?content=137326#535215

      lg und danke nochmals für Deinen Hinweis
      Edi

      • Andreas says:

        Hallo Edi,

        ich habe ebenfalls einen HP Procurve 1810G-24 Switch und einen Cisco SG300-20 Switch. Ich habe folgendes Problem:

        Am beiden natürlich VLANS angelegt. Beide Switche sind über einen Trunk (Tagged),bei Cisco heisst das LAG) verbunden. Funktioniert soweit auch. Beide Trunks sind Mitglied in allen VLANS (so wie bei Dir beschrieben)

        Jetzt habe ich aber an beiden Switchen Komponenten aus verschiedenen VLANS (Beispiel: EDV, Haustechnik, Kameras)
        Mein PC (VLAN EDV) muss jetzt z.B. auf alle 3 Vlans zugreifen

        ich habe jetzt am Cisco auf dem Port, wo mein PC hängt, als Vlan EDV (als PVID untagged) angelegt, dann noch Mitgliedschaft Haustechnik und Kameras untagged eingetragen. Aber ich erreiche z.B. die Kamera am HP nicht. Dort ist sie im VLAN “Kameras” untagged am Port angelegt. Auf diesem Switch kann ich nur 1 VLAN pro Port untagged zuweisen (Cisco geht mehrere). Wenn ich jetzt die Kamera ins VLAN EDV nehme, dann geht es. Wie kann ich das lösen?

        Ich hoffe, dass meine Beschreibung verständlich war

        • Edi Pfisterer says:

          Seruvs,
          eine Kommunikation zwischen den VLANs wird auf Layer2 – eben DURCH die VLANs erwünscht – verhindert!
          Um nun dennoch von einem VLAN in ein anderes zu kommunizieren, brauchen wir Routing, dh, Layer3.

          in diesem Artikel gehe ich darauf ein:
          http://www.schulnetz.info/vlan-teil3-ip-addressierung-routing-isa-server/

          das schöne an Deiner Infrastruktur:
          Du hast bereits den Cisco SG300, der auch als Layer3-Switch (~Router) arbeitet, das muss man allerdings noch aktivieren:
          http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-business-sg300-srw2024/

          Wenn dann die Kommunikation von jedem VLAN in jedes andere VLAN auf Layer3-Ebene möglich ist, brauchst Du abschließend noch sogennante Access Lists, die unerwünschte Kommunikation wieder verhindern.
          http://www.schulnetz.info/vlan-teil5-access_lists/

          Falls Du weitere Hilfe brauchst (ich könnte Dir als Steilvorlage ein fixfertiges Konfigfile für den SG300 mailen): feel free, meine Dienstleistung ist nicht teuer – und ich verrechne nur etwas, wenn sich durch meine Hilfestellung auch der gewünschte Erfolg einstellen sollte
          [ich HASSE diese IT-Dienstleister, die nach Stunden abrechnen und auch etwas verlangen, wenn keine Besserung eintritt... dh, der Kunde bezahlt direkt die Forschungsabteilung dieser Verbrecher... aber das ist jetzt ein anderes Kapitel und hat mir Deiner Problemstellung - hoffentlich - nichts zu tun ;-) ]
          Anfragen bzgl eines Kostenvoranschlags einfach direkt an edi@schulnetz.info

          in diesem Sinne,
          ich hoffe, etwas Licht in die Sache gebracht zu haben,
          gutes Gelingen
          glg

          Edi

  8. Rob Smiler says:

    In diesem Zusammenhang vielleicht noch das hier – VLAN Sicherheit:
    http://www.heise.de/netze/artikel/Sicherheit-224008.html

    Harald hat wohl recht, dass so eine Konstellation nicht so günstig ist.

    • Edi Pfisterer says:

      Danke für den Link!
      Harald hat nicht Recht!
      Diese Konstellation ist ja nicht gedacht als letzter Weisheit Schluss – Ziel muss natürlich ein geroutetes Netz sein – dieser Artikel ist nur die Einstiegsdroge.

      Falls jemand allerdings seine Infrastruktur in einzelne, voneinander abgeschottete Netze trennen will und kein Geld hat, um sich einen Layer3-Switch zu kaufen, funktioniert dieses Szenario allemal!

  9. Marcus Miller says:

    Hallo Edi,
    erstmal vielen Dank für den super verständlichen Artikel, endlich bin ich etwas vertrauter mit VLANs und deren Bedeutung. Ein Frage hätte ich aber dennoch.
    Wir wollen bei uns (sind keine Schule) ein Gast-WLAN realisieren. Unser Netzwerk ist leider sehr unstrukturiert (im wahrsten Sinne des Wortes). Sprich es hängen un-gemanage Switche hintereinander, dann ist mal wieder ein Smartswitch (Netgear 724Tv3) in der Struktur eingebunden.
    Als W-LAN AP habe ich einen TP-LINK TL-WA901ND welcher mehrere SSIDs aufspanenn kann und diese auch mit einer VLAN-ID vesrsehen kann. Wenn ich Deine Artikelserie richti gelesen habe, ist “Dein” VLAN ein portbasiertes VLAN und kein TAG-basiertes VLAN. Weisst Du wich das in meinem Fal realisieren kann oder ob das überhaupt so funktioniert?
    Ich würde dem normalen (firmeninternen) WLAN-SSID die VLAN-ID 1 geben, dem Gäste-WLAN die VLAN-ID 22.
    Den AP würde ich an den 724T direkt anschliessen und würde dann den Switch Port auf VLAN-ID 1 & 22 berechtigen, richtig? Könnte ich nun zwischen dem Netgear Switch und dem AP noch ein paar “dumme” Switche hängen oder muss der AP direkt an dem Smartswitch hängen? Zwischen dem Smartswitch und unserem Router der auch die DHCP Adressen verteilt und den Zugang ins Internet herstellt, hängen auch wieder “dumme” Switche, ist das ein Problem?
    Wie müsste ich den Router konfigurieren damit Gäste (VLAN-ID 22) nur ins Internet kommen, interne W-LAN Geräte (VLAN-ID 1) aber auch in unser internes Netz kommen?

    Sorry für die vielen Fragen, ich hoffe aber dennoch das Du mir ein paar Denkanstösse bzw. Ideen geben kannst
    Marcus

    • Edi Pfisterer says:

      Hallo Marcus,
      kurz, da das Wochenende naht:
      > Wenn ich Deine Artikelserie richti gelesen habe, ist “Dein” VLAN ein portbasiertes VLAN und kein TAG-basiertes VLAN.
      ich meine hier natürlich TAG-basierte VLANs, also IEEE 802.1q
      Hier werden TAGs zur Identifizierung der “Mitgliedschaft” bzw. des “Ursprungs” im jeweiligen VLAN verwendet.
      Sofern diese TAGs beim Verlassen des Smartswitches am jeweiligen Port nicht wieder entfernt (“untagged”) werden, werden diese TAGs auch über “dumme” Switches mitübertragen.
      Hoffe, damit die meisten Deiner Fragen bzgl. der Verkabelung beantwortet zu haben…

      > Wie müsste ich den Router konfigurieren damit Gäste (VLAN-ID 22) nur ins Internet kommen, interne W-LAN Geräte (VLAN-ID 1) aber auch in unser internes Netz kommen?
      Du musst für das Gäste-VLAN eine deny-Regel erstellen für jedes andere VLAN bzw. danach eine permit-Regel mit any-any erstellen, für das interne VLAN-ID 1 reicht eine permit-Regel any-any
      (Achtung auf die Reihenfolge:
      alle mir bekannten Router bzw. Layer3-Switches arbeiten so, dass jene Regel angewandt wird, die für den jeweiligen Traffic als erste in der Reihenfolge passt… alle anderen, nachfolgenden Regeln werden dann ignoriert…
      hier [http://www.schulnetz.info/vlan-teil5-access_lists/] gäbe es da nochmal die “3 goldenen Regeln” für ACLs nachzulesen ;-) )

      gutes Gelingen,
      lg
      Edi

      PS und off topic: reflektiert “Marcus Miller” Deine Vorliebe für den gleichnamigen Weltklassebassisten, oder bist Du tatsächlich ein Namensvetter?

  10. Marcus Miller says:

    Hallo Edi,
    OK, danke für die Erklärung. Ich muss jetzt erstmal einen L3 Switch organisieren, die Router die wir haben können das nicht wie es aussieht.

    @ot: Ich wusste garnicht das es einen Musiker gibt der so heisst – also bin ich “nur” ein Namensvetter

    Gruß
    Marcus

  11. Willi Winzig says:

    Hallo Marcus !

    Eine Lösung für genau dein Design findest du auf der o.a. Webseite in der Praxisbeschreibung.

  12. Daniel says:

    Servus,
    vielen Dank für diesen Superartikel! Hat mir sehr weitergeholfen, da ich offenbar eine falsche Vorstellung von tagged und untagged hatte. (Dachte man müsste alle Ports taggen, damit der Switch weiß, in welchem VLAN das angeschlossene Gerät ist).

    Nachdem du aber klarstellst, dass der Switch das intern handhabt, ist mir einiges klar :-)

    Man tagged nur, damit ein empfangendes Gerät (Switch etc.) weiß, aus welchem VLAN die Daten kommen.

    LG
    Daniel

  13. Daniel says:

    Hallo zusammen,

    Mich würde mal interessieren, wie ich herausfinden kann in welchem vlan sich mein PC befindet. Geht das vielleicht sogar über die cmd??
    Über den Switch weis ich wie es funktioniert aber geht das vielleicht auch anders?

    Danke schon mal für eure Antworten!

    Gruß Daniel

  14. Ronald says:

    Hallo,
    interessante Seite und Kommentare. Ich habe jedoch insbesondere mit Netgear die Erfahrung gemacht, dass eingehende Pakete an einem untagged Port trotz mehrfacher Portmitgliedschaft offensichtlich nur dem ersten der VLANs zugewiesen werden. In diesem Falle könnte ein PC, der zu einem “hinten” einsortieren VLAN gehört nicht mal die Drucker IP auflösen. Meines Wissens nach verhalten sich alle Smart Switche von Netgear so. Die Dinger bauen intern vermutlich keine VLAN spezifischen Switchtabellen auf und schicken einen unknown Unicast offensichtlich nicht an alle VLANs in denen der Port mitglied ist. Haben Sie andere Erfahrungen oder habe ich vielleicht etwas falsch an den Netgears konfiguriert.

    • Edi Pfisterer says:

      Servus,
      das kann ich (leider) nicht bestätigen. Jeder Port kann – speziell bei Netgear – Mitglied in vielen VLANs sein. Wenn Traffic im Port ankommt, wird dieser mit dem VLAN-TAG versehen, der der PVID des jeweiligen Ports entspricht. Per default ist dies VLAN 1. Dies geschieht unabhängig davon, ob der Port Tagged oder Untagged ist.
      Eventuell ist bei Dir etwas mit den PVIDs in unreinen.
      gutes Gelingen,
      lg

  15. Thomas Seidel says:

    Hallo,
    ich versuche gerade die VLAN-Einstellungen nachzuvollziehen

    “Ziel:
    Port 5 soll den Verkehr aus allen VLANs akzeptieren
    Port 4, 3, 2 sollen nur den Verkehr aus dem eigenen VLAN akzeptieren
    Port 1 sollen den Verkehr aus allen VLANs akzeptieren

    daher müssen wir folgende Konfiguration vornehmen:
    Port 5 » Membership in VLAN 101, VLAN 102, VLAN 103, VLAN 104 und VLAN 1
    Port 4 » Membership in VLAN 104, VLAN 101
    Port 3 » Membership in VLAN 103, VLAN 101
    Port 2 » Membership in VLAN 102, VLAN 101
    Port 1 » Membership in VLAN 101, VLAN 102, VLAN 103, VLAN 104″

    Ich komme dann aber zu einem anderen Ergebnis:
    Port 5 » Membership in VLAN 101, VLAN 102, VLAN 103, VLAN 104 und VLAN 1
    Port 4 » Membership in , , , VLAN 104
    Port 3 » Membership in VLAN 103
    Port 2 » Membership in VLAN 102
    Port 1 » Membership in VLAN 101, VLAN 102, VLAN 103, VLAN 104 und VLAN 1″

    oder wo liegt da der Denkfehler ?

    mit freundlichen Grüßen
    Thomas Seidel

    • Edi Pfisterer says:

      Servus Thomas!
      Der Unterschied zwischen Deinem Ergebnis und meinem ergibt sich dadurch, dass ich noch zusätzlich den Printer berücksichtigt habe…
      Diese (also meine) Konfiguration lässt sich jedoch nur auf einem Netgear-Switch einrichten, die meisten anderen Switches zeigen Dir “die lange Nase” bei meiner Konfiguration, lassen Deine Konfig aber als richtig durchgehen!!!
      Insofern: gratuliere, Du hast das VLAN-Konzept richtig verstanden!!!
      Ich werde in den nächsten Tagen den Printer aus meiner Übersicht entfernen, er verwirrt mehr, als er bringt…

      Danke für Deinen Hinweis,
      lg
      Edi

  16. Achim says:

    Hallo zusammen!

    Erst einmal möchte ich sagen das dies hier eine
    sehr schöne und informative Seite ist.
    Ich hätte da mal eine Frage zur Erstellung eins
    VLANs. Auf den Switch-Geräten die ich mir bisher
    angesehen habe, gibt es die Option “vlan-interface”.
    Nun meine Frage: was für Funktionen stecken hinter
    dieser Option? Ist es die Erreichbarkeit des Managements
    des Switchs aus dem jeweiligen VLAN oder brauch der
    Switch diese Angabe für den Betrieb des VLANs??

    Viele Grüße und schon mal vielen Dank im voraus!!!!

    • Edi Pfisterer says:

      Die Antwort auf Deine Frage findest Du im Beitrag
      http://www.schulnetz.info/vlan-teil3-ip-addressierung-routing-isa-server/
      unter Punkt 4
      [...VLAN interface eine IP-Adresse zuweisenich verwende in diesem Beispiel für jedes Interface die Adresse 172.16.x.254 –>
      DAS IST AUCH DIE GATEWAY-ADRESSE FÜR ALLE PCs UND SWITCHES IM JEWEILIGEN VLAN..."]
      Kurz gesagt:
      Das Interface ist
      a) die Adresse(n), unter der (denen) der Switch administriert wird
      b) die Gatewayadresse für die jeweiligen Clients im entsprechenden VLAN

      Hoffe, damit kannst Du etwas anfangen,
      lg
      Edi

  17. Daniel says:

    Nun habe auch ich eine Frage. Ich habe SG300 :P und 2 Cisco APs (vlan tauglich seit gestern)
    Am Switch hängen 2 PCs und eine FW sowie bis gestern (linksys 0815 APs).

    Bisher war alles LAN (192.168.20.x) in VLAN1 (PVID1) und
    WLAN (192.168.21.x) in VLAN2 (PVID3)
    (Admin-VLAN ist die 1)

    Da nun mein AP auch VLans kann wollte ich die auch nutzen. Also sagte ich dem AP du machst tagging und selbiges sagte ich auf dem Switch-Port an welchem der AP klemmt (PVID ist bei WLAN die 3 bei mir)

    Leider bekomme ich seit dem weder ein Ping noch sonstiiges zum oder vom AP.

    Wo liegt mein denkfehler? Der AP hat die 192.168.21.11

    • Daniel says:

      Problem gelöst. Man sollte auch die Schnittstelle entsprechend gestalten und nicht nur untagged zulassen.

      VLAN -> Schnittstelleneinstellungen (für die wo das gleiche Problem mal haben und nicht daran denken)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.


*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>