illuminaten 10 Geschrieben 8. Oktober 2009 Melden Teilen Geschrieben 8. Oktober 2009 Hallo, ich muss für eine Projektarbeit ein VLAN planen und einrichten. Leider habe ich momentan wenig Ahnung davon. Ich habe schon mehrere Beschreibung durchgelesen. Mir ist bekannt das VLAN sich untereinander nicht unterhalten können. Meine Fragen sind nun? Ich habe 3 Server, einen gemeinsamen Internetrouter und mehrere Netzwerkdrucker. Die VLAN's sollten nach Abteilungen unterteilt werden. Abteilungen sind VLAN1 Geschäftsleitung VLAN2 Buchhaltung VLAN3 Faktura VLAN4 Produktion Was muss ich tun, damit die VLAN's auf die Server zugreifen können, aber nicht untereinander unterhalten können? Zudem können die PC's von VLAN 1 auf die Drucker in VLAN2,3 und 4 zugreifen. Ich dachte an Layer 2 Switches mit Port-basierende VLANs: bis zu 255 Gruppen Unterstützt IEEE802.1Q VLAN tag (IVL): bis zu 255 Gruppen Unterstützt IEEE802.1p QoS mit 2-level priority Kann mir bitte jemand helfen? Hat jemand vielleicht schon so ein Projekt durchgeführt und kann mir eine Beschreibung hierfür geben. Vielen Dank für Eure Hilfe GRuß Illu Zitieren Link zu diesem Kommentar
zeppoliner 10 Geschrieben 9. Oktober 2009 Melden Teilen Geschrieben 9. Oktober 2009 Hallo Illu, VLANs sind letztendlich nichts anderes als unterschiedliche Subnetze, daher wirst Du auf Layer 2 nicht allzu weit kommen, wenn z.B. die PCs aus VLAN1 mit Druckern innerhalb der anderen VLANs kommunizieren sollen. Was Du brauchst ist ein Router, oder einen (routing-fähigen) Layer3-Switch, der VLANs unterstützt. Angenommen Du hast einen 24-Port-Router. Diesen Router unterteilst Du in 4 gleichgroße Portgruppen (6 Ports pro Gruppe). Jedem Port teilst Du seine jeweilige VLAN-ID mit (1, 2, 3 oder 4) und gibst dem Router für jedes VLAN eine IP-Adresse in jeweils einem unterschiedlichen Subnetz (z.B. 192.168.1.1, 192.168.2.1, usw. -> der Router hat am Ende 4 IP-Adressen). Um es jetzt Deinem Rechner aus VLAN1 zu ermöglichen mit dem Drucker in VLAN2 zu sprechen, musst Du auf dem Router entsprechende Routen eintragen, z.B. Ziel-Netz 192.168.2.0 | Gateway 192.168.1.1. Für Pakete, die an den Rechner ins VLAN1 zurück gehen sollen, musst Du natürlich eine entsprechende Rückroute eintragen. Etwas anders sieht das ganze aus, wenn Du einen Layer2-Switch und einen extra Router verwendest. Neben den 4 Portgruppen benötigst Du dann einen zusätzlichen Uplink-Port, der mit dem Router verbunden ist. Hier findet das Routing nicht lokal auf dem Switch statt, sondern Pakete werden an den Router und vom Router zurück geschickt. Damit der Router weiß, aus welchem Subnetz das Paket kommt, und in welches Subnetz es transportiert werden soll, enthält das Paket zusätzlich das VLAN-Tag. (Deshalb spricht man beim Uplink-Port auch vom 'tagged port'). Die Ports auf Switch und Router, die direkt miteinander verbunden sind, müssen Mitglieder in allen 4 VLANs sein, damit das Tagging funktionieren kann. Hoffe das hilft Dir erstmal... und ist nicht zu verwirrend :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. Oktober 2009 Melden Teilen Geschrieben 10. Oktober 2009 Hallo Illu, VLANs sind letztendlich nichts anderes als unterschiedliche Subnetze, daher wirst Du auf Layer 2 nicht allzu weit kommen, wenn z.B. die PCs aus VLAN1 mit Druckern innerhalb der anderen VLANs kommunizieren sollen. Was Du brauchst ist ein Router, oder einen (routing-fähigen) Layer3-Switch, der VLANs unterstützt..... Hallo, ich bin erstaunt dieser Aussage, habe ich das doch anders begriffen. Warum muss das Layer 3 sein, warum funktioniert es nicht auf Layer 2? Kann ein Netzwerkteilnehmer nicht mehereren VLANs abngehören, ist es da nicht möglich, Schnittmengen zu bilden? "Subnetze" müessen doch nicht unbedingt unterschiedliche IP-(Sub)Netze sein. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 10. Oktober 2009 Melden Teilen Geschrieben 10. Oktober 2009 Hallo, ich bin erstaunt dieser Aussage, habe ich das doch anders begriffen. Warum muss das Layer 3 sein, warum funktioniert es nicht auf Layer 2? Kann ein Netzwerkteilnehmer nicht mehereren VLANs abngehören, ist es da nicht möglich, Schnittmengen zu bilden? "Subnetze" müessen doch nicht unbedingt unterschiedliche IP-(Sub)Netze sein. MMit VLans möchte man Netze trennen, wenn man diese Rechner ins gleiche Subnetz setzt sind diese ja nicht meh getrennt. Dann kann mans sein lassen. Und wie verbindet man unterschiedliche Subnetze wieder? Richtig. Mit Layer 3 Routern. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 10. Oktober 2009 Melden Teilen Geschrieben 10. Oktober 2009 Jedem Port teilst Du seine jeweilige VLAN-ID mit (1, 2, 3 oder 4) und gibst dem Router für jedes VLAN eine IP-Adresse in jeweils einem unterschiedlichen Subnetz (z.B. 192.168.1.1, 192.168.2.1, usw. -> der Router hat am Ende 4 IP-Adressen). Um es jetzt Deinem Rechner aus VLAN1 zu ermöglichen mit dem Drucker in VLAN2 zu sprechen, musst Du auf dem Router entsprechende Routen eintragen, z.B. Ziel-Netz 192.168.2.0 | Gateway 192.168.1.1. Für Pakete, die an den Rechner ins VLAN1 zurück gehen sollen, musst Du natürlich eine entsprechende Rückroute eintragen. Hallo zeppoliner,also Du hast ja durchaus viel Richtiges geschrieben und auch Einiges, was man so durchgehen lassen kann, wenn man nicht jedes Wort "auf die Goldwage legt". Aber das, was ich gerade zitiert habe, ist einfach nur Käse! Der Router kennt die Netze, mit denen er direkt verbunden ist, ohnehin schon - da muss man (zumindest auf dem Router) keine Routen mehr setzen! Bestenfalls muss noch IP-Forwarding aktiviert werden und dann können die Netze wieder miteinander kommunizieren. Da aber gerade letzteres nach dem Willen des TO nur eingeschränkt möglich sein soll, fehlt in Deinen Ausführungen noch der Hinweis auf den Einsatz von Accesslisten bzw. Filter-/Firewallregeln. ich bin erstaunt dieser Aussage, habe ich das doch anders begriffen. Warum muss das Layer 3 sein, warum funktioniert es nicht auf Layer 2? Kann ein Netzwerkteilnehmer nicht mehereren VLANs abngehören, ist es da nicht möglich, Schnittmengen zu bilden? "Subnetze" müessen doch nicht unbedingt unterschiedliche IP-(Sub)Netze sein.Hallo Edgar,Dein Einwand ist absolut berechtigt. Weder müssen in VLANs zwingend unterschiedliche IP-(Sub)Netze gefahren werden, noch ist dies zwingend für eine Kommunikation über VLAN-Grenzen hinweg erforderlich. Es geht durchaus auch auf Layer 2. Dot1q-konform und damit Hersteller-unabhängig geht dies z.B. mittels asymmetrischem VLAN. Siehe http://www.mcseboard.de/windows-forum-lan-wan-32/vlan-d-link-dgs-1248t-155307.html Ansonsten gibt es natürlich auch noch proprietäre Implementierungen. In der Praxis findet man das freilich selten, allein schon weil die Skalierbarkeit dieser Lösungen schnell durch die kognitiven Fähigkeiten des Menschen eine Begrenzung findet. Will sagen: Ein Routing zwischen verschiedenen IP-Netzen unter Reglementierung per Access-Listen ist nicht nur wesentlich feiner möglich, sondern bei steigender Komplexität auch für den Admin besser überschaubar. Gruß Steffen Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 10. Oktober 2009 Melden Teilen Geschrieben 10. Oktober 2009 (bearbeitet) Drei Server, ein Inetrouter und einige Netzwerkdrucker sind überschaubar, für die Menge der Clients nehme ich das mal an. Ich meine, für die Projektarbeit ist zu prüfen, ob ein oder mehrere geeignete® Layer 2-Switch(es) für die Anforderung ausreichend. Und falls man trotzdem lieber einen L3 nimmt, dann für die Prüfungskomission eine stichhaltige Begründung bereithalten. Es ist natürlich die genaue Aufgabenstellung für die Arbeit zu berücksichtigen. bearbeitet 10. Oktober 2009 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.