peterg 11 Geschrieben 16. Juli 2013 Melden Teilen Geschrieben 16. Juli 2013 Hallo, in unserem Jugendzentrum wollen wir unser Netzwerk etwas ausbauen. Folgendes soll über VLANs realisiert werden: VLAN100 = Angestellte, Verwaltung, Leitung, hier gibt es auch einen Domänenserver, Drucker, … VLAN200 = ein Verein, welcher einen Raum gemietet hat (nur 4 Ports) VLAN300 = WLAN im Jugendzentrum (ca. 4 Access Points) Die VLANs sollen NICHT miteinander kommunizieren, jedoch über EINEN Router ins Internet dürfen. Folgende Hardware ist vorhanden: 2x HP 1810G-24 1x NETGEAR FVG318 Firewall/Router Meine Fragen: a. Funktioniert das mit der Hardware oder brauchen wir z.B. einen anderen Router (die VLANs sollen nicht miteinander kommunizieren!) b. Auf was muss man bei den AccessPoints achten (haben wir noch nicht) c. Wie schaut die VLAN Konfiguration beider Switche aus (soll man das VLAN portbasierend machen, etc.?) d. Was muss man am Router machen? Der hängt ja nur an einem Port am Switch. Dem Port alle drei VLANs zuweisen? Reicht das? e. Wie ist das dann mit den IP-Adressen im VLAN200 und VLAN300? Der DHCP-Server ist ja der Domänenserver im VLAN100. Bekommen die Geräte im VLAN200 und VLAN300 die IP-Adressen über den DHCP-Server aus VLAN100? Muss ich den VLANs überhaupt IP-Adressen zuordnen oder braucht man das nur wenn man zwischen den VLAN routen möchte? Für ein paar Tipps wäre ich dankbar, da ich mit VLANs keine Erfahrung habe (und wir leider auch kein Geld für Profis haben). Ein paar Webseiten hinsichtlich einer "Einführung in VLANs" habe ich schon gelesen, aber irgendwann blicke ich nicht mehr durch :-) Evtl. habt Ihr ja eine gute Empfehlung. Schöne Grüße Peter Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 17. Juli 2013 Melden Teilen Geschrieben 17. Juli 2013 (bearbeitet) Hallo Peter, ich denke, Du wirst dich wohl in die Papers für VLAN bei HP einlesen müssen (ich musste es damals auch), auch in die Beschreibung des Switches. Danach wird dir wohl die Sache klarer werden (wurde mir auch, nach dem der Meister an der Hotline von HP nicht verstand, was ich wollte). Ist der 1810G-24 ein Layer 2- oder ein Layer 3-Switch? Darüber sollte man sich im Klaren sein. Ich denke mal, ein 1810 ist ein Layer 2-Switch. Ein Layer 2 kann kein Routing, stellt kein DHCP zur Verfügung. Den DHCP des DC in die drei VLAN`s bekommen ohne die drei VLAN`s wieder zu verbinden? Wie denn? Oder hat der DC ein drei- oder vierfaches Interface? Ich denke, für die Aufgabe wird ein Layer 3-Switch benötigt. Kann der Rputer denn VLAN? Wurde die Beschreibung schon mal gelesen? Viel Erfolg bearbeitet 17. Juli 2013 von lefg Zitieren Link zu diesem Kommentar
System-Partner 0 Geschrieben 17. Juli 2013 Melden Teilen Geschrieben 17. Juli 2013 Hi, Also, die 1810er Switches sind war nur Layer 2, aber total stressfrei über Web GUI zu konfigurieren. Die haben wir in solchen Szenarien auch im Einsatz. Beim Gateway setzen wir hauptsächlich auf Sophos, deshalb kann ich dir zu Deinem Netgear nichts definitives sagen. Das was ich auf die Schnelle im Web lese, wird die VLAN Funktionalität erst durch umflashen auf dd-wrt möglich. Vielleicht hat jemand anders hier Erfahrung? Beim Switch1, an dem der Router angeschlossen ist, konfigurierst du: a) alle Ports, die aufs Patch Panel gehen, ins jeweilige VLAN (untagged) b) jenen Port, der auf den Router geht mit allen VLANs gemeinsam (tagged) c) Zur Ausfallsicherheit 2 Ports, die den Uplink zum anderen Switch bilden, als Trunk d) dieser Trunk bekommt dann auch allen VLANs (tagged) Beim Switch2 dann auch wieder 2 Ports als Trunk und die beiden Tagged, alle anderen nach deinen Bedürfnissen im jeweiligen VLAN untagged. Der Router muss dann auf seinem Interface die VLANs konfiguriert haben und die entsprechenden Zugriffsregeln in die einzelnen Netze und das Internet. Ich hoffe, das hilft Dir weiter! LG, Chris Zitieren Link zu diesem Kommentar
peterg 11 Geschrieben 17. Juli 2013 Autor Melden Teilen Geschrieben 17. Juli 2013 (bearbeitet) Hallo, ich habe nun ausgiebig "gegoogelt" und bin nun zum dem Schluss gekommen, dass man wegen dem DHCP-Server (gibt ja nur einen) und Internet einen Layer3-Switch benötigt. Wie bekommen die Clients der drei VLANs sonst die IP-Adressen? "Der Layer3-Switch bekommt über den VLAN-TAG vom Layer2-Switch die Info, aus welchem VLAN der Traffic stammt. Nun gibt er diese Information dem DHCP-Server (unser Windows-Server) bekannt, der daraus dann eine IP-Adresse aus dem jeweiligen Subnetz vergibt. Am Windows DHCP-Server muss auch für jedes VLAN ein eigener Scope angelegt werden." Zudem benötige ich den Layer3-Switch auch für die Trennung der VLANs (wg. Sicherheit, Stichwort "Access Lists") und zur Einbindung des "Default Gateways" fürs Internet. Nun bin ich aufgrund der Antwort von Chris nicht sicher, ob ich das mit den VLAN richtig verstanden habe. Chris: Ist Dein Router ein Layer3-Router? Was ist mit dem DHCP-Server? Bekommen alle Clients aus allen VLANs IP-Adressen zugewiesen? Gruß Peter bearbeitet 17. Juli 2013 von peterg Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 17. Juli 2013 Melden Teilen Geschrieben 17. Juli 2013 Hallo Peter, setzen wir in der Konstellation auch oft ein, dann allerdinge mit Routern von z.B. Lancom, da kann man sehr "einfach" Vlans anlegen und diesen Netzen dann eigene DHCP Server zuweisen. Dann wäre im "Verwaltungs" Netz der Server der DHCP Server, in in den beiden andren Netzen würde dies der Router übernehmen. Ein neuer Router ist erheblich günstiger als ein neues L3 Switch - zur Not auch was gebauchtes von eBay. Von DDWRT usw kann ich dir sofern Du noch keine Erfahrung mit VLAN hast (Basics) ehr abraten. Anleitungen in dem Gebiet setzen einiges an Wissen voaus. LGLars Zitieren Link zu diesem Kommentar
System-Partner 0 Geschrieben 17. Juli 2013 Melden Teilen Geschrieben 17. Juli 2013 Hi Peter, Aus Gründen der zentralen Verwaltbarkeit und Übersichtlichkeit bin ich eher ein Fan davon, Switches rein auf Layer 2 zu verwenden und die darüber liegenden Dienste an Firewall und Server zu übertragen. Das ist sicher Geschmackssache und in großen Firmen mag das anders sein. DHCP: Grundsätzlich brauche ich ja pro Broadcast Domain einen DHCP Server. Diese Broadcast Domains definieren sich ja durch die Switching Konfiguration, sprich VLAN. Welches Gerät in diesem Bereich DHCP ist, spielt im Endeffekt aus netzwerktechnischer Sicht keine Rolle. Bei uns ist es oft so, dass der Small Business Server DHCP im Produktiv LAN ist und die Firewall hat DHCPs für WLAN und Gästenetz. Außer der Firewall und den Switches gibt es keine Geräte, die mit getaggten Paketen arbeiten müssen. Es gibt auch keine DHCP Relay Agents. Diese Einfachheit hat sich zumindest bei uns bewährt :) LG, Chris Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 17. Juli 2013 Melden Teilen Geschrieben 17. Juli 2013 Leider können die 1810er keine DHCP-Relay (heißt bei HP dhcp-helper-address), sonst könntest du dein DHCP Problem damit lösen. Anstatt einen L3 Switch zu holen und anfangen ACLs zu basteln solltest du dir evtl. einen VLAN fähigen Router zulegen der auch DHCP für die Netze machen kann. Lancom kann das z.b. sehr gut. Falls du einen L3 Switch einsetzt holst du dir wesentlich mehr Komplexität ins Haus und davon würde ich dir abraten. Zitieren Link zu diesem Kommentar
peterg 11 Geschrieben 25. Juli 2013 Autor Melden Teilen Geschrieben 25. Juli 2013 Hallo, vielen Dank für die super Antworten. Ich tendiere dann auch zu einem VLAN-fähigen Router. Daran habe ich gar nicht gedacht dass die Router ja auch alle einen DHCP-Server haben. Es geht wirklich nur darum, dass der Verein und die Jugendzentrumgäste ins Internet kommen und für das Büro-LAN keine Gefahr/Berührung entsteht. Ist es dann so, dass das Vereins-VLAN und Gäste-VLAN (über WLAN) auch unterschiedliche IP-Adressen haben? Die IP-Adressen für die VLANs definiere ich dann wohl im HP Switch oder? Welchen LANCOM-Router und welche AccessPoints (dann wohl auch LANCOM) könnt Ihr empfehlen? Gruß Peter Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Juli 2013 Melden Teilen Geschrieben 25. Juli 2013 Die IP-Adressen für die VLANs definiere ich dann wohl im HP Switch oder? Hallo Peter, wie soll das denn gehen? Hast Du das Manual des HP 1810 schon mal gelesen? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 25. Juli 2013 Melden Teilen Geschrieben 25. Juli 2013 Die IP Adressen definierst und verteilst du über den Router. Der Switch brauch in dem Vlan keine Adresse wenn du Ihn nicht managen willst. Router 1781A z.b. AP: L321A z.b. Zitieren Link zu diesem Kommentar
peterg 11 Geschrieben 6. August 2013 Autor Melden Teilen Geschrieben 6. August 2013 (bearbeitet) Hallo, was ist nun, wenn z.B. 2 VLANs kommunizieren sollen (z.B. spätere IP-Telfonanalge (Telefon kommuniziert mit PC). Dazu brauche ich ja dann ein Layer-3 Gerät. Kann das auch der Lancom 1781A? Dazu steht im Datenblatt folgendes (verstehe ich nicht): Layer 2/Layer 3-TaggingAutomatisches oder festes Umsetzen von Layer-2 Prioritätsinformationen (nach IEEE 802.1p markierte Ethernet-Frames) auf Layer-3-DiffServ-Attribute im Routing-Betrieb. Umsetzen von Layer-3 auf Layer-2 mit automatischer Erkennung der 802.1p-Unterstützung des Zielgeräts. ODER wäre es ratsam, in weiser Voraussicht, gleich einen Layer3 Switch mit POE (für die IP-Telefone) zu besorgen und an diesen Switch den LANCOM-Router als Default-Gateway fürs Internet anzuschließen. Gruss, Peter bearbeitet 6. August 2013 von peterg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.