Netzwerktrennung mit HP ProCurve Switch

[Assassin 13]

Hallo allerseits,

 

wie realisiert man am beten eine Netzwerktrennung mit einem HP ProCurve 2524 Switch?

 

am Port1 Steckt der Router, Port 2-12 Soll sozusagen Netzwerk1 werden (wo sich die PCs untereinander auch sehen können und auch den Router, und Port 13-24 Soll netzwerk 2 werden, wo sich die PCs auch untereinander sehen können.

Allerdings sollen sich die PCs nicht Gruppenübergreifend sehen ,also PCs die im netzwerk2 sind sollen nicht auf PCs im Netzwerk1 zugreifen dürfen, umgedreht natürlich genauso.

 

Allerdings sollen alle auf den Router zugreifen dürfen für Internet.

 

 

Habe mir die sache mit den VLans schon etwas angeschaut, aber ich glaube nicht das es das ist, wa sich suche, weil man damit wohl nur eine gezielte paketzuordnung vornehmen kann wenn man den PCs eine VLAN ID zuweist?

[Dukel 436]

Doch. VLans sind genau das, was du willst.

[Assassin 13]

aber muss ich dann nicht auch an jedem Client eine VLAN ID vergeben?

[NeMiX 76]

Beispielconfig für dein "Problem":

conf t

int 1

name Router

exit

vlan 1

name Clients_1

tag 1

unt 2-12

exit

vlan 2

name Clients_2

tag 1

unt 13-24

exit

wr m

 

Dann am Router beide Vlans als Tagged angeben, die Clients brauchen als Gateway den Router.

An den Clients musst du nichts einstellen, da die Ports untagged sind.

[Assassin 13]

also muss man am Router doch noch etwas einstellen? und wenn das der router keine vlans unterstützt?

[NeMiX 76]

Naja der Router muss die beiden Netze kennen. Im Idealfall kann er Vlans, ansonsten musst du 2 NICs verwenden und kannst dann beide untagged in das jeweilige Vlan packen.

 

Welchen Router hast du den im Einsatz und was sind deine Anforderungen?

[Assassin 13]

gut, der Router sollte dies haben, ist ein LanCom 1781+

 

Ich verbinde mich ja über den Consolen Port mit dem Switch, als Terminalanwendung nehme ich das kleine tool "TeraTerm"

damit kann ich z.B. den Status und alles vom switch auslesen, oder eben auch das Menü aufrufen wo ich VLans erstellen kann, oder die Portzuweisung vornehmen kann, also auf Tagged, untagged, Forbiden oder NO stellen kann...was auch immer das heißen mag

 

 

beim LanCom Router kann mans einfacher machen, also komplett getrennte Netzwerke, das jeder Port z.B. ein anderen Adressbereich hat, oder auch im selben adressbeeich liegt, und doch kann sich keiner untereinander sehen, aber alle sehen den Router. Das ist eine schöne funktion. Dachte das man dies mit dem HP switch ähnlich einfach machen kann :-/

bearbeitet 17. Februar 2014 von Assassin

[NeMiX 76]

Das was du unten beschrieben hast wären ACLs und ist beim Lancom ja eine Mischung aus Routing und Firewall.

Das kann der 2524 nicht.

Du kannst aber beim Lancom einen Port mit den beiden Vlans konfigurieren und den dann in Port stecken. Er übernimmt dann das Routing zwischen den VLans.

[lefg 276]

......komplett getrennte Netzwerke, das jeder Port z.B. ein anderen Adressbereich hat, oder auch im selben adressbeeich liegt, und doch kann sich keiner untereinander sehen, aber alle sehen den Router. Das ist eine schöne funktion. Dachte das man dies mit dem HP switch ähnlich einfach machen kann :-/

 

Hallo,

 

eine Trennung durch Adressbereiche des IP ist Layer 3, ein Switch 2524 ist aber Layer 2. Oder?

 

Die Einstellung der Adressbereiche geschieht am Router.

 

Am Switch 25xx geschieht die Trennung durch VLAN.

 

Schaue mal nach hp vlan configuration examples

 

http://h17007.www1.hp.com/us/en/networking/library/index.aspx

 

http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

bearbeitet 18. Februar 2014 von lefg

[Assassin 13]

Habe auch schon mit LanCom telefoniert, also scheint doch einfacher zu sein als gedacht. Der LanCom kann natürlich mehrere VLANs pro port ansprechen...

 

 

sehe ich das da richtig so, das ich den Switch so konfigurieren müsste? :

 

VLAN1

Port1 - Tagged

Port 2-12 - Untagged

 

VLAN2

Port1 - Tagged

Port 13-24 - Untagged

 

 

und beim Lancom sage ich einfach nur das der auf die VLAN ID1 und 2 ansprechen soll, und in der firewall wiederrum das er das routing zwischen den beiden VLAN IDs sperren soll - so hab ich das von dem LanCom Techniker verstanden.

 

 

 

 

Ich trenne netze sonst meist durch Subnetting :-/ deswegen die sache mit der unwissenheit über VLANs

bearbeitet 18. Februar 2014 von Assassin

[lefg 276]

und beim Lancom sage ich einfach nur das der auf die VLAN ID1 und 2 ansprechen soll, und in der firewall wiederrum das er das routing zwischen den beiden VLAN IDs sperren soll - so hab ich das von dem LanCom Techniker verstanden

 

Moin,

 

ich verstehe die Unsicherheit durchaus, mir ginge es wohl nicht anders. Hast Du mal in das Manual des Lancom geschaut?

bearbeitet 18. Februar 2014 von lefg

[NeMiX 76]

Wenn du es so vorhast wie von dir beschrieben, hab ich dir oben die quasi fertige Config geliefert. Die kannst du so benutzen dafür, VLAN IDs ggf. noch anpassen falls nötig.

 

Ansonsten hast du alles richtig verstanden und auch die Einrichtung auf dem Lancom sollte kein großes Hexenwerk sein ;)

[Assassin 13]

ahh, sehr schön, danke:)