VLANs am Router oder Switch?

[kosta88 2]

Hallo,

 

Die Frage ist simpel genug (hoffe ich).

Konfiguriert man VLANs am Router oder am L2 Switch?

 

Angenommen ich komme mit den Ports am Router aus (ich will schon bestimmte Netze auch Portmässig trennen), wenn Switch eh L2 ist, dann hat man Routing-mässig eh keinen Vorteil wenn man die VLANs am Switch konfiguriert, oder sehe ich das falsch? Die Pakete müssen sowieso zum Router um zwischen Netzen geroutet zu werden, daher kann ich die VLANs für die einfachheit der Konfiguration dort machen.

 

Oder gibt es andere Gründe warum man VLANs auf einem L2 Switch platzieren würde?

 

Besten Dank

Kosta

bearbeitet 28. Mai 2014 von kosta88

[lefg 276]

Hallo,

 

ein VLAN ist und wird auf einem dafür geeigneten Switch konfiguriert. So ist bei den HP ProCurve 1800-24 das VLAN 1 die Vorseinstellung. Im einfachsten Fall kann man den Switch logisch unterteilen mit konfiguration von Ports auf VLAN 2.

 

Im einfachsten Fall wissen angeschlossenen Geräte nichts vom VLAN, ein solche wird im Inneren des Switches gebildet, tritt nicht nach aussen in Erscheinung.

 

Auch können VLAN gebildet werden über Switche hinweg, im einfachsten Fall VLAN 1 auf den miteinander verbunden Switche. Vorstellbar ist demnach, auf Switch 1 befinden sich VLAN 1 und VLAN 2, auf Switch 2 ebenso, die beiden Switche sind über eine Leitung miteinenader verbunden, die führt beide VLAN, ohne das diese miteinander in Kontakt treten.

 

Ein Router kann mit einem Switch kombiniert sein, dieser eventtuell konfigurierbar für VLAN.

 

Auch gibt es Netzwerkinterfacedriver, die Einstellung für VLAN erlauben.

 

Ich möchte hier keinen Grundlagenvortrag halten, ich empfehle nachzulesen, beginnend z.B. bei Wikipedia, dem Elektronik-Kompendium, mit Google wird das auffindbar sein.

bearbeitet 28. Mai 2014 von lefg

[NeMiX 76]

Naja dir bringt es nix Vlan 10,20 am Router zu haben das als Trunk/Tag rauszugeben und dann erwartet der Switch Vlan1 weil nix konfiguriert wurde.

Je nach Größe des Netzwerkes und des zu erwartenden Traffic macht es Sinn auf dem Coreswitch zu routen, da z.b. User und Server Vlan getrennt sind man aber die entsprechende Performance benötigt.

[kosta88 2]

OK, dass VLAN auf einem Switch konfiguriert wird, ist mir doch klar. Der Router hat auch ein Switch eingebaut.

 

Von wegen Coreswitch, da ist bereits eine Überlegung ob wir ein Coreswitch konfigurieren und dann die weiteren Switches, oder wir schliessen zwei Switches nach dem Router auf je ein Port. Der Grund dafür ist, dass die, die oberhalb von mir sitzen, das genau wollen. Ich kann ja sagen dass es so nicht sinnvoll ist, aber das interessiert die weniger. Die wollen eine "physikalische" Trennung zwischen zwei Netzen in unserer Firma. Dass man alles per Firewall trennen kann, ist mir klar, nun die wollen es physikalisch getrennt haben. Soeben verstehen die noch weniger, dass auch wenn getrennt, via Router sowieso alles ansprechbar ist, sofern Firewall nicht eingeschaltet ist. Was soll ich sagen...

 

Wegen VLANs bin ich mir gerade ganz unsicher ob die überhaupt notwendig sind, oder ich einfach mit den Subnetzen arbeiten soll. Obwohl ich derzeit am Plan arbeite und langsam mir das Netzwerk skizziere, poppen verschiedene Fragen immer wieder auf...

[NeMiX 76]

Zeichne es dir doch logisch auf und leg das deinen Chefs vor.

Vlans sind "logische" Switche und wenn es eh auf einen Router geht erreicht man kaum mehr Sicherheit. Falsch konfiguriert und Zugriff ist möglich, ob es jetzt andere Switche oder Vlans sind.

[kosta88 2]

Ja, auf der Zeichnung arbeite ich gerade, wird sicher noch dauern, da wie gesagt, immer wieder Fragen aufpoppen. Ist mein erstes Mal dass ich das mache.

 

Ja, mit VLAN "verteile" ich einfach meinen Switch. Ist mir eh klar. Oder glaube ich mindestens :) Ich versuche es eben deswegen zu verstehen um es nicht falsch zu konfigurieren.

 

Da noch eine Frage, vielleicht denke ich nicht logisch:

Wie "weise" ich einem Switch oder AP ein Subnetz zu? Das geht doch nur via eigenen Port am Router, korrekt? Quasi: Netz 11 und DHCP Scope für Netz 11 sind zB. am LAN1.

Ich kann zwar die Server so schützen dass ich fixe IP zuteile, und dann per FW die Zugriffe erlaube, aber angenommen die Server sind im Netz "12" und die Benutzer im Netz "11". Was blockiert den User die IP Adresse zu fixieren in das Netz 12, und den Server zuzugreifen?

 

Achhh.....verdammt. Gefunden. Am Switch VLAN taggen, dann im Router für ein IP Netzwerk ein VLAN Tag eintragen, somit geht ja nichts anderes, korrekt? Wenn beim Switch VLAN Tag 11 vergeben wird, und IP Netzwerk im Router VLAN Tag 12 erwartet, hat's pech, geht nichts durch... so verstehe ich es. Auch jegliche Änderung der IP würde nichts bringen, da VLAN-Tag immer der gleiche bleibt.

Ohne VLAN hat man wohl ein Problem, oder gibt's andere Wege?

bearbeitet 28. Mai 2014 von kosta88

[lefg 276]

Ein User kann nicht auf die Ressourcen, Freigaben und Dienste eines Servers zugreifen, so er dazu keine Berechtigung dafür hat. Berechigungen werden auf Freigaben und Sicherheit der Ordner vergeben. Berechtigungen werden vergeben für Sicherheitsgruppen, die User sind Mitglieder von Sicherheitesgruppen oder auch nicht. Es ist also nicht zwingend notwendig eine Trennung per Subnetz oder VLAN vorzunhemen.

 

Wenn nun die Vorgesetzten eine strikte physikalischen Trennung angeordnet haben, wo ist denn das Problem? Ich erhielt solch eine Anordnung erstmals 1995; Verwaltungsnetz und Seminarnetz sind streng zu trennen, keinerlei Verbindung über die Hubs, keine Verbindung über Router, kein Rechner mit zwei Netzwerkkarten. Es wurde gemacht und fertig. Es wurden sogar zwei getrennte Internetanschlüsse beschafft, zwei Internetrouter, auch verschiedene Domänen und Server.

 

Eigentlich ist es ein klassisches Schulszenario, heute macht man den Internetzugang für beide Netze mit dem Schulrouter plus, dem IPCop etc.

 

Falls man nun einen Server hat, eine Domäne für beide Netze verwenden muss, dann ist es eigentlich einfach, ein Server hat meist zwei Netzwerkinferfaces, ein Bein kommt ins Verwaltungs- eines ins Seminarnetz. Der Server darf natürlich nicht routen zwischen den beiden Netzwerkinterfaces. Was aber in solch einen Fall geschieht, der Browserdienst des Servers als Masterbrowser sammelt die Netzwerkinformationen beider Netze, die Browser der Clients bekommen die Rechner beider Netzwerke angezeigt. Man kann natürlich den Browserdienst auf dem Server deaktivieren. Die Clients in den Netzwerken wählen jeweils einen Masterbrowser oder ein Rechner der immer an ist, der wird es per Erklärung.

 

Wo könnten in solch einem Szenario nun VLANs zum Einsatz kommen? Stellen wir uns vor Etage 1 und Etage 2, auf jeder Etage gibt es Verwaltung und Schulung, auf jeder Etage gibt es nur eien Switch, zwischen den Etagen, zwischen den Switches gibt es nur ein Kabel. Das reicht(e) so aus, nun soll getrennt, es soll nichts zusätzlich angeschafft werden, kein weiteres Kabel gelegt.

Was also tun? Esi ein klassischer Fall für VLAN auf Layer 2. Bisher sind alle Teilnehmer im VLAN 1, das ist Voreinstellung. Nun werden die Ports der Teilnehmer einer Verwendung (Verwaltung oder Seminar) auf VLAN 2 gesetzt, die Uplinks zwischen Switches so konfiguriert, das sie die VLAN der beiden Switche jeweils verbinmden, VLAN 1 von Switch 1 mit dem VLAN 1 von Switch 2, VLAN 2 von Switch 1 mit VLAN 2 von Switch 2. Die VLAN berühren sich nicht, da die Pakete mit verschiedenen Tags versehen sind. Das ist entsprechend zu konfigurieren auf den Ports.

VLAN spart also das Anschaffen und Montieren weiterer Switche und das Verlegen eines zusätzlichen Kabels zwischen den Etagen.

bearbeitet 29. Mai 2014 von lefg

[NeMiX 76]

Multi Homed DCs sorgen für mehr Probleme als Lösungen, da würde ich immer mit einem Router arbeiten.

[kosta88 2]

lefg,

 

Du gehst davon aus, dass ich alle Rechner in der Firma in die Domäne setzen werde bzw. muss. Das wird mindestens für eine Weile verlegt, da ich die Mannresourcen nicht haben werde um das zu machen. Praktisch müsste ich von jeden MA sein Rechner nehmen und sein ganzes Profil in die Domäne setzen, was eben nicht so leicht gehen wird. Vorallem bei einigen Aussendienstlern.

 

Dass die Server/Freigaben nicht ohne Passwort zugreifbar sind, ist ja klar. Nun wäre mir lieber wenn der User nichtmal den Server sieht - sofern das überhaupt möglich ist, da der DC gleichzeitig DNS/DHCP wird, somit hat jeder Benutzer praktisch Kontakt mit dem DC, aber kein Zugang natürlich. So rein von der Überlegung her, muss eigentlich jeder Nutzer den DC sehen ;-).

 

Du hast wohl Recht, es ist fast wie ein Schulszenario. Nun warum ich DC machen will ist wegen dem DNS Server. Wobei ich DNS und DHCP auch ohne DC installieren und betreiben kann.

 

Eine Hardware-Trennung zwischen die Netze ist aus kostengründen nicht machbar. Das bedeutet wir würden ca. 5 Internet Verbindungen machen. Einfach kommt nicht in Frage. Optimal sind eben 2, eine Haupt und eine Backup. Diese versorgen den Hauptrouter, welches dann weiterhandelt.

 

Derzeit sind nach dem Router zwei Switches, eins für das Büro und eins für das Schulungsnetz. Jedes Netz ist ein separates IP Netz mit dem DHCP und DNS Server vom LANCOM. Nun wurde mir geraten ein WinSrv DNS aufzuziehen da dieses wesentlich besser ist. Nun verstehe ich nicht, was dieses besser machen sollte.

 

Und noch immer ist die Frage offen, wie ich eine Trennung machen kann. Ist die Idee die ich oben geschrieben habe plausibel, oder ist das ein Blödsinn? Ich lese bereits sehr viel über VLANs...

bearbeitet 29. Mai 2014 von kosta88

[lefg 276]

Multi Homed DCs sorgen für mehr Probleme als Lösungen, da würde ich immer mit einem Router arbeiten.

 

Das bedeutet aber nicht, dass man es nicht machen kann, falls es keine Alternative gibt. Ich habe so etwas schon mehrfach einrichten müssen, es funktionierte problemlos.

Falls Multihoming nicht sein soll, nicht sein darf, dann muss man es eben anders machen, z.B. mit je einem Server in jedem Netz oder in einem Netz eben ohne Server und dessen Dienste. Man kann sich nämlich fragen, ob ein Server wirklich benötigt wird in dem Fall. Wer sagt denn, das da ein Server hin muss? Falls das jemand haben will, dann soll er es bezahlen!

 

 

lefg,

 

Du gehst davon aus, d

 

@Kosta,

 

nein, ich gehe nirgendwo von aus. Ich habe lediglich mögliche Szenarien beschrieben. Diese Beschreibungen sind sozusagen ein improvisierter Vortrag in Grundlagen. Es sind keine Ratschläge zur Lösung deiner Probleme im Hause.

 

Und falls Du in dem Seminarnetz ohne Server auskommst, den nicht für DHCP und DNS benötigst, dann lasse es doch! Ich kann mich an eine Zeit erinnern, da gab es in meinem Bereich Netze ohne DHCP und ohne DNS. Frage dich doch einmal, wozu was wirklich benötig wird?

 

Ein Szenario: Der Schulungsraum nur an einem einfachen Internetrouter, der kann auch DHCP machen, er kann aber keine Namensauflösung für das LAN machen, er spielt aber den Weiterleiter an den DNS des Providers für die Auflösung der Internetadressen. Braucht man im solch einem Seminarnetz eine lokale Namensauflösung? Wozu? Falls ja, nun, NetBIOS over TCP/IP, schon mal gehört? Man könnte auch feste IP-Adressen konfigurieren und die die Hosts-Datei ausfüllen. Nochmals die Frage, wird ads aber wirklich benötigt? Wozu? Für einen Drucker? Das geht auch mit der IP.

Man kann auch am DHCP die Adressen der Hosts reservieren.

bearbeitet 29. Mai 2014 von lefg

[kosta88 2]

Ganz in Gegenteil, ich brauche DHCP und DNS, und zwar sicher!

 

Die Pfade in unserer Software funktionieren nur mit UNC, und keinen IPs. Daher ist DNS ein muss.

Windows DNS wurde mir empfohlen, weil angeblich eben ich im LANCOM DNS die IP der Server mit einem DNS manuell Binden muss. Das sollte angeblich, wenn ich die Server in die Domäne am DC lege automatisch gehen, auch wenn die IP Adresse manuell vergeben ist. Daher wird auch ein DC notwendig, da ich sonst keine Domäne habe. Wenn die Server in der Domäne sind, kann ich sie angeblich mit der UNC finden, egal aus welchen Subnet. Das ist eben das Problem wenn ich kein DC habe. Angeblich. Getestet habe ich noch nicht soweit.

NetBIOS reicht nicht, da UNC Subnetüberfreifend gehen muss.

Ich weiss ich könnte mit Hosts arbeiten, nun das ist in einer Ever-Changing-Umgebung etwa unpraktisch.

 

AD wird nicht wirklich benötigt, da ich niemanden im Büronetzwerk schützen muss. Daweil. Alle MA sind brav und alles passt. DC ist scheinbar eher eine Notwendigkeit um mehrere Domänen bzw. Subdomänen zu haben, um die Netzwerke zu verteilen aber trotzdem per UNC ansprechbar haben.

 

Grundsätzlich muss so funktionieren, dass ich Server in mehreren Subnetzen habe (zwecks leichteren Firewall Trennung), aber ich sie Subnetübergreifend per UNC ansprechen kann.

 

Beispiel:

Subnet-11:

SRV1

SRV2

Subnet-12:

SRV3

SRV4

 

Ich muss vom SRV1 den SRV3 und SRV4 anpingen können, ohne der IP, und das geht angeblich nur wenn entweder beim LANCOM die IP Adresse zu SRV1 gebunden wird und LANCOM eine Domäne representiert (zB. work.local) und dann kann ich die Server via SRV3.work.local finden.

Nur, für jeden Server oder VM eine manuelle Zuweisung zu machen, irgendwannmal verliere ich den Überblick.

 

Ist das irgendwie klar?

bearbeitet 29. Mai 2014 von kosta88

[lefg 276]

Nun, wenn kein AD benötigt, dann muss ja auch keine Windows Server sein.Es reicht eine brauchbare Hardware mit einem IPCop darauf, der kann ganz wunderbar DHCP, der hat sogar einen DNS als Dienst laufen.

[kosta88 2]

Ja schön, aber ich kann nicht nur irgendein beliebig Software aus dem Netz nehmen. Leider. Es muss was offizielles sein, und MS haben wir gekauft und das muss es sein.

[lefg 276]

Nun, was soll etwas offizieles sein? Amtlich vom Bürgermeister oder Pfarrer mit Brief und Siegel?

 

Nun, falls es also MS sein soll, dann muss die Firma die Software und die Hardware für die Anforderungen zur Verfügung stellen,

 

Soll es wirklich eine physikalische Trennung sein? Was verstehtst Du, was versteht die übergeordnete IT darunter wirklich? VLAN ist keine physikalische Trennung, es ist eine logische.

 

Und was ist wirklich das Kernproblem?

bearbeitet 29. Mai 2014 von lefg

[kosta88 2]

Ich respektiere dass du mir hilfst, aber der erste Satz muss wirklich nicht sein. Ich wollte Daemon Tools verwenden und wurde strengstens abgewiesen. Ich versuche nichts mehr was nicht offiziell von dem deutschen Mutterkonzern genehmigt ist.

 

Ob physikalisch oder nicht, ist mir persönlich egal. Was die im Endeffekt wollen ist eine verlässliche Trennung. Die glauben nicht an die logische Trennung, aber ich weiss von der IT Seite, es ist grundsätzlich genauso sicher. Ausserdem eine KOMPLETTE physikalische Trennung ist gar nicht möglich, daher...

 

Man darf kein Zugriff aus dem Schulungsnetz in das Büronetz haben. Keinerlei Möglichkeiten. Aber das Schulungsserver ist das gleiche Gerät dass auch für DNS/DHCP, Test-Server usw. verwendet wird. Hat 4 NIC.

 

Kernproblem: Trennung und Ansprechbarkeit der Server und einiger Clientrechner per UNC.