Cisco SG 200 VLAN - Ports isolieren

[Nickproof]

Hallo,

ich versuche an einem Cisco SG 200-8 VLAN für 2 Ports einzurichten, und scheitere dabei.
Das Netzwerk soll folgendermaßen ausschauen:
Cisco Switch, alle 8 Ports belegt. Port 1 kommt vom Router (FritzBox 6490 Cable). Alle 8 Ports sind im Default-VLAN 1. Port 2 soll von anderen Ports isoliert werden, aber über Port 1 auf das Internet zugreifen können. Und hier habe ich das Problem - egal wie ich konfiguriere - entweder hat Port 2 Zugriff auf das gesamte Netzwerk, oder gar keinen Netzwerkzugriff.
Ich habe VLAN id 10 angelegt und beide Ports dem VLAN zugeordnet. Im Tagged mode, so wie auf dem screen zu sehen ist, hat Port 2 keinen Zugriff. Wenn ich beide Ports als untagged markiere, hängt sich die Oberfläche auf und ich habe keinen Zugriff mehr auf den Switch, bis ich diesen reboote. Beim Screen 2 vermute ich einen Anzeigenfehler, denn Port2 ist kein Member des VLAN1. Mache ich was falsch?

Bin für alle Tipps dankbar.

 

[Masamune2]

Port 2 soll von anderen Ports isoliert werden, aber über Port 1 auf das Internet zugreifen können.

Geht mit einer Fritzbox auch nicht, die kann nämlich keine VLANs. (zumindest nicht mit normaler Firmware, möglich das Freez das könnte)

Dafür müsstest du einen Router beschaffen der das auch kann, oder einen zweiten Router für das getrennte Netz nutzen, der wiederum an der FB hängt. Quasi so:
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

 

[=[KKB]=Becks]

Sinn und Zweck einer Portisolation ist, dass dieser Port nicht mehr mit anderen Access-Ports reden kann. Daten kann er nur noch an sein Gateway schicken, wenn dies über einen Trunk angeschlossen ist und dieser das VLAN auch überträgt. Oder anders gesagt: Deine Fritz-Box hängt an einem Access-Port, weshalb der isolierte Port mit ihr nicht kommunizieren kann. Einen Versuch wäre es wert, wenn du einfach mal an deinem Switch den Fritzbox-Port von Access auf Trunk stellst. Keine Ahnung, ob dann die Fritzbox noch erreichbar wäre, aber versuchen solltest du es mal.

Wenn ich mir aber deine Konfiguration anschaue, dann ist mir leider gar nichts mehr klar Du kannst bei dir nur mit VLAn 1 arbeiten, da die Fritzbox nicht mehr als das eine - die Eins - versteht. Dein Vorhaben muss also über einen isolierten (protected) Port 2 realisiert werden. Vorrausgesetzt, man kann die Fritzbox an einen Trunkport hängen...

 

[lakekeman]

VLANs sind dazu da um ganze Netze zu trennen, nicht einen Client innerhalb eines Netzes.
Daher kann das so nichts werden.

Du musst zusätzlich die Fritzbox mit dem Port4 auf den Switch verbinden. Diesem Port 4, sowie deinen zu isolierenden Port 2 stellst du auf VLAN10 untagged, access und stellst auch die pvid auf 10.

Dann musst du auf der Fritzbox für Port 4 den LAN-Gastzugang aktivieren.

 

[Nickproof]

Danke für die Beiträge.

Port 1 z.B. kann doch in mehreren VLANs sein (1 u. 10). Port 2 soll im VLAN 10 sein. Die anderen im VLAN 1.
Der FritzBox-Port ist auf Trunk gestellt. Es ist die Standardkonfiguration, alles auf Trunk.
​Wenn ich die Ports 3-8 auf Access umstelle, haben alle Ports Zugriff. Sobald ich die Ports 1 und 2 in ein Tagged VLAN stecke, hängt sich die Oberfläche vom Switch auf. Scheinbar habe ich doch einen Denkfehler drin und es darf so nicht funktionieren.

Das mit dem Gastzugang der Fritzbox ist eine gute Idee, habe gar nicht dran gedacht. Aber da kann ich ja den Server direkt an der Box anschließen und mir das VLAN sparen. Mach ich aber nicht, weil das Kabel verlegt werden muss.

 

[lakekeman]

Es bringt dir nichts deinen Fritzbox Port mit mehreren VLANs zu trunken.
Deine Fritzbox kann damit einfach gar nicht umgehen.
Sie hat nur 1 LAN Interface in einem IP Netz.

Daher musst du für dein Vorhaben den Gastzugang auf Port 4 nutzen.

 

[Masamune2]

Der FritzBox-Port ist auf Trunk gestellt.

Schön für den Port, die Fritzbox versteht das aber nicht.

Wie schon im zweiten Beitrag geschrieben klappt das so nicht.