ComputerBase Menü
Aktuelles

Erstellung VLAN auf Basis 802.1Q

U

user582

Newbie
Registriert
Jan. 2023
Beiträge
6
Hallo. Wer kann mir bei der Umstellung von einem port-basierten VLAN auf VLAN 802.1Q helfen?

Portbasierend hat soweit funktioniert, nur stöße ich dabei auf einige Grenzen, daher die Umstellung.

Aufgabe:
  • alle Geräte dürfen ins Internet
  • Geräte dürfen untereinander nicht kommunizieren (Ausnahmen wie folgt)
  • A07, B01, B02 Zugriff untereinander erlaubt
  • A07, A20, B01, B02 erlaubt auf B03
  • B01 erlaubt auf A05, A23

24-Port-Switch "A"
Port A01: Modem/Router/DHCP-Client
Port A02: DNS-Server
Port A05: Access-Point, LAN-Bridge
Port A06: Fire-TV
Port A07: PC-F
Port A17: TV
Port A18: Nintendo Switch
Port A19: 4-Port Switch
Port A20: PC-Home Office
Port A23: KWL
4-Port-Switch "B"
Port B01: PC-C
Port B02: PC-D
Port B03: Drucker








Tagged-VLAN ist mir noch nicht wirklich ganz klar, habe aber trotzdem mal versucht, mal ein Schema zu erstellen. Ausprobieren kann ich es noch nicht, da der 2. Switch aktuell noch keinen VLAN-Support hat -> wird jedoch demnächst upgegraded.

Ich danke für Eure Antworten.

LG, Tom
 

Anhänge

  • vlan_entwurf1.jpg
    vlan_entwurf1.jpg
    66,2 KB · Aufrufe: 196
Mit VLANs allein wird das nicht funktionieren.
Geräte im gleichen VLAN können sich sehen, Geräte in verschiedenen nicht. Dafür sind deine Regeln aber zu komplex. Du brauchst also eine Firewall/Router, der zwischen den VLANs vermittelt.
Das wirkt doch alles etwas unnötig komplex für eine Heimanwendung.
Warum dürfen sich die ganzen Geräte nicht gegenseitig sehen? Würden da nicht zwei oder drei Gruppen langen? Und selbst das wird im Heimnetz schnell mehr Aufwand als nötig.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: bender_, kartoffelpü und madmax2010
wenn deine switche das erlauben, kannst du alle geräte in einem vlan lassen und die zugriffe über access-control-lists (acl) auf den ports konfigurieren. falls nicht, müssen alle geräte bzw. gerätegruppen in ein eigenes vlan mit eigenem subnetz und eine firewall muss dazwischen die zugriffsrechte umsetzen.
 
Wie schon erwähnt wurde benötigst du dafür eine Firewall welche zwischen den verschiedenen VLANs routed und dann entsprechend beschränkt oder zulässt.
Oder dein Router kann ACLs aber diese zu konfigurieren ist meistens "pain in the ass", gerade wenns irgendwann komplexer wird.
Tagged bedeutet einfach nur, dass du mehrere VLANs auf einen Port übertragen kannst, das Endgerät muss dann aber mit den VLAN Tags umgehen können. Macht man in der Regel nur, wenn man z.B. einen Server an dem Port hat, welcher VMs bereitstellt die dann in verschiedenen VLANs sein sollen.
Oder aber eben bei Interswitch connections oder zur einem Router/Firewall/Accesspoint hin.
Es muss zwischen jeder Netzwerkkomponente jedes VLAN welches benötigt wird übertragen werden.
Beispiel dein Downlink zu dem 4-Port Switch:
Dort kannst du nur VLAN 1001, 1002, 1003 1005, 1105, 1123, 1200, 1307, 1320 verwenden. 1005 zum Beispiel würde nicht gehen, da es auf dem Link zwischen Hauptswitch und 4 Port Switch nicht tagged übertragen wird.
 
user582 schrieb:
Hallo. Wer kann mir bei der Umstellung von einem port-basierten VLAN auf VLAN 802.1Q helfen?
...
Tagged-VLAN ist mir noch nicht wirklich ganz klar

LG, Tom
Zum Vergrößern anklicken....
Warum willst du tagged VLAN nach 802.1q nutzen? Können deine Endgeräte überhaupt ihre Pakete taggen?

Ich vermute, sobald du verstehst, wozu 802.1q-VLAN-Tags da sind, wirst du auch verstehen, warum dies auf den Edge-Ports zu den Endgeräten keinen Sinn macht.

Und was routet eigentlich zwischen all deinen VLANs?
 
@Nilson
@0x8100
@MetalForLive
@Atkatla

Hallo. Danke erstmal an alle für Eure Antworten.

Mir gefiel nicht, dass der Home-Office Rechner meine ganzen Netzwerk-Infrastruktur im Hintergrund "sieht".
Es würde doch genügen, dass er nur ins Internet darf und evtl. auch noch zum Drucker.

Da entdeckte ich das Thema VLAN - so wurde die Idee der Umsetzung zu portbasiertem VLAN geboren.

Das funktionierte auch prima, nach Umsetzung waren alle anderen Netzwerkgeräte am PC-Home Office nicht mehr sichtbar.
Weiter ging es dann, dass Access-Point und KWL nur von einem "Admin-PC" gewartet werden sollen.
Fire-TV, TV, Switch genügt auch, wenn Sie ins Internet dürfen, aber Netzwerkintern untereinander nicht.
usw.

An die Grenzen kam ich jetzt zum Beispiel beim Drucker. Dieser Drucker hängt auf Port 19 an dem 2. Switch an Port 3. Wenn ich den ganzen Port 19 freigebe, sind also alle Geräte die auf Port 19 hängen freigegeben.

Da hörte sich das vom Switch unterstützte "erweiterte 802.1Q-VLAN" genau dafür geboren zu sein. Die Ports geben jeweils das Tag mit und der/die Switche verteilen die Pakete nur auf die jeweilige richtig getaggten Port.

Ich dachte hier wäre das ganz gut erklärt:
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Hier noch meine Geräte:
FRITZ!Box 7530
Netgear JGS524Ev2 – 24-Port Gigabit Ethernet, managed
Netgear GS305E - 5 Port Gigabit Ethernet, managed
 
Deine Konstruktion geht, weil es der Netgear zulässt, dass man einem Port mehrere VLANs zuweisen kann, sofern man kein 802.1Q verwendet. Deine Kundstruktion verlangt, dass ein einkommendes Paket in mehre VLANs geschickt wird. Das geht mit 802.1Q nicht. Einkommende Paket, die noch kein Tag haben, bekommen über die PVID des Port einen Tag und landen somit nur in einem VLAN. So wie es in einem sauberen Netzwerk auch sein sollte.

In deinem Fall hätte ich eher mit einer einfachen Routerkaskade gearbeitet, die für das Homeoffice ein en neuen Netz aufmacht.
 
Zuletzt bearbeitet:
user582 schrieb:
Mir gefiel nicht, dass der Home-Office Rechner meine ganzen Netzwerk-Infrastruktur im Hintergrund "sieht".
Es würde doch genügen, dass er nur ins Internet darf und evtl. auch noch zum Drucker.
Zum Vergrößern anklicken....
LAN4 der Ftitzbox als Gastnetz konfigurieren, Home-Office Rechner dort anschließen und schon darf er nur ibs Internet. Den Drucker ggfs ebenfalls (temporär) ins Gastnetz oder alternativ per USB direkt an den Rechner. Fertig ist die Laube, ganz ohne VLANs.

Wenn das tatsächlich dein einziges Ziel war, ist ein komplexes VLAN-Setup nicht sinnvoll, insbesondere ohne das nötige Wissen um tagged vs untagged, pvid, ACLs bzw Routing/Firewall.

Deine übrigen "Zugriffsregeln" aus #1 erscheinen vollkommen überflüssig. Ein Heimnetzwerk ist eben ein Heimnetzwerk und es ist nicht sinnvoll, auf Krampf Dutzende Kreuzverbindungen explizit zu unterbinden - zB Zugriffe auf den TV, die nu wirklich Banane sind........
 
  • Gefällt mir
Reaktionen: up.whatever, freshprince2002, 0x8100 und eine weitere Person
@Nilson @Raijin

Hallo Ihr beiden. Danke für Eure Alternativen.

Bevor ich aber einen eigenen Router abstelle der nur für den Home-Office-Rechner einen eigenen Nummernkreis bereitstellt und wieder keinen "einfachen Zugriff" auf den Drucker im anderen Nummernkreis hat bleibe ich bei meinem portbasiertem VLAN.

Dasselbe für die Lösung mit dem Gast-LAN. Bevor ich jetzt anfange unten am Netzwerkschrank die Kabel wirr an dem Switch herumleite und direkt auf eine Dose gehe und mit dem Drucker ... naja ...

ich sehe hier keine Verbesserung zu meiner IST-Lösung über portbasiertem VLAN, eher im Gegenteil.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
VLAN erstellen (PFSense / TP-Link)
Antworten
3
Aufrufe
2.537
heXes
H
I
Schneller >= 2.5Gb/s und stabiler 8-Port Switch mit Vlan 802.1q
Antworten
19
Aufrufe
7.196
0-8-15 User
0
B
802.1Q VLAN im Heimnetzwerk
Antworten
8
Aufrufe
2.393
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz