ComputerBase Menü
Aktuelles

muss vlan geroutet werden?

Hello again

Ich danke euch für die zahlreichen Hilfestellungen, echt super! Das mit dem 21er Netz hat funktioniert, möchte dies ja aber jetzt nicht so belassen.

Habe mal die Links von azrael studiert. Den DHCP kann ich auf den Switch verschieben, das sollte kein Problem sein, wenn das der Standard zu sein scheint.
Ich habe noch kurz ein Frage zu dieser Grafik, die im anderen Thread "gezeichnet" wurde.

1. Gehe ich richtig in der Annahme, dass auf Seiten des Routers auch ein vlan99 erstell wird oder wird lediglich eine IP am Interface des Routers (im Beispiel ein Cisco Router) konfiguriert, das im Subnetz des vlans99 liegt?

2. Erübrigt sich mit diesem Beispiel ein Trunk, weil alles über das vlan99 läuft? Ist dieses Netzwerkdesign ein gutgefahrener Standard oder so ähnlich?

Ich danke euch für die Hilfe.
 

Anhänge

  • vlan.jpg
    vlan.jpg
    30,1 KB · Aufrufe: 400
Ja, das Gateway ist in einem eigenen VLAN, VLAN routing wird komplett vom Switch übernommen.
 
Deinen Netzwerkaufbau kann man auf verschiedene Arten lösen:

1. Router-On-A-Stick
Verbindung zwischen Firewall und Router -> Trunk (Traffic ist bis auf das native VLAN tagged)

Konfiguration des Ports auf der Firewall als Subinterfaces. Bei Cisco sähe das so aus:
1548528219901.png


  • Vorteile:
    - DHCP und Routing müssten nur von einem Gerät im Netz erledigt werden. Du brauchst auf dem Switch nur noch die VLAN Konfiguration, das Routing macht die FW.

  • Nachteile:
    - Die gewählte Firewall muss diese Form des InterVLAN-Routings mit Subinterfaces unterstützen.
    - Alle Netze teilen sich die Bandbreite zur Firewall, was auch den Traffic zwischen den Clientnetzen beeinflusst.

2. Klassischer Aufbau mit einem normalen Transportnetz
Verbindung zwischen Firewall und Router -> Access Mode (Traffic ist untagged)

Grundsätzlich gibt es zwei Möglichkeiten verschiedene Subnetze und Routing-Funktionalität mit einem L3-Switch zu implementieren:

1. Konfiguration eines VLANs mit einer IP
Das hast du ja bereits bei den Clientnetzen implementiert und wird immer dann gemacht, wenn mehrere Ports eines L3-Switches zu einem vom L3-Switch gerouteten Subnetz gehören sollen.

2. Konfiguration eines Ports mit einer IP
Einfach im Konfigurationsmodus eines physikalischen Interfaces (bspw. Gig1/0/1) den Befehl "no switchport" eingeben. Danach verhält sich dieser Port wie der Port eines klassischen Routers, kann also mit einer normalen IP-Adresse und Subnetzmaske konfiguriert werden.

  • Vorteile:
    - Du musst keinerlei VLAN-Konfiguration im Transportnetz beachten - es braucht dort schlicht keine.

  • Nachteile:
    - DHCP-Konfiguration muss zwingend auf den Switch, da dieser als einziges Gerät im Netz weiß, aus welchem VLAN der Traffic kommt. Alternativ DHCP-Helper-Konfiguration auf die entsprechende IP der FW im entsprechenden Subnetz.
    - du musst an zwei Stellen im Netz Routingtabellen pflegen, da die FW nichts von den Netzen "hinter" dem Router weiß; für das VLAN-Routing ist das zusätzlich auch auf dem L3-Switch notwendig

3. Klassischer Aufbau mit drei normalen Transportnetzen und Legacy InterVLAN-Routing
Verbindung zwischen Firewall und Router -> Access Mode (Traffic ist untagged)

Das wäre in deiner Situation mein Favorit, da du ja afaik ohnehin drei Ports auf der FW frei/konfiguriert hast.

VLAN Konfiguration dann wie gehabt, jedoch je ein dedizierter Port der FW an den Switch. Diese Ports werden jeweils im Access-Mode mit einem Port der FW verbunden. Routing macht komplett die Firewall, die auch ohne Subinterfaces als zentraler DHCP für alle drei Netze fungieren kann.

  • Vorteile:
    - Mit Abstand die einfachste Konfiguration, da nur Routing und DHCP auf einem zentralen Gerät und du dort nicht mit VLANs und Subinterfaces hantieren musst, dass Netz aber trotzdem auf L2-Ebene segmentiert hast.
    - Soll Traffic zwischen den Netzen gefiltert werden, kann das in aller Regel mit einer FW sehr viel einfacher als auf einem L3-Switch konfiguriert werden
    - Die Netze Teilen sich erst nach der Firewall eine gemeinsame Leitung, was je nach Anforderung auch interessant sein kann

  • Nachteile:
    - Höchster Bedarf an Switchports und Verkabelung, da du drei dedizierte Switchports und drei dedizierte Ports an der Firewall brauchst.
 
Zuletzt bearbeitet:
Hallo nochmals

Danke für die wertvolle Hilfe.

Habe mich jetzt mal an die Ideen von emulbetsup gewagt. Habe die Idee 3 vollständig umgesetzt. Funktioniert alles tip top. DHCP geht über FW (mein L3 Switch ist jetzt zwar ja overfeatured, was mir ein bisschen weh tut, weil er nicht mehr routen muss, was er ja so gut könnte).

Eine Frage bleibt jetzt noch. Habe ja jetzt quasi 3 Interfaces des Switchs per access ports untagged (port 8-10) mit 3 Interfaces der Firewall verbunden (internal LAN1-3). Das wan-Interface der FW ist mit dem Modem verbunden. Die Rechner kommen jetzt alle sofort ins Internet, obwohl ich routing-mässig noch gar nichts konfiguriert habe. Das heisst die FW routet jetzt automatisch ins Internet. Wieso?

Tracert -d www.google.ch

192.168.2.1
10.22.96.1
213.221.197.22
usw.

Sprich woher weiss die FW, dass Sie die Anfrage des Clients aus den Subnetzen 192.168.x.0/24 auf das WAN Interface leiten muss (NAT)? Ist das standardmässig so konfiguriert? Warum sehe ich im Tracert nicht die IP des WAN Interfaces 185.33.226.3x?
 
Zuletzt bearbeitet:
Deine Firewall hat jetzt in allen drei Clientnetzen und dem WAN-Interface, auf das ihr "Gateway of Last Resort" zeigt, ein Bein. Dadurch kennt es die drei Clientnetze und weiß wie sie zu erreichen sind, denn Netze mit denen ein Router direkt verbunden ist, werden automatisch in seine Routingtabelle eingepflegt. Solange es also durch keine Regel unterbunden wird, wird die FW die Pakete brav weitergeben - sie weiß jetzt ja wie sie alle beteiligten erreichen kann.

Diese unvollständige Routingtabelle war auch in deinem vorherigen Versuchsaufbau das Problem, weswegen die Konfiguration mit dem überlappendem Subnetz (/21) funktionierte. Die Firewall gehörte plötzlich zu allen drei Clientnetzen und wollte die Clients nun direkt erreichen. Für die Adressierung im eigenen Subnetz ist aber nur die MAC-Adresse relevant, die der Router brav über ein ARP-Request angefragt hat. Als Layer 2 Broadcast im richtigen VLAN hat dieses Request vorbei an der Routing-Instanz des L3-Switches (die dieses Packet gedropt hätte) den Client errreicht. Dem war diese Mißkonfiguration egal, weil die IP für die Annahme von Pakten nur bei einer entsprechenden Clientfirewallregel (wenn überhaupt) eine Rolle gespielt hätte. Sonst lauscht jedes Gerät einfach auf seine MAC-Adresse und nimmt übereinstimmende Pakete an. Der Client hat dem Router brav auf dessen MAC-Adresse geantwortet, worauf der Router seine Antwort direkt an den Client senden konnte.

NAT sieht man in deinem Beispiel an zwei Stellen.
1. Sicher am Übergang von 10.22.96.1 (privates Netz) ins Internet
2. Wahrscheinlich am Übergang von 192.168.2.1 (privates Netz) in das andere private Netz 10.22.96.1.

Kein NAT dagegen sieht man in den drei Clientnetzen, da hier keine Adressübersetzungen stattfinden.

Auf Traceroute antwortet nur das empfangende, nicht aber das absendende Interface eines Routers. Deswegen siehst du immer nur pro Netz genau einen Hop und eben nicht zwei.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Kein Inter VLAN Routing über Wifi
Antworten
10
Aufrufe
820
RobinGL
R
H
VLAN erstellen (PFSense / TP-Link)
Antworten
3
Aufrufe
1.453
heXes
H
H
Extra Fritzbox Netze HINTER VLANs (Zugangsart "Anderer Internetanbieter) - (smart) managed Switch
Antworten
10
Aufrufe
758
norKoeri
N
R
pfSense als Router auf einem Proxmox
Antworten
17
Aufrufe
2.196
Rene0210
R
Chibi88
Frage zur Interfacekonfiguration Subinterfaces und IP
Antworten
6
Aufrufe
520
0x8100
0x8100
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz