Netzwerk Routing oder VLAN

[Crouchi]

Hallo,

ich habe folgendes Problem und würde gerne mal eure Lösungsansätze hören.

Ich habe mehrere Clients:
Clients 1-4 -> Rechner Büro
Clients 5-6 -> Rechner Werkstatt
Clients 6-10 -> Geräte
Clients 11-12 -> Kamera

Clients 1-4 sollen ins Internet und mit allen anderen Clients interagieren können.

Clients 5-12 hängen quasi an einem abgehendem Strang in die Werkstatt-Räume.
Davon sollen 5-6 (+1-4) auf die Geräte 6-10 zugreifen können aber nicht auf den Rest.
Die Geräte sollen für 1-4 erreichbar sein aber nicht zwangsläufig ins Internet, und die Clients 11-12 sollen quasi alle Rechte bekommen.


Hätte mich jetzt fürs Routing entschieden, (hoffe das geht auch wenn der große Strand von 5-12 an einem Port hängt.)

192.168.0.1 ff. Router/Managter Switch + Clients 1-4
192.168.1.1 ff. Clients 5-6
192.168.2.1 ff. Geräte 6-10
192.168.3.1 ff Kameras 11-12

Also quasi
192.168.0.1 -> 1.1
192.168.0.1 -> 2.1
192.168.0.1 -> 3.1

192.168.1.1 -> 2.1

192.168.2.1 -> 0.1
192.168.2.1 -> 1.1

192.168.3.1 -> 0.1
192.168.3.1 -> 1.1
192.168.3.1 -> 2.1

Hoffe Ihr könnt mir helfen, und versteht mein Vorhaben.

Die Frage die ich mir stelle, ist das mit einem gemanagtem Switch so umsetzbar?!
Per Vlan oder Routing? oder habe ich einen ganz Falschen Ansatz verfolgt?

Grüße
Philipp =)

 

[TheCadillacMan]

Vorweg wäre es gut zu wissen welche Netzwerkhardware (Router und Switches) du genau (Modellbezeichnung) im Einsatz hast. Zusätzlich ist die Topologie (welches Gerät hängt an welchem Switch) interessant. Dann ist es einfacher festzustellen was mit der vorhanden Hardware machbar ist.

Allgemein gesprochen: Für mich sieht das nach einem Paradebeispiel für VLANs aus. Um von einem VLAN ins andere zu kommen musst du aber auch Routing einsetzen. Also kein "oder" sondern ein "und". Wie man das realisiert hängt dann eben von der vorhandenen Hardware ab.

 

[Stratotanker]

Bei Cisco Hardware gibt es zwei Möglichkeiten. Entweder normale VLans und der Router kontrolliert mit Access Listen den Verkehr zwischen den VLans oder man baut komplizierte Vlan Access Maps auf einem Cisco Catalyst. Für ganz Verrückte kann man auch etwas mit private vlans und community vlans machen oder mac adress filtern.

 

[Crouchi]

Derzeit habe ich leider noch keinen Switch, dieser wird noch gekauft. Evtl hast du ja noch eine Kaufempfehlung.
Der Router ist eine LTE Fritzbox, soll auch nur für die Herstellung von Internet, und die Einbindung von 3-4 Smartphones ins Internet dienen.

Das Netzwerk ist so aufgebaut:


Router => gemanagter Switch

Gemanagter Switch => einzeln die Clients 1-4 + Switch1

Switch1 => Clients 5,7,9,11 + Switch2

Switch2 => Clients 6,8,10,12




Hoffe das reicht für die Vorstellungskraft...


Grüße

 

[TheCadillacMan]

OK, das hilft.

Wie gesagt: Um zwischen VLAN kommunizieren zu können, brauchst du einen Router. FritzBoxen können nicht zwischen VLANs routen. D. h. du brauchst entweder einen separaten Router oder einen Layer 3-Switch. Letzteres würde ich empfehlen, da du dann ein Gerät weniger zu administrieren hast.

Als VLANs scheinen mir die Geräte-Gruppen aus dem Startpost sinnvoll (Clients 1-4 würde ich aber noch ein eigenes VLAN packen). Jedes VLAN bekommt ein eigenes Subnetz. Das passt auch schon. Du musst nur beachten, dass du in jedem VLAN/Subnetz eine IP für den Router (= der Hauptswitch) brauchst.

Ich würde folgendes VLAN definieren:
VLAN 10_____192.168.10.0/24_____Internet-Edge (die FritzBox und die Smartphones)
VLAN 11_____192.168.11.0/24_____Büro
VLAN 12_____192.168.12.0/24_____Werkstatt
VLAN 13_____192.168.13.0/24_____Geräte
VLAN 14_____192.168.14.0/24_____Kameras
Die Nummern und Subnetze sind willkürlich gewählt. VLAN 1 ist üblicherweise das Standard-VLAN und würde ich nicht benutzen. Zu einfacheren Administration sollten VLAN- und Subnetznummer zusammenpassen.

Hardware:
Switch 1 muss ein Layer 3-Switch sein, Switch 2 und 3 müssen nur VLAN-Tagging beherrschen. Falls es nicht zu viel Aufwand ist, würde Switch 3 direkt mit Switch 1 verbinden. Das wäre etwas "sauberer", wenn es nicht geht, ist es aber auch kein Beinbruch.
Als Switch 1 könnte ich mir einen Cisco SG300-10 vorstellen. Hat L3 und 10 Ports zu einem recht günstigen Preis. (Das Ding hat, obwohl Cisco draufsteht, wenig mit "richtiger" Cisco-Hardware zu tun ist aber für normale Ansprüche völlig ausreichend.) Für Switch 2 und 3 reicht jeweils ein TP-Link TL-SG108. Günstig, zuverlässig und beherrscht VLANs. Alternative wäre der ZyXEL GS1900-8. Der hat ein Webinterface (die TP-Links haben nur ein Windows-Tool), kostet aber eben mehr.

Ergänzung: Um nochmal aufs eigentliche Thema zurückzukommen: Wenn du das alles eingerichtet hast, kannst du auf Switch 1 sog. Access Lists (so heißen die bei Cisco, wenn du einen anderen Switch kaufst möglicherweise anders, das Konzept ist aber immer das gleiche) einrichten. Damit kannst bestimmen welche Subnetze/IPs miteinander kommunizieren dürfen und welche nicht. Wenn deine Subnetze wie beschrieben optimal eingerichtet sind, kommst du mit einigen wenigen Regeln aus. Das funktioniert aber eben nur zwischen Subnetzen (Client 3 -> 10) und nicht innerhalb eines Subnetzes (Client 1 -> 4). Deshalb ist die richtige Aufteilung wichtig.