LinuxMcBook
Banned
- Registriert
- Juli 2008
- Beiträge
- 4.595
Dort kann man glaube ich die Ports einzeln konfigurieren? Vielleicht doch irgendwo eine Route eingestellt?
Subnetze einrichten
- Ersteller nex_m
- Erstellt am
Joe Dalton
Lt. Commander Pro
- Registriert
- Dez. 2010
- Beiträge
- 1.272
Moin!
Wenn ein Router mehrere Subnetze verwalten kann, dann gebe ich Dir recht. Aber die meisten SOHO-Router können das eben nicht. Und der Sinn des Gateways ist eben genau jener: Im jeweiligen (Sub-)Netz das Tor nach (dr)außen zu bilden.
Was sein könnte: Die Pakete werden erst mal anhand der MAC-Adresse verteilt. Wenn der Switch/Router erst nach der MAC-Adresse geht und dann nach der IP, dann würde sich das Verhalten erklären lassen.
Spannend an der Geschichte: Wenn ich den OP richtig verstanden habe, dann möchte er zwei sauber getrennte Netze. Solange ping durchkommt, sind die Netze nicht getrennt. Mit allen Vor- und Nachteilen die sich daraus ergeben...
klassischer Fall von Praxis schlägt Theorie... wie ich das hasse.
Cu,
Chris
..Gast schrieb:
Wenn ein Router mehrere Subnetze verwalten kann, dann gebe ich Dir recht. Aber die meisten SOHO-Router können das eben nicht. Und der Sinn des Gateways ist eben genau jener: Im jeweiligen (Sub-)Netz das Tor nach (dr)außen zu bilden.
Merle schrieb:
Was sein könnte: Die Pakete werden erst mal anhand der MAC-Adresse verteilt. Wenn der Switch/Router erst nach der MAC-Adresse geht und dann nach der IP, dann würde sich das Verhalten erklären lassen.
Spannend an der Geschichte: Wenn ich den OP richtig verstanden habe, dann möchte er zwei sauber getrennte Netze. Solange ping durchkommt, sind die Netze nicht getrennt. Mit allen Vor- und Nachteilen die sich daraus ergeben...
klassischer Fall von Praxis schlägt Theorie... wie ich das hasse.
Cu,
Chris
So..Da das mit den Subnetzen bei mir so nicht funktioniert hat, habe ich nochmal nachgedacht und überlegt, ob ich nicht doch dann auf VLAN setze (war zu schön um wahr zu sein
).
Ich habe mich jetzt etwas schlau gemacht und verschiedene Artikel und Foreneinträge studiert und versucht zu verstehen wie genau das funktioniert und wie ich das auf meine Problemstellung anwenden kann.
Ich habe mal versucht einen Plan zu erstellen:
- Über Router (Fritzbox) sollen die Rechner in den Subnetzen Zugang zum Internet erhalten
- Verschiedene Subnetze die keinen Zugriff aufeinander haben (vor allem nicht auf geschäftlich genutztes Notebook)
(- etvl. sollte es aber möglich sein das doch eine Verbindung zwischen zwei Subnetzen besteht (z.B PC VLAN 1 -> Server VLAN 3))
Hab noch verschiedene Probleme/Fragen die mir nicht klar sind:
- Was für eine Art Switch braucht man dafür? Managed? Könnte man den nehmen: http://www.mindfactory.de/product_info.php/info/p699787_LinkSys-by-Cisco-CSB-SG-300-10-Switch.html
- Wird das dann am Besten mit Tagging gemacht?
- Ist ein Port am Switch für ein VLAN?
- Brauch ich spezielle Netzwerkkarten (für Tagging)?
- Die Ethernet PCs/Server kann ich direkt an den Switch anschließen. Für die Notebooks die über WLAN angeschlossen werden brauch ich dann wohl einen zusätzlichen AP der an den Switch angeschlossen werden muss?
- Bräuchte ich dann noch einen AP für das Notebook das ich geschäftlich nutze?
- Wo bei dieser Topologie bring ich am Besten das Smartphone unter (vlt. so lassen direkt verbunden mit Router) ?
Kann das so funktionieren?
Ich hoffe mir kann da noch einmal jemand meine Fragen beantworten und mir weiter helfen.
). Ich habe mich jetzt etwas schlau gemacht und verschiedene Artikel und Foreneinträge studiert und versucht zu verstehen wie genau das funktioniert und wie ich das auf meine Problemstellung anwenden kann.
Ich habe mal versucht einen Plan zu erstellen:
- Über Router (Fritzbox) sollen die Rechner in den Subnetzen Zugang zum Internet erhalten
- Verschiedene Subnetze die keinen Zugriff aufeinander haben (vor allem nicht auf geschäftlich genutztes Notebook)
(- etvl. sollte es aber möglich sein das doch eine Verbindung zwischen zwei Subnetzen besteht (z.B PC VLAN 1 -> Server VLAN 3))
Hab noch verschiedene Probleme/Fragen die mir nicht klar sind:
- Was für eine Art Switch braucht man dafür? Managed? Könnte man den nehmen: http://www.mindfactory.de/product_info.php/info/p699787_LinkSys-by-Cisco-CSB-SG-300-10-Switch.html
- Wird das dann am Besten mit Tagging gemacht?
- Ist ein Port am Switch für ein VLAN?
- Brauch ich spezielle Netzwerkkarten (für Tagging)?
- Die Ethernet PCs/Server kann ich direkt an den Switch anschließen. Für die Notebooks die über WLAN angeschlossen werden brauch ich dann wohl einen zusätzlichen AP der an den Switch angeschlossen werden muss?
- Bräuchte ich dann noch einen AP für das Notebook das ich geschäftlich nutze?
- Wo bei dieser Topologie bring ich am Besten das Smartphone unter (vlt. so lassen direkt verbunden mit Router) ?
Kann das so funktionieren?
Ich hoffe mir kann da noch einmal jemand meine Fragen beantworten und mir weiter helfen.
Merle
Fleet Admiral
- Registriert
- März 2009
- Beiträge
- 11.624
1.) Der Switch kann ACLs, also Access Control Lists. Damit kannst du den kompletten Netzwerkverkehr beeinflussen.
2.) VLAN Tagging ist nützlich, da hier nicht von Angreifern über diverse Methoden gearbeitet werden kann, wird dir aber, ausser wenn angreifer in deinem Netz sind, nix bringen.
3.) Den Port am Switch verschiebst du in dein gewünschtes VLAN.
4.) Alle Karten reichen, denn der Switch macht das.
5.+6.) Wenn ein AP im VLAN4 hängt, wird er nur Adressen aus dem VLAN4 verteilen. Zumindest im Normalfall.
7.) Mit dem Router.
Allerdings, nach wie vor, besteht ein Problem:
Dein Router muss mit einem Trunk angebunden sein oder Subinterfaces nach 802.1q unterstützen.
2.) VLAN Tagging ist nützlich, da hier nicht von Angreifern über diverse Methoden gearbeitet werden kann, wird dir aber, ausser wenn angreifer in deinem Netz sind, nix bringen.
3.) Den Port am Switch verschiebst du in dein gewünschtes VLAN.
4.) Alle Karten reichen, denn der Switch macht das.
5.+6.) Wenn ein AP im VLAN4 hängt, wird er nur Adressen aus dem VLAN4 verteilen. Zumindest im Normalfall.
7.) Mit dem Router.
Allerdings, nach wie vor, besteht ein Problem:
Dein Router muss mit einem Trunk angebunden sein oder Subinterfaces nach 802.1q unterstützen.
Also ich brauche definitiv einen Router der 802.1q unterstützt? Ich dachte der Switch versieht die Frames mit einem Tag? Und der nur Switch müsste VLAN unterstützen?
Vlt. eine dumme Frage, aber ich konnte aus diversen Foren nicht ganz eruieren was ein Trunk ist? Wenn's nur eine simple direkte Verbindung zwischen Router und Switch ist (wo von ich jetzt nicht ausgehe
), wäre das kein Problem.
Vlt. eine dumme Frage, aber ich konnte aus diversen Foren nicht ganz eruieren was ein Trunk ist? Wenn's nur eine simple direkte Verbindung zwischen Router und Switch ist (wo von ich jetzt nicht ausgehe
), wäre das kein Problem.
Zuletzt bearbeitet:
Wow, ich hätte jetzt auch wie Merle geschworen das das nie funktioniert....
Eine Frage noch: Pingst du die IP oder den Namen? Hast du im Netz nämlich IPv4 und V6 aktiv kommen da schnell ganz komische Phänomene raus...
Edit: Wenn du komplett mit VLANs arbeiten willst brauchst du einen Switch der das kann, einen Router, passende Netzwerkkarten in allen Geräten und bei den WLANs noch einen AP der mehrere Netze aufspannt und diese in verschiedene VLANs weiterleitet. Da ist die Methode mit dem kaskadierten Router sehr viel weniger Aufwand... Dafür brauchst du nur einen zusätzlichen Router.
Der Begriff "Trunk" ist leider etwas unglücklich, da er je nach Hersteller etwas anderes bedeutet:
Bei Cisco ist ein Trunk ein Port der in allen VLANs auf tagget steht. Bei allen anderen Herstellern ist ein Trunk ein Zusammenschluss von mehreren phsikalischen Leitungen zu einer Logischen um die Bandbreite zu erhöhen und Ausfallsicherheit zu schaffen.
Eine Frage noch: Pingst du die IP oder den Namen? Hast du im Netz nämlich IPv4 und V6 aktiv kommen da schnell ganz komische Phänomene raus...
Edit: Wenn du komplett mit VLANs arbeiten willst brauchst du einen Switch der das kann, einen Router, passende Netzwerkkarten in allen Geräten und bei den WLANs noch einen AP der mehrere Netze aufspannt und diese in verschiedene VLANs weiterleitet. Da ist die Methode mit dem kaskadierten Router sehr viel weniger Aufwand... Dafür brauchst du nur einen zusätzlichen Router.
Der Begriff "Trunk" ist leider etwas unglücklich, da er je nach Hersteller etwas anderes bedeutet:
Bei Cisco ist ein Trunk ein Port der in allen VLANs auf tagget steht. Bei allen anderen Herstellern ist ein Trunk ein Zusammenschluss von mehreren phsikalischen Leitungen zu einer Logischen um die Bandbreite zu erhöhen und Ausfallsicherheit zu schaffen.
Zuletzt bearbeitet:
Merle
Fleet Admiral
- Registriert
- März 2009
- Beiträge
- 11.624
Also Begrifflichkeiten:
1.) Access Port: Kein VLAN Tag hinter einem Accessport. Ist genau einem VLAN zugeordnet (Ausnahme: VoIP).
2.) Trunk Port: Es können ALLE Vlans über diesen Port. Die Pakete sind getaggt. Eine Verbindung von Switch zu Switch (bzw Hochwertigen L3 Switchen und manchen Routern).
3.) Subinterfaces am Hochwertigen Router: Man kann an manchen Routerports (ich rede von Cisco, da kenn ich micht aus
) subinterfaces anlegen. Diese können genau pro SUBinterface ein VLAN haben. Das Resultiert dann in folgendem:
Der Switch hat einen Uplink als Trunk zum Router. Der Router kann Trunking (Auto negotiation zB) oder Subinterfaces. Du benutzt VLANs 1, 2 und 3. Der Router bekommt nun alle 3 Pakete getaggt und kann die den Subinterfaces zuordnen.
Nun kannst du statische Routen einrichten. Und wenn du willst, access lists.
Aber mal ehrlich: Wer braucht den Schrott daheim?
Nimm 2 billige Router (ich mag da Netgear wegen der Routen) und kaskadier die! Beim inneren sowie beim äußeren auf die Routen achten, damit man nach innen nicht das äußere Netz bekannt macht. Beim äußeren muss man das innere Netz bekannt machen. Dann geht aber immernoch keine beidseitige Kommunikation und die Netze sind halbwegs sauber getrennt.
1.) Access Port: Kein VLAN Tag hinter einem Accessport. Ist genau einem VLAN zugeordnet (Ausnahme: VoIP).
2.) Trunk Port: Es können ALLE Vlans über diesen Port. Die Pakete sind getaggt. Eine Verbindung von Switch zu Switch (bzw Hochwertigen L3 Switchen und manchen Routern).
3.) Subinterfaces am Hochwertigen Router: Man kann an manchen Routerports (ich rede von Cisco, da kenn ich micht aus
) subinterfaces anlegen. Diese können genau pro SUBinterface ein VLAN haben. Das Resultiert dann in folgendem:Der Switch hat einen Uplink als Trunk zum Router. Der Router kann Trunking (Auto negotiation zB) oder Subinterfaces. Du benutzt VLANs 1, 2 und 3. Der Router bekommt nun alle 3 Pakete getaggt und kann die den Subinterfaces zuordnen.
Nun kannst du statische Routen einrichten. Und wenn du willst, access lists.
Aber mal ehrlich: Wer braucht den Schrott daheim?
Nimm 2 billige Router (ich mag da Netgear wegen der Routen) und kaskadier die! Beim inneren sowie beim äußeren auf die Routen achten, damit man nach innen nicht das äußere Netz bekannt macht. Beim äußeren muss man das innere Netz bekannt machen. Dann geht aber immernoch keine beidseitige Kommunikation und die Netze sind halbwegs sauber getrennt.
MysticMagican
Newbie
- Registriert
- Nov. 2005
- Beiträge
- 4
Ich kram das jetzt mal ans häßliche Tageslicht, weil der ganze Thread für mich sehr schlüssig und stimmig klingt, ich es aber trotzdem nicht auf die Reihe krieg. Und eh die Technik beim nächsten Blutrausch Schaden nimmt, wär es nett, wenn mir mal kurz jemand einen Denkanstoß (oder Hieb mit nem Dachbalken) geben würde.
Worum geht es?
es sollen 2 WLAN-Kameras betrieben werden.
Im Netzwerk (am Switch) hängt ein WLAN-Router (DHCP 192.168.0.12)
An dem Router hängen diverse Rechner (via WLAN) und halt eben auch die Kameras. Alles funktioniert hervorragend.
Nur dass die WLAN-Rechner und Kameras den Router über 192.168.1.1 erreichen.
Somit komm ich mit den Rechnern, die im Netzwerk sind und x.x.0.x-IPs haben, nicht auf die Kameras, die ja über x.x.1.x adressiert sind.
Umgekehrt natürlich auch mit den WLAN-Rechnern (x.x.1.x) nicht auf Rechner im kabelgebundenen Netzwerk ( x.x.0.x).
Nun ist mir klar, dass ich das über die Subnetzgeschichte Regeln kann, hab aber irgendwie ´n Brett vorm Kopf heut und brauch wohl jemanden, der mir das vorkaut.
Wenn meine Beschreibung zu verworren war, einfach fragen.
Worum geht es?
es sollen 2 WLAN-Kameras betrieben werden.
Im Netzwerk (am Switch) hängt ein WLAN-Router (DHCP 192.168.0.12)
An dem Router hängen diverse Rechner (via WLAN) und halt eben auch die Kameras. Alles funktioniert hervorragend.
Nur dass die WLAN-Rechner und Kameras den Router über 192.168.1.1 erreichen.
Somit komm ich mit den Rechnern, die im Netzwerk sind und x.x.0.x-IPs haben, nicht auf die Kameras, die ja über x.x.1.x adressiert sind.
Umgekehrt natürlich auch mit den WLAN-Rechnern (x.x.1.x) nicht auf Rechner im kabelgebundenen Netzwerk ( x.x.0.x).
Nun ist mir klar, dass ich das über die Subnetzgeschichte Regeln kann, hab aber irgendwie ´n Brett vorm Kopf heut und brauch wohl jemanden, der mir das vorkaut.
Wenn meine Beschreibung zu verworren war, einfach fragen.
shadow_one
Captain
- Registriert
- Okt. 2005
- Beiträge
- 3.431
Noch mal zur Geschichte 192.168.2.10 /24 kommt an 192.168.1.1 /16: Ich habe das Szenario mal im Paket Tracer nach gebaut.
Es funktioniert nur mit einer "classfull" (hoffe der Begriff ist richtig) Class C Adresse wie z.B. 192.168.100.100. 10.10.X.X /16 oder 172.16.X.X /16 hat nicht funktioniert.
Also ein Bug von VLSM? Oder kann einer dieses Phänomen Netzwerktechnisch erklären?
Es funktioniert nur mit einer "classfull" (hoffe der Begriff ist richtig) Class C Adresse wie z.B. 192.168.100.100. 10.10.X.X /16 oder 172.16.X.X /16 hat nicht funktioniert.
Also ein Bug von VLSM? Oder kann einer dieses Phänomen Netzwerktechnisch erklären?
Joe Dalton
Lt. Commander Pro
- Registriert
- Dez. 2010
- Beiträge
- 1.272
MoinMoin,
Anhand Deiner Beschreibung kann ich beim besten Willen nicht ablesen, was Du konfiguriert hast. Aber bevor ich einen Bug bei VLSM vermute, tippe ich auf einen Konfigurationsfehler Deinerseits.
Cu,
Chris
shadow_one schrieb:
Anhand Deiner Beschreibung kann ich beim besten Willen nicht ablesen, was Du konfiguriert hast. Aber bevor ich einen Bug bei VLSM vermute, tippe ich auf einen Konfigurationsfehler Deinerseits.
Cu,
Chris
shadow_one
Captain
- Registriert
- Okt. 2005
- Beiträge
- 3.431
Joe Dalton
2811 running config
ping von PC zum Gateway
2811 running config
Building configuration...
Current configuration : 485 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.0.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
!
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
Current configuration : 485 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.0.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
!
!
!
!
!
!
line con 0
line vty 0 4
login
!
!
!
end
ping von PC zum Gateway
Packet Tracer PC Command Line 1.0
PC>ipconfig
IP Address......................: 192.168.2.10
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
PC>ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:
Reply from 192.168.1.1: bytes=32 time=11ms TTL=255
Reply from 192.168.1.1: bytes=32 time=6ms TTL=255
Reply from 192.168.1.1: bytes=32 time=2ms TTL=255
Reply from 192.168.1.1: bytes=32 time=3ms TTL=255
Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 11ms, Average = 5ms
PC>
PC>ipconfig
IP Address......................: 192.168.2.10
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: 192.168.1.1
PC>ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:
Reply from 192.168.1.1: bytes=32 time=11ms TTL=255
Reply from 192.168.1.1: bytes=32 time=6ms TTL=255
Reply from 192.168.1.1: bytes=32 time=2ms TTL=255
Reply from 192.168.1.1: bytes=32 time=3ms TTL=255
Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 11ms, Average = 5ms
PC>
Zuletzt bearbeitet:
MysticMagican
Newbie
- Registriert
- Nov. 2005
- Beiträge
- 4
Da freue ich mich aber, dass ich für euch so´n altes Thema noch mal hochgekocht hab.
War mir schon etwas peinlich...
Nur ´n bissi ignoriert komm ich mir vor.
War mir schon etwas peinlich...
Nur ´n bissi ignoriert komm ich mir vor.
Merle
Fleet Admiral
- Registriert
- März 2009
- Beiträge
- 11.624
Ja, gut, was hängt denn dahinter? Ein managed Switch mit VLANs?
Dann musst du ja am Router auch Subinterfaces abbilden für jedes VLAN, mit eigener Adresse.
Oder aber (je nach Router) als Switchport mit Trunk (geht das? An unseren Multilayern gehts so jedenfalls) und als loopbacks oder Interface VLAN IPs vergeben. Natürlich je Netz!
Wenn die Netze in VLANs gegliedert sind, musst du folgendes tun (im Bsp ist das Netz 192.168.xx.0/24, wobei xx das VLAN ist):
Wenn die eine Seite (vom Switch zum Router) ein Trunk ist, der die VLANs 16, 17 und 18 überträgt, muss an der Gegenseite wohl das Interface sein:
Interface FastEthernet0/0.16
ip address 192.168.16.0 255.255.255.0
int fa0/0.17
ip add 192.168.17.0 255.255.255.0
Du kannst ja nicht in deinem Netz beliebig IPs vergeben und am Ende mit einem Routed Interface nur ein Gateway abbilden. Ist ja klar, dass am Ende nur die Clients mit Gateway im eigenen Netz kommunizieren können...
Oder hab ich dich falsch verstanden?
*Edit1:
2 Netze lassen sich auch so abbilden:
Interface fa0/0
ip address 192.168.0.0 255.255.255.0
ip address 192.168.1.0 255.255.255.0 secondary
Dann musst du ja am Router auch Subinterfaces abbilden für jedes VLAN, mit eigener Adresse.
Oder aber (je nach Router) als Switchport mit Trunk (geht das? An unseren Multilayern gehts so jedenfalls) und als loopbacks oder Interface VLAN IPs vergeben. Natürlich je Netz!
Wenn die Netze in VLANs gegliedert sind, musst du folgendes tun (im Bsp ist das Netz 192.168.xx.0/24, wobei xx das VLAN ist):
Wenn die eine Seite (vom Switch zum Router) ein Trunk ist, der die VLANs 16, 17 und 18 überträgt, muss an der Gegenseite wohl das Interface sein:
Interface FastEthernet0/0.16
ip address 192.168.16.0 255.255.255.0
int fa0/0.17
ip add 192.168.17.0 255.255.255.0
Du kannst ja nicht in deinem Netz beliebig IPs vergeben und am Ende mit einem Routed Interface nur ein Gateway abbilden. Ist ja klar, dass am Ende nur die Clients mit Gateway im eigenen Netz kommunizieren können...
Oder hab ich dich falsch verstanden?
*Edit1:
2 Netze lassen sich auch so abbilden:
Interface fa0/0
ip address 192.168.0.0 255.255.255.0
ip address 192.168.1.0 255.255.255.0 secondary
Zuletzt bearbeitet:
Ähnliche Themen
