Verständnisfrage zu routing bei tagged VLAN

[Nilson]

Hallo zusammen,

Bei einer Diskussion zu einem verwandten Thema sind meine Gedanken etwas abgeschweift und ich frage mich ob folgende Konstellation möglich bzw. praktikabel wäre. Folgendes ist daher eher als 'akademisches' Beispiel anzusehen.

Gegeben sei folgende Topologie:

Ist es möglich, sofern Switch und Firewall/Router alle nötigen Protokolle sprechen und alles richtig konfiguriert ist, dass ich von PC 0 auf alle sechs PC 1 ... PC 6 zugreifen kann, aber PC1/2 bzw. PC3/4 bzw. PC4/5 jeweils die anderen vier nicht sehen?
Ich also nur eine physikalische Verbindung zwischen Switchen und Firewall/Router habe, ich von PC0 alle PCs 'unten' sehe, aber die anderen nur die, in dessen VLAN sie sind?

Gruß

 

[maloz]

Meinem Verständnis nach: Ja.

 

[alxa]

ja

auf einem handelsüblichen Consumer-Router mit 5 Ports hast du eh bereits 2 VLANs. Der eingebaute 5 Port Switch Chip ist VLAN-fähig und wird von der RouterSW intern in 2 VLANs aufgeteilt. Zumindest ist das heutzutage die gängige Heimrouter-Bauweise.
Die 2 VLANs sind 1x das vom WAN Anschluss, 1x das von den 4 LAN Anschlüssen.
Jedes der 2 VLANs ist softwareseitig einem eigenen Linux Netzwerkinterface zugeordnet, das eigene Ip Subnetzadressen hat. Über Firewallregeln wird dann geregelt, was welche Zone mit den anderen Zonen an Traffic haben darf.

Mit OpenWrt kannst du auf passenden Heimroutern auch weitere VLANs und weitere Interfaces und Firewallzonen einrichten. Wenn du zusätzlich externe VLAN-fähige Switches anschliesst, gehen sogar mehr als 5 VLANs.

(ist einiges an Aufwand, das zu pobieren, man lernt dabei aber viel)

 

[tryitz]

Kurz gesagt: Funktioniert so.

 

[Nilson]

Danke schon mal für die Antworten

@alxa mir geht es primär um die "uplinks". Das ich mit 10 Netzwerkkarten zwischen 10 Netzwerken routen kann ist ja klar, ich frage mich nur ob das auch geht, wenn ich nur eine (physikalischen) NIC habe?

 

[alxa]

mir geht es primär um die "uplinks". Das ich mit 10 Netzwerkkarten zwischen 10 Netzwerken routen kann ist ja klar, ich frage mich nur ob das auch geht, wenn ich nur eine (physikalischen) NIC habe?

So wie du es oben eingezeichnet hast, stimmt das schon:
Es reicht genau „1“ handelsübliches LAN Kabel zwischen Router und Switch 1 und ebenso genau „1“ handelsübliches LAN Kabel zwischen Switch 1 und Switch 2, sofern alle drei Geräte VLAN-fähig sind, sich also untereinander nicht nur Pakete schicken, sondern Pakete, die mit einer VLAN ID getaggt sind.

 

[leipziger1979]

Das hat aber nichts mit VLAN zu tun.
Das konfigurierst ja mit ACLs im Router welches Netz was sehen kann/darf.

 

[KillerCow]

Hier stand vorher Müll.. glaub ich. Hab die IP Netze nicht richtig gelesen...

Sind übrigens öffentliche Netze, die du da benutzt. War wohl 192.168. gemeint oder? ^^

 

[Masamune2]

Ja geht auf jeden Fall. Du hast auf dem Router eine Schnittstelle für jedes Netz, die muss aber nicht zwingend auf eine extra physikalische Schnittstelle gehen.
Wer wen sehen darf regelt dann die Firewall.

Die Gruppen 1, 2, 3 brauchen jeweils eine Route in das Netz von Gruppe 0

Nein brauchen sie nicht. Die Rechner in den einzelnen Netzen haben ein Default Gateway und der Router selbst kennt die Netze alle da sie lokal angeschlossen sind. Routen austauschen muss man erst wenn es mehr als einen Router gibt und der eine die Netze vom anderen kennen lernen muss.

 

[Nilson]

Sind übrigens öffentliche Netze, die du da benutzt. War wohl 192.168. gemeint oder? ^^

Äh ja, mein ich ja

Danke auch für die weiteren Antworten.
Ich hab bei Cisco das hier gefunden. Das scheint ja genau das zu sein, was ich meine. Dem 'physical interface' ordne ich mehrere 'subinterfaces' und jedem subinterfaces ein VLAN-Tag zu. Der Rest ist 0815-Routing/Firewalling (ist das ein Wort?) zwischen Subnetzen.

 

[leipziger1979]

Ich hab bei Cisco das hier gefunden.

Genau, dafür ist dot1q zuständig.
Kannst ja mal schauen ob du PacketTracer irgendwo findest, da kannst schon mal eine Testumgebung aufbauen.

 

[KillerCow]

Nein brauchen sie nicht. Die Rechner in den einzelnen Netzen haben ein Default Gateway und der Router selbst kennt die Netze alle da sie lokal angeschlossen sind. Routen austauschen muss man erst wenn es mehr als einen Router gibt und der eine die Netze vom anderen kennen lernen muss.

Das ist auch eine Route und ohne die, gehts nicht

Ich habe meinen Post wieder gelöscht, weil ich mir nicht mehr sicher bin, ob das wirklich funktioniert. Das Netz von PC0 umfasst die anderen drei Netze (192.168.0.0/16; 192.168.x.0/24). Damit kann zwar PC0 mit allen anderen Netzen reden, weil sie aus seiner Sicht zu seinem eigenen Netz gehören. Die anderen Systeme bräuchten aber eine Route in ein Netz, zu dem sie irgendwie bereits gehören... funktioniert das!? Bin gerade total blockiert

Wahrscheinlich habe ich einfach nur nen Knick im Kopf... war nen langer Tag.

 

[leipziger1979]

funktioniert das!? Bin gerade total blockiert

Ja.
Die PCs brauchen gar keine Routen da die alle direkt am Router hängen und er alle Netze kennt, genau so wie es Masamune2 schon geschrieben hat.

Wenn ich dann, wie es der TE will, unterbinden will das nicht alle alle anderen Netze erreichen sollen muss ich es mit ACLs im Router, StandardACLs bei Cisco, unterbinden.

 

[Raijin]

Hm.. Ich möchte ja kein Spielverderber sein, aber wenn ich mich nicht verguckt habe, dann ist PC0 in einem /16er Subnetz, das alle anderen /24er beinhaltet. Das würde dann nicht so funktionieren wie gedacht. PC0 würde alle anderen PCs stets lokal in seinem eigenen Subnetz suchen - dem /16er - und würde die Pakete niemals in Richtung Firewall/Router schicken. Schlimmer noch, wenn sich die Subnetze der Interfaces am Router - seien es physische oder virtuelle - überschneiden, würde die GUI vermutlich sogar eine Fehlermeldung ausspucken.
Überschneidende Subnetze sind der Erzfeind jedes Routers


*edit
Kann aber auch sein, dass ich gerade ein Brett vorm Kopf habe.... Ist schon spät und ich komme gerade aus einem miiieeesen Theaterstück und hab Knoten im Hirn...

 

[Nilson]

Ich bau das grad mal im Packet Tracer nach, mal gucken was passiert.

 

[Raijin]

Stimmt, den Link zum Packet Tracer hatte ich ganz vergessen *nocheinknoten*, hab ich noch in der Zwischenablage. Aber da du ihn schon hast, erübrigt sich das ja

 

[leipziger1979]

Ja, sollten schon alles /24 Netze sein.
Hatte nur nach Farben geschaut.

 

[Nilson]

[...] Oder hab ich da ein Denkfehler? - Ja hatte ich

 

[Masamune2]

Das ist auch eine Route und ohne die, gehts nicht

Natürlich aber um die braucht man sich nicht kümmern, die ist automatisch da sobald man das Netz anlegt.

Hm.. Ich möchte ja kein Spielverderber sein, aber wenn ich mich nicht verguckt habe, dann ist PC0 in einem /16er Subnetz, das alle anderen /24er beinhaltet.

Stimmt das habe ich komplett übersehen. Kurioserweise würde es trotzdem funktionieren da die kleineren Netze Vorrang vor den größeren haben. Hatte sowas mal bei einem Kunden mit Bintec Routern, wär aber möglich das es bei anderen Herstellern nicht klappt.
Zumindest ist es kein schönes Design, die Netze sollten sich in dem Fall nicht überlappen.

 

[Nilson]

So, hab heute morgen etwas mit dem Packet-tracer gespielt und dank eurem Input funktioniert das so, wie ich das erwarten würde:

Dank VLANs erreichen Broadcasts nur die Rechner, die sie erreichen sollen und dank der ACL im Router0

R0(config)#access-list 10 permit 192.168.0.0 0.0.0.255
R0(config)#int GigabitEthernet0/0/1.1
R0(config-subif)#ip access-group 10 out
R0(config-subif)#exit
R0(config)#int GigabitEthernet0/0/1.2
R0(config-subif)#ip access-group 10 out
R0(config-subif)#exit
R0(config)#int GigabitEthernet0/0/1.3
R0(config-subif)#ip access-group 10 out
R0(config-subif)#exit
R0(config)#

kann 192.168.0.2 mit allen reden, aber die Subnetze untereinander nicht.

Mit /16 im 192.168.0er Netz geht es zwar auch, aber da hab ihr recht, sauber ist es nicht.

Falls es sich jemand anschauen will, das Packet-tracer 7.2 Projekt im Anhang