Zwei getrennte VLANs sollen einen Router nutzen

[Elli1995]

Schönen Abend, freu mich hier zu sein. Ich habe von einem Freund einen SG300 L3 Switch von Cisco vererbt bekommen und habe mehrere von einander getrennte VLANs erstellt. Für IoT, Daten und Wlan. Am Ende soll der Traffic über einen Router laufen. Ich sitz da seit einigen Tagen dran und ich bräuchte eure Hilfe.

Der Switch ist im Layer 3 Modus, folgende IPv4 Interfaces hab ich angelegt:

VLAN 100 hat die 192.168.150.1/24
VLAN 200 hat die 192.168.160.1/24
VLAN 300 hat die 192.168.170.1/24

Als statische Route für für den Defaultgateway habe ich die IP vom Router eingetragen, das ist ein Edgerouter X von Ubiquiti mit der IP 172.10.10.254/24.

Ich habe auch versucht, eine Trunk verbindung zwischen dem Switch und dem ER-X anzulegen. Keine Chance.

Würde mich über Ideen freuen.

 

[leipziger1979]

Naja, entweder muss der Router Trunk unterstützen, und 3 Interface als Gateway anbieten oder der Cisco Switch kann das, so es ein Layer3 Switch ist.

 

[till69]

Gateway ist eine Schlüsselstelle im lokalen Netz ... deine 172.10.10.254 kann nicht gehen.

Du brauchst je eine Gateway-Adresse in Deinen 192.168 Netzen.

 

[Raijin]

So sieht's aus.

Entweder bekommt der ERX auf dem Uplink-Port die 3 VLANs konfiguriert und auf jedem VLAN-Interface jeweils die 192.168.x.1

oder

am ERX werden 3 Ports (ohne VLANs) einzeln mit 192.168.x.1 konfiguriert und es gibt dann 3 Uplinks zum Switch

oder

man aktiviert Inter-VLAN-Routing auf dem L3 Switch und lässt den Switch zwischen den VLANs routen.


Jleiner Tip zu den VLANs: Es bietet sich oftmals an, VLAN ID und Subnetz auch namentlich zu verknüpfen. Zum Beispiel VLAN 10 / 20 / 30 und die Subnetze analog 192.168.10.0 / .20.0 / .30.0.

 

[Elli1995]

Ich danke euch, nun klappt es! Ich habe einen Trunk vom Cisco zum ER-X erstellt. Auf dem habe ich die VLANs erstellt, der Gateway ist nun im jeweiligen IP Nummernkreis.

 

[Raijin]

Wenn du genug Ports hast, ist es besser, statt eine Trunk-Ports mit 3 VLANs jedem (V)LAN ein eigenes physisches Interface nebst eigenem Uplink zum Switch zu spendieren. Bei einem Trunk teilt sich nämlich der komplette Traffic zwischen den VLANs die 1 Gbit/s dieses einen Kabels.

Ein Trunk kann zu einem Flaschenhals werden und wenn man die Möglichkeit hat, dies zu umgehen, sollte man es tun. Oder was hast dh sonst am ERX angeschlossen außer dem aktuell einen Kabel zum Switch?


Abgesehen davon nochmal zur Erinnerung: Wenn das wirklich ein L3-Switch ist, kann er in der Regel auch selbst routen und der ERX ist ggfs sogar überflüssig. Inter-VLAN-Routing ist eine Kernfunktion von L3-Switches. Muss man natürlich nicht nutzen, aber man kann drüber nachdenken. Der Vorteil ist, dass der L3-Switch gewissermaßen direkt von VLAN-Port zu VLAN-Port switchen kann, ohne den Umweg über einen separaten Router gehen zu müssen und vor allem ohne Uplink-Flaschenhals.
Das wird zwar erst bei hohen Trafficaufkommen spürbar - zB in Firmennetzwerken - aber man kann es ja auch nutzen einfach nur weil man es kann.

 

[Elli1995]

Hallo Raijin

Vielen Dank, dein Vorschlag mit dem Inter VLAN Routing gefällt mir, ich will das auf jeden Fall versuchen. Den ER-X brauche ich für Failover/Load Balancing.

Zu den Anschlüssen beim ER-X

ETH 0 > WAN 2
ETH 2 > LAN
ETH 4 > WAN 1

Das mit der Belegung wollte ich noch umändern, auf

ETH 0 > WAN 1
ETH 1 > WAN 2 und
ETH 2 > LAN

Der Cisco Switch ist ein SG300-10, da habe ich noch 4 Ports frei. Beim ER-X wären quasi 3 Ports frei, wenn ich den LAN-Port hinzuzähle. Auf diesen Strippen könnte ich die Geräte verbinden.

Der SG300 ist ein L3 Switch, ich habe heute testweise Interfaces erstellt und ihnen IPs zugeordnet.

Ich konfiguriere es so: VLAN 10 mit dem Privaten LAN, VLAN 20 für die Gäste und VLAN 30 für IoT. Wenn ich gegenseitige Zugriffe von Netzen verhindern will, z. B. dürfen das IoT und die Gäste ja nicht ins Private LAN, würde ich das über die Port-Security regeln. Wäre das der richtige Weg?

Danke für den Anstoß, das Ding zu optimieren und Grüße.

 

[Raijin]

Ich kenne mich mit Cisco im Detail nicht aus, aber ja, das müsste es eigentlich sein.

Grundsätzlich solltest du etwas vorsichtig sein, wenn du IoT vom Hauptnetzwerk isolieren willst, weil das ganz schnell dazu führen kann, dass nix davon mehr geht.

IoT-Geräte werden häufig auch durch Apps am Smartphone gesteuert. App und Gerät finden sich dabei meistens durch Broadcasts und Broadcasts werden per Definition nicht zwischen Netzen geroutet. Das heißt im Klartext, dass die App auf dem Smartphone im Hauptnetzwerk zB die Bridge von Smart-XY schlicht und ergreifend nicht finden kann, weil sie sich nicht im selben Netzwerk befinden.

Leider sind viele smart devices auch im Jahr 2021 noch nicht smart genug, mit komplexeren Netzwerken umzugehen. Das liegt mutmaßlich daran, dass viele Hersteller solcher Geräte tatsächlich wenig Kompetenz in diesem Bereich haben. Der Hersteller einer Lampe bleibt nun mal Hereteller einer Lampe und wird nicht plötzlich zum IT-Konzern...

Es gibt abrr durchaus auch Ausnahmen von dieser Regel. Die Hue-Bridge von Philips zum Beispiel (ironischerweise ein Hersteller von Lampen ). Dort kann man die Bridge in der App entweder "suchen" (Broadcasts) oder manuell per IP verbinden. Das ist aber mitnichten Standard und sollte immer recherchiert werden bevor man viel Geld in IoT investiert, um hinterher zu merken, dass man alles ins Hauptnetzwerk klatschen muss, weil es sonst nicht bedient werden kann...

Es gibt zwar Möglichkeiten Broadcasts mittels Relay von einem Netzwerk ins andere zu schicken, aber das Bedarf einiges an KnowHow. Am Ende wird man sich so sehr die Haare gerauft haben, dass nur noch eine Glatze übrig bleibt, weil Routing, Firewalls, Broadcasts und dergleichen eben doch recht viel KnowHow voraussetzen. Die Welt der Netzwerke ist jenseits von Fritzboxxen sehr sehr sehr groß, weil Fritzboxxen gefühlt nur 5% des Themas bedienen und das auch noch hinter Wizards versteckt.....

 

[h00bi]

Leider sind viele smart devices auch im Jahr 2021 noch nicht smart genug, mit komplexeren Netzwerken umzugehen. Das liegt mutmaßlich daran, dass viele Hersteller solcher Geräte tatsächlich wenig Kompetenz in diesem Bereich haben.

oder daran, dass es seitens der Hersteller überhaupt nicht erwünscht ist die IoT Komponenten in ein separates Netz zu pferchen, wo man keine Userdaten abgreifen kann.

 

[Raijin]

Aus dem Blickwinkel habe ich das noch gar nicht betrachtet... Du könntest aber Recht haben....