1781AW: Mehrere VLANs - mehrere Subnetze...

[firefox_i]

Hallo zusammen,
kurz zu mir:
Ich hab schon diverse Netze aufgesetzt, allerdings zugegebenermaßen bisher zu 99% im SOHO Bereich.

Nun habe ich das "Vergnügen" eine etwas komplexere Aufgabe zu bewältigen (was man nicht alles für die bessere Hälfte tut ).

Also:
- ADSL Anschluss
- diverse Rechner über Ethernet
- 2 NAS über Ethernet
- 2 Switche (TP-Link 108E)
- WLAN1 mit Paswwort, WPA2
- Gast-WLAN
- VoIP mit einer Fritzbox


Nun zur Infrastruktur:
- Raum1: 1781AW direkt am ADSL Port.
- aufgrund der Verkabelung des Gebäudes über eine 1GBit Ethernet Leitung weiter in einen anderen Raum
- Raum2: erster Switch an dem hängen
NAS1
NAS2
Fritzbox für VoIP
- von dort leider auch nur eine Leitung in Raum 3
- Raum 3: zweiter Switsch dem hängen
2 Arbeitsstationen
2 Netzwerkdrucker


An dieser besch... Infratruktur kann ich leider nichts ändern......

Als Ingenieur trenne ich gern logische Gruppen voneinander und Gruppiere so, dass ich es mir merken kann.
Außerdem würde ich zur einfacheren Verwaltung auch unterschiedliche VLANs einrichten.

Und jetzt kommen die Knoten ins Hirn

Meine Idee war die folgende:
VLANs für unterschiedliche Gerätegruppen und Unterschiedliche Gerätegruppen in unterschiedliche Subnetze.

Also :

Infrastruktur (Switche, Router) IP 10.99.1.xx VLAN10
Arbeitsstationen und NAS (via LAN) IP 10.99.2.xx VLAN20
passwortgeschütztes WLAN IP 10.99.3.xx VLAN30
Gast WLAN IP 10.99.4.xx VLAN40
VoIP IP 10.99.5.xx VLAN50


Ist das zu komplex ?

Was ich mir dabei gedacht habe:
a) Trennung in Gruppen
Wie oben beschrieben, klar kann ich alles in ein Subnetz schmeißen bis auf das Gast WLAN, aber einfach kanns jeder

b) Routing "hausintern"
Ich nehme an ich kann im 1781 konfigurieren, welches VLAN mit welchem VLAN kommunizieren kann um die Teilnehmer untereinander erreichbar zu haben.
Im oberen Fall soll
VLAN40 nur ins Internet können
alle Stationen in den anderen VLANs erreichen sich gegenseitig und kommen ins Internet


Oder geht das ganze auch einfacher und dennoch sicher?

Was ich nicht im Referenzhandbuch finden konnte:
Wie kann ich dem Router beibringen, dass auf einem physikalischen Port mehrere verschiedene Subnetze ankommen die sich untereinander "sehen" sollen (noch mal feiner granuliert über die VLANs).
Ich vermute, dass ich bei der oberen Konstellation die Netzmaske so setzen muss, dass die verwendeten Subnetze sich sehen würden oder ?

Ich hoffe ich hab mich einigermaßen verständlich ausgedrückt und bin für jede Hilfestellung dankbar.

Gruß
Sven

[Dr.Einstein]

Hey Sven,

ja, VLANs sind deine Lösung, ergibt eine schöne, logische Trennung aller Komponenten. Vielleicht würde ich Management auf 1 belassen. Gibt zu viele Komponenten, wo man das Default VLAN 1 nicht sauber anpassen kann.

Am Lancom machst du für jedes VLAN eine Gatewayadresse also

Infrastruktur (Switche, Router) IP 10.99.1.1/24 VLAN1
Arbeitsstationen und NAS (via LAN) IP 10.99.2.1/24 VLAN20
passwortgeschütztes WLAN IP 10.99.3.1/24 VLAN30
Gast WLAN IP 10.99.4.1/24 VLAN40
VoIP IP 10.99.5.1/24 VLAN50

Durch Schnittstellentags an genau dieser Netzwerktabelle kannst du bestimmen, welches Netz miteinander reden darf:

Tag 0: kommt überall rein
Tag != 0: kann nur Netze mit gleichem Tag erreichen

Internet geht immer, unabhängig des Tags. Wenns verfeinert werden soll bis auf Hostebene benutzt du halt die Firewall des Lancoms um Quelle X zu Ziel Y zu erlauben / unterdrücken.

Viel Spaß
Dr.Einstein

[firefox_i]

Hallo Dr.
Danke für die superschnelle Hilfe.
Mir scheint die Wahl des Lancom Routers war die richtige, wenn mit dem soviel geht....

Wenn ich Dich richtig verstehe, wird durch die Schnittstellentags das Routing festgelegt.
Das /24 interpretiere ich so, dass als Subnetzmasken jeweils 255.255.255.0 gesetzt ist.

Aber schon kommen wieder Fragen auf:

a) warum die x.x.x.1?
Ich hätte intuitiv beim Anlegen des "logischen Interfaces" Als IP-Adresse die letzte Ziffer 0 genommen....also z.B. 10.99.2.0.
Mir scheint aber, dass das nicht richtig ist.
Oder warum das .1 am Ende?
Wo hab ich hier denn schon wieder nen Hirnknoten ?!??!
Oder vermute ich es richtig, dass die "0" eines jeden Subnetzes automatisch die Gatewayadresse ist über den die Teilnehmer dieses Subnetzes den Router erreichen?


b) Bridge-Gruppe
Ich versteh das so, dass ich die logischen Interface in einer Bridge-Gruppe zusammenfasse um nicht alles über den Router-Block des 1781 zu schleusen richtig ?
Wenn ich ein logisches Interface keiner Bridge-Gruppe zuordne, laufen die Pakete also bis in den Routerblock und der entscheidet über die Schnittstellentags wer mit wem verheiratet ist, korrekt?
Was hat es mit den Hinweisen hinsichtlich WLAN und den Bridge Gruppen im Referenzhandbuch auf sich?
Ich meine diesen :
"Wird das Interface über die Einstellung 'keine' aus allen Bridge-Gruppen entfernt, so findet keine Übertragung über
die LAN-Bridge zwischen LAN und WLAN statt (isolierter Modus). In dieser Einstellung ist eine Datenübertragung
zwischen LAN und WLAN für dieses Interface nur über den Router möglich."


Ich glaub ihr lest mich hier noch öfter.....
Sorry wenn ich für euch einfache Fragen stelle, aber son Teil ist etwas neu

Gruß
Sven

[Dr.Einstein]

Das /24 interpretiere ich so, dass als Subnetzmasken jeweils 255.255.255.0 gesetzt ist.

-> korrekt

a) warum die x.x.x.1?

-> jedes Netzwerk braucht ja ein Gateway, wenn du z.B. 10.10.10.0/24 hast, müssen ja deine Maschinen irgendwie ins internet und in andere Netzwerke kommen, d.h. du gibst dem Lancom Router eine Adresse aus diesem Netzwerk, zB die 10.10.10.1 oder 10.10.10.254 oder was auch immer.

[firefox_i]

Ah okay,
also werden in dieser Maske gleichzeitig 2 Dinge festgelegt:
- Die Gatewayadresse (die in der Zeile "IP-Adresse") .
- Das Subnetz aus der Kombination der Gatewayadresse und der Netzmaske.

Warum sagt einem das keiner in der Doku


Um nochmal auf das Bridge-Gruppen Thema zu kommen.
Was steckt denn da dahinter ?
Ich habe es bis jetzt so für mich interpretiert:

Ein Netzwerk muss einer Schnittstelle zugeordnet (Feld Schnittstellen-Zuordnung) werden die entweder
- ein logisches Interface
- eine Bridgegruppe
ist.

Eine Bridgegruppe beinhaltet mehrere logische Interfaces.
Ein logisches Interface beinhaltet ein oder mehrere physikalische Interfaces.

Hab ich das so richtig überrissen?

Gruß
S.

- jede physikalische Schnittstelle

Versteh ich es richtig, dass aus me

[Dr.Einstein]

Bridgegruppen sollen dir VLANs abnehmen, z.B. LAN-1 mit WLAN-1-2 zusammenpacken, oder LAN-2 + LAN-4 + WLAN-1 -> Bridge-2

In deinem Szenario kannst du das aber vergessen, da die ein anliegendes Kabel hast, worüber mehrere getrennte Netzwerke drüber laufen sollen.

Wenn zwischen Bridgegruppen verbunden wird, greift auch das Routing Modell. Also hast du mit VLANs momentan keinen Vor- oder Nachteil was die Performance angeht.

[garfield0815]

die frage die sich mir jedoch stellt
wiefiele leute arbeiten in eueren büro
und wen eh jeder überall hin soll wiso sich die arbeit machen und nur unnötige fehler heraufschwören

wenn ich richtig rechne hast du 5 lan port reel zur verfügung zzgl w-lan
alle anderen brauchst du für nas drucker und komunikation untereinander

ich würde da nur noch das gast w-lan auf dem lancom seperiren
ansonsten alles in ein netz legen
du must bei routing auch die leistung des lancom mit einrechnen
wilst du 10 gb auf deine nas schreiben oder lesen gehen die 10 gb voll über den lancom
ohne routing und der gleichen dehen sie direkt vom pc auf die nas

aufteilung und supneting mag ne schöne sache sein wen das netzwerk denmensprechend gross ist
nur bei der grösse ??? ich sehe da keinen reelen vorteil sondern nur potensielle propleme


klahr aufteilung mag was schönes sein aber ein normahles clas c netz ist für bis zu 253 ip geräte ausgelegt


meine konsepte deschränken sich zumeist auf bereiche inerhalb des clas c netz

192.168.x.
0-9 frei da dorten die meisten geräte bei auslieferung stehen
10-19 router Aps ...
20-29 Server
30-31 Drucker
40-41 Switches

also 192.168.0.10 ist z.b. ein router
192.168.0.20 Ein server
......

[firefox_i]

Hallo zusammen,
kurze Frage an den Dr.

Da die verschiedenen LANs mit ihren unterschiedlichen IP-Kreisen und unterschiedlichen VLANs auf einem einzigen Kabel am 1781 an.

Infrastruktur (Switche, Router) IP 10.99.1.1/24 VLAN1 kommt an ETH-1
Arbeitsstationen und NAS (via LAN) IP 10.99.2.1/24 VLAN20 kommt auch an ETH-1
passwortgeschütztes WLAN IP 10.99.3.1/24 VLAN30 komtm an WLAN-1
Gast WLAN IP 10.99.4.1/24 VLAN40 kommt an WLAN1-2
VoIP IP 10.99.5.1/24 VLAN50 ebenfalls ETH-1

Momentan sind noch keine VLANs eingerichtet, alle physikalischen Interface sind in BRG-1 und alle Schnittstellentags haben 0.
Alle sehen alle.
Hab ich auch so erwartet


Nächster Schritt "Trennen":
Der nächste Schritt in meinen Augen wäre, die IP Netzwerke die miteinander reden können sollen gleiche Schnittstellen-Tags vergeben.
Also das Gast WLAN (späteres VLAN 40) z.B. auf 100.
Das interne LAN dann auf Schnittstellen Tag z.B. 50 (späteres VLAN 20, 30)
VoIP auf Schnittstellen Tag z.B. 10 (späteres VLAN 50)
Infrastruktur würde ich auf Schnittstellen 0 lassen und auch VLAN1


Hab ich das richtig verstanden

Und dann eben im letzten Schritt die VLANs aufspannen, wobei ich denke VLAN20 und 30 zusammenzufassen zu einem.


Muss ich dann die Bridges umstellen bzw den isolierten Modus aktivieren?
Meinem Verständnis nach nein, denn das "wer darf mit wem" über Schnittstellentags und VLAN Zuordnungen definiert wird, richtig?


Gruß
Sven

[firefox_i]

Öhm jetzt bin ich es nochmal.....

Kann es sein, dass ich nen riesen Denkfehler in der ganzen Sache hinsichtlich DHCP habe ?

Meine Grundidee war ja, über eine Leitung die an den Lancom angrschlossen ist, alle Kabelgebundenen Endgeräte über Switches anzukoppeln.
Die WLANs für Gast und Privat macht der Lancom selber.

Nachdem ich aber einen DHCP benötige wird das ganze ja nicht mehr abbildbar.

Ich kann doch einen DHCP Server nur einem IP-Netzwerk zuordnen.
Ein IP-Netzwerk wird nun den logischen Interfaces, einer Bridgegruppe oder "beliebig" zugeordnet.

Da ich mehrere IP Netzwerke (wegen mehrerer Subnetze s.o.) über eine Leitung laufen lasse, müsste ich auch mehrere DHCP Server konfigurieren.
Diese müssten nun also auch auf diversen Schnittstellen reagieren.

So und nun meine - hoffentlich richtige - Erkenntnis in den verschiedenen Szenarien.

a) Gast-WLAN
Das ist das einfachste.
Hier gibt es genau eine logische Schnittstelle, auf der dieses IP Netzwerk läuft.
Also alles kein Problem, denn der DHCP Server reagiert auch nur auf Anfragen über diese Schnittstelle

b) andere Netzwerke
Die kommen ja zum einen über die "echte" ETH1 Schnittstelle an (also normelerweise dem logischen Interfac LAN-1) und eben auf mindestens einem logischen WLAN Interface.
Da ich dem IP Netzwerk aber nicht dediziert nur diese logischen Schnittstellen zuweisen kann bleibt die Option "beliebig".
Das geht aber doch meinem Verständnis nach ohne definierte VLANs mächtig in die Hose:
Woher wissen nun die DHCP Server (wenn es derer mehrerer gibt, die eben unterschiedliche Subnetze mit IP Adressen versorgen) wer wann reagieren muss.
Ich denke "der schnellere gewinnt" und so laufe ich Gefahr, dass ich falsche Zuordnungen bekomme.

Aus meiner Sicht ist das doch nur über definierte VLANs möglich, dass die DHCP Server korrekt funktionieren.

Der Schnittstellen-Tag hilft mir hier ja garnicht weiter oder ?
Der greift ja erst nachdem (!) die IP Adressen bekannt sind.

Auch die Bridge-Gruppen helfen mir nicht weiter, da ich spätestens wegen den verschiedenen Subnetzen auf der physikalischen Schnittstelle ETH-1 verloren habe.


Ich nehme an, das ganze verhält sich tatsächlich so, oder ?

Also letztenendes funktioniert die Vergabe der IP Adressen für verschiedene Subnetze nur dann korrekt, wenn ich VLANs definiere, korrekt?
Und über die Zuordnung der echten Anschlüsse an den Switchs zu den VLANs lege ich dann fest, wer in welchem Subnetz liegt.

Ich hoffe das ist so richtig.


Gruß
Sven

[Dr.Einstein]

Hey firefox_i,

nicht so viel auf einmal überschlagen:

Die Grundgedanken aus deinem vorletzten Post sind soweit korrekt.

Zum DHCP: Jedes VLAN kann einen eigenen DHCP Server besitzen. Der Lancom Router selbst kann nur dann DHCP spielen, wenn für jedes relevante VLAN auch unter IPv4/IP-Netzwerke ein Eintrag für genau dieses VLAN hinterlegt ist. Also im Prinzip alles kein Problem.

Mach einfach deine 4..5 VLANs, jedes VLAN bekommt im Lancom ein eigenes Subnetz. Danach kannst du entweder über den Lancom den netzen DHCP gegeben oder aber in bestimmten VLANs über untagged Switchports einen (Windows)DHCP hinstellen.

Gruß Dr.Einstein

[firefox_i]

Okay danke für die Info.
Langer rede kurzer Sinn:

Wenn mehrere über DHCP Server zugewiesene Adressenkreise (verschiedene Subnetze), dann geht das nur über die Definition von VLANs weil sonst die DHCP Server bei einer Anfrage nicht wissen, wer reagieren soll.

Jetzt komm ich aber gleich mal wieder mit ner Frage hinterher:
Ich kann ja in einem Subnetz auch mehrere VLANs anlegen.
Wie mach ich das denn ?
Ich würde jetzt naiv so rangehen zu sagen:

VLAN_10 IP Netzwerk 10.10.10.1 usw....
VLAN_11 IP Netzwerk 10.10.10.50 usw....
VLAN_12 IP Netzwerk 10.10.10.100 usw....

Somit sind dann im Subnetz 10.10.10.x diese 3 VLANs.
Über die DHCPs die auf diesen VLANs laufen bekommen die immer die korrekten IP Adresse (ich würde mich jetzt nicht trauen, den DHCP für VLAN_12 den Adressbereich 10.10.10.2-49 zu geben.....ich glaub das gibt Chaos).
Die jeweiligen Gateways der VLANs wären dann x.x.x.1, x.x.x.50 und x.x.x.100 wenn ich das Pronzip von Lancom da richtig geschnallt habe.

Und wenn ich denen dann auch noch alel denselben Schnittstellentag gebe, dann könnten die auch miteinander reden korrekt ?

Gruß
Sven

[Dr.Einstein]

Theoretisch hast du natürlich Recht, dass VLANs eine Ebene unter IP-Adressen sind. Somit wäre das auch machbar. Die Frage ist nur, wenn du den DHCP Dienst vom Lancom selbst nutzen willst.

Selbst noch nicht ausprobiert aber lege halt kA 4 Interface an:

Intranet1 10.0.0.1/24 VLAN1
Intranet2 10.0.0.31/24 VLAN10
Intranet3 10.0.0.61/24 VLAN20
Intranet4 10.0.0.91/24 VLAN30

Innerhalb der DHCP Tabellen kannst du dann für jedes VLAN deinen eigenen IP Pool vergeben.

Ich persönlich halte davon aber nix.