Lancom 821 ADSL ISDN als simpler Router geeignet??

[scaner]

Hallo allerseits,

ich möchte zwischen zwei Netzen (192.168.1.0 und 192.168.2.0) routen. Beide Netze benutzen aber dasselbe physikalische Medium, also den selben Switch.

Ich würde also zwei Ethernetanschlüsse des Lancom 821 mit zwei Ethernetanschlüssen des Switches verbinden und der 821 sollte wie oben gewünscht auf OSI-Schicht 3 routen.

Geht das mit dem 821??

Vielen Dank!
scaner

[alf29]

Moin,

den einzelnen Switch-Ports des 821/1621 lassen sich keine getrennten
IP-Adressen zuweisen - wenn Du das LANCOM und den externen Switch
derart doppelt verbindest, bekommst Du einen Elektronenbeschleuniger...

Verbinde Switch und LANCOM nur über ein Kabel und richte die beiden
Netze als Intranet bzw. DMZ ein. Zumindest solange Du nicht in eine
der beiden Richtungen maskieren willst, ist das die einfachste und performanteste
Lösung.

Wenn's doch eine maskierende Verbindung in eine der beiden Richtungen
werden soll, mußt Du das DSLoL-Interface beschäftigen.

Gruß Alfred

[eddia]

Hallo Alfred,

wenn Du das LANCOM und den externen Switch
derart doppelt verbindest, bekommst Du einen Elektronenbeschleuniger...

hmm - die Lancoms können kein Spanning Tree auf dem Switch? Bei den WLAN-Geräten ist dort zumindest eine Konfiguration möglich - da aber die Priorität nur allgemein für das LAN einstellbar ist, gilt das wohl nur für die LAN-WLAN Bridge?

Verbinde Switch und LANCOM nur über ein Kabel und richte die beiden
Netze als Intranet bzw. DMZ ein.

Wenn sein Switch VLAN fähig ist, könnte man doch die beiden Kabel an Ports unterschiedlicher VLANs stecken und den Switch im Lancom in den isolierten Modus schalten. Damit hätte man doch eine echte Trennung?

Gruß

Mario

[alf29]

hmm - die Lancoms können kein Spanning Tree auf dem Switch? Bei den WLAN-Geräten ist dort zumindest eine Konfiguration möglich - da aber die Priorität nur allgemein für das LAN einstellbar ist, gilt das wohl nur für die LAN-WLAN Bridge?

Spanning-Tree kann nur die WLAN-LAN-Bridge. Der Switch im 821/1621 ist komplett 'dumm',
die Ports lassen sich in keinster Weise einzeln von der CPU ansteuern bzw. an/abschalten.
Bei den Switch-Bausteinen in den neueren Geräten ginge das zwar, aber dort geht die
Reise in der Zukunft eher dahin, daß man diese als komplett getrennte Ethernet-Ports
benutzen kann, z.B. als LAN, DMZ, Ethernet-WAN-Ports....fürs 'einfache' Switchen sind
diese Ports zu wenige und zu wertvoll, außerdem wäre es softwaremäßig nicht ganz
trivial, VLAN- und Spanning-Tree-Support dann teilweise in der WLAN-Bridge in Software
und teilweise im Switch in Hardware laufen zu lassen und dem Anwender trotzdem eine
einhetliche Konfiguration anzubieten...

Wenn sein Switch VLAN fähig ist, könnte man doch die beiden Kabel an Ports unterschiedlicher VLANs stecken und den Switch im Lancom in den isolierten Modus schalten. Damit hätte man doch eine echte Trennung?

So wie ich ihn verstanden habe, benutzen beide Netze dasselbe LAN, er kann also
auch nicht einfach den externen Switch in zwei Teile spalten - es laufen einfach zwei
IP-Netze auf dem gleichen LAN. Aber auch wenn's so wäre, eine Trennung wäre
mit dem 821 auch im private mode nicht drin. Der im 821 verbaute Swich liefert dem
Host-Prozessor keine Infos, über welchen Port ein Paket hereingekommen ist, und die
CPU kann auch nicht angeben, auf welche Ports ein Paket herausgehen darf. Das
LANCOM würde auf beiden Ports auf beide IP-Adressen reagieren, und ARPs für
eine Adresse in einem Netz würden auch immer auf beiden Ports herausgehen - da
hilt auch der private mode nichts, der verhindert nur, daß unter den vier externen
Ports direkt Pakete ausgetauscht werden können.

Gruß Alfred

[scaner]

Hi,

vielen Dank für die schnellen Antworten. Also werde ich einen "Router on a stick" mit nur einem Kabel realisieren.
Momentan läuft das Routing prima unter Linux, ich möchte aber eine reine Hardwarelösung. Da ich schon zwei Stück 821 am laufen habe, möchte ich meinem Boss noch ein 821 aufschwatzen, auch wenn der etwas oversized ist, da ich die Geräte nun schon etwas besser kenne.

Viele Grüße
scaner

P.S. vielleich muss ich Euch bald noch einmal bemühen (Firewallkonfig), mache aber dazu dann ein neues Thema auf.

[alf29]

P.S. vielleich muss ich Euch bald noch einmal bemühen (Firewallkonfig), mache aber dazu dann ein neues Thema auf.

Hm, Firewalling ist aber ein bißchen akademisch, wenn der Traffic von beiden Seiten
über den gleichen Strang läuft...

Gruß Alfred

[eddia]

Hallo Alfred,

Der im 821 verbaute Swich liefert dem
Host-Prozessor keine Infos, über welchen Port ein Paket hereingekommen ist, und die
CPU kann auch nicht angeben, auf welche Ports ein Paket herausgehen darf.

Na ja - aber das ist doch immer noch ein Switch? Dann sollte er doch pro Port eine MAC-Tabelle besitzen, so dass Pakete nur über den Port rausgehen, an welchem das Ziel angeschlossen ist.

Gruß

Mario

[alf29]

Na ja - aber das ist doch immer noch ein Switch? Dann sollte er doch pro Port eine MAC-Tabelle besitzen, so dass Pakete nur über den Port rausgehen, an welchem das Ziel angeschlossen ist.

Der erste Broadcast würde bei so einer Doppelverbindung trotzdem einen Broadcaststurm
auslösen - Broadcasts und Multicasts werden immer an alle Ports ausgegeben. Und die
Trennung ist nur im Sinne der Durchsatzoptimierung, eine irgendwie geartete Sicherheit
gibt das nicht, weil man das jederzeit durch MAC-Spoofing und -flooding aushebeln kann.

Gruß Alfred