daka1984
Goto Top

Netzwerk - VLan - Subnetz - Integration von Industriemaschinen

Servus und Hallo hier bei Administrator,

als Service Techniker bin ich für den Aufbau eines Firmen Netzwerkes mit zuständig.
Da sich diese Firma noch ein Start Up ist kann ich nach eigenem Ermessen dieses Netzwerk erweitern.

Aktueller Hardware stand:

- EdgeRouter Pro 8,
- Synology RackStation RS1219+ mit Docker Unifi Controller,
- Netgear Mainswitch unmanaged plus 5 weitere Bereich Switche unmanaged,
- Access Points 13 x Unifi AC AP Pro

Der EdgeRouter Pro ist mit einem (PPPoE)-Glasfaser-Sfp- im eth7-Eingang konfiguriert.

Das Ganze ist ein recht gut funktionierendes DHCP-Netzwerk "DHCP_LAN1".
Die Größe des DHCP-Pools ist auf 240 festgelegt, im Allgemeinen sind 150 bis 200 Clients leased.

Ich möchte zusätzlich zum laufenden DHCP - PPoE-Netzwerk ein Subnetz oder VLan erstellen.

Bis zu 20 - 30 industrielle Maschinen & Drucker mit einer statischen IP sollten dem VLan-Netzwerk zugeführt werden und sollen nicht im Hauptpool sein.
Wichtig ist der Fernzugriff auf die Geräte mit statischer IP.

Ich möchte nun hier fragen, wie ich dies am besten und sichersten implementieren kann.

Mit freundlichen Grüßen aus München

David

Content-Key: 623435

Url: https://administrator.de/contentid/623435

Ausgedruckt am: 29.03.2024 um 07:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 18.11.2020 um 12:18:33 Uhr
Goto Top
Moin,

ich möchte nun hier fragen, wie ich dies am besten und sichersten implementieren kann.
Also mit unmanaged Switchen schon mal gar nicht face-sad

Es gibt hier im Forum ein sehr gutes Tutorial zum Thema VLAN usw. Lies dir das mal in Ruhe durch.

lg,
Slainte
Mitglied: tech-flare
tech-flare 18.11.2020 um 12:49:41 Uhr
Goto Top
VLAN und Unmanaged Switche geht schon mal nicht - maximal als Switch an einen Untagged Port... aber las das mal lieber sein.

Wenn dort schon großteils Ubiquiti (Edge Serie und UniFi Serie) eingesetzt wird könnt ihr ja auch auf denen ihre Switches gehen. Wir setzen diese auch produktiv ein.
Es wird hier natürlich gleich wieder deswegen Negativkommentare geben (Gruß geht an aqui ;) )

Grundsätzlich könnt ihr aber jeden Managed Switch nutzen.

Für die sichere Remote Verbindung benötigt ihr eine Firewall mit VPN Funktion (*sense, Sophos... alle möglichen)
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.11.2020 um 13:14:33 Uhr
Goto Top
Moin,

wie die Kollegen schon sagten: Wenn Du VLANs einsetzen willst, brauchst Du auch Switche, die das können. Und das geht nur mit managebaren Switchen.

Du kannst natürlich auch einfach einen Router oder eine Firewall zwischen Dein Maschinennetz und dem Rest hängen und so die Netze getrennt halten. Dann kannst Du natürlich auch Deinen nicht gemanageten Switche weiterverwenden.

lks
Mitglied: aqui
aqui 18.11.2020 aktualisiert um 13:26:32 Uhr
Goto Top
Dieses Tutorial gibt dir einen genauen Überblick über die ToDos für diese recht einfache VLAN Umsetzung:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder hier z.B. mit einem Mitbewerbs Routerprodukt zu deinem:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Die ToDos sind aber immer gleich.
Einfache Layer 2 VLAN Switches wie sie im o.a. Tutorial beschrieben sind, sind dafür minimale Voraussetzungen wie die Kollegen oben schon gesagt haben.
Mitglied: DaKa1984
DaKa1984 18.11.2020, aktualisiert am 19.11.2020 um 10:54:48 Uhr
Goto Top
Toll danke euch für die Rückmeldungen!

Die Überlegung auf Managed Unifi oder Edge Switche zu wechseln hatte ich auch schon.
Allerdings würde ich gerne erst mal die vorhandene Hardware ausreizen bevor ich neue Anschaffungen mache.

Ich studiere gerade die Edge OS Router Software und dazugehörige Manual.

Man kann über das Router Dashboard einfach auf VLan hinzufügen klicken. Das sollte eigentlich mit dem Edge Router funktionieren und auch ohne managed Switch gehen.

Ich wollte im ersten Schritt einfach einen neuen IP Pool erzeugen. Man muss das dann richtig "Bridgen" hab ich mir erklären lassen.
Der neue Statische IP Pool soll dann auch eine Verbindung zum Standard DHCP Netz haben mit Zugang zum Internet, hoffe das geht so wie ich mir das vorstelle. Den neuen IP Pool würde ich dann gerne mit Firewall Regeln belegen. Ich würde euch gerne an meinen ersten Schritten teilhaben lassen. Ich bin hier in dem Laden alleine mit dem Thema (Fiber & Routing). Ich kann mir Vorstellen das ich mit Industrie 4.0 Implementierung (IoT) hier nicht alleine bin und dieser Beitrag vielleicht auch für andere eine Hilfe ist.

Siehe Foto:
vlan


Was für ein Interface muss ich denn jetzt wählen? Die Glasfaser kommt in eth7 über einen sfp Adapter an und geht über eth1 auf den Main switch.

vlan - interface

Bei MTU am besten den die Paket Größe vom Provider nehmen 1492 oder 1500

vlan - mtu address

Adress Bereich kann man doch nach Gutdünken festlegen.

vlan - mtu address example

Freundliche Grüße

David
Mitglied: aqui
aqui 18.11.2020 aktualisiert um 17:30:34 Uhr
Goto Top
Wenn du bei eingefügten Bilder einmal das "+" an der richtigen Textstelle klickst erscheinen die Bilder auch im richtigen Kontext deines Threads und nicht verwirrend alle zusammen am Ende des Textes.
FAQs lesen hilft wirklich !
Der "Bearbeiten" Knopf rechts unter "Mehr" ist dein bester Freund und lässt dich das nachträglich zur besseren Übersicht aller hier immer korrigieren. Auch nachträglich ! face-wink
Was für ein Interface muss ich denn jetzt wählen?
Deine VLANs sollen ja auf dem lokalen Netz stattfimnden, oder ? Folglich nimmst du dann auch ein lokales Interface.
Bei MTU am besten den die Paket Grüße vom Provider nehmen
Grüße vom Provider ??? Welcher Provider grüßt denn hier seine Kunden ?
Wenn es ein LAN Ethernet ist dann die klassischen 1500.
Adress Bereich kann man doch nach Gutdünken festlegen.
Ja, wenn es ein lokales LAN/VLAN ist. Der gesamte Bereich der privaten RFC 1918 IP Adressen liegt dir frei zu Füssen:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
(Wenn du später planst mit VPNs zu arbeiten sollte man dümmliche 192.168er Adressen vermeiden !)
Mitglied: SlainteMhath
SlainteMhath 19.11.2020 um 07:36:22 Uhr
Goto Top
Allerdings würde ich gerne erst mal die vorhandene Hardware ausreizen bevor ich neue Anschaffungen mache.
Ums nochnmal deutlich zu machen: Unmanaged Switche sind durch Anschalten und Einstecken des Netzwerkkabels bereits bis an ihr Limit ausgereizt! face-smile
Mitglied: aqui
aqui 19.11.2020 aktualisiert um 10:49:58 Uhr
Goto Top
Besser hätte man es nicht sagen können... face-wink
Vielleicht hilft ja noch ein buntes Bildchen zum finalen Verständnis...?!

umgmtvlan

Wenn's das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mitglied: DaKa1984
DaKa1984 19.11.2020 um 13:32:03 Uhr
Goto Top
Sehr geil vielen Dank! Das bunte Bildchen hilft zum Verständnis.
Einen VLan Switch zu verwenden wäre schon mal eine gute Lösung.

Da der Edge Router Pro noch 5 freie Ports hat, habe ich mich gefragt ob man eine (V)Lan1 Verbindung z.B.
vom Router auch direkt zum (V)Lan1 Switch Unamanged schicken kann und den VLan Switch weg lässt.
Oder ist das gegen jede Vernunft?

Gruß David
Mitglied: aqui
aqui 19.11.2020 aktualisiert um 13:41:23 Uhr
Goto Top
Ja, das geht natürlich auch, macht aber logischerweise nur Sinn wenn man nur ein singuläres VLAN hat. Bei mehreren müsste man ja sonst für jedes VLAN jeweils immer eine Einzelstrippe ziehen was bei mehreren VLANs dann natürlich Quatsch wäre. Da ist dann ein 802.1q tagged Trunk sinnvoller wie im Tutorial beschrieben.
Eine "Einzelstrippen Lösung" kannst du z.B. hier sehen:
VLANs für Gast-WiFi mit Layer2-Switches, welcher Router?

Wie gesagt, das geht davon aus das du keinen separaten VLAN Switch hast. Du kannst deinen VLANs natürlich auch direkt einen der 5 Ports untagged zuweisen und dann direkt von da auf die unmanaged Switches gehen. Das ist technisch das gleiche.