assassin
Goto Top

Manuelles VLAN Routing über Untagged Switchports am selben Switch möglich?

Hallo, mal eine kurze Frage, ich hab einen Unifi US48 Switch im einsatz, der nur Layer2 kann. Jetzt habe ich ein paar Endgeräte die direkt ein Tagged VLAN ins netz senden, ID 10. Das Native untagged VLAN ist ja die ID1 was auf allen Switchports so geschaltet ist. Der US48 Switch kann mit den Tagged Frames auch umgehen und diese weiterleiten, ich kann auch in der Software VLANs konfigurieren und somit einzelne Ports als nur Tagged oder als Untagged setzen - also auch ein Port so konfigurieren dass er Nativ Untagged VLAN10 sein soll. Es kommen dann also die Frames vom VLAN10 ungetaggt da raus.

Die Geräte im Nativen VLAN 1 liegen im IP Adressbereich 192.168.0.x/24
aber auch die Geräte im VLAN 10 liegen im selben IP Adressbereich 192.168.0.x/24
Alle Geräte im Nativen VLAN1 sowie auch im Tagged VLAN10 haben aber eine feste IP adresse - es gibt keine Doppelte IP adressen - trotzdem können sich die Geräte untereinander nicht finden logischerweise weil die ja durchs VLAN getrennt sind.

Jetzt will ich aber die dinger zusammenschalten, sodass jeder jeder sehen kann. Das würde ja normaleerweiße mit einem layer3 Switch/Router gehen - hab ich aber nicht.
Kann man da nicht einfach ein Port vom Switch eben so konfigurieren wie oben beschrieben - als Nativ VLAN10 untagged, und dann einfach ein Patchkabel nehmen und den Port mit einem anderen Untagged VLAN1 port verbinden? Ein Loop dürfte das ja dann nicht sein, weil es ja ein anderes VLAN ist - auch wennns untaggged ist.

Einfacher wäre es natürlich das VLAN10 aufzulösen und zum VLAN1 mit zu machen - kann ich hier leider nicht machen.

Geht das so, oder habe ich da einen denkfehler irgendwo drin?

Content-Key: 532591

Url: https://administrator.de/contentid/532591

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 08.01.2020 aktualisiert um 12:00:38 Uhr
Goto Top
Der US48 Switch kann mit den Tagged Frames auch umgehen
Sollte er auch wenn er ein VLAN Switch ist !
und somit einzelne Ports als nur Tagged oder als Untagged setzen
Das kann auch jeder VLAN Dummswitch vom Blödmarkt Grabbeltisch, ist nix Besonderes und weltweiter Standard im VLAN Umfeld was du in einem Administrator Forum nicht noch extra bemerken musst, da Administratoren solche Binsenweisheiten kennen. face-wink
aber auch die Geräte im VLAN 10 liegen im selben IP Adressbereich 192.168.0.x/24
Tödlich, das geht so nicht !
Vielleicht erstmal die Grundlagen dazu lesen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
und im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hier auch die weiterführenden Links.
Jetzt will ich aber die dinger zusammenschalten, sodass jeder jeder sehen kann.
Geht so nicht mit 2 unterschiedlichen Layer 2 VLAN Domains. Wozu sollte das auch gut sein ?? Wäre ja technsich völliger Quatsch dafür 2 VLAN Doamins zu verwenden. Setze alle diese Endgeräte in ein gemeinsames VLAN und gut iss !
Wenn du 2 VLAN Domains behalten willst musst du die IP Adressierung ändern und routen zwischen den VLANs. Siehe o.a. Tutorial.
hab ich aber nicht.
20 Euro Mikrotik Router löst dein Problem im Handumdrehen...siehe Tutorial !
Einfacher wäre es natürlich das VLAN10 aufzulösen und zum VLAN1 mit zu machen
Bingo ! So ist es !
Gibt es triftige technische Gründe warum du das nicht machen kannst ?? Es ist doch völliger Blödsinn bei nur einem Switch 2 VLAN Domains mit gleicher IP Adressierung zu haben. Sinnvoll packt man die dann in eine gemeinsame Domain was du ja auch selber erkannt hast. Gründe dagegen gibt es normal nicht denn wenn alle mit zwingend gleicher IP Adressierung "sich sehen" sollen, erzwingt das immer eine gemeinsame L2 Domain. Was sollte dann eine Trennung oder triftige Gründe dagegen für einen Sinn haben ?
Du solltest vermutlich nochmal in Ruhe drüber nachdenken was du da machst...
Mitglied: Assassin
Assassin 08.01.2020 um 12:48:35 Uhr
Goto Top
Ok...hintergrund ist der: Es gibt einige Cisco Aironet 1300er und 1600er WLAN Accespoints die Standalone betrieben werden, also ohne WLC. Diese Strahlen momentan ein WLAn aus, welches dem nativen VLan 1 zugeordnet ist - das blöde: es wurde damals nur eine WPAv1 TKIP Verschlüsselung eingerichtet, weil es ca. 50 Clientgeräte gibt die mit unter zualt waren (damals) und die noch kein WPA2 konnten.

Jetzt gibt es aber größtenteils WPA2 fähige Geräte (alles WindowsCE Terminals) aber ich kann nicht einfach so das bestehende WLAn abändern. Und bei Cisco ist es so, dass die Verschlüsselung nicht per SSID vergeben wird, sondern anscheinent wirklich auf Interface/VLAN ebene. Ich kann kein zweites SSID mit einer anderen verschlüsselung auf das gleiche VLAN1 setzen, um ein parallelbetrieb für die migration zu ermöglichen.

Ich muss zwingend ein neues VLAN erstellen, worauf ich eine neue SSID zuordnen kann - und dem kann ich dan die WPA v2 PSK AES verschlüsselung mitgeben. Aber das andere VLAN bräuchte ich eigentlich garnicht, weil Terminals weiterhin die selbe IP adresse behalten sollen um weiterhin mit dem Server zu komunizieren.

Alle anderen AccessPoints die ich so kenne können das; unterschiedliche Verschlüsselung bei unterschiedlichen SSIDs aber aufs selbe nativeNetzwerk...die Aironet anscheinend nicht. Soll wohl mit einem WLC gehen, aber den haben wir nicht, wird auch nicht gekauft, da die APs bald ersetzt werden durch Unifi APs
Mitglied: ITvortex
ITvortex 08.01.2020 aktualisiert um 15:05:41 Uhr
Goto Top
Hallo,

um deine Frage zu beantworten.

Nein, mit diesem Switch kannst du das so nicht umsetzen.

aqui hat schon alles dazu gesagt.

Ich würde dir dringend ans Herz legen einen Layer 3 Switch und/oder Router zu verwenden.
Bei 50 Clients macht es definitiv Sinn!
Deinem Netzwerk nach würden somit ja auch alle Drucker und Server im selben VLAN werken - sofern du nicht andere Geräte bereits in Verwendung hast die das erledigen ?

LG
VorteX
Mitglied: Assassin
Assassin 08.01.2020 aktualisiert um 19:28:01 Uhr
Goto Top
ja, es läuft alles im selben VLAN/Netzwerk. Ein paar PCs & Server haben eine anderen IP Adressebereich (Subnet), aber das wars dann auch schon.


die hauptfrage ist aber eben - wie kann ich das mit den vorhandenen Cisco APs machen ohne die bestehende ausstrahlende WLAN SSID samt der WPAv1 verschlüsselung zu deaktivieren - und damit alle 50 mobile Clients auf einmal umzustellen? Ich meine - jeder 20€ WLAN AP kann mehrere SSIDs mit unterschiedlicher Verschlüsselung ausstrahlen und das im selben Netzwerk/VLAN. Ist mir ein rätzel warum das bei dem Ciscos da nicht geht face-sad

selbst wenn ich jetzt ein Router nehme, der mir das VLAN Routet - so wird das ja aber trotzdem nicht gehen weil die endgeräte die IP Adresse behalten (subnetz), und auf den Endgeräten ist auch kein Gateway eingetragen. Einfach nur eine feste IP, und das programm da drauf hat die Server IP Adresse womit die sich verbinden müssen.


Eigentlich ist das ganze ja auch kein Routing, sondern mehr ein Bridging - das ist auch nur temporär bis alle Endgeräte umgestellt sind
Mitglied: NordicMike
NordicMike 09.01.2020 um 02:59:49 Uhr
Goto Top
Hier wird das Wort „Blöd“ sehr gerne in den Mund genommen, aber funktionieren würde es. Es bremst halt aus. Wenn man das in Kauf nimmt, ist es deswegen kein völliger Blödsinn, sondern ungünstig. Ein kalkulierter Kompromiss zwischen Funktionalität und Performance, das dann jeder selbst entscheiden muss, ob es ihm das wert ist.

Jedes VLAN ist ein eigener Switch für sich, ohne Routing sehen sie sich einfach nicht, wie zwei unabhängige Switche. Du hast halt dann mit dieser Verbindung nur die zwei Switche hintereinander kaskadiert, mehr nicht. Also:

Endgerät <—> Switch 10 <—> Switch 1 <—> Endgerät/Server/Router

Der einzige Nachteil ist, dass Du zwischen den zwei Switchen einen Flaschenhals erzeugt hast, das auf die Portgeschwindigkeit reduziert ist.

Wenn alles in einem VLAN wäre, bzw im gleichen Switch geswitcht wird, hat der US48 eine Switching Performance von 140Gbit für alle Geräte zusammen gezählt. Wenn Du den Switch nun in zwei VLANs trennst und sie miteinander mit zwei 1Gbit Ports verbindest, dann ist die Switching Performance zwischen den beiden Seiten halt nur noch 1Gbit. Je nach Anzahl der Geräte auf einer Seite müssen sie sich das eine Gbit aufteilen, wenn sie zur anderen Seite kommunizieren wollen. Bei nur wenigen Geräten bemerkt man das überhaupt nicht.

Man könnte sich noch überlegen die zwei SFP+ Ports dafür zu nehmen, dann ist Dein Flaschenhals bei 10Gbit.

Es bekommen alle Geräte den vollen Broadcast aus beiden Netzen ab, was gerade ältere Geräte recht belastet. Ab einer gewissen Geräteanzahl würde ich sowieso anfangen zu segmentieren und mit einem anderen routebaren IP Bereich zu versehen, was zwischen den zwei VLANs ein günstiger Trennpunkt und Routingpunkt wäre, um den Broadcast da zu stoppen.
Mitglied: Assassin
Assassin 09.01.2020 um 07:07:50 Uhr
Goto Top
Also geht es doch, ja? Die Endgeräte sind eh nur mit rund 22Mbits angebunden, alle 50 sind auch nie gleichzeitig aktiv. Es kommt absolut nicht auf Performance an, soll nur für ein paar Tage so sein eben für die Migration der Terminals ins neue WLAN mit der besseren Verschlüsselung. Danach fliegt das VLAN wieder weg und die APs strahlen nativ das WLAN aus ohne das als VLAN getaggt auszugeben über LAN.

Auch das mit dem Broadcast ist mir bewusst das es da eben auch überall hingeht.


Was mich noch interessieren würde - weil ITvortex so geschockt erschien dass es noch keine VLANs weiter gibt und alles in einem Netzwerk läuft...
wie sollte man es sonst machen? Drucker in ein eigenes VLAN und dann nur über ein L3 switch in das Produktive native Netzwerk Routen?


Noch eine Frage die mich brennend interessiert: Bei den Unifi Switchen werden die Getaggten VLANs auf Alle Ports mit ausgegeben...also ale Ports sind Untagged VLAN1 (PVID1) aber VLAN2, VLAN3, VLAn4,... werden ebenfalls als getaggt auf allen Ports ausgegeben.
Bedeutet dies nicht auch ein nicht unerheblichen Broadcast-Sturm weil die tagged Frames ja so trotzdem an jeder PC netzwerkkarte ankommen - die da erst verworfen werden weil der PC damit nix anfangen kann? Wie realisiert man sowas aber richtig? Ich kann unmöglich jedenswitchport einzeln konfigurieren um ihn mitzuteilen, welches Tagged VLAN er ausgeben soll, bzw. welches er als untagged ausgeben soll. Wie macht man sowas richtig?
Mitglied: ITvortex
ITvortex 09.01.2020 um 13:47:41 Uhr
Goto Top
Naja schockiert würde ich vielleicht nicht sagen, eher verwundert.

Möchtest du wirklich das jeder auf deine Drucker/Server/Maschinen/Telefone/Sondergeräte kommt?
Wenn sich irgendein Gast irgendwo anstöpselt kommt er überall hin.

Wir routen Drucker/Server/Telefon/Client VLAN pro Standort über einen Core-Switch (Layer 3) und die restlichen 40 VLANs über Router.
DHCP Snooping und ARP Protection und 802.1X sind bei uns implementiert, somit haben wir keine unerwünschten Geräte die Adressen verteilen weil wir die DHCP-Server Ports definieren (DHCP Snooping) und Geräte ohne Zertifikat die nicht in der Domäne sind kommen automatisch ins Gästenetzwerk.

Sicherheit im Netzwerk ist nun mal sehr wichtig. Einen Datenverlust bzw. Datendiebstahl kann sich eine Firma kaum leisten...

Ist natürlich jedem selbst überlassen, Netzwerksegmentierung würde ich trotzdem sehr empfehlen!

LG
Mitglied: Assassin
Assassin 09.01.2020 um 13:56:43 Uhr
Goto Top
Ja, theoretisch kann einer kommen und sich hier anstecken ja...aber auf die Server wird er nicht ohne passwort draufkommen, auch nicht auf die anderen Geräte ohne passwort.

Wie realisiert man den so eine VLAN segmentierung? muss man dan wirklich jeden Port einzeln konfigurieren mit dem entsprechendem untagged VLAN? Oder kann ich irgendwo einstellen, dass Geräte im IP Adressbereich 192.168.2.x im VLAN2 sind, geräte im 192.168.3.x bereich im VLAN3,..
Und mit einem Layer3 Switch wie einem Cisco SG350-52 könnte man die VLANs dann wieder zusammen bringen, bzw. routen, sodass man auch auf die anderen IPs zugreifen kann? es gibt halt einige die aus dem 192.168.0.x netzwerk ins 3er zugreifen wollen, oder vom 2er netz ins 0er,...
Mitglied: NordicMike
NordicMike 10.01.2020 um 02:48:25 Uhr
Goto Top
Ja, jeder Port wird erst einmal konfiguriert, das geht aber schnell:

Beim Unifi Controller kannst Du Netzwerkprofile anlegen. Das Standardprofil ist:
VLAN 1 untagged und alle anderen VLANs tagged

Dann haben wir ein Profil nur für die Endgeräte angelegt:
VLAN 4 untagged, kein VLAN tagged

Dann noch ein Profil für die Telefone, die sich im VLAN 8 befinden, aber noch einen zweiten Ethernet Port besitzen, wo ein PC angesteckt werden kann:
VLAN 4 untagged, VLAN 8 tagged

Bei den Switchen kannst Du dann mehreren Ports ein Profil auf einmal zuweisen, indem Du mehrere Ports auf einmal markierst.

Zwischen den Switchen definieren wir die Ports natürlich auf:
VLAN 1 untagged und alle anderen VLANs tagged

Bei einem neuen Switch definieren wir erst einmal alle Ports auf „Endgeräte“ und dann zwei Ports mit allen VLANS für Uplink/Downlink, bevor wir sie einbauen. Jeder Port wird also definiert und im Unifi Controller auch beschriftet, was Angesteckt wird. Bei manchen Firmen werden die unbenutzten Ports auch zur Sicherheit deaktiviert oder in ein VLAN geschickt, wo sie nichts anstellen können.

Eine automatische VLAN Zuweisung anhand der IP Nummer gibt es nicht. Den Switch interessiert die IP Nummer nicht.
Mitglied: aqui
aqui 10.01.2020 um 09:00:16 Uhr
Goto Top
Eine automatische VLAN Zuweisung anhand der IP Nummer gibt es nicht. Den Switch interessiert die IP Nummer nicht.
Bei Billigheimer Unify vielleicht nicht aber andere Hersteller können sowas. Es ist zwar exotisch und wenig genutzt in der Praxis dennoch gibt es sog. Protocol based VLANs bei einigen Herstellern. face-wink
Mitglied: Assassin
Assassin 10.01.2020 um 19:07:00 Uhr
Goto Top
Ich könnte das über ein Radius server realisieren, oder Mac Based VLAN...aber ist halt ganz schöner aufwand, zumindest für die erst-einrichtung face-confused

Was mich eher interessiert - wenn man nun meherere VLANs hat - koppelt man die dann einfach alle damit eben jeder noch überall zugreifen kann? Da hätte in so einem Fall das VLAN ja nur noch den sinn, dass das Broadcast nur noch in sein VLAN bleibt und nicht mehr das ganze Netz flutet - wobei es so nur recht wenig Broadcast im Netzwerk gibt (mit wireshark mal geprüft)
Mitglied: ITvortex
ITvortex 13.01.2020 um 09:12:21 Uhr
Goto Top
Du routest zwischen den VLANs die notwendig sind.

Any - Any rules sind damit nicht gemeint, das Protokoll und die IP für die Tätigkeiten die erledigt werden sollten.

Du brauchst zum Drucken ja auch nicht alle Ports offen haben etc.
..
Mitglied: Assassin
Assassin 13.01.2020 um 17:56:21 Uhr
Goto Top
also ist das dann wirklich so wie man es auch am Router mit z.B. einem Portforwarding einstellt - man gibt die Ports an die durch dürfen für ganze netze oder einzelen IP Adressen, oder?
Ich glaube da werden wir nie fertig mit konfigurieren...da wirds wohl bei den Subnetzen bleiben. Jedes gerät hat eine Feste IP Adresse, DHCP gibts nicht, zumindest noch in dem Netz...ein Gast VLAN netz mit aktiven DHCP gibt es, was auf bestimmte Ports rauskommt um über die WLAN APs mit zu gehen
Mitglied: ITvortex
ITvortex 14.01.2020 um 08:42:08 Uhr
Goto Top
Kannst du machen ja.

Die Ersteinrichtung ist natürlich etwas komplexer, das ist aber schnell erledigt, je nach dem ob ihr einen Netzwerkadmin habt oder nicht face-smile

bei 50 Clients fixe IPs?
Mitglied: Assassin
Assassin 14.01.2020 um 15:19:14 Uhr
Goto Top
die 50 Clients sind ja nur WLAN geräte :D
es gibt dann noch ca. 90 PCs und 70 andere Geräte die eine IP adresse haben...alle mit Fester IP adresse :D
Mitglied: ITvortex
ITvortex 14.01.2020 um 15:21:27 Uhr
Goto Top
Meine Empfehlung, überlegt euch ein Netzwerkdesign bzw. sucht euch Unterstützung. Bei 210 Clients (oder auch mehr?) sollte da eine saubere Lösung her.