kr1slxxv
Goto Top

Telefonanlage VLAN - Netzwerk Konfiguration

Hallo in die Runde,
Ich habe eine Frage bezüglich VLAN bzw. Netzwerk Konfiguration.
Ich habe einen DHCP Server (Windows Server 2012) im Einsatz der folgende Bereich eingestellt hat 192.168.0.0 / 22

Alle Clients bekommen eine IP 192.168.0.x die automatisch vergeben wird.
Alle Server und Drucker, Switche haben eine statische IP im Bereich 192.168.1.x
Unsere Kameras haben ebenfalls statische IPs im Bereich 192.168.2.x
Jetzt kam die VOIP Anlage dazu, hier bekommen alle Telefone und DECT Stationen per Reservierung eine 192.168.3.x zugewiesen.

Wir nutzen ausschließlich D-Link Switche und zwar aus der Serie DGS1210-52 das sind wohl Layer2 Switche mit Sicherheits-Layer3 Fähigkeiten.

Jetzt sagt unser TK-Anlagen Dienstleister um die Sicherheit der Telefonanlage zu erhöhen soll ich ein VLAN einrichten wo die TK-Anlage und die Telefone drin sind.

Meine Frage ist wie gehe ich da am besten vor? In der Theorie habe ich VLAN Basiswissen und hab das auch schon im Kleinen für ein Unifi Netzwerk erstellt.

Muss ich am DHCP Server einen neuen Bereich erstellen, und diesem eine VLAN ID zuzuweisen? Oder kann ich auch im dem schon vorhanden Bereich einfach den 192.168.3.x teil eine VLAN ID zuweisen?
Das VLAN in den Switchen und in der Firewall einzutragen da sehe ich jetzt erst mal kein Problem.

Oder welche Möglichkeiten habe ich noch? Evtl. habt ihr noch Ideen für einen ganz anderen Ansatz.
Vielen Dank an euch.

Content-Key: 659293

Url: https://administrator.de/contentid/659293

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 05.03.2021 aktualisiert um 10:35:47 Uhr
Goto Top
Jetzt sagt unser TK-Anlagen Dienstleister um die Sicherheit der Telefonanlage zu erhöhen soll ich ein VLAN einrichten wo die TK-Anlage und die Telefone drin sind.
Da hat er absolut Recht. Allein auch schon aus rechtlichen Gründen sollte man in der Firma den Voice Traffic immer vom Produktivtraffic abtrennen. Jeder kann sonst mit einem simplen Wireshark Trace alle Gespräche im Firmennetz mithören was die Firma rechtlich angreifbar macht. (Fernmeldegeheimnis)
Der zweite Grund ist das Netzwerk technisch Layer 2 Broadcast Domains niemals größer als 150 Engeräte sein sollten um Netzsegmente performant zu halten von der Broad- und Multicast Last. Eine alte goldenen Netzwerker Daumenregel die jeder kennt. Mit vielen Voice Endgeräten kommt man dann ggf. in Probleme. Alles triftige Gründe also die also richtigerweise dafür sprechen.
In der Theorie habe ich VLAN Basiswissen
Perfekt ! Dann konfigurierst du einfach ein zusätzliches VLAN auf deinen D-Link Teilen, taggst das Voice VLAN auf den Switch Uplink Ports um es an alle Switches zu bringen und weist die Endgeräte Ports untagged dem VLAN an den Switches zu, fertisch. Simpler Klassiker in sauber segmentierten Netzen.
Hat auch noch den Vorteil das man den Telefonen dann gleich automatisch LLDP Infos zur QoS Priorisierung usw. zukommen lassen kann. Siehe zum Thema QoS und Voice auch hier.
Muss ich am DHCP Server einen neuen Bereich erstellen, und diesem eine VLAN ID zuzuweisen?
Ja, einfach einen neuen Scope dort eintragen um am VLAN Router oder Layer 3 Core Switch DHCP Relay konfigurieren, fertisch.
Je nach Switchanzahl ist das in 15-20 Minuten erledigt und du hast dein Voice Netz. Wie man es Layer 3 technisch mit anderen VLAN Segmenten kommunizieren lässt steht hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder mit einem Layer 3 Switch Design hier:
Verständnissproblem Routing mit SG300-28
Alles kein Hexenwerk und schnell und unkompliziert einzurichten.. face-wink
Mitglied: Kr1sLXXV
Kr1sLXXV 05.03.2021 um 11:04:10 Uhr
Goto Top
Hallo aqui, vielen Dank für die Informationen

Perfekt ! Dann konfigurierst du einfach ein zusätzliches VLAN auf deinen D-Link Teilen, taggst das Voice VLAN auf den Switch Uplink Ports um es an alle Switches zu bringen und weist die Endgeräte Ports untagged dem VLAN an den Switches zu, fertisch. Simpler Klassiker in sauber segmentierten Netzen.
Genau das habe ich mir schon angeschaut und auch verstanden und bekomme es wohl auch hin.

Ja, einfach einen neuen Scope dort eintragen um am VLAN Router oder Layer 3 Core Switch DHCP Relay konfigurieren, fertisch.
Und hier ist mein Verständniss Problem, also ich trage im DHCP Server einen neuen Bereich (Scope) ein.
Woher weiß der DHCP Server das dies ein Telefon ist und gibt ihm dann diese IP? Ist dafür das DHCP Relay? Einen VLAN Router habe ich nicht im Einsatz, also muss ich das auf einem Switch konfigurieren.
Ich habe mal nachgeschaut, im Switch gibt es ein Punkt DHCP-Relay.
Also würde dieser Switch dann die Pakete die ankommen weiterleiten.
Nun noch folgende Frage: Unsere Client-PC sind direkt am Telefon angeschlossen, wenn ich den Ports wo die Telefone angeschlossen sind jetzt einer VLAN ID zuweise, mit der IP des neuen Bereichs, kommen die Clients dann trotzdem noch ins Netzwerk?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.03.2021 um 11:34:28 Uhr
Goto Top
Moin,

Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?

Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.

zur Vorgehensweise:

  • Du nimmst einen VLAN-fähigen L3-switch und machst deine 4 VLANS.
  • Du stellst im switch ein, wer mit wem kommunizieren darf.
  • Du aktivierst den DHCP-Proxy auf dem switch
  • Du stellst deine Netz von der Netzmaske /22 auf /24 um.

lks
Mitglied: Kr1sLXXV
Kr1sLXXV 05.03.2021 um 11:58:49 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?

Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.

zur Vorgehensweise:

  • Du nimmst einen VLAN-fähigen L3-switch und machst deine 4 VLANS.
  • Du stellst im switch ein, wer mit wem kommunizieren darf.
  • Du aktivierst den DHCP-Proxy auf dem switch
  • Du stellst deine Netz von der Netzmaske /22 auf /24 um.

lks
Hallo, vielen Dank für deine Antwort
umsomehr ich mich in das Thema einlese hatte ich genau den selben Gedanken.
Ich scheue mich aber ein wenig vor der ganzen Arbeit. Und da ja im Prinzip sowieso alle Geräte miteinander kommunizieren darf dachte ich mir es geht evtl schneller und einfacher wenn ich einfach nru 1 VLAN für alles Bereich 192.168.0.0 /22 und 1 VLAN für Telefonie 192.168.0.5 /24 mache.
Ich frage mich da bloß ob ich Probleme mit Clients bekomme die am gleichen Port wie das Telefon ist.
gruß
Mitglied: fredmy
fredmy 05.03.2021 um 14:19:40 Uhr
Goto Top
Hallo,
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.

Ganz am Rande - 192.168.0.x ?? Nie mehr VPN-Geräte anschließen aus dem Home Office face-wink
Denke da mal an eventuelles Routing von "Heimgeräten" o.ä.
Die ersten zehn Netze werden AFIK gern von Providergeräten benutzt - also wenn du schon umstellst...!

Fred
Mitglied: Kr1sLXXV
Kr1sLXXV 05.03.2021 um 14:29:17 Uhr
Goto Top
Zitat von @fredmy:

Hallo,
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.

Hallo, danke für deine Antwort.

Die Telefone beinhalten automatisch einen kleinen Switch, es ist nicht möglich an einigen Arbeitsplätzen ein weiteres LAN Kabel zu verlegen.
Deshalb schliße ich das Telefon per LAN mit POE an und vom Telefon dann ein LAN Kabel zum Client.
Mitglied: fredmy
fredmy 05.03.2021 um 16:06:36 Uhr
Goto Top
Zitat von @Kr1sLXXV:

Die Telefone beinhalten automatisch einen kleinen Switch, es ist nicht möglich an einigen Arbeitsplätzen ein weiteres LAN Kabel zu verlegen.
Deshalb schliße ich das Telefon per LAN mit POE an und vom Telefon dann ein LAN Kabel zum Client.
Hallo,
Hauptfrage ignoriert face-wink

Falls dein Telefon kein VLAN kann hat sich deine Anfangsfrage doch fast erledigt!
(wer baut denn so, dass nur ein LAN Anschluß am Arbeitsplatz ist ?)

l.g.
Fed
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.03.2021 um 16:18:37 Uhr
Goto Top
Zitat von @fredmy:

(wer baut denn so, dass nur ein LAN Anschluß am Arbeitsplatz ist ?)

Das sind normalerweise "historische bedingte Einschränkungen", d.h. die Leute haben damals nciht einsehen wollen, daß man deutlich über bedarf verkabeln sollte.

Ich habe um die Jahrtausendwende einem Kunden beim Neubau geraten, für jeden potentiellen Arbeitplatz im Büro zwei Doppeldosen zu legen (PC, Drucker, Telefon, Reserve). Da hieß es Nee, so schlimm wird es schon nicht werden. Eine Doppeldose pro Arbeitsplatz plus eine Doppeldose für einen Drucker im Büro muß reichen. (bei gut 50 Büros mit mindestens 3 potentiellen Arbeitssplätzen ging damals das schon ins Geld, wenn man alles "ordentlich" plante.)

Kaum ein Jahr später wurde es in manchen Büros "zu eng" und die vermaledeiten Desktopswitche (5 oder 8-Port) vermehrten sich wie die Karnickel.

Das Problem ist, daß man da nachträglich nicht mehr viel ändern kann, ohne nochmal viel Geld in die Hand zu nehmen.


lks
lks
Mitglied: Fabezz
Fabezz 05.03.2021 um 18:55:21 Uhr
Goto Top
Hi,
mach's einfach einmal richtig und segmentiere jedes Netz mit VLANs.
Das macht zum einen die Arbeit später einfacher, zum anderen die Sicherheit größer.
Nicht nur eine Telefonanlage kann ein Risiko darstellen. Drucker zum Beispiel auch.
Für kleines Geld kannst noch ne Firewall Alla pfSense oder ähnliches hinstellen und dann bist sicher.

Gruß
Mitglied: Kr1sLXXV
Kr1sLXXV 08.03.2021 um 09:11:05 Uhr
Goto Top
Vielen Dank euch allen,
für die vielen hilfreichen Tipps.
Ich konnte mir so einen Gesamtüberblick machen und konnte einiges mitnehmen.
Mein nächster Schritt ist ein Testaufbau und dann die Umstellung unserer Netzwerkstruktur.
Allen noch eine schöne Woche