Hallo fasi, erstmal danke für die Zeit die du dir dafür nimmst und Erklärungen hierzu schreibst.
Sehr informativ das Ganze!

Danke das ist mir klar, ich habe mich hier mit dem falschen Wort "Inter VLAN-Routing" ausgedrückt.
Inter VLAN-Routing ist natürlich das Routen zwischen den verschiedenen Subnetzen auf OSI-Layer 3 und nur dafür sollte der Begriff verwendet werden

Ich meinte dabei Folgendes:

Angenommener Netzwerkaufbau:

Unifi Security Gateway: Router mit integrierter Firewall
Unifi Switch 24: Managebarer Layer 2-Switch mit 24-Ports und derzeit noch keiner L3-Unterstützung (kommt vlt. in der Zukunft laut Hersteller).

Ich pack jetzt mal meine besten Paint-Skills raus und mache eine Übersicht
Unbenannt.png






Sagen wir PC 1 ist in VLAN 10 mit Subnetz 192.168.10.0/24 und PC 2 ist in VLAN 20 mit Subnetz 192.168.20.0/24.
Wenn die beiden miteinander kommunizieren wollen, dann muss das über den Router gehen, weil nur eben der Layer 3 kann und die Kommunikation aufgrund der unterschiedlichen Subnetze geroutet werden muss. (Switch sind ja Layer 2).
=> Siehe am Bild die rote Linie.
Unbenannt router.png






Meine Frage ist nun, ob eine Kommunikation auch über den Router laufen würde, wenn beide PC's im gleichen VLAN 10 und gleichem Subnetz 192.168.10.0/24 sind
oder ob diese direkt von Port 10 auf Port 11 geht (siehe Bild).
Unbenannt inter.png

Meine Gedanken dazu sind folgende:

-) Bei den Ports am Switch kann das gewünschte VLAN eingestellt werden (oder Trunk, usw.).
Dadurch ist der Switch fähig, VLAN-Tags an und abzuhängen.

-) Wenn PC 1 ein Paket schickt, dann wird am Port 10 das VLAN-Tag 10 angehängt.

-) Jetzt ist meine Frage, ob das Paket zuerst zum Router geht oder ob der Switch das Paket direkt zum Port 11 weiterleitet.

Da bei den Unifi-Geräten alles über einen eigenen Controller gesteuert wird und dieser dann die einzelnen Geräte konfiguriert, denke ich das alles vorher über den Router läuft, sobald man VLAN's und eigene Subnetze hat (zwecks Routing und Firewall).

Wenn der Switch alleine verwendet wird (also ohne Router), dann muss er ja so her auch funktionieren, und das meinte ich dann, dass der Switch direkt zwischen seinen Ports verbinden kann, wenn kein VLAN ausgewählt ist (und im Hintergrund dann VLAN 1 genommen wird).

Ich glaube, dass das eher eine Unifi-spezifische Frage ist und das meinte ich, dass ich das mal praktisch ausprobieren muss.
Aber ich kann mich auch irren und würde mich gerne eines Besseren belehren lassen.

Danke

Danke für die Blumen ... sagen wir mal, es ist das was ich hier beitragen (und somit dem Forum zurückgeben) kann, denn beim Thema KNX sind andere die Spezialisten ... ich mache diesen Quatsch eben seit knapp 20 Jahren beruflich ...

Basierend auf deinen Zeichnungen (ich hasse nix mehr als solche Zeichnungen zu machen, da ich das eh schon den ganzen Tag machen muss):

Wenn Port 10&11 im selben VLAN sind, dann geht die Kommunikation direkt zwischen Endgeräten, so wie von dir im 3. Bild gezeichnet, ABER NUR, wenn die auch im selben Subnetz sind. Wenn die NICHT im selben Subnetz sind (also im VLAN 11 werdne die Subnetze 192.168.11.0/24 & 192.168.12.0/24 benutzt) dann können die NICHT direkt miteinander kommunizieren, obwohl der Switch die grundsätzliche Kommunikation ermöglichen würde. Deshalb muss man wirklich immer pro ISO/OSI-Layer denken ... das ist schwer, wenn man das nicht kennt, aber super simpel und verständlich, wenn man sich das Prinzip mal eingeprägt hat. Stell dir das wie eine Matrjoschka vor ... die kleinste im Inneren willst du von A->B transportieren und da die Geräte zwischendrin mit der kleinsten nix anfangen können, machen Sie halt eine andere drumherum, welche dann aber je nach Gerät wieder durch eine andere (äussere) ersetzt wird ...

Bei den Subnetzen warten dann übrigens noch weitere "Fallen", denn sogar 192.168.11.1 & 192.168.12.254 könnten im selben Subnetz sein, wenn man die Subnetz-Maske entsprechend gewählt hat (in dem Beispiel hier müsste die Maske aber sogar eine /21 sein ... cool gewählt , dann wäre das Subnetz 192.168.8.0/21 und da wären dann alle Adressen von 192.168.8.0 - 192.168.15.255 drin ... wenn ich mich nicht grade verrechnet habe )

VLAN-TAG's haben auf deinen blauen Linien nix zu suchen und auch der Switch wird intern keine TAG's verwenden, sondern der wird in seine MAC-Tabelle schauen und den Frame einfach auf dem anderen Port ausspucken ... fertig. Aber wenn die 2 PC's in verschiedenen Subnetzen sind, werden die einander nicht ohne Gateway finden, da Sie ihren Kommunikationspartner nicht in der ARP-Table haben und auch auf entsprechende ARP-Requests nicht reagieren, da "falsches" Subnetz. Auch da kann man wieder mit üblen Tricks arbeiten um das trotzdem möglich zu machen, aber das führt wieder zu weit.

VLAN-Tags kommen erst auf deinem grünen Pfad zum Einsatz und zwar wenn dort eben mehrere VLAN's in einem sog. Trunk zur Firewall geführt werden. Das TAG ist eine Erweiterung des Ethernet-Frames ... das wird aber nur gemacht, wenn es notwendig ist (also nicht zwischen Ports im selben VLAN)
Die Firewall hat dann mehrere (Sub-)Interfaces auf dem Link (eines pro VLAN) und mit Hilfe der TAG's kann die Firewall die Frames dem richtigen (Sub-)Interface zuordnen. Auf dem inbound Interface wird als erstes der gesamte L2-Header verworfen, also MAC-Adressen und TAG's usw. und dann bleibt das L3-Paket übrig. Das wirft der Router (in deinem Fall die Firewall) gegen die eigene Routing-Tabelle und schaut auf welchem Interface das Ziel (Destination IP) zu erreichen ist (das Thema Filter lassen wir an dieser Stelle mal gekonnt weg). Dort auf dem outbound Interface wird dann ein komplett neuer L2-Header jetzt mit dem anderen VLAN-Tag (und auch anderen MAC-Adressen gemäss ARP-Table) gebaut und dieser neue Frame (mit dem alten IP-Paket als Inhalt) dann dem Switch übergeben. Der schaut wiederum nur in seine MAC-Tabelle und schubst den Frame auf dem Ziel-Interface wieder raus ...
Der Spezial-Fall auf dem Port zur Firewall ist eben das native VLAN ... das ist jenes ohne TAG (oder eben auch mit TAG und VLAN-ID 0, je nachdem) ... aber auch dort weiss der Router (die Firewall) auf welchem Interface der Frame zu behandeln ist, weil es genau EIN Interface dafür gibt.

Ein reiner L2-Switch alleine kann nur die die Kommunikation zwischen verschiedenen Ports im GLEICHEN VLAN aber NIEMALS zwischen verschiedenen Subnetzen & VLAN's ermöglichen, da braucht es IMMER einen zusätzlichen Router ... in deinem Fall wäre die Firewall ja eh schon da ...

Der Controller ist meines Wissens nur für die Konfiguration da ... welche dann auf die entsprechenden Geräte gepuscht wird. Ich hoffe nicht, dass dort auch die ganzen Tabellen (MAC,ARP,Routing, ...) gehalten werden und die Geräte jedes mal den Controller fragen müssen, was Sie tun sollen ... das wäre ja super dämlich ... wenn das Teil ausfällt, dann geht garnix mehr ...

So Konstrukte gibt es auch im Profi-Bereich (und die kommen immer mehr), da es die einheitliche Konfiguration von vielen Geräten vereinfacht. Das Zeug macht aber aus einem Noob noch lange keinen Spezialisten. Schlimm genug dass heute schon Software-Schreiber und Server-Spezialisten Netzwerke konfigurieren sollen ... die meisten wissen gerade mal was eine IP-Adresse und ein Default-Gateway ist. Und wenn Sie dann alles verbastelt haben, schreien Sie rum dass das alles Sch... ist und dann darf der Netzwerk-Spezi den ganzen Sch... aufräumen ... ist das gleiche wie hier im Forum mit den Elektrikern und SI's ... jeder sollte die Schnittstellen kennen und auch ab dort die Arbeit dem jeweiligen Spezi überlassen ...

Gruss

efes

Ja weil die Route zum anderen Subnetz fehlt.

Ja, OSI-Modell mit seinen 7 Layern

Ja, Subnetting, wird aber im Privatgebrauch nicht wirklich benötigt (meiner Meinung nach).

Ein bisschen was weiß ich ja noch von der Schulzeit, habe dort die Cisco Curriculum CCNA-Prüfung gemacht, aber danke für die Info
Nur mit VLAN's hatte ich bisher noch nichts am Hut.


Das ist jetzt die Hauptfrage, beide Port 10 und 11 z.B. im VLAN 10 und im gleichen Subnetz.
Theoretisch nach OSI-Layer wird ja nur der Layer 2 im Switch angekratzt, da er ja ein Layer 2-Switch ist.
Wie du sagst müsste er ja in seiner Tabelle die richtige MAC vom anderen PC sehen und könnte das dann direkt weiterleiten.

Frage wegen dem so blöd, da ich nicht weiß, ob es da irgendwie eine Konstellation mit VLAN und den Unifi-Geräten gibt, wo das dann immer über das Gateway läuft.

192.168.8.1 - 192.168.15.255

Außer du zählst die Netzadresse dazu

Es gibt nicht sowas wie eine "Netzadresse". Das ist eine stinknormale IP wie jede andere - Probier's gerne aus! Ein IP-Subnetz definiert sich nur in Kombination mit einer Subnetzmaske.

Ja, da findet sich viel blabla dazu; Aber es ist nur gängige Praxis, die nicht zu verwenden. Technisch spricht absolut nichts dagegen.

Du hättest Dich lieber an der Broadcastadresse aufhängen sollen - Die sollte man wirklich nicht verwenden

Sorry, aber gerade im CCNA werden VLANs dermaßen breit getreten, da musst Du wohl mehrfach geschwänzt haben.

Nein 1-254! Die .255 ist ähnlich der .0 Adresse reserviert. Dabei ist die .255 die sogenannte Broadcastadresse! (Bei einer Subnetzmaske /24). Besser gesagt, in einem üblichen IPv4-Subnetz ist die erste und die letzte Adresse reserviert.

traxanos Nope, bei der .0 ist garnix reserviert. Wie gesagt, Versuch macht Kluch. Es kommt - Wie Du korrekt sagst - auf die zugehörige Subnetzmaske an.

Bsp.: 192.168.1.0/8 ist eine völlig valide Hostadresse - 192.168.1.0/24 aber nicht

Natürlich kann man die trotzdem verwenden, aber Sie ist und bleibt reserviert. Du kannst dir sogar die 255 geben und auch das würde klappen, trotzdem nutzt man diese nicht! Wird sogar gerne bei /31 gemacht, wobei das dann als PtP gilt.

Kleine Ergänzung: Ältere Betriebsysteme (eines bestimmten Herstellers...) haben sogar zusätzlich die .0 als Broadcastadresse genutzt.

Ich hatte ja geschrieben, dass ich das in der Schule gemacht habe, ist schon 15 Jahre her und seitdem nie VLAN irgendwo verwendet.



Weiß wer von euch was zu meiner Frage?

Äh ja also was Du beschreibst sollte so direkt über den Switch gehen, ohne geroutet werden zu müssen.

Eraser
Also technisch gesehen ist alles machbar, auch dass Unifi erstmal alle Frames/Pakete zu seinem Config-Teil schickt und dort weiter schaut ... ob das so ist und/oder Sinn macht, da mag ich mich nicht streiten ... ich würde sagen, nein, das Config-Teil ist zum konfigurieren und den Traffic sieht das Teil nachher nicht ... alles andere wäre Schwachsinnig ...

Also wie schon geschrieben mache ich das nun schon 'ne Weile. Das macht mich nicht automatisch zum Super-Guru, ich weiss nicht alles und das was ich weiss muss auch nicht richtig sein und ich übersehe Dinge ... das ist der Unterschied zwischen mir (einem Mensch) und einem Computer, der immer genau das macht, was man Ihm vorgegeben hat (und auch BUG's sind Vorgaben des Menschen, vllt. nicht gewollt, aber trotzdem durch einen Menschen so programmiert ... ganz im Gegensatz zur ursprünglichen Herkunft des Begriffes --> Google) ...

Mein CCNA liegt schon so weit zurück, dass ich wirklich keine Ahnung mehr habe, welche Themen damals durchgenommen wurden und schon garnicht, was im aktuellen Kurs drin ist ...

Bzgl. der IP-Adressen in einem Range:
Egal wie man ein Subnetz definiert, die untere und die obere IP-Adresse bleiben IP-Adressen, selbst wenn diese nun eine spezielle Bedeutung haben. Um in diesem Range 192.168.8.0-192.168.15.255 zu bleiben ... die 192.168.9.0 ist ja auch eine ganz normale IP-Adresse und wegen der grossen Subnetz-Definition nicht besonders reserviert. Die oberste und die unterste Adresse sind deswegen auch immer noch Adressen, nur kommt Ihnen eine besondere Bedeutung aufgrund der Subnetz-Definition zu ...

Die Tatsache das einige Implementationen des IP-Stacks es scheinbar zu(ge-)lassen (haben), dass die unterste (ebenso wie die oberste) Adresse eines Subnetz auf ein Interface konfiguriert und damit genutzt wird (werden konnte), zeigt nur, dass der Programmierer des Stacks sich unzureichend mit der Materie befasst hat ... nicht ist immer alles was möglich ist auch richtig. Ich kenne jedenfalls keine andere Definition (was wie geschrieben nichts heissen muss) und ich bin zu faul das entsprechende RFC zu suchen, wo diese Reservationen definiert werden. Jedes "normale" Netzwerk-Device wird die Konfiguration der untersten (und obersten) Adresse eines Subnetzes verweigern. Wie immer keine Regel ohne Ausnahme ... die Netzgrössen /31 (wie bereits richtig angemerkt Point-to-Point) & /32 (Loopback) ... dort bleibt ja nix anderes wie diese 2 respektive die 1 IP-Adresse(n). Allerdings wird es auf einem Gerät mit nur einer /32 Adresse ohne weiteres Interface schwer mit anderen zu kommunizieren

Die Tatsache dass ich zum Subnetz 192.168.8.0/21 den Adress-Bereich 192.168.8.0-192.168.15.255 angegeben habe, lässt nur darauf schliessen, dass ich trotzdem auch reservierte Adressen als vollwertige IP-Adressen ansehe ... alle IP-Adressen im Bereich 0.0.0.0-255.255.255.255 sind vollwertige IP(v4)-Adressen und ich kann in einem abgeschlossenen Bereich damit machen, was ich will. Will ich mit dem Rest der Welt kommunizieren, sollte ich mich eben an die dort geltenden Regeln halten, sonst klappt es halt nicht mit der Kommunikation.

Und "Subnetting" macht heutzutage quasi jeder ... die Zeiten der Klassendefinitionen A/B/C/D/E/F mit ihren "fix "angenommenen" Subnetzgrössen sind endgültig vorbei --> daher ist jedes Netz ein Subnetz von 0.0.0.0/0 ...

fasi

Das war ja bezogen auf das Beispiel...
Aber das mit der Broadcast stimmt natürlich

(Alles unter der Annahme, dass man es so macht wie man es normalerweise lernt ohne irgendwelche Spezialfälle und älteres Zeug )

Das denke ich mir auch

So geht es doch allen (den meisten)

Ich meinte mit Subnetting außerhalb des Bereichs /24.
Oder hat irgendwer von euch eine andere Subnet-Mask als 255.255.255.0 im Heimgebrauch? Wäre interessant wofür?

Ja, ich ... 2x /31 ... für die Alarm-Anlage und für den iKNiX Proserv ... beide direkt an der Firewall und mit mehr oder weniger aufwendigen Access-Rules. Warum? Weil ich es kann und eine ganz klare Abschottung haben will ...

Kannst jemand sagen, was hier der Unterschied ist?

Ich würde mir das so vorstellen:

-) /31 wäre eine "native" Abschottung direkt auf IP-Ebene
-) Port isolation ist eine Geräte-abhängige Funktion, wobei ich nicht weiß, was genau da im Hintergrund abläuft