Ankündigung

Einklappen
Keine Ankündigung bisher.

Verständnisfrage Anschluss Switch mit VLAN an Router

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    [Netzwerk] Verständnisfrage Anschluss Switch mit VLAN an Router

    Hallo Zusammen

    Ich bin gerade dabei bei mir VLAN einzurichten und mein Verständnis dafür aufzubauen. Ich habe ein Fritzbox als Router und 3 managed Switch von Zyxel. Meine Frage ist nun, wie ich die Geräte verbinde, damit ich bezüglich VLAN am besten fahre.

    1. Switch einfach beliebig kaskadierun und 1 Switch an den Router (Fritzbox)
    2. Alle 3 Switch über LAN Kabel an den Router
    3. Es ist völlig egal, Version 1 und 2 möglich.

    Danke für kurze Info

    Markus
    Stichworte: -
    #2
    Alle 3 Switche kaskadieren, und den ersten an die Fritzbox. Den VLAN Port der an die FB geht, als untaggt VLAN(x) einstellen.

    Kommentar

      #3
      Wie immer kommt es darauf an was du machen möchtest …?

      Möchtest du mehrere VLANs oder zum LAN ein ein zweites Netz (VLAN) ?

      Soll der VLAN für sich als eine Art „Blase“ dahin werken, komplett vom LAN getrennt wo nur die darin angeschlossenen Server/Clients untereinander kommunizieren oder soll es doch möglich sein dass das eine oder andere Gerät aus dem LAN mit dem VLAN kommuniziert - zB der Laptop mit der ETS im LAN (falls es ein Laptop ist der auch sonst außerhalb von KNX verwendet wird) mit dem KNXnet/IP-Router/Schnittstelle in VLAN (zB VLAN10_KNX) ?
      Danke und LG, Dariusz
      GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

      Kommentar

        #4
        Das geht doch genauso in der von mir beschriebenen Konfiguration!

        Kommentar

          #5
          Solange du mit voneinander getrennten VLANs arbeiten möchtest, ist UNTAGGED die sicherere Lösung, da hier keine VLAN-Information mit in das IP-Paket integriert wird. Solltest du aber zwischen den VLANs bestimmte Kommunikation zulassen wollen oder müssen, dann wirst du aber auch mit TAGGED arbeiten müssen damit das Gateway (Router/Firewall/L3) diese Aufgabe auch erfüllen kann - das kann etwas verwirrend sein wenn man nicht täglich damit zu tun hat - ging mir so vor ein paar Wochen als mein Switch auf Werkeinstellungen gesetzt werden musste :-(

          KNXMane Hier noch ein paar Grundlagen …

          https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

          https://www.administrator.de/wissen/...rn-110259.html

          http://www.heise.de/netze/artikel/Cui-bono-224000.html

          http://www.schulnetz.info/vlan-teil3...ng-isa-server/
          Zuletzt geändert von coliflower; 01.10.2016, 13:13.
          Danke und LG, Dariusz
          GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

          Kommentar

            #6
            Hallo

            Danke. Also Wie ich die Switch anschließe scheint also egal. Momentan ist es so wie vento beschrieben hat. Ich möchte Im Prinzip mit dem VLAN mehrer Dinge erreichen. Zum einen die Datenlast reduzieren (IP Telefon seperat). Dann möchte ich meine CAM's in ein VLAN packen, diese sollen aber auf der Visu und per VPN von außen sichtbar sein. Das sind meine Anforderungen. Wenn es hier noch Tipps gibt, bitte gerne.

            Markus

            Kommentar

              #7
              Hallo

              Danke für die Links, teilweise schon bekannt. Irgendwie blicke ich aber immer noch nicht durch mit den VLAN's. Ich möchte zum Beispiel alle meine Hikvisions, die an einen PoE Switch hängen, in ein Vlan. Also packe ich dieses beispielsweise in 1. Nun ist es aber so, dass ich die Kameras natürlich auch in der Visu sehen will, die an einem anderen Switch hängt. Also:
              - Hikvision Switch 1 ind VLAN 1
              - Verbindungsport Switch 1 und 2 jeweils auch VLAN 1
              - Port wo die Visu hängt, VLAN 1.
              Was aber wenn die Visu nun noch auf das Internet zugreifen soll?

              Irgendwie erschließt sich mir das ganze noch nicht. Ich packe einzelne Geräte in ein Vlan, und kann dadurch nicht mehr auf andere zugreifen. Es sei denn, ich öffne deren Port für das gleiche Vlan. Wenn ich das immer weitere mach, ist doch alles wieder irgendwie untereinander offen oder?

              Irgendwie hab ich ein Knoten im Hirn.

              Markus

              Kommentar

                #8
                Erstmal ist VLAN 1 eigentlich tabu, da es eigentlich das Management VLAN ist. Einige Geräte verhalten sich da evtl. komisch. Jetzt brauchst Du eine Firewall, oder ähnliches die dir deine Visu in das Vlan "Cam" und in das VLAN "Internet" routet, aber für alle anderen Teilnehmern diesen Weg sperrt.

                Kommentar

                  #9
                  Wie es Micha schon geschrieben hat, du brauchst jetzt ein Layer 3 (Router, Firewall) die zwischen den VLANs routet, d.h., die zwischen den VLANs vermittelt, die Kommunikation erlaubt oder verbietet ...

                  Das könnte z.B. so aussehen …
                  In der Firewall muss du auch die gleichen VLANs anlegen die du in deinem Switch Layer 2 auch angelegt hast (hier ist VLAN1 das LAN).

                  Bildschirmfoto 2016-10-04 um 21.59.46.png

                  Danach muss du über Regeln die Kommunikation zwischen den VLANs erlauben / verbieten - hier ein Beispiel …
                  (noch ohne, dass ich mit dem Pad auf KNX zugreifen kann, da ich noch keine VISU habe ;-)

                  Bildschirmfoto 2016-10-04 um 22.00.59.png


                  Danke und LG, Dariusz
                  GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

                  Kommentar

                    #10
                    VLANs bieten keine Sicherheit sondern sind zum abtrennen von Netzen. Z.B. Um Traffic zu trennen. Die Sicherheit ist dann die Aufgabe der Firewall/Routers der dir die VLANs und IP Bereiche wieder verknüpft. Mit der Firewall kannst Du dann explizit Ports/Protokolle zulassen oder blockieren. VLANs selber sind nur wie mehrere getrennte LANs. Sobald du auf einem Port mehr wie ein VLAN hat musst du "tagged" nehmen, ansonsten geht untagged. Der Switch muss bei mehrere VLANs auf einem Port den Paketen mitteilen zu welchem VLAN diese gehören.
                    Wenn dein POE Switch nicht VLAN fähig ist muss der Port an dem der POE Switch angeschlossen ist ein VLAN verpasst bekommen. Ein Port der zu deiner Firewall geht muss ebenfalls dieses VLAN bekommen. Deine Firewall muss dann mit einem Interface auf dieses VLAN Konfiguriert werden.
                    VLAN 1 solltest Du wie erwähnt nicht nehmen.
                    Deine Uplinks zwischen den Switchen sollten je nach Konfiguration alle vorhandenen VLANs führen.
                    Ohne eine Firewall macht das eigentlich wenig bis keinen Sinn.

                    Kommentar

                      #11
                      Danke für die Infos. Mein POE Switch ist auch VLAN fähig. Sind alle aus der Zyxel GS-1900 Reihe.

                      Frage: Was sind den günstige Firewalls bzw. Layer 3 Geräte? Lohnt der Aufwand?

                      Markus

                      Kommentar

                        #12
                        Gratis gibt es z.B. etwas von SOPHOS oder pfSense ...
                        Du brauchst nur eine Hardware kaufen - z.B. APU2c4 ...
                        Danke und LG, Dariusz
                        GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

                        Kommentar

                          #13
                          Zitat von KNXMane Beitrag anzeigen
                          Danke für die Infos. Mein POE Switch ist auch VLAN fähig. Sind alle aus der Zyxel GS-1900 Reihe.

                          Frage: Was sind den günstige Firewalls bzw. Layer 3 Geräte? Lohnt der Aufwand?

                          Markus
                          IMHO:
                          ein günstiger Router (z.B. TP-Link), darauf dann ein OpenWRT. Routing/Firewall dann mit den Linux-Bordmitteln (iptables etc..)
                          OpenKNX www.openknx.de | NanoBCU und OpenKNX-HW verfügbar

                          Kommentar

                            #14
                            Hast Du irgendeine Hardware die immer läuft? Windows System, ESX?
                            Die Sophos kann ich auch empfehlen

                            Kommentar

                            Vorherige template Weiter
                            Lädt...
                            X

                            Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                            Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                            Ich stimme zu