Zum Inhalt springen

VLAN Verständnisfrage


mosQ

Empfohlene Beiträge

Moin IT'ler,

ich beschäftige mich gerade ein wenig mit VLANs (hatte auch schon praktisch damit zu tun- aber die Theorie bisher eher vernachlässigt).

Ich habe allerdings noch ein paar Verständnisprobleme:

- Wo liegt jetzt genau der Unterschied zwischen VLANS und Subnetzen? Ok, bei VLANs teile ich den Adressbereich nicht weiter auf und bei VLANS werden auch keine Einstellungen am Client vorgenommen (sondern am Switch, entweder dynamisch oder statisch. Und dieser modifiziert dann die Ethernet Frames entsprechend).

- Gibt es Fälle, in denen Subnetze UND VLANs Sinn machen?

Ich könnte mir da jetzt vorstellen:

Gebäude 1 in Subnet 1.

Gebäude 2 in Subnet 2.

In jedem Subnet gibt es dann nochmal entsprechende VLANS für jede Abteilung.

- Die Clients (sprich, das Betriebssystem) bekommen von den VLANS ja nichts mit, oder?

Korrigiert mich bitte, falls ich irgendwo falsch liege.

Außerdem schon mal danke für die Aufklärung.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Sers,

Unterschied VLAN / Subnetz:

VLAN = Osi Layer 2

Subnetz = Osi Layer 3

Einmal trennst du also rein auf IP basis, die rechner können sich aber immer noch gegenseitig erreichen, wenn sie ein nicht ip protokoll verwenden.

Broadcastdomäne auf Layer 2 bleibt bei Subnetzen gleich

VLANs kannst du getagged oder ungetagged verwenden.

Dies bedeutet, dass die VLAN ID entweder dem Ethernetframe hinzugefügt wird oder eben nicht.

Wird getagged, muss die Netzwerkkarte des Clients dies unterstützen. Hier musst du dann auch zwingend angeben, welche VLAN ID der Client verwenden soll.

Bei ungetaggten Netzen bleibt für den Client alles gleich. Lediglich der Switch sortiert alles was ungetagged am Port ankommt in das entsprechende VLAN, welches dem Port zugeordnet wurde. Hierbei wird noch nicht getagged. Getagged wird erst, wenn der Frame über einen Link muss, das VLAN Tags vorsieht (sog. Trunk, der mehrere VLANs transportiert)

Fälle in denen Subnetz und VLAN Sinn machen:

Ja gibt es definitiv. Wenn du beispielsweise auf Layer 2 trennen willst, aber auf Layer 3 die Geräte sich dennoch unterhalten können sollen. In diesem Fall routest du von einem VLANs ins andere. Hierbei kann ein Multilayerswitch (der also Routing in Hardware macht) das Gateway sein. Dieser muss dann natürlich in den entsprechenden VLANs eine IP haben, damit er auch Router spielen kann ;)

Die Clients bekommen u.U. von den VLANs etwas mit. Das hängt wie schon geschrieben davon ab, ob du mit getaggten oder ungetaggten VLANs in Richtung Client arbeitest / arbeiten willst / arbeiten musst.

Gruss

dgr

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 Wochen später...

Hallo,

ich habe mich mit meiner Abschlussarbiet damit intensiv beschäftigt.

Der Sinn hinter VLAN und Subnetting ist ähnlich, beides dient um den Broadcast Verkehr zu verringern und zu segmentieren.

Allerdings ist man beim Subnetting auf ein Netz aungewiesen.

Bei VLANs kann man irgendwelche netze dann vergeben, also einmal 192.168.0.x, dann 172.16.x.x oder auch 10.x.x.x volkommen egal!!

Bei VLAN wird das Netz durch den Switch geändert somit kann man niemals in irgnedwelche anderen netze sehen oder wechseln als Client

Bei Subnetting könnte man sich einfach selbst eine andere IP-Adresse geben und schon ist man im anderen Netz!!!

Beispiel:

Gebäude 1/VLAN 1

LAN-Geschäftsleitung

Gebäude 2/VLAN 2

LAN-Verkauf

Wenn jetzt der Verkauf Chef umzieht von Gebäude 1 auf 2, um seinen mitarbeitern näher zu sein. müsste man für ihn einen eigenen Switch hinbauen mit einer eigenen Verkabelung damit das ganze in das Gebäude 1 dann kommt.

Mit VLAN kann man den Switch einfach anweisen das dieser Port nun nicht mehr im VLAN 2 hängt sonder im VLAN 1. fertig.

Drei verschiedene Port kann man bei VLAn einstellen:

Am Switch jeweils...

...tagged-port = Das VLAN Tag wird bis zum PC dieser PC muss damit umgehen können und es verstehen ansonste verwirft er das paket, das muss einmal die netzwerkkarte können und der treiber für das betriebssystem natürlich auch!

...untagged-port = der vlan inhalt wird bevor er aus dem Switchport, der zum PC geht, entfernt und ein ganz gewöhnliches Frame wird übertragen.

...trunk-port = man könnte sagen es ist der uplink port, dieser Port kann alle VLAN übertragen und zusätzliche ein untagged VLAN (meist management)!

Lg Max

Link zu diesem Kommentar
Auf anderen Seiten teilen

Grundsätzlich schließe ich mich hier die Informationen von "dgr243" und "ITse-passt" korrekterweise an, aber auf der anderen Seite gilt es hier noch auf zusätzliche Security-Aspekte zu achten.

In meiner bisherigen Tätigkeit wollte ich nicht das ein Client u./o. Server-Anschluß selbst aufgrund der Konfig entscheidet mit welchem VLAN

dieser spricht - schon gar nicht ein Server in einer DMZ.

Es ist also zu empfehlen, dass ein Endgeräteanschluß in einem Netz dedizierte

Port-Konfigs hat, es hilft außerdem noch zur besseren Strukturierung des Netzes.

Natürlich ist dieser Punkt aufgrund der Notwendigkeiten und Anforderungen zu entscheiden, allerdings geht man damit in mehreren Fällen ein Risiko ein.

HTH

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ausnahmen bilden dann halt Geräte welche in verschiedenen VLANs arbeiten müssen. Beispielsweise Firewalls die mit nur einem Interface per 802.1q angebunden werden ;)

Yep, wird halt nicht die performanteste Lösung sein und auf dem 1Q-Trunk sollten nur die wirklich benötigten VLAN-IDs berechtigt sein.

Link zu diesem Kommentar
Auf anderen Seiten teilen

dann schau dir mal die großen netscreens an zum beispiel ;)

2 stück clustern und schon machen die dinger richtig was weg :)

dass natürlich nur die vlans zur fw gehen die da was zu suchen haben is eh klar..

weiteren einsatzzweck der mir noch einfällt: virtuelle maschinen die sich die netzwerkkarte des hosts teilen müssen, aber in verschiedenen netzwerken residieren sollen

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...