mosQ Geschrieben 3. Juni 2008 Geschrieben 3. Juni 2008 Moin IT'ler, ich beschäftige mich gerade ein wenig mit VLANs (hatte auch schon praktisch damit zu tun- aber die Theorie bisher eher vernachlässigt). Ich habe allerdings noch ein paar Verständnisprobleme: - Wo liegt jetzt genau der Unterschied zwischen VLANS und Subnetzen? Ok, bei VLANs teile ich den Adressbereich nicht weiter auf und bei VLANS werden auch keine Einstellungen am Client vorgenommen (sondern am Switch, entweder dynamisch oder statisch. Und dieser modifiziert dann die Ethernet Frames entsprechend). - Gibt es Fälle, in denen Subnetze UND VLANs Sinn machen? Ich könnte mir da jetzt vorstellen: Gebäude 1 in Subnet 1. Gebäude 2 in Subnet 2. In jedem Subnet gibt es dann nochmal entsprechende VLANS für jede Abteilung. - Die Clients (sprich, das Betriebssystem) bekommen von den VLANS ja nichts mit, oder? Korrigiert mich bitte, falls ich irgendwo falsch liege. Außerdem schon mal danke für die Aufklärung. Zitieren
dgr243 Geschrieben 3. Juni 2008 Geschrieben 3. Juni 2008 Sers, Unterschied VLAN / Subnetz: VLAN = Osi Layer 2 Subnetz = Osi Layer 3 Einmal trennst du also rein auf IP basis, die rechner können sich aber immer noch gegenseitig erreichen, wenn sie ein nicht ip protokoll verwenden. Broadcastdomäne auf Layer 2 bleibt bei Subnetzen gleich VLANs kannst du getagged oder ungetagged verwenden. Dies bedeutet, dass die VLAN ID entweder dem Ethernetframe hinzugefügt wird oder eben nicht. Wird getagged, muss die Netzwerkkarte des Clients dies unterstützen. Hier musst du dann auch zwingend angeben, welche VLAN ID der Client verwenden soll. Bei ungetaggten Netzen bleibt für den Client alles gleich. Lediglich der Switch sortiert alles was ungetagged am Port ankommt in das entsprechende VLAN, welches dem Port zugeordnet wurde. Hierbei wird noch nicht getagged. Getagged wird erst, wenn der Frame über einen Link muss, das VLAN Tags vorsieht (sog. Trunk, der mehrere VLANs transportiert) Fälle in denen Subnetz und VLAN Sinn machen: Ja gibt es definitiv. Wenn du beispielsweise auf Layer 2 trennen willst, aber auf Layer 3 die Geräte sich dennoch unterhalten können sollen. In diesem Fall routest du von einem VLANs ins andere. Hierbei kann ein Multilayerswitch (der also Routing in Hardware macht) das Gateway sein. Dieser muss dann natürlich in den entsprechenden VLANs eine IP haben, damit er auch Router spielen kann Die Clients bekommen u.U. von den VLANs etwas mit. Das hängt wie schon geschrieben davon ab, ob du mit getaggten oder ungetaggten VLANs in Richtung Client arbeitest / arbeiten willst / arbeiten musst. Gruss dgr Zitieren
ITse-passt Geschrieben 12. Juni 2008 Geschrieben 12. Juni 2008 Hallo, ich habe mich mit meiner Abschlussarbiet damit intensiv beschäftigt. Der Sinn hinter VLAN und Subnetting ist ähnlich, beides dient um den Broadcast Verkehr zu verringern und zu segmentieren. Allerdings ist man beim Subnetting auf ein Netz aungewiesen. Bei VLANs kann man irgendwelche netze dann vergeben, also einmal 192.168.0.x, dann 172.16.x.x oder auch 10.x.x.x volkommen egal!! Bei VLAN wird das Netz durch den Switch geändert somit kann man niemals in irgnedwelche anderen netze sehen oder wechseln als Client Bei Subnetting könnte man sich einfach selbst eine andere IP-Adresse geben und schon ist man im anderen Netz!!! Beispiel: Gebäude 1/VLAN 1 LAN-Geschäftsleitung Gebäude 2/VLAN 2 LAN-Verkauf Wenn jetzt der Verkauf Chef umzieht von Gebäude 1 auf 2, um seinen mitarbeitern näher zu sein. müsste man für ihn einen eigenen Switch hinbauen mit einer eigenen Verkabelung damit das ganze in das Gebäude 1 dann kommt. Mit VLAN kann man den Switch einfach anweisen das dieser Port nun nicht mehr im VLAN 2 hängt sonder im VLAN 1. fertig. Drei verschiedene Port kann man bei VLAn einstellen: Am Switch jeweils... ...tagged-port = Das VLAN Tag wird bis zum PC dieser PC muss damit umgehen können und es verstehen ansonste verwirft er das paket, das muss einmal die netzwerkkarte können und der treiber für das betriebssystem natürlich auch! ...untagged-port = der vlan inhalt wird bevor er aus dem Switchport, der zum PC geht, entfernt und ein ganz gewöhnliches Frame wird übertragen. ...trunk-port = man könnte sagen es ist der uplink port, dieser Port kann alle VLAN übertragen und zusätzliche ein untagged VLAN (meist management)! Lg Max Zitieren
another1 Geschrieben 18. Juni 2008 Geschrieben 18. Juni 2008 Grundsätzlich schließe ich mich hier die Informationen von "dgr243" und "ITse-passt" korrekterweise an, aber auf der anderen Seite gilt es hier noch auf zusätzliche Security-Aspekte zu achten. In meiner bisherigen Tätigkeit wollte ich nicht das ein Client u./o. Server-Anschluß selbst aufgrund der Konfig entscheidet mit welchem VLAN dieser spricht - schon gar nicht ein Server in einer DMZ. Es ist also zu empfehlen, dass ein Endgeräteanschluß in einem Netz dedizierte Port-Konfigs hat, es hilft außerdem noch zur besseren Strukturierung des Netzes. Natürlich ist dieser Punkt aufgrund der Notwendigkeiten und Anforderungen zu entscheiden, allerdings geht man damit in mehreren Fällen ein Risiko ein. HTH Zitieren
dgr243 Geschrieben 20. Juni 2008 Geschrieben 20. Juni 2008 Für "normale" Clients und Server sehe ich das ein. Da ist ein Accessport ohne 802.1q die beste Wahl. Ausnahmen bilden dann halt Geräte welche in verschiedenen VLANs arbeiten müssen. Beispielsweise Firewalls die mit nur einem Interface per 802.1q angebunden werden Zitieren
another1 Geschrieben 20. Juni 2008 Geschrieben 20. Juni 2008 Ausnahmen bilden dann halt Geräte welche in verschiedenen VLANs arbeiten müssen. Beispielsweise Firewalls die mit nur einem Interface per 802.1q angebunden werden Yep, wird halt nicht die performanteste Lösung sein und auf dem 1Q-Trunk sollten nur die wirklich benötigten VLAN-IDs berechtigt sein. Zitieren
dgr243 Geschrieben 22. Juni 2008 Geschrieben 22. Juni 2008 dann schau dir mal die großen netscreens an zum beispiel 2 stück clustern und schon machen die dinger richtig was weg dass natürlich nur die vlans zur fw gehen die da was zu suchen haben is eh klar.. weiteren einsatzzweck der mir noch einfällt: virtuelle maschinen die sich die netzwerkkarte des hosts teilen müssen, aber in verschiedenen netzwerken residieren sollen Zitieren
another1 Geschrieben 22. Juni 2008 Geschrieben 22. Juni 2008 stimmt - allerdings nicht innerhalb der DMZ. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.