Zum Inhalt springen

VLAN Crashkurs


Empfohlene Beiträge

Da wir das Thema noch nicht in der Schule hatten würd ich mich freuen wenn mir jmd hier für die BaWü Prüfung einen kleinen Crashkurs geben kann. Was ich bisher rausgefunden habe ist dass die Ports getrennt werden sodass logische Netze entstehen. D.h man braucht nur 1 Kabel (Trunkport) um mehrere getrennte Netze zu verbinden. ABer was Tagging usw anbelangt versteh ich nur Bahnhof . Bei Tagging wird irgendwas beim Header zusätzlich reingeschrieben (Portnummer)? Warum muss das gemacht werden?

Und ohne Router können die nicht kommunizieren, dachte ich...aber die haben jetzt unten nen Switch stehen?

LG

Geht vor allem um die Aufgabe

3c9e365c3b.jpg

Bearbeitet von Waschmaschine
Link zu diesem Kommentar
Auf anderen Seiten teilen

HI,

lies dir bitte erst einmal das hier durch.

Generell gibt es verschiedene Arten von vlans.

Portbasierte statische vlans sind die Ursprungsform. Dabei wird ein Port fest in ein vlan "verdrahtet".

Bei einem dynamischen Port hingegen wird z.B. anhand der MAC-Adresse (oder einer anderen Authentifizierungsmethode) entschieden, in welches vlan ein Port jeweils gehängt wird - abhängig davon, welcher Rechner verbunden ist.

"Paketbasierte vlans" bedeutet nur, dass die Ethernet-Pakete tagged sind (dot1q-Tag), also anhand des Paketes festgestellt werden kann, welchem vlan sie zugeordnet sind. Im Gegensatz dazu sind die portbasierten und nicht tagged vlans, bei denen anhand des Switchports erst beim eintritt eines Paketes in den Switch das dot1q-Tag gesetzt wird. Intern sind es dann ebenfalls paketbasierte vlans - nach außen hin sieht man jedoch nicht, dass vlans genutzt werden und die angeschlossenen Geräte sprechen auch kein dot1q.

Bei dot1q wird wenn kein vlan angegeben wird im Header davon ausgegangen, dass es das native vlan (standardmässig vlan 1) ist, das bei 802.3q nicht maskiert wird.

Trunk ports sind tagged ports, auf denen mehrere vlans gleichzeitig zur Verfügung gestellt werden. Auch hier ist es so, dass das native vlan keinen dot1q-Header bekommt, sondern unmaskiert ist.

Ohne Router kann zwischen vlans nicht kommuniziert werden (Voraussetzung sie liegen nicht im gleichen Netzbereich und z.B. vlan 2 ist nicht irgendwo auf vlan 3 verbunden. Dann ist das durchaus schon möglich, wenn sie sich im jeweiligen Subnetz gegenseitig sehen können.

Ansonsten wird ein Router bzw. L3-Switch (inter vlan routing) benötigt, der zwischen den einzelnen vlans routet.

Per Accesslisten kann man hier auch noch definieren, dass bestimmte vlans nicht mit bestimmten anderen vlans Verbindung aufnehmen können.

Ein "vlan-Router" ist nichts anderes als ein ganz normaler Router, der statt physikalischen Interfaces (zusätzlich) noch mehrere virtuelle (vlan) Interface hat. Vlan-Interface haben müssen dafür jeweils eine IP-Adresse haben, damit zwischen ihnen geroutet werden kann.

Ich denke einmal, das sollte deine Hauptfragen eigentlich beantworten.

Bei dem Diagramm ist unten ein vlan-Router dargestellt, der per Trunk-Port an den unteren Switch angebunden ist. Dieser ist per Trunk Port an die beiden Switches darüber angebunden. Somit sind alle vlans an jeder Stelle des Netzes verfügbar.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Jo also hier sind es keine Portgebundenen sondern Tagged VLANs, d.h. im Header werden nach der MAC Adresse die VLAN Nummer (Tag / Markierung) hinzugefügt damit das "geroutet " werden kann, soweit ich richtig?

Können nun unterschiedliche VLANs miteinander kommunizieren und man über YES / NO (wie oben im Bild) entscheiden wer mit wem (egal was fürn Stockwerk) kommunizieren darf oder ist es so dass zb Switch Etage 1 Marketing und Switch Etage 2 Marketing kommunizieren können?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich habe in der Praxis bisher immer nur portbasierte VLANs gesehen. Wie das funktioniert ist mir klar. Mich würde interessieren wie das dynamische port-tagging abläuft. Also was muss am Switch konfiguriert werden umd Tagged VLANs zu ermöglichen?

Es müssen ja auch bestimmte Ports auf ein VLAN konfiguriert werden, um das zu verwirklichen oder?

Dann ist es doch fast identisch wie mit den portbasierte VLANs .

@ D_pole86:

Kann ich die übersicht auch haben ? =) info@unixp.de

Link zu diesem Kommentar
Auf anderen Seiten teilen

Jo also hier sind es keine Portgebundenen sondern Tagged VLANs, d.h. im Header werden nach der MAC Adresse die VLAN Nummer (Tag / Markierung) hinzugefügt damit das "geroutet " werden kann, soweit ich richtig?
Nope. Ich gehe schwer davon aus, dass es portbasierte vlans sind auf den Ports. So muss das angeschlossene Gerät kein dot1q unterstützen, sondern fürs angeschlossene Gerät ist es wie auf einem Switch ohne eingerichtete vlans und das entsprechende tag wird erst beim Eintritt der Pakete in den Switch draufgesetzt.

Können nun unterschiedliche VLANs miteinander kommunizieren und man über YES / NO (wie oben im Bild) entscheiden wer mit wem (egal was fürn Stockwerk) kommunizieren darf oder ist es so dass zb Switch Etage 1 Marketing und Switch Etage 2 Marketing kommunizieren können?
Wie ich das kenne, kann man entweder nur ein vlan jeweils drauf einstellen (wenn man auf ein anderes geht, dann wird das vorher ausgewählte wieder abgewählt), oder aber wenn du mehr als ein vlan konfigurierst, dann wird der Port als Trunk konfiguriert statt als Access port. Kommunizieren kannst du mit den anderen vlans nicht, nur weil du diese auf dem Port einträgst. Dafür ist ein Router notwendig, der zwischen den vlans "vermittelt", wie oben schon geschrieben.

Wenn du natürlich einen trunk port konfigurierst, kannst du anhand des einzustellenden vlans konfigurieren, in welchem vlan du jeweils senden willst. Dafür muss der Adressbereich aber auch übereinstimmen. Aus dem vlan raus kommst du aber dennoch nur, wenn ein Router vorhanden ist.

Bei dynamisch wirds wohl an die MAC des Geräts gekoppelt, wenn dann ein anderes Gerät mit anderer MAC angeschlossen wird wird der Port gesperrt (so versteh ichs)
Das ist EINE Möglichkeit. Eine andere wäre z.B. dass anhand von einer Chipkarte oder einem Zertifikat automatisch ausgewählt wird, welches vlan auf dem Port vergeben wird. Dafür braucht man aber natürlich im Hintergrund auch eine entsprechende Datenbank / Authentifizierungsstelle, bei der das Zertifikat oder die MAC-Adresse oder sonstiges (kann auch username/Passwort sein) bekannt ist und wo hinterlegt ist, wann welches vlan genutzt wird. Natürlich ist z.B. die Authentifizierung über Chipkarte nicht immer möglich (z.B. Standarddrucker), sondern dabei wird es dann anhand der MAC-Adresse authentifiziert.

Wird vor allem in Zusammenhang mit NAC (Network Access Control) bzw. 802.1x gerne eingesetzt. Wenn die MAC-Adresse unbekannt ist, oder z.B. der Virenscanner nicht aktuell ist (Windows-Überprüfung - wie genau, weiß ich jetzt auch nicht), kommt man in ein QUarantäne-vlan rein, in dem man dann den Virenscanner aktualisieren kann. Nach einem Update und anschliessendem Neustart kann man dann ins normale "Arbeits-vlan" reinkommen wieder.

Ist die MAC-Adresse, das Zertifikat oder die Chipkarte unbekannt / nicht zugeordnet, dann wird im Normalfall ein vlan vergeben, in dem man nichts machen kann. Alternativ kann natürlicha uch der Port blockiert werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...