Zum Inhalt springen

VLAN über mehrere Switche und Richtfunkantenne


Empfohlene Beiträge

Geschrieben

Moin,

vorneweg, ich bin nicht im "Netzwerken" zuhause, sondern bin Serveradministrator. Ein Grundverständnis habe ich aber. 

Folgendes:

Haus A: Clients -> HP Switch 1810-48G. An dem Switch angeschlossen eine Firewall. Auf einem der Ports der Firewall eine Richtunkantenne, die Haus A mit Haus B verbindet.

Haus B: Clients -> HP Switch 1810-48G -> HP Switch 1810-48G. An dem letzten Switch angeschlossen die andere Firewall UND die Richtfunkantenne, nicht seperat an der Firewall, wie in Haus A. Geht leider nicht von den Anschlüssen her. 

Nun zum Problem: Seit dem die Verbindung so steht, kommen DHCP Broadcasts aus dem anderen Haus bei uns an (2 verschiedene Subnetze), was daran liegt, dass die Richtfunkantenne im Haus B einfach alles weiterleitet, was bei Ihr ankommt.

Idee: Implementierung von VLANs. Nur jedoch weiß ich nicht genau, wie man das am Besten hinbekommt, da ich leider bis jetzt nur in der Theorie mit VLANs zu tun hatte.

Ebenfalls habe ich in der Schule selbst nur mit Cisco gearbeitet. Und das Cisco Trunking gibt es ja in der Hinsicht bei den Konkurrenten so nicht. Kann mir hier jemand helfen, bin da langsam echt am verzweifeln...

 

Danke und Grüße,

Nopp

Geschrieben

Ich denke, Du könntest die Richtfunkverbindung zwischen den Häusern in ein VLAN packen und mittels der Firewalls DHCP filtern. Die FW in Haus A taggt den Verkehr über WiFi, die FW in Haus B kriegt ein neues virtuelles Interface im VLAN - sollte klappen.

Geschrieben

Da stellen sich mir direkt ein paar Fragen.

  • Was für eine Firewall ist das jeweils?
  • Kann sie per dot1q-Trunk angeschlossen werden?
  • Kann sie routen?
  • Hast du eventuell noch einen Router zur Verfügung alternativ?
  • Sind das öffentliche oder private Netze?

Ich würde pro Haus ein Netz planen und die Richtfunk-Verbindung dann an einem Router terminieren lassen, so dass die Broadcast-Pakete nicht über die Netzgrenzen verteilt werden. Je nachdem was die Firewall alles kann, muss man halt schauen, wie man sie einsetzen kann.

 

Sollte die FW jeweils dot1q sprechen und routen können, könnte man ein vlan (vlan 10) über den Switch in Haus A und zu Port 1 der FW A aufspannen, dann ein separates Netz (vlan 20 - auf FW-Seite muss es nicht ein vlan sein, es reicht, wenn es am 1810er Switch in Haus B) hinter der Richtfunkantenne ins vlan 20 als USer Port getaggt wird) vom Port 2 der FW A über Richtfunkantenne A zu Richtfunkantenne B durch den Switch per vlan 20 zur Firewall getunnelt aufspannen. Von dort aus könnte man dann vlan 30 aufspannen für alle anderen Ports der beiden Switche in Haus B. Dafür muss die zweite Firewall jedoch zwingend routen können und dot1q sprechen können per Trunk.

Geschrieben
vor 6 Stunden schrieb RipperFox:

Ich denke, Du könntest die Richtfunkverbindung zwischen den Häusern in ein VLAN packen und mittels der Firewalls DHCP filtern. Die FW in Haus A taggt den Verkehr über WiFi, die FW in Haus B kriegt ein neues virtuelles Interface im VLAN - sollte klappen.

Dann könnten die Clients doch nicht mehr von Haus A nach Haus B, was zwingend notwendig ist, da sie in einem anderen VLAN sind, als die Richtfunkantenne.

Geschrieben
vor 3 Stunden schrieb Crash2001:

Da stellen sich mir direkt ein paar Fragen.

  • Was für eine Firewall ist das jeweils? -> Lancom (Modell muss ich noch gucken)
  • Kann sie per dot1q-Trunk angeschlossen werden? -> Weiß ich leider nicht.
  • Kann sie routen? -> Jop
  • Hast du eventuell noch einen Router zur Verfügung alternativ? -> Nein
  • Sind das öffentliche oder private Netze? -> Private

 

An dem Netzaufbau kann ich "eigentlich" nichts mehr ändern. Das Problem ist halt, dass die Richtunkantenne nicht hinter der Firewall liegt, sondern davor, weswegen die Firewall hier nichts filtern kann.

Ich habe mir das nun so gedacht, dass ich einfach 2VLANs habe. VLAN 5 für alle Clients untagged und VLAN 10 für die Richtunkantenne, damit die Clients dort nicht mehr direkt hindürfen sondern erst zum Lancom müssen. Die jeweiligen Ports der Switche, die die Strecke bilden tagge ich mit VLAN 5 und 10, sodass alles ordentlich zum Lancom transportiert wird. Am Lancom sage ich dann deny Broadcasts bzw. einfach Port 67 von VLAN ID 5 nach Hausnetz B.

Aber ich glaube das geht so nicht, wie ich mir das vorstelle... Mein Problem ist einfach, dass ich an der Konstellation von Firewall/Switches nicht viel ändern kann...

Danke für die bisherigen Antworten. Ich muss mir deins Crash nochmal in Ruhe durchlesen. Ein paar Fragezeichen bleiben :)

Geschrieben
vor 4 Stunden schrieb Nopp:

Dann könnten die Clients doch nicht mehr von Haus A nach Haus B, was zwingend notwendig ist, da sie in einem anderen VLAN sind, als die Richtfunkantenne.

Über die Firewall routen? Ich ging jetzt wegen getrennten DHCP Bereichen auch von sonst getrennten Netzen aus :)

Geschrieben (bearbeitet)

@Nopp:
Am Aufbau / der Verkabelung würde sich nichts ändern. Nur an der Konfiguration der Switche und der Firewalls. Die müssten halt routen können und dot1q unterstützen. Tun sie das nicht, bekommst du das Problem ohne zusätzliche Hardware nicht so einfach beseitigt.

Aber apropos LanCom - wo steht der denn? In Gebäude A oder B?

Ich habe mal eine kleine Zeichnung erstellt, damit es eventuell einfacher zu verstehen ist.

Die beiden Firewalls müssten dafür jedoch routen und bei der rechten müsste es möglich sein, virtuelle Interface in vlans zu erstellen und einen dot1q-Trunk zum switch zu nutzen. Geht das, dann sollte es so problemlos funktionieren.

 

Nachtrag:
Links bräuchte man eigentlich noch nichtmals ein vlan. ein separates Netz (wie man dies pro vlan ja im Normalfall auch hat) würde reichen.

design.jpg

Bearbeitet von Crash2001
Nachtrag hinzugefügt.
Geschrieben

Das sollte auch mit "dummen" Switches gehen, welche mit VLANs/802.1Q überhaupt nichts anfangen können. Diese können auch getaggte Pakete transparent switchen und Netzwerkkarten werden Pakete mit für sie "unpassendem" Tag einfach verwerfen.

Man sollte sich das zweite VLAN30 rechts also ggf. sparen können - sauberer getrennt ist es natürlich so, wie Crash2001 es gemacht hat..

Geschrieben (bearbeitet)
vor 2 Stunden schrieb Crash2001:

@Nopp:
Am Aufbau / der Verkabelung würde sich nichts ändern. Nur an der Konfiguration der Switche und der Firewalls. Die müssten halt routen können und dot1q unterstützen. Tun sie das nicht, bekommst du das Problem ohne zusätzliche Hardware nicht so einfach beseitigt.

Aber apropos LanCom - wo steht der denn? In Gebäude A oder B?

Ich habe mal eine kleine Zeichnung erstellt, damit es eventuell einfacher zu verstehen ist.

Die beiden Firewalls müssten dafür jedoch routen und bei der rechten müsste es möglich sein, virtuelle Interface in vlans zu erstellen und einen dot1q-Trunk zum switch zu nutzen. Geht das, dann sollte es so problemlos funktionieren.

 

Nachtrag:
Links bräuchte man eigentlich noch nichtmals ein vlan. ein separates Netz (wie man dies pro vlan ja im Normalfall auch hat) würde reichen.

Moin Crash,

danke für Deine Hilfe. Die Skizze hat mir als Veranschaulichung sehr geholfen! Ich prüfe mal ob die Lancoms einen Trunk abbilden können, denke aber schon, jedenfalls sollte der Preis sowas hergeben... Btw sind beide Firewalls Lancom-Geräte. Ändert aber denke ich nichts an deinem Bild. Muss dann nur noch schauen, was ich wie "tagged/untagged" lasse auf den Switches. Da bin ich auch noch etwas unsicher. 

Clients: Untagged im jeweiligem VLAN, Verbindungen zu FW/Router:  Tagged?, Und im anderen VLAN die Clients excluden, damit sie dort nicht rein dürfen?

Sorry für die ganzen Fragen, aber ich denke man sieht, dass ich hier nur Laie bin.

Danke für die Hilfe an alle :) 

 

P.S In Haus A lasse ich das VLAN denke ich dann raus.

Bearbeitet von Nopp
Geschrieben (bearbeitet)
vor 2 Stunden schrieb RipperFox:

Das sollte auch mit "dummen" Switches gehen, welche mit VLANs/802.1Q überhaupt nichts anfangen können. Diese können auch getaggte Pakete transparent switchen und Netzwerkkarten werden Pakete mit für sie "unpassendem" Tag einfach verwerfen.

Man sollte sich das zweite VLAN30 rechts also ggf. sparen können - sauberer getrennt ist es natürlich so, wie Crash2001 es gemacht hat..

Da nur eine Leitung zur rechten Firewall geht, geht das eben nicht mit Switchen, die kein dot1q sprechen, da es im vlan 20 von Port Gi0/1 kommend auf Switch B1 auf den Trunk (Gi0/2) zur Firewall geschickt und dabei ins vlan 20 getaggt werden müsste und auf dem gleichen Trunk über vlan 30 (hinter der FW) wieder auf den Switch geht, um dann verteilt zu werden.

Funtionieren würde es zwar auch mit dummen Switchen - dann hätte man jedoch keine echte Trennung der Netze, sondern auf Switch B1 und B2 würden das Transfernetz (vlan 20) und das Clientnetz (vlan 30) vermischt werden, was zu zusätzlichem und unnötigen Traffic (Broadcasts) führt, der bis zur Richtfunkantenne geht und auch darüber hinweg, falls die Antennen ihre IP-Adressen rein zum Management haben und ansonsten nur Bridges (L2) auf Funk sind.

Bearbeitet von Crash2001
Geschrieben (bearbeitet)
vor 15 Minuten schrieb Nopp:

[...]Clients: Untagged im jeweiligem VLAN, Verbindungen zu FW/Router:  Tagged?, Und im anderen VLAN die Clients excluden, damit sie dort nicht rein dürfen?

Ja Richtig.
Die Clients sind in Client-vlans auf den Switches - also Ports, die erst beim Eingang in den Switch dem vlan zugeordnet werden.
Der Trunk ist tagged, da es ein trunk ist und mehr als ein vlan darüber geht.

 

Zitat

[...]P.S In Haus A lasse ich das VLAN denke ich dann raus.

Da kann man es sich auch problemlos sparen - wobei das vlan eh nur auf dem Switch vorhanden sein müsste - ob das jetzt alles vlan 1 ist, oder aber ein anderes, ist eigentlich komplett egal, solange kein weiteres Netz darauf vorhanden ist, das durch ein separates vlan separiert werden sollte.

 

Die von mir gewählten Netze sind natürlich auch nur Beispielnetze, wobei ich das dritte Oktett dabei wie das vlan gewählt habe zum einfacheren Verständnis. Bei der Firewall rechts sind es dann Subinterface im jeweiligen vlan.

Bearbeitet von Crash2001
Geschrieben
vor 9 Minuten schrieb Crash2001:

Ja Richtig.
Die Clients sind in Client-vlans auf den Switches - also Ports, die erst beim Eingang in den Switch dem vlan zugeordnet werden.
Der Trunk ist tagged, da es ein trunk ist und mehr als ein vlan darüber geht.

Muss von die Verbindung von Switch B1 und Switch B2 nicht auch tagged sein? Also Switch B1 Gi0/3 VLAN 30 tagged und Switch B2 Gi0/3 VLAN 30 tagged? Dachte ich immer, damit er das Tag später weiter an der Firewall verarbeiten kann...

Geschrieben
vor 3 Minuten schrieb Nopp:

Muss von die Verbindung von Switch B1 und Switch B2 nicht auch tagged sein?

Das ist in dem Fall nicht notwendig, da nur ein vlan durchgeleitet wird. Somit ist es dabei irrelevant.

Im Normalfall verbindet man Switche aber natürlich per Trunk, da im Normalfall mehr als ein vlan über den Trunk übertragen werden muss.

vor 3 Minuten schrieb Nopp:

Also Switch B1 Gi0/3 VLAN 30 tagged und Switch B2 Gi0/3 VLAN 30 tagged? Dachte ich immer, damit er das Tag später weiter an der Firewall verarbeiten kann...

Entweder du konfigurierst die beiden Ports als Access Ports im selben vlan, oder aber du machst einen Trunk draus und taggst den Traffic somit in die entsprechenden vlans.
Ob ein Paket beim Eintritt in den Switch getaggt wird (und beim Austritt das Tag entfernt wird, damit Netzwerkkarten kein dot1q unterstützen müssen), oder ob es bereits getaggt in den Switch rein kommt, macht vom Prinzip her für deinen Trunk zur Firewall keinen Unterschied.

  • 3 Wochen später...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...