37
VLAN Konzept für KMU
Hi,
ich habe letzte Woche 2 Cisco SG300 Switche bei uns eingebaut.
Da VLAN für Netzwerkperformance immer wieder genannt wird, würde ich gerne ein Konzept entwickeln.
Aktuell haben wir
- 3 Bereiche (Hardwareplanung, Softwareeng. und Geschäftsleitung)
- Kleinkram: 6Drucker + 2Nas
- 6 Server: DHCP, Exchange, 4x Datenbank
- 1x Firewall( regelt intern WLAN)
- 1x VOIP
Jetzt ist die Frage wie viele VLAN's sind sinnvoll/notwendig?
Aktuell würde ich sagen
- Internet( Firewall)
- Intern mit Inet
- Intern ohne inet
- 3 Bereiche
- VOIP
- Unbekannte Port/ Geräte
- Admin VLAN
- VPN(?)
=> Das wären 10 VLAN's (ein wenig oversized(?)) für 30 MA
Oft wird gesagt jedes VLAN bekommt einen eigenen IP-Bereich . Da jedoch 8 von 10 VLAN's Verbindung zum DHCP haben, würde ich eigentlich nur ein IP-Bereich (255.255.254.0) einsetzen wollen(?)
Ich könnte mir durchaus sowohl Radius als auch Port basiertes VLAN vorstellen, die Frage ist nur wo mache ich das ROUTING ohne ein Leistungsverlust zu generieren ?
Ich Danke im Voraus,
Robert
ich habe letzte Woche 2 Cisco SG300 Switche bei uns eingebaut.
Da VLAN für Netzwerkperformance immer wieder genannt wird, würde ich gerne ein Konzept entwickeln.
Aktuell haben wir
- 3 Bereiche (Hardwareplanung, Softwareeng. und Geschäftsleitung)
- Kleinkram: 6Drucker + 2Nas
- 6 Server: DHCP, Exchange, 4x Datenbank
- 1x Firewall( regelt intern WLAN)
- 1x VOIP
Jetzt ist die Frage wie viele VLAN's sind sinnvoll/notwendig?
Aktuell würde ich sagen
- Internet( Firewall)
- Intern mit Inet
- Intern ohne inet
- 3 Bereiche
- VOIP
- Unbekannte Port/ Geräte
- Admin VLAN
- VPN(?)
=> Das wären 10 VLAN's (ein wenig oversized(?)) für 30 MA
Oft wird gesagt jedes VLAN bekommt einen eigenen IP-Bereich . Da jedoch 8 von 10 VLAN's Verbindung zum DHCP haben, würde ich eigentlich nur ein IP-Bereich (255.255.254.0) einsetzen wollen(?)
Ich könnte mir durchaus sowohl Radius als auch Port basiertes VLAN vorstellen, die Frage ist nur wo mache ich das ROUTING ohne ein Leistungsverlust zu generieren ?
Ich Danke im Voraus,
Robert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 447077
Url: https://administrator.de/contentid/447077
Printed on: April 20, 2024 at 15:04 o'clock
37 Comments
Latest comment
Hallo Robert,
ich hab es früher in meiner Zeit im Außendienst immer so gehalten.
- Server
- Voip
- Drucksysteme
- Client Access
- WLAN
Den Rest dann über die Firewall ( Sophos, PFsense ) abgefrüstückt.
Gruss
ich hab es früher in meiner Zeit im Außendienst immer so gehalten.
- Server
- Voip
- Drucksysteme
- Client Access
- WLAN
Den Rest dann über die Firewall ( Sophos, PFsense ) abgefrüstückt.
Gruss
Moin,
deine Aufteilung finde ich ganz gut.
Regelt eine FW den Zugriff unter den Vlans?
Pro Vlan ist ein separates Subnetz Pflicht. Ansonsten bekommenst du auf den Switche Probleme.
Vlans haben den Beigeschmack die Broadcast Domain zu verkleinern. Das erzeugt den Geschwindigkeitsvorteil.
Gruß
Spirit
deine Aufteilung finde ich ganz gut.
Regelt eine FW den Zugriff unter den Vlans?
Pro Vlan ist ein separates Subnetz Pflicht. Ansonsten bekommenst du auf den Switche Probleme.
Vlans haben den Beigeschmack die Broadcast Domain zu verkleinern. Das erzeugt den Geschwindigkeitsvorteil.
Gruß
Spirit
Hi,
und die unterscheidung zwischen Inet Gerät und nicht Internet Geräten?
Grüße Robert
und die unterscheidung zwischen Inet Gerät und nicht Internet Geräten?
Grüße Robert
Das ist ja die Frage wer regelt es(FW oder Switche?) am Sinnvollsten und wie werden die VLans verbunden mit den einzelnen Subnetzen.
Danke im Voraus
=> Was ist die Best Praxis Anwendung(?)
Pro Vlan ist ein separates Subnetz Pflicht. Ansonsten bekommenst du auf den Switche Probleme.
Wie kommt Bereich1 zum Server und muss ich dann den DHCP-Server extrem umkonfigurieren Damit er weiß welcher Rechner in welches Subnetz/VLan kommt? Das stell ich mir kompliziert vor.Vlans haben den Beigeschmack die Broadcast Domain zu verkleinern. Das erzeugt den Geschwindigkeitsvorteil.
Danke im Voraus
=> Was ist die Best Praxis Anwendung(?)
Gibt es "so" nicht, da es immer auf das Netz ankommt.
Wenn du dir absolut unsicher bist, plan es mit jemanden, der das schon paar mal gemacht hat und(!) Einsicht in die Struktur, die Strecken und die Funktion bekommen darf. So ein VLAN Konzept ändert man schliesslich nicht alle paar Tage. Ein vernünftiges VLAN Konzept braucht - natürlich abhängig von der Größe - für die Planung genauso viel Zeit, wie für die Umsetzung.
Schöne Grüße,
Christian
Zitat von @SPSman:
Das ist ja die Frage wer regelt es(FW oder Switche?) am Sinnvollsten und wie werden die VLans verbunden mit den einzelnen Subnetzen.
Danke im Voraus
=> Was ist die Best Praxis Anwendung(?)
Das ist ja die Frage wer regelt es(FW oder Switche?) am Sinnvollsten und wie werden die VLans verbunden mit den einzelnen Subnetzen.
Pro Vlan ist ein separates Subnetz Pflicht. Ansonsten bekommenst du auf den Switche Probleme.
Wie kommt Bereich1 zum Server und muss ich dann den DHCP-Server extrem umkonfigurieren Damit er weiß welcher Rechner in welches Subnetz/VLan kommt? Das stell ich mir kompliziert vor.Vlans haben den Beigeschmack die Broadcast Domain zu verkleinern. Das erzeugt den Geschwindigkeitsvorteil.
Danke im Voraus
=> Was ist die Best Praxis Anwendung(?)
Wenn du dir an der Stelle der Kommunikation zwischen den Netzen Gedanken machst, solltest du dir in einem Produktivumfeld Hilfe holen.
Sonst steht nachher alles oder Aufteilung wäre aus Sicherheits technischer Sicht hinfällig gewesen.
Die Kommunikation läuft zwischen den Netzen immer über ein Gateway des jeweiligen Netzes.
Liegt dieses auf einer firewall ist einfach zu handhaben, zu monitoren und abzusichern.
Hier ist die Frage ob die fw mit der last klar kommt.
Guten Morgen,
10 VLANs für 30 MA sind doch nicht oversized? Ich denke, da kommt es eher auf die Anzahl der Abteilungen und die Gerätekategorien an.
Ich hab hier für 8 MA 8 VLANs für Server, Clients, TK-Anlage, Drucker, WLAN, Gäste-WLAN, IP-Kameras und Haussteuerung.
Zudem bitte das Management-VLAN nicht vergessen.
Edit: Je VLAN dann ein Subnetz macht natürlich Sinn. Das ist auch nicht kompliziert. Der L3-Switch macht DHCP-Relay auf deine(n) DHCP-Server
und dort legst du für jedes VLAN die IP-Scopes an.
Das Routing macht ein SG350.
Ich hatte hier mal eine ähnliche Frage gestellt:
Netzwerkdesign in einem KMU
Da kannst dir mal relativ weit unten das Diagramm von aqui in Bezug auf die Ausfallsicherheit anschauen.
Gruß NV
10 VLANs für 30 MA sind doch nicht oversized? Ich denke, da kommt es eher auf die Anzahl der Abteilungen und die Gerätekategorien an.
Ich hab hier für 8 MA 8 VLANs für Server, Clients, TK-Anlage, Drucker, WLAN, Gäste-WLAN, IP-Kameras und Haussteuerung.
Zudem bitte das Management-VLAN nicht vergessen.
Edit: Je VLAN dann ein Subnetz macht natürlich Sinn. Das ist auch nicht kompliziert. Der L3-Switch macht DHCP-Relay auf deine(n) DHCP-Server
und dort legst du für jedes VLAN die IP-Scopes an.
Das Routing macht ein SG350.
Ich hatte hier mal eine ähnliche Frage gestellt:
Netzwerkdesign in einem KMU
Da kannst dir mal relativ weit unten das Diagramm von aqui in Bezug auf die Ausfallsicherheit anschauen.
Gruß NV
Jetzt ist die Frage wie viele VLAN's sind sinnvoll/notwendig?
Kann man pauschal nicht beantworten und hängt etwas von der Firmenstruktur ab. Generell ist es aber besser mehr als zu wenig zu segmentieren.Aktuell würde ich sagen...
Ist schon nicht ganz falsch.Was komplett fehlt ist WLAN und Gast WLAN ! Gibts die bei euch gar nicht ?
Und Server sollte man immer vom Client Netz trennen ! Die solltest du also besser auch in ein separates "Data Center" VLAN packen !
Klassisches Design sieht so aus:
Verständnissproblem Routing mit SG300-28
Oft wird gesagt jedes VLAN bekommt einen eigenen IP-Bereich
Ja, das ist der tiefere Sinn einer Segmentierung ! Du willst ja gerade kleine und performante Netzwerk Segmente mit einer geringen Broad- und Multicast Last !Die goldene Regel sagt nie mehr als 100 bis 150 Endgeräte pro Segment !
würde ich eigentlich nur ein IP-Bereich (255.255.254.0)
Solch eine unsinnige Subnetzmaske muss man im Hinblick auf die obige Design Regel sicher nicht mehr weiter kommentieren ?!die Frage ist nur wo mache ich das ROUTING ohne ein Leistungsverlust zu generieren ?
Das macht logischerweise immer der Layer 3 Switch. (Siehe oben) Heutzutage machen auch billige SoHo Switche wie deine das L3 Forwarding in Wirespeed. Leistungsverluste gabs da mal vor 20 Jahren... Oder lebst du noch in der Netzwerk Steinzeit ?! 
Hi,
Hilfe kommt hoffentlich nächste Dienstag. Aber viel Vorwissen und gerade einfache Handhabbarkeit sind enorm wichtig, da ich sehr viel unterwegs bin und aus der ferne die IT betreue.
Als FW haben wir einen Exoten (SonicWall) die aber wiederum 8 Ports intern hat und somit auch für umfangreichere Aufgabe dimensioniert sein sollte...
Wie läuft das eigentlich ab?
Ein Rechner wird eingeschaltet. Dann sagt er 'Hey gibt mir eine IP' zum Switch. Der Switch muss ja dann so konfiguriert sein das er die Anfrage inkl. Mac an die FW gibt, die FW sagt dann die MAC soll in VLAN101. Dann bekommt die IP-Anfrage den VLan Tag und wird zum DHCP-Server geleitet. Der DHCP Server sieht den VLAN-Tag und sagt, ja du bekommst Subnetz 101. Daraufhin hat der PC jetzt sein dyn. IP Daten.
Und Dann?
Kommt dann der Rechner und sagt 'Hey ich möchte gerne Datei X(ganz einfach ausgedrückt)'.
Läuft die Anfrage wieder über die FW? Muss ja eigentlich weil sie ja das Gateway Zwischen den VLan's ist. Die Frage ist nur ob ich damit wieder einen Flaschenhals produziere und außer Kosten nix gewonnen habe...
Ich glaube ich habe da noch einen Denkfehler drin. Und wenn ich die SG300 Routen lassen(?).
Kann man das Routing Zentral ohne Stacking Konfigurieren?
...
Danke Schonmal
Hilfe kommt hoffentlich nächste Dienstag. Aber viel Vorwissen und gerade einfache Handhabbarkeit sind enorm wichtig, da ich sehr viel unterwegs bin und aus der ferne die IT betreue.
Als FW haben wir einen Exoten (SonicWall) die aber wiederum 8 Ports intern hat und somit auch für umfangreichere Aufgabe dimensioniert sein sollte...
Wie läuft das eigentlich ab?
Ein Rechner wird eingeschaltet. Dann sagt er 'Hey gibt mir eine IP' zum Switch. Der Switch muss ja dann so konfiguriert sein das er die Anfrage inkl. Mac an die FW gibt, die FW sagt dann die MAC soll in VLAN101. Dann bekommt die IP-Anfrage den VLan Tag und wird zum DHCP-Server geleitet. Der DHCP Server sieht den VLAN-Tag und sagt, ja du bekommst Subnetz 101. Daraufhin hat der PC jetzt sein dyn. IP Daten.
Und Dann?
Kommt dann der Rechner und sagt 'Hey ich möchte gerne Datei X(ganz einfach ausgedrückt)'.
Läuft die Anfrage wieder über die FW? Muss ja eigentlich weil sie ja das Gateway Zwischen den VLan's ist. Die Frage ist nur ob ich damit wieder einen Flaschenhals produziere und außer Kosten nix gewonnen habe...
Ich glaube ich habe da noch einen Denkfehler drin. Und wenn ich die SG300 Routen lassen(?).
Kann man das Routing Zentral ohne Stacking Konfigurieren?
...
Danke Schonmal
Beschäftige dich bitte mit der Funktionalität von VLans.
Normal sind diese statisch auf die Ports geschraubt. Dynamische Geschichte bastelt man in anderen Konstrukten.
Normal sind diese statisch auf die Ports geschraubt. Dynamische Geschichte bastelt man in anderen Konstrukten.
Hilfe kommt hoffentlich nächste Dienstag
Wieso ? Die Hilfe steht doch schon oben in all den Kommentaren !?! gerade einfach Handhabbarkeit
Die Ciscos haben ein Klicki Bunti GUI passend für Winblows Knechte... 
Oder auch ein richtiges CLI für echte Netzwerker !
haben wir einen Exoten (SonicWall)
Wie kommst du darauf das das ein Exot ist ? Weltweit einer der größten FW Hersteller im Midrange Bereich. Da hast du sicher einen etwas begrenzten HW Horizont, kann das sein ?Wie läuft das eigentlich ab? Dann sagt er 'Hey gibt mir eine IP' zum Switch.
Nein, denn eigentlich sollte in einem Firmennetz ein zentraler DHCP Server an der AD oder sowas vorhanden sein und niemals die Netz Infrastruktur DHCP Dienste machen. Die sollte tunlichst nur L2 oder L3 Forwarding und ggf. ein bischen L3 Access Listen machen !VLAN Tags gibt es ausschliesslich nur auf den Switch Uplinks um die VLAN Infos auszutauschen. Nicht aber auf Endgeräte Ports wie Server, Router usw. Guckst du hier Schnellschulung VLANs:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
oder die etwas ausführlichere Tutorial Variante zum Lesen und Verstehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Also wie e sieht es wirklich aus...
- Ein Rechner hat normalerweise keine Ahnung von VLANs, denn der Port des VLANs in dem er sich befindet wird ihm in der Konfig entweder statisch untagged zugeordent oder dynamisch mit Radius und 802.1x zugewiesen. Endgeräte Port sind immer untagged. Würden sie Tagged Frames empfangen erkennen sie diese Pakete als Errors und kaputte Pakete da sie den 802.1q VLAN Tag nicht lesen können und diese Pakete deshalb als fehlerhaft ansehen ! (Das nur als Basis vorweg !)
- Ein Rechner wird eingeschaltet. Dann sagt er "Mist ich brauche ne IP Adresse" und broadcastet nach einem DHCP Server.
- Der Switch hat eine DHCP Helper konfiguriert und forwardet diesen Request an den zentralen DHCP Server.
- Der "sieht" anhand der Helper IP das richtige VLAN (101), und vergibt dem Client dann die zum VLAN passende IP, Gateway IP und DNS Server IP
- Rechner hat dann IP und alles was er sonst an Adressen noch braucht und kann fröhlich kommunizieren im gesamten Netzwerk. (Es sei denn Access Listen auf dem Switch hindern ihn daran !)
- Z.B. mit dem Server: wenn er zu dem sagt "Hey ich möchte gerne Datei X" von dir haben".
- Server ist ja im RZ VLAN also ARPt der Rechner nach der Gateway IP.... Den Rest kannst du HIER weiterlesen !
Wie oben schon richtig gesagt:"Beschäftige dich bitte mit der Funktionalität von VLans."// Ein Administrator Forum kann keine Schulung oder Eigenstudium ersetzen da das hier den Rahmen sprengen würde !
HI,
->Nicht Ganz
Ja das hatte ich auch so geplant, mich aber doof ausgedrück:
Danke nur das ich gerne noch Dynamisches VLan realisieren würde, aber es erklärt vieles.
...
-> günstig fand ich die SG300 jetzt nicht, aber P/L gut...;)
Vielen Dank,
Grüße Robert
->Nicht Ganz
- 1x Firewall(regelt intern WLAN)
Aber du Hast recht(!) Da die FW Ja im INET - VLAN hängt, würde man darüber nicht mehr an die SQL-Server kommen.( Für Präsentationen ggf. wichtig.Und Server sollte man immer vom Client Netz trennen ! Die solltest du also besser auch in ein separates "Data Center" VLAN packen !
Ja das hatte ich auch so geplant, mich aber doof ausgedrück:
- Intern mit Inet
Exchange +DHCP SERVER- Intern ohne inet
SQL-ServerDanke nur das ich gerne noch Dynamisches VLan realisieren würde, aber es erklärt vieles.
Du willst ja gerade kleine und performante Netzwerk Segmente mit einer geringen Broad- und Multicast Last !
Die Aussage kenne ich, nur verstehen kann ich sie noch nicht ganz.würde ich eigentlich nur ein IP-Bereich (255.255.254.0)
Solch eine unsinnige Subnetzmaske muss man im Hinblick auf die obige Design Regel sicher nicht mehr weiter kommentieren ?!die Frage ist nur wo mache ich das ROUTING ohne ein Leistungsverlust zu generieren ?
Das macht logischerweise immer der Layer 3 Switch. (Siehe oben) Heutzutage machen auch billige SoHo Switche wie deine das L3 Forwarding in Wirespeed. Leistungsverluste gabs da mal vor 20 Jahren... Oder lebst du noch in der Netzwerk Steinzeit ?! Vielen Dank,
Grüße Robert
Danke nur das ich gerne noch Dynamisches VLan realisieren würde
Das Ändern ja am Design nichts. Das bleibt so wie im zitierten Thread geschildert !Ist ja auch kein Thema wenn du eine Winblows Umgebung hast. Dann installierst du den NPS auf dem Server dazu, ein paar Klicks im Switch Setup und fertig ist der Lack.
Hast du keinen NPS nimmst du einen Raspberry Pi mit dem kostenlosen FreeRadius.
Hier steht wie es geht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Lesen und verstehen...
Die Aussage kenne ich, nur verstehen kann ich sie noch nicht ganz.
Was genau verstehst du nicht daran....?? Laienhaft erklärt:Jedes Pups Broad- und Multicast Paket muss sich jedes Endgerät ansehen. Jedes Paket = Interrupt = Anhalten der CPU = Paket checken = Für mich ja/nein = Ja: Verarbeiten = Nein Weitermachen usw. usw. Je mehr Pakete desto langsamer. Kostet also wertvolle Performance. OK ne Intel CPU hat weniger Probleme aber Drucker und kleinere Netz Endgeräte sehen das ganz anders.
Aber mal ehrlich, solche allgemeinen Netzwerk Binsenweisheiten versteht sogar der Azubi im ersten Lehrjahr...
günstig fand ich die SG300 jetzt nicht
Wenn dir dein Netzwerk so wenig wert ist und es nicht auf Stabilität und Verlässlichkeit ankommt kannst du ja auch TP-Link oder NetGear nehmen. Warum hast du das denn nicht gemacht wenn nur Geld das Entscheidungskriterium ist ?? Da bist du dann ja ziemlich inkonsequent.Das beste Preis Leitungs Verhältnis bekommst du mit Mikrotik Switches.
Zitat von @aqui:
Ja und das Sehr gute ;) (Aber die umsetzung macht unser IT-Dienstleister, man muss Ihm nur sagen was er machen soll...)Hilfe kommt hoffentlich nächste Dienstag
Wieso ? Die Hilfe steht doch schon oben in all den Kommentaren !?! gerade einfach Handhabbarkeit
Die Ciscos haben ein Klicki Bunti GUI passend für Winblows Knechte... Wie läuft das eigentlich ab? Dann sagt er 'Hey gibt mir eine IP' zum Switch.
Nein, denn eigentlich sollte in einem Firmennetz ein zentraler DHCP Server an der AD oder sowas vorhanden sein und niemals die Netz Infrastruktur DHCP Dienste machen. Die sollte tunlichst nur L2 oder L3 Forwarding und ggf. ein bischen L3 Access Listen machen !VLAN Tags gibt es ausschliesslich nur auf den Switch Uplinks um die VLAN
Ich drücke mich Scheinbar zu unfachmännisch aus. mir ist bewusst das die Endgeräte nur Pakete ohne VLanTag bekommen.* Ein Rechner wird eingeschaltet. Dann sagt er "Mist ich brauche ne IP Adresse" und broadcastet nach einem DHCP Server.
Die Helper-IP ist also sowas wie ein Synonym für den VLan-Tag wodurch der Server den VLan-Tag nicht braucht um die richtig IP-Daten auszuwählen.- Der Switch hat eine DHCP Helper konfiguriert und forwardet diesen Request an den zentralen DHCP Server.
- Der "sieht" anhand der Helper IP das richtige VLAN (101), und vergibt dem Client dann die zum VLAN passende IP, Gateway IP und DNS Server IP
* Rechner hat dann IP und alles was er sonst an Adressen noch braucht und kann fröhlich kommunizieren im gesamten Netzwerk. (Es sei denn Access Listen auf dem Switch hindern ihn daran !)
-> VLan Funktionalität, ha b ich verstanden * Z.B. mit dem Server: wenn er zu dem sagt "Hey ich möchte gerne Datei X" von dir haben".
-> ich werde Lesen - Server ist ja im RZ VLAN also ARPt der Rechner nach der Gateway IP.... Den Rest kannst du HIER weiterlesen !
Wie oben schon richtig gesagt:"Beschäftige dich bitte mit der Funktionalität von VLans."// Ein Administrator Forum kann keine Schulung oder Eigenstudium ersetzen da das hier den Rahmen sprengen würde !
Das tue ich und werde ich weiter tun.Zitat von @aqui:
Dann installierst du den NPS auf dem Server dazu, ein paar Klicks im Switch Setup und fertig ist der Lack.
-> Ist klar und wird umgesetzt.Dann installierst du den NPS auf dem Server dazu, ein paar Klicks im Switch Setup und fertig ist der Lack.
Die Aussage kenne ich, nur verstehen kann ich sie noch nicht ganz.
Was genau verstehst du nicht daran....?? Laienhaft erklärt:Jedes Pups Broad- und Multicast Paket muss sich jedes Endgerät ansehen. Jedes Paket = Interrupt = Anhalten der CPU = Paket checken = Für mich ja/nein = Ja: Verarbeiten = Nein Weitermachen usw. usw. Je mehr Pakete desto langsamer. Kostet also wertvolle Performance. OK ne Intel CPU hat weniger Probleme aber Drucker und kleinere Netz Endgeräte sehen das ganz anders.
günstig fand ich die SG300 jetzt nicht
Wenn dir dein Netzwerk so wenig wert ist und es nicht auf Stabilität und Verlässlichkeit ankommt kannst du ja auch TP-Link oder NetGear nehmen. Warum hast du das denn nicht gemacht wenn nur Geld das Entscheidungskriterium ist ?? Da bist du dann ja ziemlich inkonsequent.Aber die umsetzung macht unser IT-Dienstleister, man muss Ihm nur sagen was er machen soll...
Wie peinlich !Ein guter Dienstleister sollte sofort wissen was er zu tun hat wenn du ihm deine VLAN Liste gibst. Der Rest ist dann klar. Ein anständiges IP Adresskonzept für die VLANs gehört natürlich auch dazu sonst muss der DL bei der Installation raten und das geht dann meist in die Hose.
Neuland aber ich werde mich einarbeiten
Brauchst du doch gar nicht wenn der DL das alles macht Also einfach ausgedrückt die Switche machen die VLANs und der DHCP(+AD) macht die IP-Zuweisung.
Bingo !Genau so !
Die Helper-IP ist also sowas wie ein Synonym für den VLan-Tag
Nein ! Hat mit VLAN Tags nicht das Geringste zu tun.Das ist ein UDP Relay Verfahren. Guckst du hier:
https://en.wikipedia.org/wiki/UDP_Helper_Address
aber es geht ja um die Performance zwischen USER Workstation und Server,
Da der Switch ja Wirespeed kann, sprich er ist also genau so schnell wie ein direkter Draht, ist dein Punkt auf den du hier hinauswillst irgendwie unverständlich. Das Netzwerk hat keinerlei Hindernisse...wo ist also der vermeintliche Haken für dich hier ?Hatten wir 150,-€ HP-Switche
Igitt !! You get what you pay for...
Servus,
lies dir am Besten die ganzen Artikel durch, die dir aqui verlinkt hat und such dir noch selbst Wissen zusammen zum Thema VLAN. Man muss sich einarbeiten, aber wenn man die Basics verstanden hat, ist es zumindest vom Grundsatz her eigentlich nicht sooo schwer. Ich hab's auch kapiert und das will was heißen
Und eine goldene Regel hier: Erwähne gegenüber aqui NIEMALS HP-Switche!
Gruß NV
lies dir am Besten die ganzen Artikel durch, die dir aqui verlinkt hat und such dir noch selbst Wissen zusammen zum Thema VLAN. Man muss sich einarbeiten, aber wenn man die Basics verstanden hat, ist es zumindest vom Grundsatz her eigentlich nicht sooo schwer. Ich hab's auch kapiert und das will was heißen
Und eine goldene Regel hier: Erwähne gegenüber aqui NIEMALS HP-Switche!
Gruß NV
Und eine goldene Regel hier: Erwähne gegenüber aqui NIEMALS HP-Switche!
Gruß NV
Gruß NV
Eigentlich ist es egal was du erwähnst wenn es nicht in der high-class mit spielt oder sich der Hersteller Mikrotik schimpft.
Hallo,
Ja, ein IP-Netz ist nicht wirklich verkehrt. Das vereinfacht z.b. Standortvernetzungen. Ich würde es dann halt so machen das du ein großes Netz nimmst und es entsprechend Intern aufteilst.
Folgendes dient nur als Beispiel
IP-Netz 10.0.0.0/22
VLAN 1 (Verwaltungsnetz) 10.0.0.0/24)
VLAN 2 (Geschäftsleitung) 10.0.1.0/24)
VLAN 3 Büros) 10.0.2.0/24)
VLAN 4 VOIP 10.0.3.0/24)
Was VPN,s angeht (User Dialin / RAS) würde ich den Usern anhand von Benutzergruppen oder sonstigen Attributen IP,s aus ihren Abteilung Netzwerken zuweisen. Ein extra Netz für VPN ist vielleicht nur gut wenn du Quarantäne mit NPS einsetzen würdest. Da wäre dann noch ein extra VLAN von nöten um WSUS Server und ähnliches bereitzustellen oder zumindest eine Freigabe nach update.microsoft.com damit die Clients in Quarantäne sich entsprechend geforderte Updates etc... auch runterziehen können.
LG, J Herbrich
Ja, ein IP-Netz ist nicht wirklich verkehrt. Das vereinfacht z.b. Standortvernetzungen. Ich würde es dann halt so machen das du ein großes Netz nimmst und es entsprechend Intern aufteilst.
Folgendes dient nur als Beispiel
IP-Netz 10.0.0.0/22
VLAN 1 (Verwaltungsnetz) 10.0.0.0/24)
VLAN 2 (Geschäftsleitung) 10.0.1.0/24)
VLAN 3 Büros) 10.0.2.0/24)
VLAN 4 VOIP 10.0.3.0/24)
Was VPN,s angeht (User Dialin / RAS) würde ich den Usern anhand von Benutzergruppen oder sonstigen Attributen IP,s aus ihren Abteilung Netzwerken zuweisen. Ein extra Netz für VPN ist vielleicht nur gut wenn du Quarantäne mit NPS einsetzen würdest. Da wäre dann noch ein extra VLAN von nöten um WSUS Server und ähnliches bereitzustellen oder zumindest eine Freigabe nach update.microsoft.com damit die Clients in Quarantäne sich entsprechend geforderte Updates etc... auch runterziehen können.
LG, J Herbrich
ein IP-Netz ist nicht wirklich verkehrt
Stimmt, denn mit Novell IPX-SPX oder Banyan Vines wäre das sicher eine Herausforderung oder sonstigen Attributen IP,s aus ihren Abteilung Netzwerken zuweisen.
Bei einem zentralen VPN Server auf der Peripherie (Firewall) ist das gar nicht möglich zumal es die meisten gerouteten VPN Protokolle auch gar nicht zulassen. Es sei denn der TO lässt sich mit sowas wie Mobile IP ein was ihn, mal geschlossen aus der Art und Weise der o.a. Fragestellung, (und vielleicht den Dienstleister ?) mit Sicherheit überfordern würde.Also: keep it simple and stupid und ganz klassisch ein separates IP Segment fürs VPN was dann auf der Firewall residiert und gut iss.
Zitat von @aqui:
aber es geht ja um die Performance zwischen USER Workstation und Server,
Da der Switch ja Wirespeed kann, sprich er ist also genau so schnell wie ein direkter Draht, ist dein Punkt auf den du hier hinauswillst irgendwie unverständlich. Das Netzwerk hat keinerlei Hindernisse...wo ist also der vermeintliche Haken für dich hier ?Es stammt aus einem anderen Thread von mir, wo mir geraten wurde Vlan aufzusetzen damit der Netzwerk Speed sich erhöht.
Wenn hier keine Optimierung möglich ist reichen mMn 4VLan:
-Intern mit Inet
-intern ohne Inet
- Gäste und unbekannte Geräte
- VOIP
...
Keep it simple and stupid...
Ich glaube, das gesamte Netzkonzept sollte hier auf den Prüfstand, nur durch den Fokus auf die VLANs (klar, dennoch notwendig) bekommt man nur einen Teil des ganzen in den Fokus und damit in den Griff, Rest ist ja schon gesagt, das begutachten wir dann.
wo mir geraten wurde Vlan aufzusetzen damit der Netzwerk Speed sich erhöht.
Was ja per se nicht falsch ist...Optimierung möglich ist reichen mMn 4VLan:
Server und Voice (Telefonie) sollte man zwingend noch abtrennen ! Und was ganz wichtig ist das Transfer Netz zum Internet Router oder Firewall. Das sollte niemals innerhalb eine Produktivnetzes (VLAN) liegen ! (Siehe hier).Macht dann summa summarum 7.
Hi,
Voice hatte ich schon genannt und bei Internet gebe ich dir Recht.
Bei den Servern verstehe ich den Sinn nicht da hier alle drauf Zugriff haben...
Gruß Robert
Voice hatte ich schon genannt und bei Internet gebe ich dir Recht.
Bei den Servern verstehe ich den Sinn nicht da hier alle drauf Zugriff haben...
Gruß Robert
Die Server haben wenn man HA Designs und Redundanz nutzt oft Heratbeats die mit Broad- oder Multicast arbeiten und dann Produktivsegmente mit Clients oder Drucker usw. verseuchen. Z.B. nur ein Grund von vielen.
In einem Banalnetz wie deinem wo es nur einen einzigen Sewrver ohne jegliche Redundanz oder Failover gibt und nur mit einer popeligen Anzahl an Clients hast du natürlich Recht, da ist eine Trennung nicht zwingend nötig. Schaden kann es aber auch nicht, da man mit einem L3 Switch bessere Filtermöglichkeiten hat den Zugriff auf den Server einzuschränken sofern Sicherheit im netz ein Thema ist.
Ist aber sicher Ermessenssache...keine Frage.
In einem Banalnetz wie deinem wo es nur einen einzigen Sewrver ohne jegliche Redundanz oder Failover gibt und nur mit einer popeligen Anzahl an Clients hast du natürlich Recht, da ist eine Trennung nicht zwingend nötig. Schaden kann es aber auch nicht, da man mit einem L3 Switch bessere Filtermöglichkeiten hat den Zugriff auf den Server einzuschränken sofern Sicherheit im netz ein Thema ist.
Ist aber sicher Ermessenssache...keine Frage.
Moin,
gestern sind mir noch zwei Situation aufgefallen, wo mir noch Lösungsansätze fehlen(?):
1. Was passiert wenn ich 2 Rechner über einen "dummen" Switch an eine Netzwerkdose hänge und beide Rechner verschiedenen VLan angehören sollen(?)
2. Was passiert wenn ich einen Rechner mit einer VM(Netzwerkbrücke) habe und Rechner und VM in verschiedenen VLan's sein sollen (jedoch die Gleich Hardwareschnittstelle nutzen)...
Grüße Robert
gestern sind mir noch zwei Situation aufgefallen, wo mir noch Lösungsansätze fehlen(?):
1. Was passiert wenn ich 2 Rechner über einen "dummen" Switch an eine Netzwerkdose hänge und beide Rechner verschiedenen VLan angehören sollen(?)
2. Was passiert wenn ich einen Rechner mit einer VM(Netzwerkbrücke) habe und Rechner und VM in verschiedenen VLan's sein sollen (jedoch die Gleich Hardwareschnittstelle nutzen)...
Grüße Robert
1. Geht nicht.
2. kommt auf den Hypervisor an. Bei Hyper-V Bsp. kannst du der VM ein VLan zuweisen welches dann logischerweise tagged auf dem Switch Port liegen muss.
2. kommt auf den Hypervisor an. Bei Hyper-V Bsp. kannst du der VM ein VLan zuweisen welches dann logischerweise tagged auf dem Switch Port liegen muss.
Hi,
2. und die Muttermaschine schick ja immernoch Untagged Pakete dann auf eine Tagged port....(?)
2. und die Muttermaschine schick ja immernoch Untagged Pakete dann auf eine Tagged port....(?)
Zitat von @SPSman:
Hi,
2. und die Muttermaschine schick ja immernoch Untagged Pakete dann auf eine Tagged port....(?)
Hi,
2. und die Muttermaschine schick ja immernoch Untagged Pakete dann auf eine Tagged port....(?)
Hä, die landen ja auch im untagged Netz auf dem Port.
Daher die VM tagged dran hängen.
Schau dir den Aufbau eines IP Frames mit VLan tagg an. Dann wird dir das klar wieso das so funktioniert.
Zu 1.)
Es gibt eine Option die das lösen kann....
Diese dummen Switches forwarden fast immer den 802.1q VLAN Tag an einem Paket.
Dann kannst du die PCs mit ihrem VLAN Tag aus den entsprechenden VLANs konfigurieren sofern ihr NIC Treiber das supportet. Siehe hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Den Dummswitch schliesst du dann an einen Tagged Link am Switch an und schon funktioniert das ganze Konstrukt !
Es hat aber 2 gravierende Nachteile:
Zu 2.)
Siehe Antwort vom Kollegen @Spirit-of-Eli
Es gibt eine Option die das lösen kann....
Diese dummen Switches forwarden fast immer den 802.1q VLAN Tag an einem Paket.
Dann kannst du die PCs mit ihrem VLAN Tag aus den entsprechenden VLANs konfigurieren sofern ihr NIC Treiber das supportet. Siehe hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Den Dummswitch schliesst du dann an einen Tagged Link am Switch an und schon funktioniert das ganze Konstrukt !
Es hat aber 2 gravierende Nachteile:
- Nicht alle Dummswitches machen das Forwarding des VLAN Tags !! Das musst du vorher immer ausprobieren ob deiner das kann um sicher zu gehen !
- Die Endgeräte oder mindestens eins (einer kann im Default VLAN untagged arbeiten !) müssen zwingend tagged konfiguriert sein. Sprich sie funktionieren dann nur an diesem Konstrukt nirgendwo anders. Dazu müsste man die VLAN Konfig dann wieder entfernen
Zu 2.)
Siehe Antwort vom Kollegen @Spirit-of-Eli
Hi,
nach dem Gespräch mit unserem IT-Dienstleister kam folgendes Raus:
Jetzt bin ich ein wenig platt. Vielleicht auch zu naiv...
Ich dachte Konzept + 1Tag Umsetzung und dann steht das Ganze, und ich kann per Tabelle Mac zu VLAN definieren und fertig.
Hab ich euch alle so falsch verstanden (???)
Ich bin ja kein gelernter IT'ler, für so doof hat ich mich jetzt auch nicht gehalten... Naja wenn das darauf hinausläuft dann ist das Kosten-Nutzenfaktor zu schelcht...
nach dem Gespräch mit unserem IT-Dienstleister kam folgendes Raus:
VLan benötigen Sie eigentlich nicht, es reicht wenn wir die FireWall härten
-> Stichwort Clients die kein Internet-Access haben sollenDynamisches VLan ja das machen wir mit MacMon, was wiederum mehrere t€ kostet...
Jetzt bin ich ein wenig platt. Vielleicht auch zu naiv...
Ich dachte Konzept + 1Tag Umsetzung und dann steht das Ganze, und ich kann per Tabelle Mac zu VLAN definieren und fertig.
Hab ich euch alle so falsch verstanden (???)
Ich bin ja kein gelernter IT'ler, für so doof hat ich mich jetzt auch nicht gehalten... Naja wenn das darauf hinausläuft dann ist das Kosten-Nutzenfaktor zu schelcht...
Vlans sind immer gut wenn man das Prinzip verstanden hat.
Mit MacMon kann man es machen. Muss man aber nicht. Denn dafür ist eine NAC Lösung nicht unbedingt erforderlich.
Die ganze Nummer wurde oben ja schon erklärt.
Mit MacMon kann man es machen. Muss man aber nicht. Denn dafür ist eine NAC Lösung nicht unbedingt erforderlich.
Die ganze Nummer wurde oben ja schon erklärt.
Kurz aufsummiert will der DL wohl keine VLANs umsetzen. Die jew. Netze durch diese zu trennen macht definitiv Sinn. Schon Aufgrund der Thematik Server - Clients - VoIP, alles weitere entsprechend on Top.
Viele Grüße,
Christian
Viele Grüße,
Christian
VLan benötigen Sie eigentlich nicht, es reicht wenn wir die FireWall härten
...sagt jemand der von der Materie mehr oder minder keine Ahnung hat. 
Kein gutes Omen für diesen "Dienstleister" ! Da sollte man auch berechtigte Angst haben das die überhaupt die Firewall härten können wenn es an solchen einfachen Konzepten bei denen schon scheitert !Hab ich euch alle so falsch verstanden
Nein, dein DL will dich verar.., ausnehmen und mit deiner Unwissenheit Kasse machen. Mehr muss man zu dem "MacMon" Thema wohl nicht sagen.für so doof hat ich mich jetzt auch nicht gehalten...
Bist du auch nicht, denn mit deinem Segmentierungs Konzept bist du ja generell auf dem richtigen Weg ! Da lauert aber der DL als Raubritter der noch ein bischen was absahnen will und versucht das mit einem Dummkonzept zu belegen....Solltest mal grundsätzlich überlegen ob du da in guten Händen bist !
Aus eigener Erfahrung, es gibt Bereiche wo vlans gerade erst eingeführt werden.
Ohne Frage, in gewachsenen Unternehmen, (wie hier anscheinend?) die bisher keinen Bedarf hatten, aber nun eben haben. Dass der DL davon aber keine Ahnung hat und mehr noch sich offensichtlich auch nicht beschäftigen will spricht eine relativ deutliche Sprache.
Zitat von @falscher-sperrstatus:
Ohne Frage, in gewachsenen Unternehmen, (wie hier anscheinend?) die bisher keinen Bedarf hatten, aber nun eben haben. Dass der DL davon aber keine Ahnung hat und mehr noch sich offensichtlich auch nicht beschäftigen will spricht eine relativ deutliche Sprache.
Ohne Frage, in gewachsenen Unternehmen, (wie hier anscheinend?) die bisher keinen Bedarf hatten, aber nun eben haben. Dass der DL davon aber keine Ahnung hat und mehr noch sich offensichtlich auch nicht beschäftigen will spricht eine relativ deutliche Sprache.
Ich weiß. Ich kann das genau so wenig gut heißen wie du.
