Frage zu bereits bestehendem Thema / Theard

Ich denke, @Tux0ne könnte Dir hier am besten Antwort geben 🙂

Grundsätzlich konfiguriert man die Ports für Endgeräte normalerweise untagged und für Trunks (Verbindungen zwischen Switches und ggf. Servern) tagged.

In dem verlinkten Thread wurdest du bereits darum gebeten, dein Netzwerk einmal zeichnerisch darzustellen. Mach das doch mal, dann verstehen wir auch besser was du erreichen möchtest.

LAN 

In diesem Fall brauchst du VLAN 1 ja gar nicht. Die Switchports musst du wie folgt konfigurieren (T=Tagged, U=Untagged):

Switch 1

Port 1: 10U (geht zum Swisscom-Router)

Port 2: 20U (geht zum UPC-Router)

Port 3: 10T,20T (geht zu Switch 2 Port 1)

Ports 4-8: je nach Bedarf 10U oder 20U

Switch 2

Port 1: 10T,20T (kommt von Switch 1 Port 3)

Ports 2-6: je nach Bedarf

Port 7: 20U

Port 8: 10U

Wenn du einen Port auf VLAN 1 belässt, werden daran angeschlossene Geräte weder mit dem Swisscom- noch mit dem UPC-Router verbunden sein und sozusagen in der Luft hängen.

Hab ich soweit eingestellt jedoch jetzt dass Problem dass nur Netzwerk von Swisscom verfügbar ist was ich nur für Swisscom TV verwenden will. Für den PC möchte ich dass UPC Netz haben.

Beim zweiten Switch befindet sich noch ein Asus Router der das LAN vom UPC Netz kontrolliert der UPC Router ist im bridge mode. 

Der PC sollte jetzt eine IP-Adresse erhalten vom UPC Router die Frage ist wie ich dass realisieren muss?

DHCP ist nur auf dem Asus Router aktiv für das LAN beim UPC Router (bridge Mode) ausgeschaltet

Von dem Asus-Teil ist in deiner Skizze aber nichts zu sehen...

Du kannst das wie folgt in deine Umgebung einbinden:

Dh. das VLAN 20 nutzt du nur für die Verbindung der Bridge zum WAN des Asus-Routers, und die LAN-Seite des letzteren betreibst du z.B. auf dem Default-VLAN 1. Alle Ports die du dann auf dem Asus-LAN betreiben möchtest, konfigurierst du auf VLAN 1. Auf dem Trunk (der Verbindung zwischen den Switches) muss VLAN 1 ebenfalls übertragen werden, beidseitig tagged.

Wenn man es noch ganz professionell haben will, ersetzt man VLAN 1 durch etwas anderes, z.B. 30. Vorausgesetzt die Semipro-Switches unterstützen das.

Ich überlege mir grad, ob ich eine Diskussion über Sinn und Unsinn solch relativ komplexer Netzwerkbasteleien bei offensichtlich nur spärlich vorhandenem Wissen lostreten soll. Aber ich tus jetzt nicht 😊

@PowerMac  ist es nicht einfacher mit 2 Netzen zu arbeiten und einer Firewall / Router anstatt über VLAN ?

@user109 

VLAN ist die übliche Methode (best practice) um Netzwerke auf Layer 2 logisch zu trennen resp. zu segmentieren. 

Zumindest mit Devices im semi- und professionellen Bereich kann man VLAN's mit L2-Switches, L3-Switches, Routern und FW "bauen". Achtung: VLAN-Segmentierung im L2 nicht mit L3-Subnettierung verwechseln. 

Die IB kennt zwar leider kein VLAN, aber man kann sie in ein definiertes VLAN "setzen", wenn man das Port des Switches wo die IB dran hängt einem VLAN zuordnet, so wie das @PowerMac  beschrieben hat.

Details siehe unter IEEE 802.1Q, oft auch als Dot1q bezeichnet.

Danke für deine hilfreiche Skizze 

was verstehst du unter deiner Aussage wenn man es professional machen möchte kann man für das VLAN 1 noch eine andere ID vergeben vorausgesetzt die semi-pro Switche unterstützen dass.

wo ist da der Unterschied wenn man jetzt eine andere VLAN ID verwendet stehen Sicherheitsapsekte dahinter? 

Jeder mir bekannte Switch legt in der Defaultkonfiguration alle Ports untagged auf VLAN 1. Wenn man nun sein internes Netzwerk auf diesem VLAN 1 betreibt, ist standardmässig jeder Port eines neu in Betrieb genommenen (oder auch ausgetauschten) Switches gleich mit dem internen Netz verbunden. Wenn man z.B. die Anschlüsse patcht bevor man den Switch konfiguriert hat kann es rasch passieren, dass ein Gerät unabsichtlich im internen Netz hängt, das man eigentlich aus Sicherheitsgründen nicht dort haben wollte. Darum vermeidet man im sicherheitsbewussten Umfeld die Verwendung von VLAN 1 für produktive Netzwerke.

Im Heimnetzwerkumfeld ist dieser Aspekt weniger relevant und macht vor allem die Konfiguration komplexer.

---

@hed  schrieb:

 

[...] Die IB kennt zwar leider kein VLAN, aber man kann sie in ein definiertes VLAN "setzen", wenn man das Port des Switches wo die IB dran hängt einem VLAN zuordnet, so wie das @PowerMac  beschrieben hat.

---

Jein. Zwar lässt sich das native LAN nicht umkonfigurieren, aber das Gästenetz ist auf jedem Port der Internetboxen tagged auf VLAN 1977 aufgeschaltet. Je nach Anwendung kann man damit auch noch ganz praktisches Zeugs anstellen.

@PowerMac 

Danke für den Hinweis. Unter VLAN "kennen" verstehe ich aber doch etwas mehr als nur ein einzelnes vordefiniertes VLAN. 

@PowerMac 

VLANS: 

10 UPC WAN bridge 

15 UPC LAN

20 Swisscom 

Switch 1:

Port 1 UPC WAN VLAN 10 Untagged

Port 2 Swiscom LAN VLAN 20 Untagged

Port 3 Verbindung zu Switch 2 VLAN 10, 15. 20 Tagged

Switch 2:

Port 1 Verbindung zu Switch 1 VLAN 10, 15, 20 Tagged

Port 2 WAN zu Asus Router AC5300 VLAN 10 Untagged 

Port 3: LAN UPC zu LAN Port Asus Router AC5300 VLAN 15 

Port 4: LAN UPC für PC VLAN 15 

Port 5: Swisscom LAN für Swisscom TV VLAN 20 

Dies ist meine aktuelle Konfiguration 

Leider bekomme ich vom UPC LAN keine IP Adresse irgendeetwas muss noch falsch konfiguriert sein.

Statt dass Standard VLAN 1 am Switch habe ich VLAN 15 gewählt für dass UPC LAN

Dann musst du den Fehler halt systematisch eingrenzen. Z.B. mal den PC direkt am Asus-Router anstecken statt via Switch zu gehen, testweise eine fixe Adresse statt DHCP auf dem PC konfigurieren, schauen ob der Asus eine WAN-IP über die UPC-Bridge bekommt, usw. usf. Ein wenig Netzwerkwissen musst du schon selber mitbringen bei einem so ausgefallenen Setup.

Beim Switch 2 sind die VLANs auf Ports 3 und 4 (und 5) alle untagged, korrekt? Ah und bei manchen Netgear-Switches muss man noch die PVID separat konfigurieren auf denselben Wert wie das untagged VLAN.

Beim Asus Router erhalte ich eine IP Adresse vom UPC Bridge mit 80…

jetzt wenn ich den pc direkt am asus router anschliesse bekomme ich ebenfalls eine LAN IP jedoch funktioniert dass Internet noch nicht.

Die genannten Ports sind auf Untagged eingestellt PVID ebenfalls bei den Untagged Ports dass ensprechende VLAN hinterlegt 

Wenn ich richtig verstanden habe hast du also folgende zwei Probleme:

• PC bekommt keine DHCP-Adresse im LAN des Asus-Routers wenn über Switch verbunden
• Asus-Router bekommt keine DHCP-Adresse am WAN-Port, jedoch mit dem PC funktioniert es

Stimmt das so beim ersten Punkt? Dh. es funktioniert wenn du den PC direkt am Router ansteckst, aber nicht via Switch? Dann schau ob auf dem Switch 2 irgendwo ein DHCP-Snooping aktiviert ist.

Zum zweiten Punkt: wird im Web-GUI des Asus-Routers ein Problem angezeigt auf der WAN-Seite? Wie ist der WAN-Port konfiguriert? Funktioniert es wenn du den WAN-Port direkt mit der Bridge verbindest ohne über Switches zu gehen? Evt. gibts da bei UPC-Routern im Bridgemodus noch etwas spezielles zu beachten, aber mit diesem Anbieter kenn ich mich zuwenig aus.

Nach der korrekten Konfiguration des VLANs am Switch konnte ich jetzt UPC Internet sowie Swisscom TV zum laufen bringen 

Danke nochmals für die aktiven Beiträge und Unterstützung

Freundliche Grüsse

theskychecker