anleitungen:vlans

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
anleitungen:vlans [2023/12/06 16:56] – [Mehrere Netzwerke?] epkrichianleitungen:vlans [2023/12/06 17:52] (aktuell) – Bild für Ubiquiti-Beispielkonfiguration hinzugefügt epkrichi
Zeile 18: Zeile 18:
  
 Für das Heimnetzwerk wurde hier VLAN 1 verwendet und für das Client-Netz VLAN 2. Die Ports 1-4 sind also miteinander verbunden, ebenso wie die Ports 5-7. Port 8 befindet sich in keinem VLAN und ist daher auch weder mit dem Heimnetzwerk, noch mit dem Client-Netzwerk verbunden. Der Switch wurde also effektiv in einen 4-Port-Switch und einen 3-Port-Switch unterteilt. Die Netzwerke sind somit logisch voneinander getrennt. Für das Heimnetzwerk wurde hier VLAN 1 verwendet und für das Client-Netz VLAN 2. Die Ports 1-4 sind also miteinander verbunden, ebenso wie die Ports 5-7. Port 8 befindet sich in keinem VLAN und ist daher auch weder mit dem Heimnetzwerk, noch mit dem Client-Netzwerk verbunden. Der Switch wurde also effektiv in einen 4-Port-Switch und einen 3-Port-Switch unterteilt. Die Netzwerke sind somit logisch voneinander getrennt.
 +
 +===== Braucht man VLANs überhaupt? =====
 +
 +Prinzipiell ist es kein Problem, mehrere IP-Netzwerke auf derselben Hardware zu betreiben, ohne VLANs zu verwenden. Die Netzwerke stören sich erst mal nicht gegenseitig. Es gibt aber trotzdem viele Gründe, VLANs zu verwenden:
 +
 +  * Die Trennung ohne VLANs funktioniert nur, wenn die IP-Adressbereiche nicht überlappen - woher soll ein Paket sonst wissen, zu welchem der zwei Netzwerke mit gleichem Subnetz es gehört?
 +  * Auf Routern laufen DHCP-Server, welche den Geräten IP-Adressen zuweisen. Ohne VLANs würden dann alle Router versuchen, einem Gerät eine IP-Adresse zu geben. Das würde vermutlich sogar gehen, ist aber wahrscheinlich ungewollt.
 +  * Wie gerade angemerkt, sind ohne VLANs alle Geräte physikalisch mit allen Netzwerken verbunden. Im obigen Beispiel wäre es dann nicht möglich, auf einem Kabel zu einem Access Point nur das Client Netz zu haben - das eigene Heimnetzwerk wäre auch dabei. Ein Angreifer, der physikalischen Zugriff zum AP hätte, könnte dann einfach das Kabel in seinen Computer stecken und wäre schon mit dem Heimnetzwerk verbunden.
  
 ===== VLANs zwischen Geräten ===== ===== VLANs zwischen Geräten =====
Zeile 45: Zeile 53:
 ===== Noch ein realistisches Beispiel ===== ===== Noch ein realistisches Beispiel =====
  
-Hier soll noch ein realistisches Beispiel erklärt werden, das so ähnlich auch in unserer Richtfunk-Installation verwendet wird. Über ein Richtfunkgerät kommt ein **Mesh-Netz (VLAN 20)** und ein **Management-Netz (VLAN 1)** rein. An dem Standort sollen Access-Points an das **Client-Netz (VLAN 9)** angeschlossen werden. Dazu wird erst noch ein Freifunk-Router benötigt, der aus dem Mesh-Netz ein Client-Netz erzeugt. Außerdem soll ein weiteres Richtfunkgerät aufgestellt werden, das neben dem Management-Netz noch ein eigenes Mesh-Netzwerk erhält (warum nicht das bereits vorhandene Mesh-Netzwerk verwendet wird, ist ein anderes Thema). **Das zweite Mesh-Netzwerk (VLAN 21)** wird vom Freifunk-Router erzeugt.+Hier soll noch ein realistisches Beispiel erklärt werden, das so ähnlich auch in unserer Richtfunk-Installation verwendet wird. Über ein Richtfunkgerät kommt ein **Mesh-Netz (VLAN 20)** und ein **Management-Netz (VLAN 1)** rein. An dem Standort sollen Access-Points an das **Client-Netz (VLAN 9)** angeschlossen werden. Dazu wird erst noch ein Freifunk-Router benötigt, der aus dem Mesh-Netz ein Client-Netz erzeugt. Außerdem soll ein weiteres Richtfunkgerät aufgestellt werden, das neben dem Management-Netz noch ein eigenes Mesh-Netzwerk erhält (warum nicht das bereits vorhandene Mesh-Netzwerk verwendet wird, ist ein [[anleitungen:richtfunkstrecken#mehrere_standorte_verbinden|anderes Thema]]). **Das zweite Mesh-Netzwerk (VLAN 21)** wird vom Freifunk-Router erzeugt.
  
 {{ :anleitungen:drittes_beispiel.drawio.png?600 |}} {{ :anleitungen:drittes_beispiel.drawio.png?600 |}}
Zeile 60: Zeile 68:
  
 Einerseits soll das zweite Richtfunkgerät selbst über das Management-Netz erreichbar sein, andererseits sollen auch die Geräte am nächsten Standort darüber erreichbar sein. Deswegen soll auf Port 8 für das zweite Richtfunkgerät das Management-Netz sein, welches im Switch VLAN 1 verwendet. VLAN 1 soll hier außerdem wieder ungetagged sein. Des weiteren soll das zweite Mesh-Netz, VLAN 21, über das RF-Gerät versendet werden. Um vom Management-Netz unterschieden werden zu können, muss VLAN 21 hier getagged sein. Einerseits soll das zweite Richtfunkgerät selbst über das Management-Netz erreichbar sein, andererseits sollen auch die Geräte am nächsten Standort darüber erreichbar sein. Deswegen soll auf Port 8 für das zweite Richtfunkgerät das Management-Netz sein, welches im Switch VLAN 1 verwendet. VLAN 1 soll hier außerdem wieder ungetagged sein. Des weiteren soll das zweite Mesh-Netz, VLAN 21, über das RF-Gerät versendet werden. Um vom Management-Netz unterschieden werden zu können, muss VLAN 21 hier getagged sein.
 +
 +===== VLANs auf Ubiquiti-Switches konfigurieren =====
 +
 +Zum Schluss ist hier noch eine Beispielkonfiguration von VLANs auf einem Ubiquiti-Switch:
 +
 +{{ :anleitungen:ubiquiti_vlan_config.png?400 |}}
 +
 +Für jede VLAN ID gibt es eine eigene Zeile, in der man jeweils für jeden Port festlegen kann, ob dieses VLAN auf dem Port getagged (T), ungetagged (U) oder excluded (E) sein soll. Außerdem kann man zu jedem VLAN noch einen Kommentar hinzufügen, damit man direkt sieht, wofür das VLAN gedacht ist.
  • anleitungen/vlans.1701878191.txt.gz
  • Zuletzt geändert: 2023/12/06 16:56
  • von epkrichi