g2sm 17 Geschrieben 26. Juni 2015 Melden Teilen Geschrieben 26. Juni 2015 (bearbeitet) Guten Morgen zusammen, ich habe (leider) eine (wahrscheinlich) ganz banale verständnisfrage zu VLANs.Vorab, ich bin leider bisher nie in den Genuss gekommen mit VLANs zu arbeiten. Jedoch ist unser Netzwerk in den vergangen 2 Jahren so stark gewachsen, dass ich dieses Thema nun gerne angehen würde.Der Zeit möchte ich einfach Verständnis aufbauen und vor allem meine Neugierde befriedigen.Die Umsetzung werde ich mit einem externen Dienstleister angehen.Kurz zur Umgebung: IST-Zustand:- 2 Physische Server mit ESXI 5.5, via LAG an PowerConnect 5448 angeschlossen.- Mehrere Terminalserver auf beiden ESXI Verteilt.- SBS 2008 Server- TerminalServer und TK Server via TAPI an die TK Anlage- Mehrere Drucker, welche jedoch nicht im Netz freigegeben sind- Einzelne Drucker (softwarebedingt), direkt am lokalen Client des Users Eingerichtet- Watchguard noch NICHT vorhandenSoll-Zustand:- Server, Clients, Drucker, TK usw. in eigene VLANs- Clients bekommen von SBS IP-Adresse- Telefone bekommen von der Telefonanlage IP-Adresse- ESXI Management\Switche kommen in Management VLAN- Einführung der Watchguard Ich würde nun wie folgt vorgehen: - Clients und TK auf DHCP umstellen (der Zeit noch alles Feste-IP) - Bei allen Switchen die VLANs einrichten (mit exakten Namen\ID) - Verbindungen zwischen den Switchen als Tagged, konfigurieren (für alle VLANS) dazu RSTP Konfigurieren - Telefonanlage Untagged - DHCP auf SBS und TK konfigurieren & DHCP-Relay auf Switchen konfigurieren - Telefone\Clients -> Hier stehe ich noch aufm Schlauch. Ich würde die Ports an den Switchen nun Tagged mit den VLAN IDs von TK+Clients konfigurieren. Denkt ihr meine Vorgehensweise wäre soweit in Ordnung? Oder habe ich doch den totalen Denkfehler?Wie gesagt, leider konnte ich nie Erfahrungen mit VLANs und deren Einrichtung Sammeln und werde es definitiv mit einem externen Dienstleister umsetzen. Vllt habt ihr ja auch einfach gute Bücher\Links die sich zu lesen lohnen. Vielen Dank für eure Zeit, g2sm bearbeitet 26. Juni 2015 von g2sm Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. Juni 2015 Melden Teilen Geschrieben 26. Juni 2015 (bearbeitet) Moin, falls es keinen besonderen Grund gibt, werden die Packets an Ports für Clients und IP-Telefone nicht markiert. Sollte man das machen (wollen), dann muss auch am Netzwerkinterface des Rechners VLAN aktiviert werden mit der passenden ID. Was ist mit Telefonanlage geieint, IP-Telefone? Falls man IP-Telefone im LAN hat, kommen diese in ein VLAN zur Möglichkeit des Einstellender Priorität falls benötigt. Falls es sich nur um einen Zugang zum Konfigurieren der Anlage handelt, dann kann man den ins Managment-VLAN nehmen falls gewollt. Hast Du die Grundlagen zu VLAN gelsen? Hast Du die Begrümdung für das Einrichten von VLAN bestimmt? bearbeitet 26. Juni 2015 von lefg Zitieren Link zu diesem Kommentar
g2sm 17 Geschrieben 26. Juni 2015 Autor Melden Teilen Geschrieben 26. Juni 2015 Hi lefg, vielen Dank für deine Antwort. Es handelt sich hierbei um eine IP-Telefonanlage mit IP-Telefonen. Habe auch gerade in der wiki der Telefonanlage Informationen zur VLAN Konfiguration gefunden. Wobei ich zugeben muss, dass ich dies noch nicht verstehe. Schaue mich aber gerade in der Config der Switche um und denke hier geht es den Port typ (access, trunk, hybrid). Aber das finde ich noch herraus :) System RequirementsThe innovaphone IP phones internal Ethernet switch will not touch the traffic from/to the PC, so the switch must support and be configured for mixed tagged/untagged Ethernet packets on a single port and needs to convert the VLAN id for untagged packets into the designated PC VLAN in order for this scenario to work. ConfigurationYou need to configure a VLAN tag on the IP phones (either manually or by DHCP). The phones will send every frame with this configured tag (tagged frames). The switch needs to be configured such that inbound tagged packets (arriving at the terminal port) are left "as is". Such packets come from the IP phone and already have the right (Voice) VLAN tag inbound untagged packets are tagged with the designated PC VLAN outbound tagged packets with a PC VLAN tag have the VLAN tag removed (so the PCs will receive untagged frames) all other outbound packets are lefz unchanged Please note that all IP phones as well as the innovaphone PBXs and gateways have to be in the Voice VLAN (that’s also nice because the innovaphone PBX can then work as DHCP server for for the phones only). Even more, all voice servers (such as 3rd party voice mail etc.) receiving voice media streams must be in the same (non-PC!) VLAN so that they can receive the media. You have then two different networks (VLANs) on one port. If you configure your whole local network like this, then you can connect your phone to every switch port and you are always in the right VLAN. Ich denke mal mit Priorisierung meinst du QoS? Wenn ja, daran habe ich schon gedacht, aber vergessen mir aufzuschreiben :) Sry deine 2 Fragen jetzt erst gesehen. zu 1. Lese die ganze Zeit nebenher, daher sind bei mir auch die Fragen aufgekommen bzw. war mir einfach nicht sicher ob ich es nun richtig verstanden habe. Ich denke auch, dass ich dass mit den getagged Ports (switch to switch) falsch verstanden habe. Die "Orange- & Blaue-Verbindung", müsste zb nicht mit allen VLANS getagged werden, sondern nur für Client, TK und Drucker. Lila wiederum mit allem, weil hier alles durch muss. zu 2. Verstehe ich um ehrlich zu sein gerade nicht :) VGg2sm Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. Juni 2015 Melden Teilen Geschrieben 26. Juni 2015 (bearbeitet) Ich habe den Eindruck, Du benötigst doch noch Grundlagen: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen http://www.tecchannel.de/netzwerk/lan/434093/einfuehrung_in_vlans_teil_1/ Ich schau mir jetzt erstmal das Bild an. Jetzt sehe ich es, die Clients sind ja am IP-Telefone angeschlossen. Man kann auf einen Port ja mehre VLAN konfigurieren, nehem wir mal VLAN 1 untagged für den Rechner und VLAN 2 tagged für das IP-Telefone. Ebenso kann man Switch2Switch VLAN 1 untagged und die anderen VLAN 2-? tagged. Interessehalber, wo ist das Routing z.B. zwischen Server und Clients, auf dem Watchguard? DHCP-Relay auf Switchen konfigurieren Das erstaunt mich doch. Switching begreife ich als L2, das bedarf doch kein Relay. Etwas anderes wäre es beim Routing, da muss ist DHCP-Relay nötig. Welche Switch ist da ein L3? Habe ich etwas übersehen? bearbeitet 26. Juni 2015 von lefg Zitieren Link zu diesem Kommentar
g2sm 17 Geschrieben 26. Juni 2015 Autor Melden Teilen Geschrieben 26. Juni 2015 Vielen Dank für die Links, werde ich heute Abend mal durch lesen :) Der von Thomas-krenn hatte ich mir auch schon zum lesen abgespeichert :) Wenn ich es richtig verstanden habe, muss ich die Telefon\Client Ports bei uns als Hybrid Ports konfigurieren. Hier wäre das Voice VLAN Tagged und das Client VLAN Untagged und als NATIV. Wobei es nur bei den HP Switchen die Bezeichnung Hybrid Port gibt, wie das bei den DELL Switchen ausschaut, kommt auch heute Abend. Interessehalber, wo ist das Routing z.B. zwischen Server und Clients, auf dem Watchguard? Das macht der HP1910-48G, über statische Routen. Das erstaunt mich doch. Switching begreife ich als L2, das bedarf doch kein Relay. Etwas anderes wäre es beim Routing, da muss ist DHCP-Relay nötig. Welche Switch ist da ein L3? Habe ich etwas übersehen? Hatte es so verstanden, dass ich das DHCP-Relay auf jeden Switch konfigurieren muss, auf welchem auch die VLANs konfiguriert werden bzw. an dem die DHCP Empfänger hängen. Aber ich merk schon, dass deine Fragen\Anregungen bei mir selbst auch noch jede Menge Fragen aufwerfen und bin froh, dass ich entschieden habe die Umsetzung definitiv nicht alleine zu machen. Vielen Dank, du bist wirklich eine großen Hilfe! :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. Juni 2015 Melden Teilen Geschrieben 26. Juni 2015 (bearbeitet) Hatte es so verstanden, dass ich das DHCP-Relay auf jeden Switch konfigurieren muss, auf welchem auch die VLANs konfiguriert werden bzw. an dem die DHCP Empfänger hängen. Du merkst daran, an Grundlagen (OSI-Modell) fehlt es. Bitte sei mir nicht böse. :) Es ist gut, zu fragen, andere, auch mehrere Meinungen einzuholen. Viel Erfolg bei dem Projekt. Hast Du die Begrümdung für das Einrichten von VLAN bestimmt? Das fragte ich in Post #2, bist Du dir über die, deine Gründe zum Einrichten von VLAN im Klaren? bearbeitet 26. Juni 2015 von lefg Zitieren Link zu diesem Kommentar
g2sm 17 Geschrieben 26. Juni 2015 Autor Melden Teilen Geschrieben 26. Juni 2015 (bearbeitet) Nein bin ich ganz und gar nicht. Im Gegenteil, ich bin dir sehr Dankbar, dass du dir die Zeit nimmst mir zu Antworten und mir hilfreiche Informationen gibst :) bearbeitet 26. Juni 2015 von g2sm Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 26. Juni 2015 Melden Teilen Geschrieben 26. Juni 2015 (bearbeitet) Bitte nicht zu viel Dankbarkeit im Verlauf des Threads ässern! In mir erzeugt das ein peinliches Gefühl. :) Unter einer Eröffnung von mir schreibe ich den Satz "Habt Dank für Aufmerksamkeit und Rat." Das reicht ziemlich lange. Nun, einen Grund für VLAN haben wir schon angerissen, Priorisierung. Ein weiterer Grund ist das Breschränken des Broadcast auf eine Broadcastdomain, von einem VLAN ins andere geht es per Routing, das überträgt keinen Broadcast. Erhöhte Sicherheit durch Firewall (z.B. Watchguard, IPCop) zwischen VLAN (Inter-VLAN-Routing). Häufig wird wohl auch Gruppenbildung von Einkauf, Abtrennung Buchhaltung und Ähnliches genannt. Es wurde einmal berichtet von einem Fall mit einem Drucker: Ein wohl neu ins Netz gebrachter Drucker konnte das Internet erreichen, der Drucker hat einen Schädling in der Firmware, dieser lud aus dem Internet von Dahein nach. Ich schreib das mal stark vereinfacht aus der Erinnerung. Die genauere Schilderung steht in einem Thread hier am Board. Mit Google und VLAN warum ist Einiges an Lesestoff erreichbar. Warum schreibe ich dir das? Falls man gefragt wird vom Chef warum, dann sollte man möglcichst mir sagen können als das es sicherer sei. Falls der nämlich nachhakt. Und man sollte sich selbst, sein eignes Vorhaben auf Sinnhaftigkeit prüfen. bearbeitet 26. Juni 2015 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.