NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.
Forum Discussion
Solved
Hilfe bei VLAN Konfiguration mit 2x GS108e, Glasfasermodem und Fritzbox
Hallo zusammen,
ich würde mich freuen, wenn Ihr mir bei der Einrichtung des VLAN unter folgender Konfiguration helfen könnt.
Ausgangssituation (habe ich Euch im Anhang auch mal aufgemalt):
Flur:
* Glasfasermodem (ohne Firewall) für den Internetzugang
* Patchfeld (1-10)
* 8-PortSwitch: GS108ev2
Wohnzimmer:
*ein LAN Port vom Patchfeld kommen
*Fritzbox
*8-Port-Switch GS108ev3
Ich möchte von Switch 1 auf Switch 2 in die FB (die die Firewall stellt und die IPs vergeben soll).
Switch 1 soll den Internetzugang weiterleiten (Port 10) und das restliche Patchfeld (1-9 hinter der Fritz FW) versorgen.
Switch 2 soll die Geräte im Wohnzimmer (hinter der Fritz FW) versorgen.
Die Geräte im Wohnzimmer und die am Patchfeld (1-9) angeschlossen sind dürfen sich sehen und kommunizieren.
Ich hoffe ich habe mich verständlich ausgedrückt - beim Thema Netzwerk und VLAN habe ich lediglich Grundkenntnisse.
Vielen Dank schon mal für Eure Hilfe.
LG
Daniel
Hallo Daniel,
Vorweg gleich zwie Punkte die zu bendenken sind:- Übersteigt die verfügbare Internet-Bandbreite 500/500Mb/s so wird der Trunk auf dem GbE Link zwischen den beiden Switchen zum Flaschenhals
- Der IP Stack auf diesen sehr einfachen Geräten liegt ziemlich exponiert auf allen VLANs an. Die einzige Sicherheit ist eine Trusted IP (hoffe die haben alle Smart Managed Plus) und das Password. Nach der Inbetriebnahme unbedingt konfigurieren und auch das NSDP (Utility) Konfiguration abdrehen (aktuellere Firmware macht das automatisch).
Da sich die Konfiguration über den einzelnen Switch hinausgeht, und mehrere VLANs über einen Trunk laufen bleibt (so ich mich nicht irre) nur die 802.1Q VLAN in der komplexen Konfiguration.
Vorschlag zur Einfachheit:
Basis-VLAN VLAN ID 1, alles nicht getaggt, für das LAN
Internet-VLAN VLAN ID 250 z.B., getaggt auf dem Trunk
Noch ein Punkt: Standardisierung! Ich empfehle Dir den Trunk auf beiden Seiten auf demselben Switch-Port zu legen, z.B. #1, das gefährliche "rote" Internet VLAN auf den Port #2 - weniger Konfusion garantiert!
VLAN -> 802.1Q -> Advanced -> VLAN Configuration -> Advanced 802.1Q VLAN (x) Enabled, und über [Add] ein zusätzliches VLAN erstellen, z.B. VLAN ID 250
VLAN -> 802.1Q -> Advanced-> VLAN Membership (gemäss dem Vorschlag oben gleiche Ports auf beiden Geräten!)
VLAN ID 1: #1 (Trunk Port) [U], PVID 1; #2 (Internet, "rot"): [_leer_], #3...#8 [U], PVID 1
VLAN ID 250: #1 (Trunk Port) [T], #2 (Internet, "rot"): [U], PIVD 250, #3...#8 [_leer_]
alternativ VLAN ID 1 auf dem Trunk Tagged (muss nicht sein):
VLAN ID 1: #1 (Trunk Port) [T], PVID 1; #2 (Internet, "rot"): [_leer_], #3...#8 [U], PVID 1
VLAN ID 250: #1 (Trunk Port) [T], #2 (Internet, "rot"): [U], PIVD 250, #3...#8 [_leer_]
DIe Tablle der VLAN ID/Port Members wird dann etwa so aussehen:
VLAN ID 1: 2 _ 3 4 5 6 7 8
VLAN ID 250: 1 2 3 4 5 6 7 8
Weiter - und wichtig:
Da die Smart Managed Plus/Click/Gaming/Gaming Pro Modelle (einzige Ausnahme der XS724EM afaik.) das Management-Subnetz nicht auf ein fixes VLAN einschränken lassen: Statische IP addressen auf beiden Switches zuteilen, z.B. 192.168.1.254/24 Switch 1, 192.168.1.253/24 Switch 2. Auf DHCP lassen wrd Dir Probleme machen, denn der/die Switch(es) kann (lies: wird!) sich dann gerne mal nach einem Stromausfall "Deine" öffentliche IP Adresse ausleihen - und das willst Du nicht.
So, Deine Herausforderung - sieht alles kompliziert aus ist es aber nicht!Für meinen Teil ... ich würde empfehlen (mit dem Blick auf die Bandbreite und Sicherheit) für das WAN (Fibermodem) und das LAN unterschiedliche physikalische Verbindungen zu verwenden. Falls möglich also für das Telefon eine zusätzliche dünne Zweidraht-Leitung einziehen - hoffe die Röhrchen sid nicht allzu dünn - sonst brauchst Unterstützung von einem idealerweise befreundeten Elektriker.
2 Replies
Hallo Daniel,
Vorweg gleich zwie Punkte die zu bendenken sind:- Übersteigt die verfügbare Internet-Bandbreite 500/500Mb/s so wird der Trunk auf dem GbE Link zwischen den beiden Switchen zum Flaschenhals
- Der IP Stack auf diesen sehr einfachen Geräten liegt ziemlich exponiert auf allen VLANs an. Die einzige Sicherheit ist eine Trusted IP (hoffe die haben alle Smart Managed Plus) und das Password. Nach der Inbetriebnahme unbedingt konfigurieren und auch das NSDP (Utility) Konfiguration abdrehen (aktuellere Firmware macht das automatisch).
Da sich die Konfiguration über den einzelnen Switch hinausgeht, und mehrere VLANs über einen Trunk laufen bleibt (so ich mich nicht irre) nur die 802.1Q VLAN in der komplexen Konfiguration.
Vorschlag zur Einfachheit:
Basis-VLAN VLAN ID 1, alles nicht getaggt, für das LAN
Internet-VLAN VLAN ID 250 z.B., getaggt auf dem Trunk
Noch ein Punkt: Standardisierung! Ich empfehle Dir den Trunk auf beiden Seiten auf demselben Switch-Port zu legen, z.B. #1, das gefährliche "rote" Internet VLAN auf den Port #2 - weniger Konfusion garantiert!
VLAN -> 802.1Q -> Advanced -> VLAN Configuration -> Advanced 802.1Q VLAN (x) Enabled, und über [Add] ein zusätzliches VLAN erstellen, z.B. VLAN ID 250
VLAN -> 802.1Q -> Advanced-> VLAN Membership (gemäss dem Vorschlag oben gleiche Ports auf beiden Geräten!)
VLAN ID 1: #1 (Trunk Port) [U], PVID 1; #2 (Internet, "rot"): [_leer_], #3...#8 [U], PVID 1
VLAN ID 250: #1 (Trunk Port) [T], #2 (Internet, "rot"): [U], PIVD 250, #3...#8 [_leer_]
alternativ VLAN ID 1 auf dem Trunk Tagged (muss nicht sein):
VLAN ID 1: #1 (Trunk Port) [T], PVID 1; #2 (Internet, "rot"): [_leer_], #3...#8 [U], PVID 1
VLAN ID 250: #1 (Trunk Port) [T], #2 (Internet, "rot"): [U], PIVD 250, #3...#8 [_leer_]
DIe Tablle der VLAN ID/Port Members wird dann etwa so aussehen:
VLAN ID 1: 2 _ 3 4 5 6 7 8
VLAN ID 250: 1 2 3 4 5 6 7 8
Weiter - und wichtig:
Da die Smart Managed Plus/Click/Gaming/Gaming Pro Modelle (einzige Ausnahme der XS724EM afaik.) das Management-Subnetz nicht auf ein fixes VLAN einschränken lassen: Statische IP addressen auf beiden Switches zuteilen, z.B. 192.168.1.254/24 Switch 1, 192.168.1.253/24 Switch 2. Auf DHCP lassen wrd Dir Probleme machen, denn der/die Switch(es) kann (lies: wird!) sich dann gerne mal nach einem Stromausfall "Deine" öffentliche IP Adresse ausleihen - und das willst Du nicht.
So, Deine Herausforderung - sieht alles kompliziert aus ist es aber nicht!Für meinen Teil ... ich würde empfehlen (mit dem Blick auf die Bandbreite und Sicherheit) für das WAN (Fibermodem) und das LAN unterschiedliche physikalische Verbindungen zu verwenden. Falls möglich also für das Telefon eine zusätzliche dünne Zweidraht-Leitung einziehen - hoffe die Röhrchen sid nicht allzu dünn - sonst brauchst Unterstützung von einem idealerweise befreundeten Elektriker.
Hallo schumaku,
vielen Dank für Deine Ausführungen. Ich bin da nur über eine Sache gestolpert - was ist das böse rote Internet? die Definition habe ich n och nicht gehört oder meintest Du das, da die Geräte sonst nicht hinter der FW sind ? :-)
Die Schlusskonfiguration - die anscheinend auch funktioniert - ist nun folgende :
Trunkports sind hier einheitlich bei beiden Switches auf Port 2 gelegt.Switch 1:
2 VLAN nach 802.1Q erweitert (VLAN 01 und VLAN 250)
VLAN ID 01
Mitglieder (Ports):
- 02 (T)
- 03-08 (U)
VLAN ID 250
Mitglieder (Ports):
- 01 (U)
- 02 (T)
PVID Konfiguration:
Port 01: PVID 250
Port 02-08: PVID 01Des Weiteren habe ich dem Switch eine feste IP zugewiesen (DHCP deaktiviert) und die Fritzbox-IP als Gateway hinterlegt.
Switch 2:
2 VLAN nach 802.1Q erweitert (VLAN 01 und VLAN 250)
VLAN ID 01
Mitglieder (Ports):
- 02 (T)
- 03-08 (U)
VLAN ID 250
Mitglieder (Ports):
- 01 (U)
- 02 (T)
PVID Konfiguration:
Port 01: PVID 250
Port 02-08: PVID 01Des Weiteren habe ich dem Switch eine feste IP zugewiesen (DHCP deaktiviert) und die Fritzbox-IP als Gateway hinterlegt.
Funktionieren tut es - falls ich noch irgendwie einen Denkfehler oder etwas übersehen habe, dann freue ich mich über einen Hinweis.
Viele Grüße
Daniel
NETGEAR Academy
Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!
Machen Sie mit!
ProSupport for Business
Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit