[redhat-list-de] Vlan + Routing

Dirk Traenapp dirk_traenapp at web.de
Tue Apr 20 06:37:22 UTC 2004 

Hi,

Frank Schneider wrote:

>>Ich habe von meinem Meister den Auftrag bekommen 5 Switches in ein VLAN
>>und die Userrechner in ein zweites VLAN zu routen wie mach ich das?
>>Ich habe von einigen Leuten gehört am sinnvollsten wären zwei
>>Netzwerkkarten für jedes ip-range eines, aber Meister meint das sollte
>>auch so gehen
>>    
>>
>
>Bei sowas muß ich immer lachen, sorry: Es ist finanziell und auch zeitlich 
>_massig_ einfacher bzw. billiger, sich einfach eine zweite 20.-Euro-NIC in 
>die Maschine zu stecken, als sich beim Konfigurieren von Ethernet-Tagging 
>tagelang Eier auf die Schiene zu nageln ;-)))
>
>  
>
Mag sein, aber die Richtlinien von CISCO und auch allgemeine
Sicherheitsrichtlinien sagen aus, das man die IP-basierten
Netzwerkgerätzugänge (Switche, Router) in einem VLAN und den
Netzwerktraffic in mindestens einem weiteren VLAN führen sollte. Das
(ver-/)behindert dann Angriffe auf Netzwerkstrukturpakete
(Routing-Informationen, STP, dot-one-q, etc ...). In sofern ist die
Aufgabenstellung völlig i.O., wenn das denn gemeint ist. Dann allerdings
kann man die Frage ohne Netzwerkplan etc so nicht stellen geschweige
denn lösen.

>>Die Switches sind Layer 4 Switches, die per ip angesprochen werden
>>sollen und auch eigene logfiles schreiben.
>>    
>>
>
>Hmm, eher wohl Layer 2 Switches oder Layer 3 (=Router), weil Layer 4 wären 
>Contentswitches oder Loadbalancer...sowas würde im Client/Büroumfeld wenig 
>Sinn machen....da ihr über die Linuxkiste routet, schätze ich mal eher, das 
>es normale Layer-2-Switches sind...die schreiben auch Logfiles, je nach Gerät 
>halt.
>
>  
>
Hmmm, er schreibt nirgendwo etwas von Büronetz, oder? Und wenn die
betreffenden Switche im Core-Layer liegen, dann macht Layer4-Switching
(aka Q.o.S., Content-Routing) durchaus Sinn, zumal Switche dieser
Größenordnung sich nicht mehr von Routern unterscheiden (schau dir doch
mal die Beschreibung zu Cisco's 6k-Switch-Serie an, diese Switche
_routen_ in Wirespeed!)
Welches Gerät bei Gabriel was macht ist ja so die Frage ...

>>Das Ganze läuft momentan unter REDHAT 9 brauch ich zum Einrichten den
>>mysteriösen 802.1Q Standard?
>>    
>>
>
>  
>
Gabriel, meine Glaskugel gibt da nicht so viel her, was willst du wie
mit welchem Equipment lösen und wozu soll das gut sein?

>>Falls ja, wie realisiert man so was? Irgendwie scheint jeder zu
>>versuchen um die Geschichte herumzunavigieren und mit physikalischen
>>(mehrere Netzwerkkarten) ip-ranges arbeiten zu wollen
>>    
>>
>
>Du mußt immer mit physikalischen IP-Ranges arbeiten, weil normalerweise gilt: 
>1 VLAN = 1 IP-Netz, ist z.B. bei Cisco so. Normalerweise teilt man sein 
>bereits bestehendes IP-Netz einfach, man macht also aus z.B: 192.168.1.0/24 
>(also von 192.168.1.1 bis 192.168.1.255) dann einfach einmal 192.168.1.0/25 
>und einmal 192.168.1.128/25: Schon hat man zwei IP-Netze, die untereinander 
>über einen Router zueinander sprechen müssen...
>
>  
>
ak!

>Der einzige Vorteil liegt eben darin, das man eine Netzwerkkarte im Router 
>spart, weil man über das eine Kabel zwischen Router und Switch beide VLANs 
>und damit beide IP-Netze fährt...die sich natürlich dann auch die 
>physikalische Bandbreite dieses einen Kabels teilen.
>
>Damit der Switch dann die zwei VLANs wieder trennen kann (auf Portbasis gehts 
>ja nicht, weil ja beide IP-Netze über einen Port reinkommen), führt man sog. 
>"Tagging" (=Markieren) ein, d.h. jedes Ethernetpaket erhält zusätzliche 4 
>Bytes (IMHO), die die VLAN-Nummer beeinhalten. Das steht z.B. in dem ominösen 
>Standard 802.1q. 
>Ciscogeräte kennen übrigens noch einen anderen Standard, bei denen wird per 
>Default der sog. "iEEE"-Standard genommen. Wenn man dann nicht auf 
>"dot_one_q" umschaltet, gehts nicht, weil sich die beiden Geräte nicht 
>verstehen: Linux kann IMHO nämlich nur 802.1q.
>  
>
Ähhh, nein! Cisco nimmt per Default den Cisco-Standard ISL und kann auch
IEEE 802.1q.

>Die Switches müssen dann untereinander (also auf den sie verbindenden 
>Leitungen) ebenfalls Tagging fahren und natürlich die besagten VLANs 
>konfiguriert haben...an einem Switch kann man dann einen Endgeräteport in das 
>eine oder das andere VLAN schalten und damit hat man die gewünschte 
>Trennung....das Endgerät wechselt bei diesem Umschalten aber defacto das 
>IP-Netz, also ohne DHCP-Reload (ipconfig /renew bei Windows, 
>/etc/rc.d/init.d/network restart bei Linux) kanns Probleme geben....Geräte 
>ohne DHCP, also fest konfigurierte IP-Adresse, muß man händisch 
>umkonfigurieren, da sie nacher im falschen Netz stehen.
>
>  
>
Tja, wie gesagt, wenn man wüsste was er will ...

MFG

   Dirk Traenapp
-- 

    Dirk Traenapp

More information about the redhat-list-de mailing list