Gast W-lan – Access Point – Vlan – Switch Teil 2 (Vlan einrichtung)

Jetzt geht es erst mal um die Einrichtung der Vlans im Switch. Zum Verständnis erst mal eine kleine Erklärung was sind Vlans und wie Funktionieren diese. Ohne diese Grundlagen wird es schwer zu verstehen wie merkwürdig dann ein Netzwerk reagieren kann.

Ein Vlan ist nichts anderes als die Möglichkeit einen Switch Virtuel aufzuteilen. Verschiedene  Vlans können nicht miteinander kommunizieren.

Jetzt würde man sagen ich richte 2 Netzte ein 192.168.4.0/24 und 10.90.90.0/24 und diese beiden Netzte können auch nicht miteinander

Switch
Aufbau eines Netzwerk mit Vlans

kommunizieren.  Das ist so  nicht ganz richtig. Wenn ich einen im unteren Beispiel Bild.

Hier gibt es 2 Vlan:

Grün (Vlan 10, 192.168.4.0) und Organe (Vlan 20, 10.90.90.0). Alle Clients im Vlan 1 können mit einander Kommunizieren und alle im Vlan 20. Wenn man dies nun OHNE Vlans umsetzt nur mit den verschiedenen Adressen kommt augenscheinlich dasselbe dabei raus. Wenn man nun einen Client (Grün Vlan 10) aber eine IP Adresse aus dem Organen (Vlan 20) gibt, oder ein 2. virtuelles Interface, kann er nun mit dem anderen Vlan kommunizieren.

Mit Vlan habe ich auf Switch ebene volle Kontrolle was die Rechte angeht.  Der Switch muss dazu aber Vlan Tagging nach 802.1Q unterstützen. Es gibt viele Herstelle die da auch gerne Ihr eigenes Protokoll nutzen und Clients damit nur bedingt zu Recht kommen.

Jeder Hersteller hat auch hier seine eigene Programmierung und manchmal auch Bezeichnungen.  Aber meist lassen sich die Begriffe dazu ableiten und dann auch umsetzten. In meinem Beispiel wird ein Trendnet TEG-160WS eingesetzt. Das ist ein 16 Port Gigabit Switch, sowie ein Netgear 5 Port Gigabit Switch.

Begriflichkeiten:

Jetzt erst mal zu den begrifflichkeiten  und Verständnis zu Vlans:

Zuerst richtet man die Vlans im Switch ein.  Das Vlan hat eine Zahl von 1-4096, wobei 1 immer das default Vlan ist. Dann noch meist eine Bezeichnung damit der Admin noch weiß wo für es eingerichtet ist. Ich habe folgende Vlan eingerichtet:

  • 1: Default
  • 10 : Home
  • 18: Schwiegereltern
  • 20 : Gastvlans

Wenn man mehrere Switche einsetzte sollte man die Vlan auch schon auf den anderen Switchen einrichten. Diese müssen die gleichen Vlan Nummern habe.

Es gibt 4 Einstellungen auf einen Port im Switch was die Zugriffe auf ein Vlan regelt.

Unuse (kein Zugriff, nicht ausgewählt):

Der Port darf nicht auf das Vlan zugreifen bzw Daten aus dem Vlan dürfen nicht zum Client weitergeleitet werden.

Untagged (U):

Der Port darf auf das Vlan zugreifen bzw. Daten aus dem Vlan empfangen. Die Informationen aus welchen Vlan die Daten kommen vom Switch zum Client und umgekehrt werden nicht an die Daten angehängt. Das ist innerhalb des Switch erst mal unwichtig.

Tagged (T):

Der Port darf auf das Vlan zugreifen bzw. Daten aus dem Vlan empfangen. Die Informationen aus welchen Vlan die Daten kommen vom Switch zum Client und umgekehrt werden an den Daten angehängt. Mehr dazu weiter unten.

PVID(Default Vlan):

Jeder Port benötigt ein default Vlan. In der Regel sendet ein Standard Client keine Vlan Informationen mit. Damit der Switch weiß in welches Vlan der Client und die dazugehörigen Daten gehören wird ein Default Vlan benötigt.

Zusammenfassung:

Zugriffe explizit verhindern kann man in dem ein Switch Port nicht zu einem Vlan zugeordnet wird (unuse).

Wenn ein Client Zugriff benötigt auf ein Vlan, wird der Switchport auf Untagged gestellt. Jeder SwitchPort benötigt ein PVID damit Daten einen Vlan (vom Client aus gesehen) zugewiesen werden.  Bei Tagged Ports werden die Vlan Informationen angehängt damit diese beim Client bzw nächsten Switch genutzt werden können.

Beispiele:

Hier jetzt einige Beispiele Anhand der Zeichnung :

Switch A:

Vlan 10 =Grün 10.92.168.4.0/24

Vlan 20= Organge 10.90.90.0/24

  • Port 1: Vlan 1 unuse; Vlan 10 untagged; Vlan 20 unuse; PVID 10
  • Port 2: Vlan 1 unuse; Vlan 10 untagged; Vlan 20 unuse; PVID 10
  • Port 3:
  • Port 4: Vlan 1 untagged; Vlan 10 tagged; Vlan 20 tagged; PVID 1
  • Port 5: Vlan 1 unuse; Vlan 10 unuse; Vlan 20 untagged; PVID 20
  • Port 6: Vlan 1 unuse; Vlan 10 unuse; Vlan 20 untagged; PVID 20
  • Port 7:
  • Port 8: Vlan 1 tagged; Vlan 10 tagged; Vlan 20 tagged; PVID 1

Switch B:

Vlan 10 =Grün 10.92.168.4.0/24

Vlan 20= Organge 10.90.90.0/24

  • Port 1: Vlan 1 unuse; Vlan 10 untagged; Vlan 20 unuse; PVID 10
  • Port 2: Vlan 1 unuse; Vlan 10 untagged; Vlan 20 unuse; PVID 10
  • Port 3:
  • Port 4:
  • Port 5: Vlan 1 unuse; Vlan 10 unuse; Vlan 20 untagged; PVID 20
  • Port 6: Vlan 1 unuse; Vlan 10 unuse; Vlan 20 untagged; PVID 20
  • Port 7:
  • Port 8: Vlan 1 tagged; Vlan 10 tagged; Vlan 20 tagged; PVID 1

Auf dem Switch A kann Port 1 + 2 miteinander kommunizieren. Vlan 1 und 20 sind auf unuse und das PVID ist das Vlan 10. Im Vlan 10 sind die Ports auf untagged gestellt. Der Switch regelt die Zugriffe Intern. Einige Clients kommen auch mit tagged Paket nicht klar, bzw es muss dann explizit Vlan Unterstützung 802.1Q beim Client aktiviert werden (dazu später mehr).

Auf dem Switch B kann Port 1 + 2 miteinander Kommunizieren. Vlan 1 und 20 sind auf unuse und das PVID ist das Vlan 10. Im Vlan 10 sind die Ports auf untagged gestellt. Der Switch regelt die zugriffe Intern.

Damit die Clients vom Switch A auch mit den Clients auf Switch B Daten austauschen können wird ein Uplink auf Port 8 hergestellt. Hier werden auf beiden Switche die Ports für alle Vlans auf tagged gestellt. Wenn ein Client aus Vlan 10 Switch A auf einen Client im Vlan 10 im Switch B zugreifen möchte, muss der Switch A am Port 8 die Vlan ID 10 anhängen (die PVID des sendenden Clients) damit der Switch B weiß für welches Vlan die Informationen bestimmt ist. Das Ganze dann auch umgekehrt. Nur so kann das Gerät in dem Falle der Switch B wissen zu welchem Vlan die Daten gehören. Ansonsten, wenn keine Vlan ID mitgegeben wird, wird der Switch B die PVID vom Port 8 (PVID 1) nehmen. Innerhalb eines Switch wird die Informationen nicht benötigt, da der Switch dies selbst händelt.

Bei der Verwendung eines WLan Access Point mit 2 SSID wird das etwas komplizierter. Der Access Point muss 802.1Q unterstützen. Jede SSID wird einem Vlan zugewiesen.

  • Home1 = Vlan 10
  • Home2 = Vlan 20

Der Ports 4 auf Switch A ist der UPLink zum WLan Access Point. Vlan 1 bleibt auf untagged und die PVID auf Vlan 1 (dazu mehr später). Vlan 10 und 20 auf tagged. Bei jedem W-Lan Client der im Home1 sich registriert wird jetzt das Vlan 10 angehängt, und im Home2 die Vlan ID 20. Nun kann der Switch entscheiden wo hin das Paket gehen darf. Wenn ein PC auf einen W-Lan Client zugreifen möchte, wird entsprechen da der Port 4 auf tagged für beide Vlans gesetzt ist, die Vlan Information an den WLan Access Point weitergegeben und der WLan Access Point kann nun entscheiden ob der Client dieses Paket haben darf oder nicht. Der WLan Access Point ist nichts anders als der Switch B in der oberen Beschreibung.

Wann nimmt man tagged und wann untagged Ports ? Das ist eigentlich einfach. Sobald der Client der an dem Port hängt die Vlan Informationen benötigt muss der Port auf tagged stehen für das Vlan. Hier ist aber darauf zu achten das der Client, das kann ein weitere Switch, WLan Access Point, oder auch ein PC sein diese Information verarbeiten kann.  Im Späteren Teil werden wir darauf noch eingehen, wenn der Raspberry als Router fungiert. Hier werden wir 802.1Q  einschalten und den Virtuellen Interfaces allen Vlan zuweisen. physikalisch hat der Raspberry nur ein Interface, durch das einschalten der Vlans Funktionalität kann ich x virtuell getrennte Interfaces betreiben.

Zur Einrichtung von Vlan auf den Switch Ports:

Zur Sicherheit werden erst mal alles Ports im Vlan 1 als untagged eingestellt. Das Vlan 1 ist das default Vlan. Hier komme ich später beim WLan Access Point noch drauf ein.  Die Uplink Ports zu anderen Switchen die auch Vlans supporten  werden für alle Vlans auf tagged gestellt, auch wenn diese Vlans dort nicht genutzt werden. Dann werden für die Vlans 10 + 20 etc. die entsprechenden Ports auf untagged oder unuse wie gewünscht gestellt. Dann das PVID für jeden Port noch mal prüfen !

Die Settings für den Raspberry als Router bzw. den WLan Access Point werde dann noch mal erklären wenn die Systeme konfiguriert werden. Die Fritzbox ist erst mal als Client anzusehen (untagged, PVID der Clients) Die Fritzbox beherrscht KEIN Vlan. Auch das W-Lan läst sich nicht taggeden . Das Gast-Lan geht an allem vorbei direkt ins Internet. Hier muss man überlegen ob man die Fritzbox nur noch für den Internet zugriff und den VOIP Telefonie zugang nutzt und das Wlan ggf. nur noch für das Home Lan nutzt.

Jetzt können erst mal alle Clients miteinander Kommunizieren.  Damit auch das Gast Lan mit dem Internet kommunizieren kann bzw. verschiedene Vlans miteinander, brauchen wir noch einen Router der auf einem Vlan die Anfrage entgegen nimmt und sie weiter in ein anderes schickt (z.B Friztbox für Internt). Das können in der Regel Layer 3 Switche die aber sehr teuer sind. Ich habe das mit einem Raspberry PI umgesetzt. Dazu kommen dann noch Firewall, DHCP,NTP , Webfilter, und noch einige andere Dienste die Zentral bereitgestellt werden.

wie gehts weiter:

 

4 Gedanken zu „Gast W-lan – Access Point – Vlan – Switch Teil 2 (Vlan einrichtung)“

  1. Wow, coller Artikel bzw. sehr schöne Anleitung.
    Toller Einblick in Deine Umsetzung verschiedener Problematiken/Ideen.
    Freue mich schon auf die weiteren Teile!
    Das hat mich auf eine neue Alternative gebracht, um mit einem Raspberry Pi ein OpenVPN Client Gateway aufzubauen für verschiedene Netze, welches dann meine FritzBox als Endpunkt nutzt – die FB kann ja leider kein OpenVPN.
    Mein LEDE-Router kann das zwar auch, aber der ist schon am Speicheranschlag für weitere Packages und bedient auch nur eins von zwei Netzen. Somit hatte ich schon überlegt, ob man nicht irgendwas mit einem Raspberry „basteln“ kann ohne zuviel Geld investieren zu müssen. Ein Rasp und ein 5er-Switch sind da nicht die Welt und ich habe wesentlich mehr Möglichkeiten als mit dem Router.
    Super, Danke!

Kommentar verfassen