VLANs + Routing -> Verständnisproblem

I.MC

Watt soll denn hier hin?
Hallo zusammen,

ohne Umschweife direkt zu meiner Gehirnblockade:

Stellen wir uns 3 Vlan Switche vor. Einer ist der Master und die anderen beiden sind mit ihm verbunden, nicht jedoch untereinander. Jedem der Switche sind alle vorhandenen VLAN-IDs bekannt. Somit sollte man an jeden Switch an den jeweiligen Ports die jeweiligen Pakete zustellen können.

Momentan bedient jeder der kleinen Switches ein eigenes VLAN. Will heissen, Mitglieder des jeweiligen VLANs sind dediziert nur an einem der kleinen Switche angebunden. Man kann also sagen, je kleinen Switch ein VLAN. Will man von Vlan A dann rüber nach VLAN b des anderen kleinen Switches, so geht das nur über den Master-Switch.

So weit so gut und verständlich. Nun besitzen die Switche aber nur je ein IP (welche einem eigenen VLAN angehört). Diese wird nur zu Adminzwecken verwendet und stellt KEIN Gateway da (geht auch nicht, weil wie gesagt in eigenem VLAN).

Ein Kollege behauptet nun, dass das nich sein kann könne. Denn jedes VLAN besteht zudem aus einem eigenen IP-Bereich. Wolle man nur von VLAN A zu VLAN B, dann müsse man eine Gateway-IP ansprechen können. Diese müsse dann logischerweise auf dem Master-Switch sein (der dann ein Layer 3 Switch sein müsste). Dieser hat aber nur eine IP, und zwar die zur Administration im Admin-VLAN.

So wie ich die VLAN-Technik aber verstanden habe braucht man kein IP-Gateway. Alle Pakete gehen von den kleinen Switches doch eh auch immer zu dem Master-Switch und dieser verteilt die dann an die angeschlossenen Switche weiter, von denen er weiß, dass diese das entsprechenden VLAN bedienen.

Was sehe ich hier falsch? Mir will gerade einfach nicht in der Kopf, wieso IP hier überhaut eine Rolle spielen soll für das Routing bzw. die Zustellung..

Danke und Gruß, I.MC
 

marty

Corsafahrer
Wenn der Masterswitch ein Layer3 Switch ist, muß der natürlich auch mit entsprechenden IP's aus beiden Subnetzen konfiguriert werden, sonst routet der nicht.
 

I.MC

Watt soll denn hier hin?
Um mein Problem etwas klarer zu machen. Ich frage mich, ob der Masterswitch unbedingt Gateway-IPs sein muss. Denn nach meinem Verständnis von LANs interssiert zur Adressierung prinzipiell erst mal nur die VLAN-ID im Header und die Konfiguration der Ports (Der Switch muss ja wissen, an welchem Ports welchen VLANs hängt).

Wozu ist dann wie in den non-VLAN der klassische weg über ein IP-Gateway notwendig?

Mir geht es also um eine Erklärung wieso ich unbedingt (oder auch nicht) ein IP-Gateway brauche...

Gruß, I.MC
 

Kamikaze

Warrior of Sunlight
So wie ich sehe brauchst du keinen Gateway. Die Switches müssen lediglich wissen an welchem Port welche IP erreichbar ist.

Wenn ich nicht alles total falsch verstanden habe, werden die Pakete wie bei einem HUB an alle Ports gegeben, so lange, bis auf einem eine Antwort ankommt. Da ist keinerlei weitere Konfiguration erforderlich.
 

I.MC

Watt soll denn hier hin?
Genauso ist auch mein Verständnis. Der Kollege meint aber wie gesagt, da müsse ein IP-Gateway sein an dem Master-Switch. Schließlich würde man sonst nicht aus dem jeweiligen Netz in das andere kommen. Er denkt also in der klassischen Router-Denkweise. Da es sich hier aber wie gesagt um VLAN-fähige Switche handelt, die eine Zustellung der Pakete über die VLAN-Header beherrschen, verstehe ich seine Aussage nicht.

Verdammt noch mal, ich will das jetzt hier beschworen bekommen, dass ich richtig liege ;-)

Gruß, I.MC
 

TCM

Well-Known Member
Da es sich hier aber wie gesagt um VLAN-fähige Switche handelt, die eine Zustellung der Pakete über die VLAN-Header beherrschen, verstehe ich seine Aussage nicht.
sind die switch nun layer3-faehig oder nicht?

vlans sind auf layer2. will man zwei vlans verbinden, braucht man einen router, der in beiden vlans ist oder halt einen layer3-switch, der dann routet.
 

I.MC

Watt soll denn hier hin?
Ich weiß nicht auf welchem Layer die Vlans sind. Vlans können nach meinem Kenntnisstand auf Layer 1-4 etabliert werden. Ich vermute, dass die hier auf Layer 2 laufen.

Glaubt man nun Wikipedia, dann braucht man um zwischen VLANs zu routen zwingend einen Layer-3-Switch...

Gruß, I.MC
 

max93

Well-Known Member
Hallo!

Glaubt man nun Wikipedia, dann braucht man um zwischen VLANs zu routen zwingend einen Layer-3-Switch...
Ohne wirklich viel Ahnung davon zu haben, hätte ich das auch so gesehen. Ansonsten wären VLANs ja unsinnig, wenn von VLAN 1 dann doch wieder Pakete ohne Zwischenschicht an VLAN 2 geschickt werden könnten.

Ciao.
Markus Mann
];-)
 

I.MC

Watt soll denn hier hin?
Nun die Frage ist, auf Layer 2 hat man ja auch Quell und Zieladresse. Wieso muss man da erst Layer 3 nutzen?

Ein VLAN-Switch (Layer 2) besitzt ja eine Tabelle, welche VLAN-ID zu welchen MAC-Adressen gehört. So gesehen könnte er ja, genau wie ein Paketfilter ahand von IP-Adressen, anhand der Quell- und Ziel-Mac-Adresse Filterregeln besitzen. Die könnten dann entweder die Kommunikation zwischen MAC-Adressen verschiedener VLANs erlauben oder nicht.

Es geht mir hier also mehr um das technische Verständnis dahinter, wieso ich Layer 3 brauche für das Routing zwischen zwei auf Layer 2 geswitchten VLANs....

Gruß, I.MC
 

marty

Corsafahrer
Wenn du TCP/IP nutzen willst, mußt du dich zwangsweise mit Layer 3 beschäftigen. Ansonsten lese dir bitte erst mal etwas zum OSI Schichten Modell durch: http://de.wikipedia.org/wiki/OSI-Modell

Ansonsten verstehe ich erst mal nicht, wo dein Problem liegt. Erstelle doch mal eine Grafik mit den IP Adressen der Clients, den Switchen, wer wohin "sprechen" will, VLANs und so weiter.
 

Manga

Well-Known Member
anhand der Quell- und Ziel-Mac-Adresse Filterregeln besitzen

Bei vlans wird allerdings nur nach vlan id gefiltert. Prinizipiell könnte man die
dynamisch je port anpassen was aber sollte das Filterkriterium sein?

Praktisch kannst Du am Hauptswitch nen Server einbinden, der in beide vlans darf,
und hast so nen Broadcaststurmbegrenzer.
Für viel mehr taugen vlans eh nicht finde ich.

Wenn Du vlan fähige NIC´s hast, kannst Du noch ein wenig mehr
rausholen/besser Filtern, aber richtig dolle ist das auch nicht.
 

ypswes

Keine Ahnung von Nix
Wenn Du deine Switche in der Kascade anordnest, wie Du eben beschrieben hast, dann werden sich die Rechner im selben VLAN unterhalten können, aber es wird keine Kommunikation zwischen den Vlans geben können, da VLAN nun mal im OSI Schichten Modell auf Layer 2 angesiedelt sind, und um vom einen VLan in das andere zu kommen muss Du ein Layer 3 device haben, also einen Router.
Es gibt natürlich auch sogenannte "Layer 3 Switche", das ist aber nicht anderes als ein Switch mit einen internen Router.
Was für IP Adressen Du vergibst in Deinen Vlans ist fast egal, solange diese im selben Subnetz liegen. willst Du zwischen en Vlan´s routen, dann musst Du Dir halt drei verschiedene Subnetze nehmen.
Mit einer NIC die sogenanntes "Trunking" ( so heisst es jedenfalls bei Cisco ) kann, d.h. mehrere Vlans auf einen Kabel , kannst Du Deinem Server mit einen Beinchen ins das Vlan A hängen, mit dem anderen Beinchen in das Vlan B.
Routen wird da trotzdem nichts, es sein den dein Server routet auch.

Dein Kollege hat also Recht, Du brauchst einen Router für Kommunikation zwischen den Vlans.


Schau doch mal hier nach unter dem Kapitel VLAN:
http://www.netzmafia.de/skripten/netze/netz7.html
 

I.MC

Watt soll denn hier hin?
Stimmt, der Groschen ist inzwischen gefallen. Es gibt jedoch eine Ausnahme bei der man kein Routing auf Layer 3 braucht. Und zwar, wenn die IP-Adresse im Vlan A aus dem gleichen Subnet sind wie die IP-Adresse aus Vlan B. Natürlich dürfte keine IP-Adresse doppelt vergeben sein. Dann wäre es zumindest theoretisch möglich ein Vlan Switch so zu konfigurieren, dass er Vlan A mit Vlan B verbindet. Er müsste nur in jeder Richtung die Vlan-Tags umändern. Aber das will will wohl keiner. Da kann man sich Vlans dann auch gleich sparen ;-). Kranke Idee, aber es müsste gehen.

Gruß, I.MC
 

ypswes

Keine Ahnung von Nix
:confused:
Was soll denn das bedeuten ?????

"Er müsste nur in jeder Richtung die Vlan-Tags umändern"

Es entgleitet hier ziemlich ins hypothetische, oder ?
Die über den Trunk laufenden Vlans sollen also die Richtung der tags ändern, und dann brauche ich keinen Router. ???
Das macht mich fertig, ich nehme mir Urlaub ! :)
 
Oben