|
Mehrere Subnetze über ein Kabel/Switch
Hallo liebe Netzwerkkundige,
ich möchte gerne bei einem Kunden das Netzwerk ein wenig umbauen, und bin mir fast sicher, dass es so geht wie mir vorschwebt. Um mich nachher nicht ggf. zu blamieren würde ich mich nur gerne hier rückversichern, dass meine Gedanken nicht quer gelaufen sind. Folgende Struktur soll nachher bestehen:
Code:
Folgende Verbindungen müssen nachher gehen:
Steuerung PC3 (2 NICs)
Subnetz 2 Subnetz 1 | Subnetz 2 | | | Switch----------------Firmennetz (N Switches) | | | (nutzt Subnetz 1) | | +-----+ PC1 (2 NICs) | Subnetz 1 PC2 Subnetz 2 Subnetz 1 PC1 <-> Steuerung PC1 <-> PC2 PC1 <-> PC3 PC3 <-> Steuerung PC2 <-> PC3 Unsicher bin ich bei den Switches, ob das auch so okay ist mit mehreren Subnetzen an einem Gerät bzw. über ein Uplink ins Kundennetzwerk. Solle aber so passen oder? (Sinn der Aufteilung in 2 Subnetze ist es, das Netzwerk der Produktionsbetriebe vom operativen zu trennen. Bisher sind dies auch physikalisch komplett getrennte Netze, was nicht mehr sein soll.) |
AW: Mehrere Subnetze über ein Kabel/Switch
Das geht schon nur darfst du nicht mit zwei Netzwerkkarten von einem PC an einen Switch gehen.
In bestimmten Fällen weiss das OS nicht über welche Karte es antworten soll und sendet Datenpakete über beide Karten was beim Empfänger dann wieder zur Verwirrung führt. Man kann für eine Netzwerkkarte doch manuell eine zweite IP festlegen. (für das Subnetz 2) Die erste IP wird dann automatisch per DHCP zugeteilt. (Subnetz 1) PS: wenn es im Hausnetz Router gibt müssen dessen Konfigs angepasst werden damit Pakete für Subnetz 2 weitergeleitet werden. |
AW: Mehrere Subnetze über ein Kabel/Switch
Ich bin mir nicht ganz sicher, aber ist das Aufteilen über einen gemeinsamen Switch nicht der Einsatzfall für VLAN?
|
AW: Mehrere Subnetze über ein Kabel/Switch
.. was sind denn das für Switche?
Am einfachsten wäre es wenn die Switche VLAN unterstützen würden. Dann gehen auch mehrere Subnetze über einen Switch. Grüße Klaus |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
Ein VLAN trennt die Netzwerke nur voneinander ab, als ob man unterschiedliche Switche nehmen würde |
AW: Mehrere Subnetze über ein Kabel/Switch
Schreit das nicht förmlich nach einem VLAN? :shock:
Was das aktuelle angeht: Subnetz heißt hier IP-Subnetz, oder? Dann ist das den meisten Switchen vermutlich völlig egal. Fragwürd ist, ob du hier tatsächlich einen Sicherheitsgewinn hast. Switche lassen sich erstaunlich leicht austricksen, und schon kannst du den Traffic des jeweils anderen Subnetzes mitlesen. Ich bin mir nicht sicher, ob ich dich richtig verstanden habe, aber für mich hört sich das wirklich so an als suchst du ein VLAN. Liebe Grüße, Valentin |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
|
AW: Mehrere Subnetze über ein Kabel/Switch
Ich bin netzwerkisch leider mehr mit Halbwissen unterwegs. Ich meine es so gelernt zu haben, dass Switche von sich aus VLANs bilden wenn sie mehrere getrennte Segmente "finden". Muss ich da selbst noch etwas dran machen? (Router sind glücklicherweise nicht im Netz.)
Der Sicherheitsaspekt geht nur so weit, dass wir einen redundanten "Master-Server" hinzufügen wollen, der DB Backups aus allen Unter-Betrieben macht, und bei Hardwareausfällen temporären Ersatz aus der Ferne bietet (es würde quasi PC3 die Arbeit von PC1 machen wenn PC1 kaputt geht, bis dieser wieder repariert ist). Es geht also nur um Produktionssicherung, nicht Abhörsicherheit. (Es gibt 11 solche "Blöcke" mit PC1 und PC2 und einer Steuerung drin. Die heissen in Echt natürlich anders. PC3 soll jeden PC1 ersetzen können wenn Not am Mann ist.) Die Sache mit den 2 NICs: Wie kann man weitere IPs an eine Karte geben? Nie gesehen/gemacht! Danke schon mal bis hier hin! divBy0 trifft den Kopf auf den Nagel :) |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
Unter Windows kannst du in den IP4-Einstellungen weiter IP-Adressen für eine NIC hinzufügen, habe es aber noch nie versucht. Wir nutzen immer getrennte NICs. |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
Die Netze werden dann anhand der VLAN Id (L2) unterschieden. Wenn Du ohne tagged VLANs auf der Rechner-Seite arbeiten willst, musst Du die Netze im Switch zusammenführen. (ob das geht weiß ich nicht, sinnvoll finde ich es jedenfalls nicht) oder wie von Dir bschrieben mit zwei Interfaces die auf zwei Switch-Ports führen arbeiten. Grüße Klaus |
AW: Mehrere Subnetze über ein Kabel/Switch
Ui, da arbeitet man schon so lange mit PCs, und mir fiel nie das Tab "Alternative Konfiguration" bei den IPv4 Einstellungen auf, bzw. hab auf Erweitert gedrückt :oops:
Tagging scheint mir mit einigem Konfigurationsaufwand verbunden zu sein, und da die kundeneigene IT Abteilung mit Freude Dinge kompliziert macht und rumzickt (und inkompetent ist), will ich von denen nicht mehr verlangen müssen als einen IP Nummernkreis mit dem wir vor deren DHCP sicher sind. Ob das nachher dann über einen NIC mit 2 IPs oder 2 NICs läuft ist mir fast schon egal. Ich probiere einfach mal beides. Wichtig ist dann nur, dass Switches dazu in der Lage sind Pakete aus 2 Netzen, die er über getrennte Ports bekommt, über einen einzelnen 3. Port in das Kundennetz weiter zu reichen, so dass "PC3" auch alles mitbekommt. Änderungen an Geräten im Kundennetz stehen aber leider völlig ausser Frage. |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
Das geht auch ohne VLAN. Ein VLAN macht hier aber durchaus Sinn, da stimme ich mit dir überein 8-) |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
ich würde 250 Euro in die Handnehmen und eine Firewall kaufen. (z.B. Cisco ASA 5505). Dort die beiden Switches anschliessen und die Kommunikation zwichen den Netzen über Regeln steuern. |
AW: Mehrere Subnetze über ein Kabel/Switch
Die beiden Netze sollen ja eigentlich gar nicht miteinander sprechen können. Es sollen wirklich 2 Netze sein (so als wären es physikalisch getrennte Kabel), und nur Rechner, die beide IP-Kreise abdecken sollen in beiden Netzen agieren können. Eine FW wäre hier meiner bisherigen Erachtung nach nur zusätzlicher Administrationsaufwand - der definitiv so klein wie möglich gehalten werden muss.
Nochmals zu dem Thema VLAN: Was muss getan werden, um eines zu erhalten? In meiner Netzwerkvorlesung meine ich damals mitbekommen zu haben, dass Switche diese von sich aus bilden. Hier hört sich das anders an. An welchen Geräten muss etwas konfiguriert werden? (Und verstehen Siemens SPSen dann ihre Pakete noch?) Können mehrere VLANs über ein einziges Kabel von Switch zu Switch reden? Hier tappe ich noch völlig im Dunkeln. Bisher dachte ich: 2 IP Kreise die in unterschiedlichen Subnetzen liegen, und der Trennung ist Genüge getan. (Zumal es wie gesagt keine besonderen Anforderungen an die Datensicherheit gibt.) |
AW: Mehrere Subnetze über ein Kabel/Switch
Die VLAN's musst Du selber in der Konfiguration des Switches definieren und konfigurieren. Es geht nur ein VLAN über ein Kabel. Es können nicht mehrere VLAN's über ein Kabel verbunden werden. Siehe Beschreibung von SirRufo.
Die Switche musst Du über einen Router verbinden, dieser routet dann die entsprechenden VLAN's an die enstprechenden VLAN's des zweiten Switches. Die zweite Möglichkeit wäre noch, man benutzt die beiden UP-Link Port des Switches um beide VLAN's an einen anderen Switch weiterzuleiten. |
AW: Mehrere Subnetze über ein Kabel/Switch
Den Switchen sind die IP Netze erst einmal egal, denn diese arbeiten auf ARP Ebene. Also eine Stufe unter IP.
Trennungen gehen in folgenden Varianten: - Vollständige Trennung - nur mit getrennten Netzwerkkarte und extra Switchen - Halbe Trennung - zwei Netzwerkkarten an einen Switch dort sind aber VLan's geschaltet - Variante halbe Trennung mit einer NK. - eine Netzwerkkarte, welche auch VLans versteht also an getaggten Ports betrieben werden kann. Wenn du mit IP-Subnetz arbeites empfiehlt sich der Einsatz eines Routers zwischen den Netzen um ggf. zu Filtern. |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
Ein Switchport kann auch als trunk/tagged-Port konfiguriert werden. Dann werden die VLAN Ids über diesen Port mitübertragen. Wird in der Regel in der Verbindung zwischen zwei Switchen eingesetzt. Grüße Klaus |
AW: Mehrere Subnetze über ein Kabel/Switch
Okay, VLANs fallen damit dann definitiv flach. Das wird die IT dort niemals wollen / auf die Kette bekommen. (Die haben sogar das Adminpasswort für ihre Router vergessen, die die 2 Straßenseiten miteinander verbinden... so eine Art von Haufen ist das. Zum Glück sind wir nur auf einer tätig.) Man wird mich schon dafür bestöhnen, dass ich nach einem Nummernkreis fragen werde :?
Von daher wird es wohl die "schlechte" Lösung werden: Einfach zwei Nummernkreise, alles in einen Switch und ab damit ins Kundennetz. Der zweite Nummernkreis ist dann im Prinzip nur dafür da, dass wir die statisch vergeben können. (Ganz am Anfang war noch geplant ein komplett physikalisch getrenntes neues Netzwerk aufzubauen, was aber aus Kostengründen umgestaltet wurde.) Hach, wäre es doch schön in der Realität Dinge einfach mal optimal machen zu können :stupid: Ich danke euch! |
AW: Mehrere Subnetze über ein Kabel/Switch
Zitat:
Dieser IP-Nummernblock ist dann reserviert für manuelle Vergabe. Wenn es darum geht "dummen Geräten" eine feste IP zu verpassen weil diese Geräte weder DHCP noch DNS implementiert haben, dann wäre das der einfachste Weg. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:47 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz