Moin,tstimper hat geschrieben: ↑12 Feb 2023, 19:43 Hi Torsten,Also mit dem Inter-VLAN Routing hat es nicht zu tun, es ist nur eine saubere Trennung für den Fall, das mal Netzwerk Fehler oder Konfig FehlerCode: Alles auswählen
By default, all logical interfaces (e.g. LAN-x, WLAN-x, P2P-x or WLC-TUNNEL-x) are aggregated transparently in a bridge (BRG-1). In "isolated mode" the bridge, i.e. the layer-2 forwarding between the different logical interfaces, is disabled. It may be regarded as a global enable-/disable switch for the bridging function. Info: Additional "Bridge" functionalities (e.g. Spanning Tree) also work in "Isolated mode".
an den angeschlossenen Switche vorkommen.
Broadcasts gehen über die Bridge, im Router Mode bleiben sie am Interface hängen.
ich glaube, wir reden hier ein wenig aneinander vorbei.
Die Frage ist doch, was würde hier im konkreten Fall gebridged werden?
Aushilfsinformatiker will am Lancom insgesamt 4x Switche mit einem 802.1Q Trunk anbinden. Auf allen Switches soll es zumindest das VLAN1 vom Lancom geben und auf dreien auch das VLAN10.
Das einfachste wäre es nun, die entsprechenden Netze im Lancom einfach alle auf LAN1 zu binden und entsprechende VLAN-Tags zu vergeben. Bei Netzen, die sich generell untereinander sehen sollen, wird ein identisches Routing-Tag vergeben (das erspart das umtaggen über die Firewall). ETH1-4 werden nun allesamt LAN1 zugeordnet.
Somit haben wir eine Trennung auf Layer 2 und 3. Das Inter-VLAN-Routing ist nun automatisch im Lancom aktiv, die gerouteten Pakete passieren die Firewall und entsprechend kann hier der Traffic kontrolliert werden.
Hier wird nichts gebridged, da nur das Interface LAN1 in Benutzung ist. Entsprechend ist es vollkommen egal, ob die LAN-Bridge im Standard oder Isolierten Modus ist. Die Option "Isolierter Modus" ist wie Dein Screenshot ja auch zeigt eigentlich nur ein globaler Schalter, um sämtliche BRG-Gruppen auf einmal abzuschalten. Hat die selbe Funktion, als würde man in der Port-Tabelle alle Interfaces auf Bridge-Gruppe "keine" setzen. In meinem obigen Beispiel also, um das "sauber" zu haben, einfach Interface LAN1 auf "keine", auch wenn das irrelevant ist, wenn weitere Interfaces gar keine Verwendung finden.
Der WLC-Tunnel wird ja, wenn ich die Darstellung richtig lese, im WLC terminiert und ist für den 1906 uninteressant.
Im übrigen wäre in dem gerade beschriebenen Fall sogar die Aktivierung des VLAN-Moduls unnötig. Dann muss nur bedacht werden, dass Frames, die im Lancom das Tag0 haben, ungetagged auf dem Trunk sind und entsprechend am anderen Ende des Trunks (also auf dem Switch) im VLAN landen, welches als PVID auf dem Port (bei Lancom ja ein Hybrid-Port) konfiguriert ist (z.B. eben VLAN1).
Broadcasts werden durch die Broadcast-Domain beschränkt und wie wir alle wissen, stellt ein VLAN eine Broadcast-Domain dar. Also selbst wenn ich zwei LAN-Interfaces Bridge, welche in unterschiedliche VLANs gebunden sind, dann werden hier keine Broadcast geflutet.
So ist deren Definition, ja.Koppelfeld hat geschrieben: ↑12 Feb 2023, 20:35 Das SCHAFFT Probleme.
Ein Switch arbeitet aus L2. Ein Router auf L3.
Trotzdem sehe ich das ein wenig anders (moderner) als Koppelfeld, aber diese Diskussion hatte ich vor einigen Jahren mit ihm schon einmal.
Im oben beschrieben Szenario hast Du beim Inter-VLAN-Routing den !906 als mögliches Nadelöhr. Soweit ich mich erinnere ist es so, dass dort alle 4 ETH-Ports auf dem selben 1GBit/s LAN-Chip arbeiten. Die 1GBit/s werden also geshared.
Je nachdem, wie hoch der zu erwartende Anteil des Datenverkehrs zwischen den VLANs ist, ist es meiner Meinung nach ggf. durchaus sinvoll einen zentralen "Core"-Switch einzusetzen, der mit aktivierter Layer3-Funktionalität das Inter-VLAN-Routing übernimmt. Restriktionen müssten dann natürlich über ACLs im Switch gemacht werden. Ein ordentlicher Switch kann das Forwarding zwischen den VLANs dann auf jeden Fall in Wirespeed machen.
EDIT:
@Aushilfsinformatiker
Die Problematik mit dem Server verstehe ich nicht. Der wird doch am Ende über das Inter-VLAN-Routing auch von den den anderen Netzen erreichbar sein und der Zugriff auf diesen damit über die Firewall im Router oder ACLs im Switch gesteuert werden.
Da wäre es mMn ziemlicher Blödsinn, den Server über eine weitere Netzwerkschnittstelle in ein weiteres VLAN einzubinden.
Grüße,
Torsten