Hallo,
Ich hab mal wieder ne kleine Frage welche ich selbst nicht richtig lösen konnte. Wir haben jetzt beide VDSL's welche wir haben zusammen an als Modems am Hauptrouter 1711 VPN jedoch gibt es nun ein kleines Problemchen. Es handelt sich hier um zwei getrennte Netzte Firma A mit 192.168.1.x und Firma B mit 192.168.2.x jedoch soll Firma B nicht mit Firma A kommunizieren dürfen. Umgekehrt ist nicht so schlimm. Firma A hat einen 24 Port Switch und Firma B hat auch einen eigenen 24 Port Switch. Bis anhin war Firma A mit Firma B via ein WAN Router Verbunden damit Firma A den VDSL Router von Firma B benutzten konnte jedoch Firma B nicht auf das Netz von Firma A konnte. Ich habe ir überlegt ob ich den Lan Port an welchem der Router auf dem Switch ist via Port Mirroring ins VLAN der Firma B legen soll... Ist das intelligent?
Bin für Lösungsvorschläge offen,
Danke,
Grüsse
SOnic
2 Firmen gleicher Router?
Moderator: Lancom-Systems Moderatoren
@backslash: hehe, du bist immer der schnellste der mir antwortet 
Habe mir das ganze mal durch gelesen. Habe auch noch folgenden KB dazu angeschaut http://www2.lancom.de/kb.nsf/b8f10fe566 ... enDocument jedoch beschreibt der KB das man dafür mehrere LAN ports nehmen muss... Ich habe aber nur LAN-1 der Rest ist bei mir DSL-1, DSL-2, DSL-3, DSL-4. Da wir innert dieser Woche auf 4 VDSL ausbauen.
Gibt es eine möglichkeit die netzte zu trennen nur mit einer physikalischen schnittstelle?
Grüsse,
Sonic
EDIT:// @backslash, habe das ganze gelöst bin aber gespannt ob meine Lösung verbesserungsfähig ist. Also Wie im Beispiel beschrieben habe ich unter "TCP/IP" -> "IP-Netzwerke" zwei neue Netze gemacht.
Netzwerkname: Firma A
IP-Adresse: 192.168.1.1
Netzmaske: 255.255.255.0
Netzwerktyp: Belibig
VLAN-ID: 0
Schnittstelle: LAN-1
Adressprüfung: Flexibel
Tag: 0
Netzwerkname: Firma B
IP-Adresse: 192.168.2.1
Netzmaske: 255.255.255.0
Netzwerktyp: Belibig
VLAN-ID: 0
Schnittstelle: LAN-1
Adressprüfung: Flexibel
Tag: 1
dann unter "TCP/IP" -> "DHCP-Netzwerke" die beiden neuen netze erfasst aber alles frei bzw. leer gelassen.
dann auf dem Switch den Port (nr. 18) wo der LAN-1 hingeht ein Port Mirroring gemacht auf Port (nr. 4) weil 1-4 in dem VLAN 2 sind der Firma B und 5-24 im VLAN 1 der Firma A.
Gibt's da optimierungsideen?
Danke für eure Hilfe,
Grüsse
Sonic
Habe mir das ganze mal durch gelesen. Habe auch noch folgenden KB dazu angeschaut http://www2.lancom.de/kb.nsf/b8f10fe566 ... enDocument jedoch beschreibt der KB das man dafür mehrere LAN ports nehmen muss... Ich habe aber nur LAN-1 der Rest ist bei mir DSL-1, DSL-2, DSL-3, DSL-4. Da wir innert dieser Woche auf 4 VDSL ausbauen.Gibt es eine möglichkeit die netzte zu trennen nur mit einer physikalischen schnittstelle?
Grüsse,
Sonic
EDIT:// @backslash, habe das ganze gelöst bin aber gespannt ob meine Lösung verbesserungsfähig ist. Also
Wie im Beispiel beschrieben habe ich unter "TCP/IP" -> "IP-Netzwerke" zwei neue Netze gemacht.Netzwerkname: Firma A
IP-Adresse: 192.168.1.1
Netzmaske: 255.255.255.0
Netzwerktyp: Belibig
VLAN-ID: 0
Schnittstelle: LAN-1
Adressprüfung: Flexibel
Tag: 0
Netzwerkname: Firma B
IP-Adresse: 192.168.2.1
Netzmaske: 255.255.255.0
Netzwerktyp: Belibig
VLAN-ID: 0
Schnittstelle: LAN-1
Adressprüfung: Flexibel
Tag: 1
dann unter "TCP/IP" -> "DHCP-Netzwerke" die beiden neuen netze erfasst aber alles frei bzw. leer gelassen.
dann auf dem Switch den Port (nr. 18) wo der LAN-1 hingeht ein Port Mirroring gemacht auf Port (nr. 4) weil 1-4 in dem VLAN 2 sind der Firma B und 5-24 im VLAN 1 der Firma A.
Gibt's da optimierungsideen?
Danke für eure Hilfe,
Grüsse
Sonic
Hi SonicBoom
d.h. du stellst vor den einen freien port einen VLAN-fähigen Switch, den du passend konfigurierst:
- ein Port in VLAN 1 (=> der geht an Firma 1), so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 2 (=> der geht an Firma 2), ebenfalls so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 1 und in VLAN 2 (=> der geht ans LANCOM). Bei diesem Port müssen die Tags aber in die Pakete eingefügt werden...
Im LANCOM setzt du nun für das Netz der Firma 1 das VLAN 1 und am Netz der Firma 2 das VLAN 2...
Das Problem ist, daß die beiden Netze am Ende (also am LANCOM) im gleichen VLAN sind... Dadurch kannst du keine getrennten DHCP-Server betreiben...
Deine Idee mit dem VLAN-Switch ist aber ansonsten nicht falsch - du mußt halt nur die VLANs ans LANCOM weiterleiten und dort bei den ARF-Netzen separieren...
Gruß
Backslash
hier ist das Stichwort: VLAN...Gibt es eine möglichkeit die netzte zu trennen nur mit einer physikalischen schnittstelle?
d.h. du stellst vor den einen freien port einen VLAN-fähigen Switch, den du passend konfigurierst:
- ein Port in VLAN 1 (=> der geht an Firma 1), so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 2 (=> der geht an Firma 2), ebenfalls so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 1 und in VLAN 2 (=> der geht ans LANCOM). Bei diesem Port müssen die Tags aber in die Pakete eingefügt werden...
Im LANCOM setzt du nun für das Netz der Firma 1 das VLAN 1 und am Netz der Firma 2 das VLAN 2...
das ist nicht nur verbesserungsfähig, sondern dringend verbesserungsbedürftig...habe das ganze gelöst bin aber gespannt ob meine Lösung verbesserungsfähig ist.
Das Problem ist, daß die beiden Netze am Ende (also am LANCOM) im gleichen VLAN sind... Dadurch kannst du keine getrennten DHCP-Server betreiben...
Deine Idee mit dem VLAN-Switch ist aber ansonsten nicht falsch - du mußt halt nur die VLANs ans LANCOM weiterleiten und dort bei den ARF-Netzen separieren...
Gruß
Backslash
nur damit ich das richtig verstanden habe
- ein Port in VLAN 1 (=> der geht an Firma 1), so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 2 (=> der geht an Firma 2), ebenfalls so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 1 und in VLAN 2 (=> der geht ans LANCOM). Bei diesem Port müssen die Tags aber in die Pakete eingefügt werden...
Ich nehme auf dem Switch z.B.
Port4 VLAN2 Firma A untagged
Port5 VLAN3 Firma B untagged
Port6 VLAN2 Firma A tagged
Port7 VLAN3 Firma B tagged
und wo steck ich dann den Router an?
Sorry... für die udmme frage..
- ein Port in VLAN 1 (=> der geht an Firma 1), so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 2 (=> der geht an Firma 2), ebenfalls so konfiguriert, daß er nach "außen" keine VLAN-Tags einfügt.
- ein Port in VLAN 1 und in VLAN 2 (=> der geht ans LANCOM). Bei diesem Port müssen die Tags aber in die Pakete eingefügt werden...
Ich nehme auf dem Switch z.B.
Port4 VLAN2 Firma A untagged
Port5 VLAN3 Firma B untagged
Port6 VLAN2 Firma A tagged
Port7 VLAN3 Firma B tagged
und wo steck ich dann den Router an?
Sorry... für die udmme frage..
Hey backslash,
vielen vielen Dank für deine Hilfe. Ich habe es endlich hingekreigt.
Das Problem lag am Switch... Wir nutzten für dieses Subnetz ein Allied Telesyn AT-GS950/48 welcher einen nicht gerade logischen VLAN Abschnitt hat. Nicht mal der Support konnte mir erklären wie isch ein Port für zwei VLAN's Tagge.
Es läuft jetzt alles. Hatte jedoch vorhin einen sehr sehr komischen Fehler mache aber dazu einen anderen Thread. Weil es ja nicht's mehr mit diesem Topic zu tun hat.
Grüsse und nochmals vielen Dank,
Sonic
vielen vielen Dank für deine Hilfe. Ich habe es endlich hingekreigt.
Das Problem lag am Switch... Wir nutzten für dieses Subnetz ein Allied Telesyn AT-GS950/48 welcher einen nicht gerade logischen VLAN Abschnitt hat. Nicht mal der Support konnte mir erklären wie isch ein Port für zwei VLAN's Tagge.
Es läuft jetzt alles. Hatte jedoch vorhin einen sehr sehr komischen Fehler mache aber dazu einen anderen Thread. Weil es ja nicht's mehr mit diesem Topic zu tun hat.
Grüsse und nochmals vielen Dank,
Sonic
Hi SonicBoom,
- Netze mit dem Tag 0 sehen alle Netze
- Netze die als DMZ gekennzeichent sind, werden von allen Netzen gesehen.
Sollen trotzdem bestimmte Dienste aus dem jeweils anderen Netz sichtbar sein, mußt du das über eine passende Firewallregel erlauben:
Achtung: Wenn Netz 2 das Interface-Tag 0 hat, dann mußt du als Routing-Tag 65535 eintragen, weil das Routing-Tag 0 in der Firewall nicht zugewiesen werden kann (eine 0 bedeutet hier, daß das vom Interface vorgegebene Tag nicht geändert wird)
Gruß
Backslash
Das hängt von den verwendeten Interface-Tags ab... Netze mit gleichem Tag sehen sich, Netze mit unterschiedlichen Tags sehen sich nicht - mit zwei Ausnahmen:Gibt es trotzdem die möglichkeit auf Stationen des VLAN1 vom VLAN2 zuzugreifen? Das via Router zu steuern? Firewall Regeln???
- Netze mit dem Tag 0 sehen alle Netze
- Netze die als DMZ gekennzeichent sind, werden von allen Netzen gesehen.
Sollen trotzdem bestimmte Dienste aus dem jeweils anderen Netz sichtbar sein, mußt du das über eine passende Firewallregel erlauben:
Code: Alles auswählen
Quelle: Stationen aus Netz 1
Ziel: Stationen aus Netz 2
Dienste: je nach bedarf
Aktion: übertragen
Rtg-Tag: Interface-Tag des Netz 2Gruß
Backslash