ich muss vorausschicken: ich bin beim Thema VLAN noch Neuling, deshab bitte naive oder unbeholfene Fragen bitte verzeihen
Ich werde in einem Netz den 1783VAW als Router und einen GS2326 als Switch einsetzen.
Um nun die Sicherheit zu erhöhen dachte ich, ich richte mehrere VLANs ein:
- eines um die eigentlichen Rechner drin zu haben (zB VLAN ID 10)
- eines um das Gast WLAN abzutrennen (zB VLAN ID 20)
- eines um das Management der Komponenten zu machen
Nun hab ich mich durch die diversen Unterlagen gekämpft und denke folgendes verstanden zu haben:
Default VLAN
**********
Im Router und Switch gibt es ein default VLAN mit der anfänlichen ID 1.
Das ist das VLAN, das standardmäßig zugewiesen wird, wenn nix anderes definiert wird.
Management VLAN
**************
Ist bei LANCOM dieselbe ID wie das Default VLAN.
Ist das echt so oder hab ich da was übersehen.
Wenn ich also ein Management VLAN einrichten möchte mit einer anderen VLAN ID als 1, muss ich das Default VLAN ändern.
Konfigurationszugriff auf den Switch
***************************
Sobald ein Rechner in dem IP Range des Switches ist und dieselbe VLAN ID hat, kann ich den Switch konfigurieren, richtig?
Wenn ich also einen Rechner zum Konfigurieren des Switches nehmen möchte, kann ich einen Trunk-Port nehmen auf dem die Management VLANID und die normale ID (im Beispiel 10) aktiviert sind.
Der Rechner nimmt dann eine feste IP aus dem range des Switches udn tagt seine Pakete mit der Mgmt VLAN ID und kann konfigurieren.
Ansonsten eine IP via DHCP und kein VLAN Tag, dann wird mit dem Default Tag des Ports getaggt und der Rechner ist eine normale Arbeitsstation.
Da der Switch seine IP nie veröffentlicht kann da auch keiner drauf zugreifen
Konfigurationszugriff auf den Router
***************************
Hier ist es ja minimal anders.
Da die IP des Routers zumindest als Standard Gateway dem Rechner via DHCP mitgeteilt wird, reicht es hier ja aus, einem Rechner lediglich beizubringen seine Pakete mit der VLAN ID des Management VLANs zu taggen udn schon kann er den Switch zumindest ansprechen.
Ist das richtig ?
Was würde passieren, wenn einer mit der VLAN ID 10 auf die IP Adresse des Routers zugreift.
Kommt dann auch die Anmeldeseite oder kommt die nur bei korrekter VLAN ID des Management VLANs ?
VLAN ID Zugehörigkeit
*****************
Wenn ich es richtig verstanden habe, kann ich alle Ports des Switches vom default VLAN nehmen (also denHaken raus nehmen) von denen ich definitiv nicht möchte, dass sie jemals konfigurieren können sollen.
Noch ne Stufe weiter:
Ich würde nicht verwendete Ports sogar auf eine VLAN ID nehmen, die nicht geroutet wird um ein anstöpseln eines Fremdgerätes auszuschließen....
Hab ich das so richtig umrissen oder bin ich da auf dem Holzweg mit den o.g. Punkten ?
Gruß
Sven
edit 06102015: Typo in Überschrift