Windows-Dau und 802.1q - Hilfe gesucht

Windows-Dau und 802.1q - Hilfe gesucht (35 Beiträge, 519 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hi !

Ausgehend von einem VLAN-fähigen Switch, den Väterchen zu Weihnachten bekommt:

Wie definiert man unter WindowsXP, Vista und 7 einen Trunk Port unter Windows?
Die Idee ist, dass beispielsweise ein XP-Rechner die VLANs 10 und 30 verwenden soll, ein Windows Vista-Rechner 10 und 20, ... ?

Googeln führte zu
http://www.formortals.com/implementing-vlan-trunking/

Dazu ein paar Fragen:

To get started, simply invoke the Intel PROSet or PROSet II utility

Macht das eh das OS - oder hängt das von den NW-Kartentreibern ab?
Gibt es "generische" OpenSource-Tools, die das dann für alle NW-Karten machen?
Klappt das unter XP, ... eh auch unter Home - oder braucht man da wieder eine besondere "Edition" von Windows?
Funktioniert das auf allen Windows-Versionen gleich?

18.12.2012, 19:19 Uhr - Editiert von kombipaket, alte Version: hier

Hi!

Bitte vermische hier nicht zwei verschiedene Dinge, die grundsätzlich nichts miteinander zu tun haben.

Trunk: eine Zusammenschaltung mehrerer Ports auf einem Switch, die wie einer agieren, allerdings mit gesteigerter Durchsatzfähigkeit (uU. auch LACP genannt). D.h. Du machst zB. aus zwei physikalischen Gigabit-Ports einen logischen Port mit 2 Gbit. Und zwar für einen Host (der dann zwei Netzwerkkarten im Team benötigt) oder einen weiteren Switch, der ebenfalls einen solchen Trunk definiert hat.

VLAN: Du hast mehrere Netze (zB. 192.168.0.0/24, 192.168.1.0/24), die zwar auf dem selben Switchport bereitgestellt, aber nur von Geräten, die dieses VLAN auch annehmen, verarbeitet werden (VLAN tagging). Vereinfacht ausgedrückt heißt das, wenn Du dem Netzwerk 192.168.0.0/24 die VLAN-ID 10 und dem Netzwerk 192.168.1.0/24 die ID 20 gibst, nun in der Netzwerkkartenkonfiguration des Rechners VLAN 10 einstellst wirst Du auch mit einer Adresse wie zB. 192.168.1.5 nicht in das andere VLAN kommen, obwohl die IP-Adresse aus diesem Netzwerk ist.

Die Kombination dieser beiden Technologien ist selbstverständlich möglich: an einem Trunk werden bestimmte VLAN-IDs bereitgestellt, die dann darüber verarbeitet werden können.

EDIT:
Nachdem ich gerade Deinen verlinkten Artikel gelesen habe: das, was bei Cisco als "Trunk" bezeichnet wird ist nicht das, was man unter "Trunk" verstehen könnte. Im Artikel (bei Cisco) wird ein Trunk dann benötigt, wenn man mehrere VLANs auf einem Port bereitstellen möchte (das Äquivalent zu VLAN tagging), was nichts mit einem Trunk im Sinne der Zusammenschaltung mehrerer Ports zu einem zu tun hat.

EDIT 2:
Dieser Link veranschaulicht die Unterschiede: http://networkingnerd.net/2011/02/02/when-is-a-trunk-not-a-trunk/

Damit Du mit VLANs arbeiten kannst muss die Netzwerkkarte (bzw. der Treiber) das unterstützen; das von Dir genannte ProSet zB. ist von/für Intel NICs und kann mit VLANs umgehen. Es ist aber nicht möglich, auf einer Netzwerkkarte mehr als ein VLAN zu definieren.
Da die VLAN-Fähigkeit treiberabhängig ist ist das OS dahinter egal; für das ist das ganze transparent.

Was genau hattest Du denn im Sinn?

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

Mein aktiver Beitrag zur Sanierung des Staatshaushalts: ich spare die Signatur ein.

19.12.2012, 01:12 Uhr - Editiert von Glockman, alte Version: hier

Bitte vermische hier nicht zwei verschiedene Dinge, die grundsätzlich nichts
miteinander zu tun haben.

Wie du schon gesehen hast - ich bin bei Cisco-Speak. Um es eindeutig zu machen, habe ich ja auch 802.1q in den Titel aufgenommen...

Damit Du mit VLANs arbeiten kannst muss die Netzwerkkarte (bzw. der Treiber)
das unterstützen;

Unter Linux klappt das mit jeder NW-Karte. Muss ja auch gehen - schließich kann das OS ja im Notfall via raw sockets selbst Pakete basteln... Daher kann es auch jede Karte. Scheinbar ist das unter Windows sinnloserweise anders

. Die Chance für eine OpenSource-Lösung über dem NW-Treiber besteht also weiterhin - gibt es da was?

Was genau hattest Du denn im Sinn?

Broadcastdomänen reuzieren und abgetrennte Netze. Jedes VLAN bekommt seine eigene IP-Range - damit die Geräte, die in mehreren VLANs stehen, korrekt in das jeweilige hineinrouten können...

eine Zusammenschaltung mehrerer Ports auf einem Switch

Wie du schon gefunden hast - das nennt man unter Cisco "etherchannel" und unter Linux "Bonding"

Broadcastdomänen reuzieren und abgetrennte Netze. Jedes VLAN bekommt seine
eigene IP-Range - damit die Geräte, die in mehreren VLANs stehen, korrekt in
das jeweilige hineinrouten können...

wenn du schon bei cisco bist. warum lässt du diesen job nicht von einem router erledigen? Inter VLAN Routing und den Access auf restriktierte Geräte kannst du wesentlich schöner via ACL's regeln. IMHO wesentlich komfortabler als irgend welche Trunks direkt zu Hosts durch zu leiten.

wenn du schon bei cisco bist. warum lässt du diesen job nicht von einem router
erledigen?

Weil kein Router vorhanden

.

Denk Dir folgendes Beispiel-Szenario:

Ein VLAN (10) für die PCs (für SMB, ...): 192.168.0.0/24
Ein VLAN (20) für Internet, VoIP-Telephon, ...: 10.0.0.0/24
Ein VLAN (30) für den Drucker. 192.168.1.0/24

Die Geräte könnte man wie folgt anhängen:
- PCs: Haben alle einen Trunking-Port und sind in den 3 VLANs
- Drucker: Hängt an einem Port fix in VLAN30
- VoIP-Tel und ADSL-Modem: Hängen an ihrem Port fix in VLAN20

Die Kommunikation Drucker/Internet-Lan wird so fix ausgeschlossen.
Die Kommunikation "Nicht-PCs" zu SMB-Shares kann ausgeschlossen werden - wenn SMB nur im VLAN10 erlaubt
...

Zusätzlich werden die Broadcast-Domänen kleiner - auch kein Fehler.

Ein richtiges "Routing" im Sinne von Forwarding würde also gar nicht stattfinden - die PCs an ihrem Trunk würden nur wissen, welche VLAN-ID sie - je nach Zielnetz - sie vorne an die Pakete dranpappen müssten.

ein solches setup ist kompletter quatsch. Je nachdem musst du ja nicht nur auf jedem Cleint PC und den Servern Trunks machen, du musst auch noch routingtables warten.

Lass das mal sein und schmeiß die Clients in ein-x LANs,Server in ein anderes, Drucker auch in ein spezielles. Zwischen LANs dann eine Firewall/acls sind muss man sich überlegen obs Sinn macht, uplink zum Internet ist auch ein eigenes Netz. Und in der Mitte steht ein gscheiter Router (oder auch eien Firewall), der wiederrum per Trunk am Switch hängt.
Die einzigen (Pseudo) Trunkports im Clientbereich wären solche an denen spezielle VoIP Phones hängen wo auch gleich der PC mit dran hängt.

Was dann sicher auch Sinn macht:QoS

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

du musst auch noch routingtables warten.

Wieso? Jedes VLAN-Interface bekommt seine IP im passenden Lan - fertig.

Und in der Mitte steht ein gscheiter Route

Wozu den Stromfresser in ein Heimnetz? Wozu die extra-Ausgaben wenn ich nichts gewinne ausser der Trennung der Netze (die ich eh auch bei den VLANs schon habe) ?

Was dann sicher auch Sinn macht:QoS

Sowieso - aber das ist eine andere Baustelle.

lol, übern "stromfresser" sorgen machen,aber eien Lösung bauen die kein Mensch nachher warten kann ?

Du hast genau NULL Vorteile von deiner Bastelei, nur weil der Switch vlans KANN, heißt das nciht das man das auf biegen udn brechen nutzen MUSS. Wenn es eh nur um ein kleines Netz geht, braucht man nicht mal eien Trenneung von VoIP und Data, da reicht ein flaches Netz wo alles drinsteht und fertig.

Trunks zu Clients sind nun mal schwachsinnig, höchsten zu Servern oder auch nem NAS und zwischen Netzwerkdevices macht das Sinn.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

lol, übern "stromfresser" sorgen machen,aber eien Lösung bauen die kein Mensch
nachher warten kann ?

Ich sehe noch immer nicht das Wartungsproblem... Aber das macht ja nix. Du würdest es nicht warten wollen - damit habe ich kein Problem... Ich will es Dir ja nicht einreden

.

Mir ist übrigens noch immer unklar, warum durch eine zusätzliche Komponente die Wartung einfacher werden soll - aber auch wurscht.

Du hast genau NULL Vorteile von deiner Bastelei,

Au contraire. Du siehst sie nur nicht.

Vorteile:
- kleinere Broadcast Domains
- stärkere Reglementierung der Datenströme

Trunks zu Clients sind nun mal schwachsinnig,

Uii... ist das gottgegeben?

Aber wir weichen ab. DU magst keine VLANs - akzeptiert. Dort wo Du im kommerziellen Bereich VLANs einsetzen würdest, würde ich übrigens eher auf MPLS gehen - auch ok. Geschmäcker sind wie Ohrfeigen...

und du bringst dann zb nem Server in mehreren LANs oder einem NAS MPLS bei ? schau ich mir an

Und wegen der Begründung "Broadcastdomains" einen solchen Unfug treiben ist höchst fragwürdig...wärdas so ne geile Lösung, glaubst nicht auch das die viel mehr Leute im Einsatz haben ? Hat aber niemand...vor allem, wie viele clients willst da denn betrieben ? geht es sich eh noch in nem /8 aus :D

_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

wärdas so ne geile Lösung, glaubst nicht auch das die viel mehr Leute im
Einsatz haben ?

Uii... Das gleiche Argument hörte ich zu WindowsME-Zeiten über C2-Security... Und immerhin haben heute doch schon einige Leute erkannt, dass unterschiedliche Benutzerkonten gut sind

dann zb nem Server in mehreren LANs oder einem NAS MPLS bei

Aber sicher nicht. Du würdest in Firmen VLANs einsetzen, um Kundennetze zu trennen... Das würde ich mit MPLS tun. Du würdest @home nur durch unterschiedliche Netze trennen - und ich halt auch bei VLANs.

Und wegen der Begründung "Broadcastdomains" einen solchen Unfug treiben

Du gewinnst etwas (wenig, aber doch) - und zahlst NIX dafür. Finde ich einen guten Deal

Hat aber niemand...

Ich betrachte mich nicht als Niemand - und nutze @home VLANs. Das ist allerdings unter Linux simpelst...

.vor allem, wie viele clients willst da denn betrieben ? geht es sich eh noch
in nem /8 aus :D

. Warum sollte ich Subnetze aufziehen, wenn eh ausreichend private Netze vorhanden sind?

Aber nochmals:
Ausser Beleidigungen trägst Du wenig zum Thema bei - und ich sehe nicht ein, wieso ich mich für den Einsatz einer Standardtechnologie rechtfertigen soll, weil er Dir zu kompliziert erscheint. Lassen wir das daher bitte.

weil du die standardtechnoligie nun mal nicht richtig einsetzt, einen solchen Unsinn kann ich als Netzwerker nun mal nicht stehen lassen.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

nun mal nicht richtig einsetzt,

VLANs werden eingesetzt um Netze zu trennen.
Man trennt Netze unter anderem, um
- Broadcastdomänen kleiner zu halten
- die Sicherheit zu erhöhen
- die Last auf die Beteiligten Links zu minimieren

Wenn Dir das als Netzwerker nicht klar ist, solltest deine Qualifikation verdoppeln und einen Humbold-Kurs besuchen

geh bitte, ich glaub ich kenn mich a bissl besser aus als du. Aber da du kein einziges sinnvolles argument für deine "Lösung" bringen kanns,t bring ich halt ein unsinniges Gegenargument: Auf deinen Devices wird der ARP Table bis zu 3x mal größer als wenn mans über einen Router macht
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

geh bitte, ich glaub ich kenn mich a bissl besser aus als du

Siehst, da glauben wir inzwischen wörtlich dasselbe.

Aber da du kein einziges sinnvolles argument für deine "Lösung" bringen
kanns,t

- Reduktion Broadcastdomains
- Sicherheit
- Kontrollierter Datenfluss
DIR ist das nichts wert - oder Du siehst damit einhergehende Nachteile, die überwiegen. Soweit kann ich Dir folgen. Das bedeutet aber noch nicht, dass ich _kein_ Argument nannte. Aber lassen wir das - es führt zu nichts. Weder kann ich Dich überzeugen (was ich ja gar nicht will - ich will nur wissen, wie unter Windows-Dialekten das VLAN-Tagging klappt

) - noch kannst Du mich überzeugen, wenn Du als primäres Mittel Beleidigungen oder Abwertungen einsetzt.

Auf deinen Devices wird der ARP Table bis zu 3x mal größer als wenn mans über
einen Router macht

Ahem... Ja, stimmt - oder sogar noch größer. Schließlich hat er im "Normalfall" nur die Gegenstellen aus seinem LAN im Arp-Cache (inklusive der Gateway-Adresse).

Im Fall mit den 2 VLANs, die er erreicht, kommen halt die Endgeräte aus dem 2. VLAN dazu - die er sonst über das Gateway erreichen würde.

Das hat im Endeffekt mehrere Impacts:
- im Arp-Cache kommen ein paar Einträge dazu - stimmt. Die Suche im Arp-Cache kann sich daher durchaus um ein paar ns erhöhen - und wird es auch tun.
- Wir brauchen keinen Router mehr, und dadurch
- auch kein Routing mehr dort, wodurch
- die Latenzzeiten besser werden, und
- ausgelastete Strecken zum Router (oder etherchannel als Entgegnung) entfallen.

jetz hör mal mit den broadcastdomäne auf...

Sicherheit wird erhöht ? Du hast dann nur die Möglichkeit sämtliche Kommunikation zu erlauben oder garnix. Wer Sicherheit haben will stellt da eien Firewall zentral hin,die regelt die Zugriffe innerhalb vom LAN und raus/rein ins/vom Internet

Was machts du mit Devie die kein taggign können ? Die hängt man dann manuell ständig hin und her je anchdem was sie grade brauchen ?

Daher zum letzten Mal, das ist keine sinnvolle Lösung, du hast lediglich einen vlan fähigen Switch und willst auf biegen und brechen diese Fähigkeit nutzen, sonst nichts weiter
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Sicherheit wird erhöht ? Du hast dann nur die Möglichkeit sämtliche
Kommunikation zu erlauben oder garnix.

Innert der VLANs gilt das. Geräte, die aber nicht in ein fremdes VLAN dürfen, bleiben ausgeschlossen.

Was machts du mit Devie die kein taggign können ?

Die kommen an einen Tagged Port. Nur PCs können mehrere VLANs nutzen (zB Internet und zu den Druckern). Drucker kommen nur zu den PCs, VoIP-Telephone nur ins INet.

nö, die kommen an einen accessport

und können dann eben nur ins Internet oder nur drucken...oder auch nur von einem der PCs streamen.
Wenn du jetzt dann noch anfängst vlan acls zu basteln falls am device möglich bist du endgültig verloren
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Broadcastdomänen reduzierten macht erst ab einer gewissen Anzahl von Rechnern im Netz Sinn. Wie viele sind das in diesem Fall? Wie hoch ist der Broadcast-Traffic ohne VLANs?
Abgetrennte Netze zu entwerfen, in denen ein Client (=Angreifer) selbst entscheiden kann, mit wem er wohin kommunizieren will, ist ein Designfehler.
Wenn die VLANs am Client selbst definiert sind, kann diese ein Angreifer oder Schadsoftware auch umkonfigurieren und hat somit in vollem Umfang Zugriff auf das ganze Netz.
Und wenn es hier keinen Router gibt, der zwischen den VLANs routen könnte, wie soll dann eine Verbindung in die weite Welt funktionieren?

Abgetrennte Netze zu entwerfen, in denen ein Client (=Angreifer) selbst
entscheiden kann, mit wem er wohin kommunizieren will, ist ein Designfehler.

Wenn dem so wäre, wäre ich 100%ig bei Dir.

Der Witz ist aber, dass ein Trunk Port ja nicht den Zugriff in _alle_ VLANs erlaubt - sondern nur in ausgewählte. Beispiel: Der PC darf in VLAN10 und VLAN20, aber nicht in VLAN30. Wenn man das am Switch konfiguriert - kann der PC keine zusätzlichen Rechte erwerben - und er kann in die gleichen Netze, wie wenn VLAN10 und VLAN20 kein VLAN wären.

Aber:
- manche Geräte, die nur in VLAN20 aber nicht in VLAN10 dürfen, sind dann "sicherer"/abgetrennter
- manche Geräte, mit denen der PC nicht kommunizieren soll (zB die, die in VLAN30 sind) sind vor ihm geschützt.

Zugriff auf das ganze Netz.

ist also so nicht gegeben.

Die Switch-Ports an denen die jeweiligen Rechner hängen ändern sich doch nicht dauernd oder? Dann würde es doch reichen die jeweiligen Ports zusammenzufassen.

Dann würde es doch reichen die jeweiligen Ports zusammenzufassen.

Das würde klappen, wenn alle Geräte nur in je einem VLAN wären. Das passt eh für viele - nur manche PCs sollen halt in mehrere VLANs.

Ja und? Einem Port am Switch kannst eh mehrere VLANs zuweisen.

Aber nur wenn es ein Trunk Port ist und der erwartet incomming bereits VLAN Tags. Wie genau soll dann der pc wissen in welches VLAN er packerl schicken soll wenn er nicht selbst auch member in diesen VLANs ist und die packerl entsprechend taggt? Ein Accessport geht nur in ein VLAN.

Es sei denn es handelt sich hier um einen Layer 3 Switch was ich aber bezweifle

19.12.2012, 13:53 Uhr - Editiert von Nooto, alte Version: hier

Naja in Zeiten von BYOD ist die Lösung mit VLANs bei der Netzwerkkarte einstellen sicherheitstechnisch höchst bedenklich... IMHO unbrauchbar

davon ganz abgesehen. interessant wär halt ob das private spielerei ist oder produktiv mit mehreren MA eingesetzt wird

Ist ne private Gschicht - siehe Eröffnungspost

Naja in Zeiten von BYOD ist die Lösung mit VLANs bei der Netzwerkkarte
einstellen sicherheitstechnisch höchst bedenklich...

Und was hat diese Aussage mit deinem vorigen Post zu tun?

Losgelöst davon: Ob ein PC an einem "normalen" Port angesteckt wird und in andere VLANs geroutet wird oder ob er selbst die Packerl ins richtige VLAN schickt ist IMHO sicherheitstechnisch ziemlich äquivalent.

sicherheitstechnisch ziemlich äquivalent.

Nicht wenn die Einstellung am PC durch unbefugte verändert werden kann.

Verstehe ich echt nicht.

Angenommen, es gibt die VLANs 10,20,30,40: 192.168.10.0/24, 192.168.20.0/24, ...

Fall 1:

An einem Trunk Port hängt ein PC drauf. Am Switch ist definiert, dass auf dem Port nur VLAN10 und 20 sind.

Am PC gibts die Routing-Einträge: 192.168.19.0/24 ist in VLAN10, 192.168.20.0/24 in VLAN20

Der PC kann also nirgendwo anders hin - egal was Du auf ihm einstellst.

Fall 2:

Derselbe PC hängt an einem tagged Port - zB VLAN10. Durch das Netz wird er aber auch in VLAN20 geroutet (wenn eben 192.168.20.0/24 als Ziel).

Der PC kann also nirgendwo anders hin - egal was Du auf ihm einstellst.

Warum sollte Fall 1 nun schlechter sein als Fall 2???

19.12.2012, 17:10 Uhr - Editiert von kombipaket, alte Version: hier

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung