Mehrere ip Bereiche auf einer NIC
-
ja die idee hatte ich auch schon, nur bin ich noch nicht sicher in vlan, die hardware ist alles vorhanden.
2 x 8 port manageswitch (TP-Link TL-SG2210P 8-Port Gigabit Desktop PoE Smart Switch)Ist mein vorgehen richtig?:
- pfsense VLAN anlegen & Interface zuweisen
- pfsense Interface mit ip bereich & VLAN zuweisen
- im switch einen Port an dem die Neue Hardware angeschlossen wird auch das VLAN 50 zuweisen
oder habe ich da einen gedanken fehler?
aber so geht es nicht….
-
Hallo nochmal,
in der Regel muss ein VLAN auf beiden Seiten gleich angelegt werden. Von der pfSense zu einem Switch
muss der VLAN Port in der Regel "tagged" sein und dazu legt man in der Regel auf beiden Geräten ein VLAN
an und steckt dann an beide Ports auch gleich die Kabel an. Das sollte völlig unkompliziert laufen und keine
Probleme bereiten. -
Wenn du an deinem Switch auf Port 8 die pfsense hast, musst du den so einstellen:
VLAN1 untagged, PVID 1
VLAN50 taggedDann kannst du einen anderen Port nehmen für deine Hardware:
VLAN50 untagged, PVID 50
und VLAN1 NotMember -
Der Ansatz mit VLANs ist sicherlich sinnvoll.
VLAN1 untagged, PVID 1
VLAN50 taggedNe, das lass mal lieber!
Mische NIE tagged und untagged traffic auf einem Interface. (ich habe genau 1 Szenario wo ich das brauche, das ist aber völlig unüblich)
…und in dem Zuge (ich komme mir vor wie eine kaputte Schallplatte): Nutze VLAN 1 exklusiv und ausschließlich für gar nichts!VLAN1/PVID1 ist in den meisten Geräten der default Wert und kann in ganz vielen Geräten nicht geändert oder anders verwendet werden. Daher nutze NUR VLAN IDs 2-4ß96, dann läufst Du nicht Gefahr, Dir durch VLAN ID1 ein Problem zu generieren.
(ich habe hier ein halbes Dutzend TP-Link Switch - die haben alledas Problemdiese Eigenschaft) -
Vorgehen ist wie folgt:
Dein IF igb1 benutzt Du als "Parent interface", auf dem Du 2 VLANs anlegst
a) LAN zB VLAN 10
b) test zB VLAN 20Das Interface igb1 ist dann Dein Trunk, den Du mit dem Switch verbindest.
Im Switch definierst Du die gleichen VLANs (zB 10 & 20), wobei per Port, an dem die pfSense hängt, nur TAGGED traffic erlaubt und beide VLANs enthält.
Die restlichen Ports definierst Du nach Bedarf mit VLAN10 oder 20 UNtagged.Ich baue dann immer gleich noch ein VLAN30 als "spare", dann brauche ich das später nicht erneut anfassen, wenn's benötigt wird.
Viel Erfolg!PS: die VLAN IDs 5, 11 & 12 findest Du nicht in meiner pfSense, die existieren nur auf den Switchen.
![Bildschirmfoto 2016-02-22 um 00.16.23.png](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.16.23.png)
![Bildschirmfoto 2016-02-22 um 00.16.23.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.16.23.png_thumb)
![Bildschirmfoto 2016-02-22 um 00.18.23.png](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.18.23.png)
![Bildschirmfoto 2016-02-22 um 00.18.23.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.18.23.png_thumb) -
Ne, das lass mal lieber!
Mische NIE tagged und untagged traffic auf einem Interface. (ich habe genau 1 Szenario wo ich das brauche, das ist aber völlig unüblich)Sorry, aber wie bitte ?? :o . Das macht 1) keine Probleme und 2) ist es nicht unüblich die PVID untagged mitlaufen zu lassen.
…und in dem Zuge (ich komme mir vor wie eine kaputte Schallplatte): Nutze VLAN 1 exklusiv und ausschließlich für gar nichts!
Das war ja nicht die Frage, sondern kam aus der Vorgabe.
Aber ja, kann man gerne vermeiden. Wobei ich seit Ewigkeiten keine Gerät mehr in den Händen hatte, wo VLAN1 in Stein gemeißelt war. Vielleicht muss ich mehr Schrott kaufen ;) -
Sorry, aber wie bitte ?? :o . Das macht 1) keine Probleme und 2) ist es nicht unüblich die PVID untagged mitlaufen zu lassen.
Sorry erneut, aber das "keine Probleme" mag bei dir so sein, jeder Netzwerker oder CCNE aufwärts bekommt das aber abgewöhnt. Ganz schnell. Es gibt auch durchaus Geräte die das nicht können oder Probleme mit haben. Darum hat Chris mit der Aussage "soll man nicht mixen" durchaus recht. Kann man machen, will das aber normalerweise nicht.
Aber ja, kann man gerne vermeiden. Wobei ich seit Ewigkeiten keine Gerät mehr in den Händen hatte, wo VLAN1 in Stein gemeißelt war. Vielleicht muss ich mehr Schrott kaufen ;)
Nö du musst (leider) nur teuer kaufen. Cisco oder Juniper hatten wir erst vor kurzem noch bei einem Switch eine Generation, bei dem eine ID eingebrannt war als Default, was dem auch nicht abzugewöhnen war und richtig nervig noch dazu. Kann richtig ätzend werden… Und wenn man schon die Möglichkeit hat wie der TE, das gleich schön sauber einzutüten, sollte man davon Gebrauch machen :)
-
Jep genau, es hat bei mir und in keinem von mir gesehenen Szenario jemals Probleme bereitet. Ich kann mich natürlich nur auf bisher gemachte Erfahrungen beziehen. Ich kann nicht für die Weltbevölkerung sprechen ;) Sorry für die falsche Wortwahl.
Aber ich kann - in aller persönlichen Bescheidenheit - ganz gut einschätzen, dass es eben nicht "völlig unüblich" ist, so eine Konfiguration vorzufinden. Da fand ich die "Belehrung" etwas am Ziel vorbei.
Richte ich es so ein wenn ich die freie Wahl habe? Nein. Habe ich auch nicht geschrieben.
Ich bin lediglich auf die Fragestellung eingegangen und habe anhand der Vorgabe des TE eine einfache und schnelle Lösung gezeigt. Und ich bin sicher die funktioniert bestens.
-
Aus eigener leidvoller Erfahrung kann ich nur empfehlen: mach es von Anfang an gleich den Standards entsprechend, dann musst Du später nicht umbauen.
(und ich schrieb bewusst nicht: mach' es gleich richtig) -
Ich habe ein ähnliches Anliegen. Allerdings habe ich keinen VLAN fähigen Switch.
Mein normales Netz ist 192.154.13.1.Nun habe ich einen Server, auf dem Proxmox läuft und viele virtuelle Maschinen bereitstellt. Dieser soll seinen eigenen, sichtlich getrennten IP Pool haben. z.B. 10.0.10.1. Proxmox läuft hier auf einem HP Proliant ml10 und ist per LAN mit dem Netzwerk verbunden. Proxmox hat sich automatisch eine Bridge eingerichtet, die ihm Zugriff eth0 des Servers gewährt. Dort gibt es zumindest einen "VLAN Aware" Button.
Zur Frage "warum das Ganze": da ich auf dem Server mit diversen VM experimentieren möchte, soll mein "haupt" Netzwerk nicht mit unzähligen DHCP IPs gefüllt werden. Ich habe es da lieber übersichtlich und würde gerne nur die Geräte, die auch produktiv zusammenarbeiten, in meinem Hauptnetz gruppieren.
-
Mein normales Netz ist 192.154.13.1
Nein, DAS ist nur eine IP und kein Netz (es fehlt dazu die Netzmaske). Zudem noch eine public IP, das ist so korrekt?