Mehrere ip Bereiche auf einer NIC

Guest

Hallo nochmal,

in der Regel muss ein VLAN auf beiden Seiten gleich angelegt werden. Von der pfSense zu einem Switch
muss der VLAN Port in der Regel "tagged" sein und dazu legt man in der Regel auf beiden Geräten ein VLAN
an und steckt dann an beide Ports auch gleich die Kabel an. Das sollte völlig unkompliziert laufen und keine
Probleme bereiten.

l4k3k3m4n

Wenn du an deinem Switch auf Port 8 die pfsense hast, musst du den so einstellen:

VLAN1 untagged, PVID 1
VLAN50 tagged

Dann kannst du einen anderen Port nehmen für deine Hardware:

VLAN50 untagged, PVID 50
und VLAN1 NotMember

jahonix

Der Ansatz mit VLANs ist sicherlich sinnvoll.

@l4k3k3m4n:

VLAN1 untagged, PVID 1
VLAN50 tagged

Ne, das lass mal lieber!
Mische NIE tagged und untagged traffic auf einem Interface. (ich habe genau 1 Szenario wo ich das brauche, das ist aber völlig unüblich)
…und in dem Zuge (ich komme mir vor wie eine kaputte Schallplatte): Nutze VLAN 1 exklusiv und ausschließlich für gar nichts!

VLAN1/PVID1 ist in den meisten Geräten der default Wert und kann in ganz vielen Geräten nicht geändert oder anders verwendet werden. Daher nutze NUR VLAN IDs 2-4ß96, dann läufst Du nicht Gefahr, Dir durch VLAN ID1 ein Problem zu generieren.
(ich habe hier ein halbes Dutzend TP-Link Switch - die haben alle das Problem diese Eigenschaft)

jahonix

Vorgehen ist wie folgt:
Dein IF igb1 benutzt Du als "Parent interface", auf dem Du 2 VLANs anlegst
a) LAN zB VLAN 10
b) test zB VLAN 20

Das Interface igb1 ist dann Dein Trunk, den Du mit dem Switch verbindest.
Im Switch definierst Du die gleichen VLANs (zB 10 & 20), wobei per Port, an dem die pfSense hängt, nur TAGGED traffic erlaubt und beide VLANs enthält.
Die restlichen Ports definierst Du nach Bedarf mit VLAN10 oder 20 UNtagged.

Ich baue dann immer gleich noch ein VLAN30 als "spare", dann brauche ich das später nicht erneut anfassen, wenn's benötigt wird.
Viel Erfolg!

PS: die VLAN IDs 5, 11 & 12 findest Du nicht in meiner pfSense, die existieren nur auf den Switchen.


l4k3k3m4n

@jahonix:

Ne, das lass mal lieber!
Mische NIE tagged und untagged traffic auf einem Interface. (ich habe genau 1 Szenario wo ich das brauche, das ist aber völlig unüblich)

Sorry, aber wie bitte ??  :o . Das macht 1) keine Probleme und 2) ist es nicht unüblich die PVID untagged mitlaufen zu lassen.

@jahonix:

…und in dem Zuge (ich komme mir vor wie eine kaputte Schallplatte): Nutze VLAN 1 exklusiv und ausschließlich für gar nichts!

Das war ja nicht die Frage, sondern kam aus der Vorgabe.
Aber ja, kann man gerne vermeiden. Wobei ich seit Ewigkeiten keine Gerät mehr in den Händen hatte, wo VLAN1 in Stein gemeißelt war. Vielleicht muss ich mehr Schrott kaufen  ;)

JeGr

Sorry, aber wie bitte ??  :o . Das macht 1) keine Probleme und 2) ist es nicht unüblich die PVID untagged mitlaufen zu lassen.

Sorry erneut, aber das "keine Probleme" mag bei dir so sein, jeder Netzwerker oder CCNE aufwärts bekommt das aber abgewöhnt. Ganz schnell. Es gibt auch durchaus Geräte die das nicht können oder Probleme mit haben. Darum hat Chris mit der Aussage "soll man nicht mixen" durchaus recht. Kann man machen, will das aber normalerweise nicht.

Aber ja, kann man gerne vermeiden. Wobei ich seit Ewigkeiten keine Gerät mehr in den Händen hatte, wo VLAN1 in Stein gemeißelt war. Vielleicht muss ich mehr Schrott kaufen  ;)

Nö du musst (leider) nur teuer kaufen. Cisco oder Juniper hatten wir erst vor kurzem noch bei einem Switch eine Generation, bei dem eine ID eingebrannt war als Default, was dem auch nicht abzugewöhnen war und richtig nervig noch dazu. Kann richtig ätzend werden… Und wenn man schon die Möglichkeit hat wie der TE, das gleich schön sauber einzutüten, sollte man davon Gebrauch machen :)

l4k3k3m4n

Jep genau, es hat bei mir und in keinem von mir gesehenen Szenario jemals Probleme bereitet. Ich kann mich natürlich nur auf bisher gemachte Erfahrungen beziehen. Ich kann nicht für die Weltbevölkerung sprechen ;) Sorry für die falsche Wortwahl.

Aber ich kann - in aller persönlichen Bescheidenheit - ganz gut einschätzen, dass es eben nicht "völlig unüblich" ist, so eine Konfiguration vorzufinden. Da fand ich die "Belehrung" etwas am Ziel vorbei.

Richte ich es so ein wenn ich die freie Wahl habe? Nein. Habe ich auch nicht geschrieben.

Ich bin lediglich auf die Fragestellung eingegangen und habe anhand der Vorgabe des TE eine einfache und schnelle Lösung gezeigt. Und ich bin sicher die funktioniert bestens.

jahonix

Aus eigener leidvoller Erfahrung kann ich nur empfehlen: mach es von Anfang an gleich den Standards entsprechend, dann musst Du später nicht umbauen.
(und ich schrieb bewusst nicht: mach' es gleich richtig)

benjsing

Ich habe ein ähnliches Anliegen. Allerdings habe ich keinen VLAN fähigen Switch.
Mein normales Netz ist 192.154.13.1.

Nun habe ich einen Server, auf dem Proxmox läuft und viele virtuelle Maschinen bereitstellt. Dieser soll seinen eigenen, sichtlich getrennten IP Pool haben. z.B. 10.0.10.1. Proxmox läuft hier auf einem HP Proliant ml10 und ist per LAN mit dem Netzwerk verbunden. Proxmox hat sich automatisch eine Bridge eingerichtet, die ihm Zugriff eth0 des Servers gewährt. Dort gibt es zumindest einen "VLAN Aware" Button.

Zur Frage "warum das Ganze": da ich auf dem Server mit diversen VM experimentieren möchte, soll mein "haupt" Netzwerk nicht mit unzähligen DHCP IPs gefüllt werden. Ich habe es da lieber übersichtlich und würde gerne nur die Geräte, die auch produktiv zusammenarbeiten, in meinem Hauptnetz gruppieren.

jahonix

@benjsing:

Mein normales Netz ist 192.154.13.1

Nein, DAS ist nur eine IP und kein Netz (es fehlt dazu die Netzmaske). Zudem noch eine public IP, das ist so korrekt?