[gelöst] Netzwerk segmentieren

mike69

@bepo said in Netzwerk segmentieren:

@mike69 "Einfach den Port 8 und 22 auf VLAN-ID 10 taggen"

VLAN bei Procurve switchen ist folgendermaßen:

Port auf Tagged im VLAN 10 > Das angeschlossene Gerät muss Pakete selbst mit einem Tag versehen.
Port auf Untagged im VLAN 10 > Jedes Paket ohne VLAN Tag wird im VLAN 10 verarbeitet.

Setz also Port 22 auf Tagged und mach das Tagging auf deiner pfSense. Port 8 setzt du dann Untagged ins VLAN 10 und schon sollte dein Multimedia im Wohnzimmer in dem Netz sein.

Viele Grüße

@bepo

Du bist mein heutiger Held.

Einfach die Ports mit dem unmanaged Switch im richtigen VLAN auf untagged setzen und das wars? Das war einfach.

bepo

@mike69 Genau. So einfach kann es sein. Gib einfach nochmal Feedback, wenn es geklappt hat oder du noch Fragen hast. Und markier deinen Eingangspost dann mit (Gelöst).

mike69

Hakelt noch ein bisschen.

TobyMcMiller

Servus,

mache es auch so.
pfSense geht "Tagged" an den Switch und vom Switch gehe ich zu allen Geräten oder unmanaged Switchen mit "Untagged" (weiße im Switch das VLAN per PID zu).
Nur meine Server mit VMs bekommen aktuell noch "Tagged" Ports, da dort ja verschiedene VLANs drauf laufen.

mike69

Irgendwie ist gerade die Forumssoftware unbrauchbar.

Mal eine Verständnisfrage. wenn ich alle untagged Ports mit von der VLANID 1 auf die z.B. VLANID10 übernehme, was macht das für einen Sinn? Dann kann es doch auf der Defailt-ID bleiben und mir das managen der Tags von der Sense ersparen, oder? Einzelne Ports taggen sehe ich ein, aber die Untagged einfach mit in eine andere VLANID mitnehmen...

bepo

Persönlich will ich NICHTS in VLAN1 haben. Ein unkonfigurierter Switchport soll ins Nichts führen. Kenne es auch von den allermeisten Kunden und Partnern so.

Ob das für dein persönliches Szenario sinnvoll ist, musst du entscheiden.

mike69

@bepo said in Netzwerk segmentieren:

Persönlich will ich NICHTS in VLAN1 haben. Ein unkonfigurierter Switchport soll ins Nichts führen. Kenne es auch von den allermeisten Kunden und Partnern so.

Ja, ist ok.

Ob das für dein persönliches Szenario sinnvoll ist, musst du entscheiden.

Das werde ich auch tun, brauchen aber nicht auf diese persönliche Schiene rutschen. Mir geht es um das warum, der Grundgedanke dahinter.

Mike

viragomann

Der Grund dafür ist, dass jeder Switch-Port von Haus aus, also wenn er keinem VLAN speziell zugewiesen wurde, VLAN1 ist. Das ist jedenfalls bei den meisten Switches so. Wie sich hier der ProCurve 1810G-24 verhält, weiß ich nicht.

Daher, um am Switch-Port nicht ein unerwünschtes Signal rauszulassen, wird empfohlen, jedem genutzten Port ein VLAN <> 1 zuzweisen, falls man VLANs einsetzt.
Die Folge ist natürlich auch, dass man VLAN1 gar nicht verwendet.

bepo

@mike69 Huch, etwas leicht reizbar? Es liegt in deiner Entscheidung, ob es bei dir sinnvoll ist VLANs einzusetzen und welches Netz du als VLAN/Native nimmst. Es ist auch eine Designfrage. Daher auch eine persönliche Schiene des Admins :-)

Bin dann ab jetzt raus.

mike69

@bepo said in Netzwerk segmentieren:

@mike69 Huch, etwas leicht reizbar?

Sorry, kam irgendwie anders rüber. Wollte den Sinn dahinter verstehen und in der Antwort ging es um persönliche Entscheidungen. Brachte mich ein bissl aus dem Takt.

@viragomann said in Netzwerk segmentieren:

Der Grund dafür ist, dass jeder Switch-Port von Haus aus, also wenn er keinem VLAN speziell zugewiesen wurde, VLAN1 ist. Das ist jedenfalls bei den meisten Switches so. Wie sich hier der ProCurve 1810G-24 verhält, weiß ich nicht.

Daher, um am Switch-Port nicht ein unerwünschtes Signal rauszulassen, wird empfohlen, jedem genutzten Port ein VLAN <> 1 zuzweisen, falls man VLANs einsetzt.
Die Folge ist natürlich auch, dass man VLAN1 gar nicht verwendet.

Ja, verhält sich ebenfalls so. Danke für die Erklärung.

So, Problem gelöst, liegt komplett bis auf das Gäste-WLAN in einer anderen VLANID. Danke nochmal an alle.