Greifen Sie von einem Computer aus auf mehrere VLANs zu

8

Ich habe ein bisschen Chaos geerbt und bereite mich darauf vor, unser IP-Adressierungsschema zu wiederholen und unser Netzwerk in mehrere VLANs aufzuteilen.

Möglicherweise so etwas wie:

  • 10.1.10.0/24 VLAN 10 VOIP
  • 10.1.20.0/24 VLAN 20-Benutzer
  • 10.1.30.0/24 VLAN 30-Verwaltung

Das Adressschema ist nicht wirklich die Frage und das Obige ist nur ein Beispiel.

Was ich bisher nicht verstehen konnte, ist Folgendes:

Wie greife ich von meinem Macbook auf alle VLANs zu?

Ich musste damit loslegen, damit ich noch keine Zeit für einen richtigen Studiengang hatte (wird bald mit meiner CCNA beginnen). Das Problem beim Lernen durch völliges Eintauchen ist, dass mein Wissen oft Lücken aufweist.

Ich stelle fest, dass es drei Möglichkeiten gibt:

  1. Fügen Sie meiner Laptop-Netzwerkkarte mehrere Aliase hinzu und führen Sie VLAN-Trunking an dem Port durch, mit dem die Netzwerkkarte verbunden ist. Das ist mir immer noch ziemlich verschwommen.

  2. Stellen Sie eine Verbindung zu einem Layer 3-Switch her und routen Sie zwischen den VLANs. Unsere Switches sind alle Layer 2/3 (statische Layer 3-Routen), aber ich kann bei Bedarf einen vollständigen Layer 3-Switch hinzufügen.

  3. Verbinden Sie meine Laptop-Netzwerkkarte mit einem Router und routen Sie basierend auf dem Subnetz. So etwas wie ein Cisco 2811 oder 2821 mit einer Ethernet-Karte mit mehreren Ports.

Was ist der richtige Weg, um dies zu tun?

vlan layer3 netnewb
quelle
1
Ich kann mir nichts anderes als Option 2 als gute Idee vorstellen.
Ryan Foley
1
@ RyanFoley kann er sich bewusst dafür entscheiden , aus dem einen oder anderen Grund nicht zwischen den VLANs zu routen. Möglicherweise muss er seine Workstation zu Verwaltungszwecken noch mit einer dieser Stationen verbinden.
Syneticon-DJ
@netnewb Es würde mich interessieren, ein Diagramm Ihres Netzwerks zu sehen (natürlich bereinigt). Es gibt einige Möglichkeiten, ohne dass Sie etwas über Ihr Netzwerk wissen. Ich vermute, es ist viel einfacher als Sie denken.
Ryan Foley
@ RyanFoley Ich habe am Ende der Frage einige zusätzliche Details hinzugefügt.
Netnewb
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

8

Fügen Sie meiner Laptop-Netzwerkkarte mehrere Aliase hinzu und führen Sie VLAN-Trunking an dem Port durch, mit dem die Netzwerkkarte verbunden ist

Ihre Schlüsselwörter hier sind "getaggtes VLAN". Sie können einen Switch-Port als markiertes Mitglied aller drei VLANs einrichten und virtuelle Schnittstellen mithilfe der VLAN-Tag-IDs in Ihrer Mac OS X-Instanz einrichten , sodass Sie im Grunde drei virtuelle Schnittstellen in drei virtuellen Netzwerken haben.

Wenn Sie jemals eine Interkommunikation zwischen den drei Netzwerken wollten, sollten Sie dies nicht tun.

Stellen Sie eine Verbindung zu einem Layer 3-Switch her und routen Sie zwischen den VLANs.

In diesem Fall können Sie nicht auf "die VLANs" zugreifen. Ihre IP-Pakete würden an die Ziele in diesen VLANs weitergeleitet (und da das Routing auf den Empfängern korrekt eingerichtet ist, würden ihre Antwortpakete zurückgeleitet), aber Sie würden keinen Nicht-IP- oder Broadcast-Verkehr von diesen erhalten Netzwerke, solange Sie nicht direkt Mitglied sind.

Dies ist die bevorzugte Option, wenn Sie die Netzwerke trotzdem miteinander verbinden möchten

Verbinden Sie meine Laptop-Netzwerkkarte mit einem Router und routen Sie basierend auf dem Subnetz.

Dies unterscheidet sich nicht wirklich von Ihrer vorherigen Option, abgesehen von der Tatsache, dass Sie keine virtuellen Schnittstellen verwenden, die für eine VLAN-Mitgliedschaft konfiguriert sind (darum geht es bei einem L3-Switch tatsächlich), sondern physische Schnittstellen, die physische Ethernet-Ports verbinden. Wenn Sie dies vermeiden können, tun Sie dies bitte.

Was ist der richtige Weg, um dies zu tun?

Es gibt keinen richtigen Weg. Sie tun, was Sie tun müssen.

  • Wenn Sie die Netzwerke trennen , um sie getrennt zu halten und die Kommunikation zwischen Netzwerken vollständig zu verhindern, sollten Sie sie im nächsten Schritt nicht über einen Router miteinander verbinden.
  • Wenn Sie dies nur tun, um Ihre Broadcast-Domänen in kleinere Teile aufzuteilen oder um die Art des von ihnen ausgetauschten Datenverkehrs zu steuern (Segmentierung), wählen Sie einen Router (oder L3-Switch), der IP-Filter einstellen kann (meistens aufgerufen) ACLs in der Implementierung von Cisco) entsprechend Ihren Anforderungen.
  • Wenn Ihr Laptop Broadcast- oder Nicht-IP-Verkehr von diesen Netzwerken benötigt, müssen Sie ihn mit einem Port verbinden, der als Mitglied konfiguriert ist (entweder markiert oder nicht markiert), da der Router diese Art von Verkehr nicht an ein anderes Netzwerk weiterleiten würde.

Wähle dein Gift.

syneticon-dj
quelle
2

Obligatorische Antwort für eine Windows Workstation

(Ich habe noch nie ein solches Setup auf einem Mac gesehen, aber es könnte hilfreich sein zu wissen, was unter Windows funktioniert.)

Ich gehe davon aus, dass Sie Zugriff auf jedes der VLANs benötigen, um Netzwerkverwaltungsaufgaben für diese VLANs auszuführen.

Netzwerkkarte und Treiber mit VLAN-Unterstützung

Ich hatte Erfolg mit Intel Mobile Adaptern, die VLANs unter Windows-Desktop-Betriebssystemen unterstützen. In diesem Fall fügt der Intel-Treiber VLANsdem Eigenschaften-Dialogfeld eine spezielle Registerkarte hinzu .

Geben Sie hier die Bildbeschreibung ein

In diesem Dialogfeld können Sie für jedes VLAN verschiedene virtuelle Netzwerkadapter erstellen, die Sie aktivieren und deaktivieren können, um zwischen den VLANs zu wechseln.

VMs sind dein Freund

Ich fand das Wechseln zwischen VLANs auf einem einzelnen Betriebssystem für alles außer für die grundlegendsten Verwaltungsaufgaben ziemlich umständlich. Sie werden unweigerlich in eine Fehlerbehebungsaufgabe geraten, bei der Sie gleichzeitig positive Verbindungen zu mehreren VLANs benötigen. Die Herausforderung dabei auf einem einzelnen Betriebssystem besteht darin, dass Sie mehrere mögliche Pfade für Ihre Pakete haben - einen für jedes VLAN. Im Allgemeinen ist es schwierig oder unmöglich zu steuern, an welchen Netzwerkadapter (und damit an welches VLAN) eine Anwendung auf einem einzelnen Betriebssystem ihre Pakete sendet. Wenn Sie jedoch mehrere VMs haben, können Sie genau einen Netzwerkadapter aktivieren, der dem VLAN entspricht, zu dem Sie eine Verbindung herstellen möchten. Dann haben Sie die Gewissheit, über welches VLAN alles auf dieser gesamten VM verwendet wird.

Auf diese Weise habe ich eine ziemlich aufwändige Fehlerbehebung im Netzwerk von einer einzigen Glasscheibe aus durchgeführt. Tatsächlich ist dieser Link auch ein gutes Beispiel für die Unsicherheit, welchen Netzwerkadapter eine Anwendung (in diesem Fall Chrome) letztendlich ihre Pakete gesendet hat. Ohne VMs werden Sie Ihre Fähigkeit zur Fehlerbehebung stark einschränken.

alx9r
quelle
1
Während Multihoming im Allgemeinen und VLAN-Schnittstellen im Besonderen auf Windows-Hosts in der Vergangenheit (zumindest vor Windows 8 / Server 2012) von Natur aus problematisch waren, bieten viele andere Betriebssysteme aufgrund von Multipath- und asymmetrischen Routing-Methoden recht ausgefeilte Möglichkeiten ihre Geschichte und Herkunft.
Syneticon-DJ
0

Ich wünschte, ich könnte einfach einen Kommentar hinzufügen, anstatt dies als Antwort vorzuschlagen, aber ich habe diese Fähigkeit noch nicht.

Ich werde Ihnen vorschlagen, dass Sie, wenn Sie keine Firewall- oder ACL-Probleme haben, die Sie daran hindern, von einem anderen auf ein VLAN zuzugreifen, und dass in Ihren Layer 3-Switches Routen vorhanden sind, die dies ermöglichen, diese nur zu trennen VLAN bis zu Ihrem Ethernet-Drop, den Ihr MacBook verwendet. Wenn Sie eine Verbindung über 802.11 herstellen, stellen Sie einfach sicher, dass die zuvor genannten Einschränkungen nicht vorhanden sind. Ich sehe keinen Grund, warum Sie mehrere IP-Adressen auf Ihrem MacBook abonnieren müssten, um dies zu ermöglichen.

Tatsächlich ist die Situation, die ich oben beschreibe, genau das, was ich von dem PC aus mache, auf dem ich dies schreibe.

Ich wünschte, dies wäre nur ein Kommentar, aber ich hoffe, es hilft.

Grüße

skrap3e
quelle