Netgear M4100-24G-POE+ VLAN isolieren?

Smalltalk
Antworten
slu
Beiträge: 1589
Registriert: 23.02.2005 23:58:47

Netgear M4100-24G-POE+ VLAN isolieren?

Beitrag von slu » 28.05.2018 19:50:49

Ich hab hier ein Netgear M4100-24G-POE+ mit verschieden VLANs (Tagged).
Nun möchte ich ein VLAN untereinander (Ports) isolieren, es soll nur eine Kommunikation mit dem Trunk Port zulässig sein.

Beispiel:
P1 (Trunk) VLAN5,8,9 Tagged

P3 VLAN5 Tagged
P4 VLAN5 Tagged
P5 VLAN5 Tagged

P3,P4,P5 sollen nur mit P1 kommunizieren dürfen.

Nach dem lesen der Anleitung bin ich verwirrt, es gibt hier eine "Private Group" die nur Ports behandelt, zusätzlich gibt es "Private VLAN".
Beim "Private VLAN" geht die Isolation nur mit unter VLANs?

Kennt jemand zufällig diesen Switch bzw. weiß wie man das bei dieser Netgear Serien konfigurieren kann?
Gruß
slu

Das Server Reinheitsgebot:
Debian Stretch, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Jana66
Beiträge: 3717
Registriert: 03.02.2016 12:41:11

Re: Netgear M4100-24G-POE+ VLAN isolieren?

Beitrag von Jana66 » 30.05.2018 09:42:53

slu hat geschrieben: ↑ zum Beitrag ↑
28.05.2018 19:50:49
Kennt jemand zufällig diesen Switch bzw. weiß wie man das bei dieser Netgear Serien konfigurieren kann?
Nö, aber ich antworte trotzdem. :mrgreen:
slu hat geschrieben: ↑ zum Beitrag ↑
28.05.2018 19:50:49
Nun möchte ich ein VLAN untereinander (Ports) isolieren, es soll nur eine Kommunikation mit dem Trunk Port zulässig sein.
Da ist das Konzept "Private VLAN" sinnvoll. Mit diesen Links habe ich das Konzept (halbwegs) verstanden, abe nie angewendet:
Primary VLAN (VLAN 200 in our example): - simply the original VLAN (VLAN 200 in our example). This type of VLAN is used to forward frames downstream from Pports to all other port types (I and C ports). Primary VLAN entails all port in domain, but is only used to transport frames from router to hosts (P to I and C).
Secondary VLANs: - which correspond to Isolated and Community port groups. They are used to transport frames in the opposite direction – from I and C ports to P-port.
Isolated VLAN (VLAN 201 in our example): - forwards frames from I ports to P ports. Since isolated ports do not exchange frames with each other, we can use just ONE isolated VLAN to connect all I-Port to the P-port.
Community VLANs (VLAN 202 in our example): - Transport frames between community ports (C-ports) within to the same group (community) and forward frames upstream to the P-ports of the primary VLAN.
https://learningnetwork.cisco.com/docs/DOC-16110
https://www.cisco.com/c/en/us/td/docs/s ... VLANs.html
Dein Beispiel/Planung ist also zu "dünn". Du müsstest erlaubte, verbotene und gemeinsame Traffic Flows planen, dabei erwünschtes Routing beachten. Siehe Tabellen in den Links.
slu hat geschrieben: ↑ zum Beitrag ↑
28.05.2018 19:50:49
Beim "Private VLAN" geht die Isolation nur mit unter VLANs?
Innerhalb eines Primary VLANs und eines Secondary VLANs. Siehe Zitat. Promiskuitiv Port des Secondary VLANs fasst Downstream zusammen. Upstream je nach Isolated oder Community VLAN. Übergeordnet tut L3-Device (Router).
Ethernet VLANs are not allowed to communicate directly with each other; they need some Layer three (L3) devices (like router, multilayer switch.etc) to forward packets between the broadcast domains. The same concept is applicable to the PVLANS – since the sub-domains are segregated at level 2, they need to communicate using an upper level (L3 and packet forwarding) entity – such as router. In regular VLANs usually correspond to different IP subnets. But when we split VLAN using PVLANs, hosts in different PVLANs still belong to the same IP subnet, but they need to use router (another L3 device) to talk to each other (for example, by means of local Proxy ARP), in turn, router may either permit or forbid communications between sub-VLANs using access-lists.
https://learningnetwork.cisco.com/docs/DOC-16110

Insgesamt ist das eher was für Service Provider, Groß-Vermieter, die mehreren Kunden/Mietern je 1 Secondary VLAN (PVLAN) zur Verfügung stellen wollen. 4096 VLANs a la 802.11q-Standard sind für "Metro-Ethernet" eines ISPs recht wenig, deshalb wohl Nesting.
Zuletzt geändert von Jana66 am 30.05.2018 16:46:41, insgesamt 1-mal geändert.
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

dufty2
Beiträge: 1476
Registriert: 22.12.2013 16:41:16

Re: Netgear M4100-24G-POE+ VLAN isolieren?

Beitrag von dufty2 » 30.05.2018 15:14:14

Der trunk-port geht normalerweise zum nächsten switch.
Du willst aber Deinen (default-)router dranhängen, dann ist das kein trunk,
sondern - wie von Jana66 bereits erwähnt - der Promiskuitiv Port.

Antworten