mehrere Subnetze über einen Switch?

[Anton Blau]

Hallo Newsgroup,

vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
Clients, die sich in zwei unterschiedlichen Subnetzen
(192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.

Brauche ich fï¿œr jedes Subnetz einen eigenen Switch oder geht das auch
ï¿œber einen? Die Subnetze sollen nicht geroutet werden. Die Clients im
jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.

Vielen Dank!


Tony

[Friedemann Stoyan]

Anton Blau wrote:
> Hallo Newsgroup,

> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.

> Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch
> über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im

> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.

Du willst auf deinen Switches VLANs benutzen.

mfg Friedemann

[Georg Schwarz]

Friedemann Stoyan <use...@ip6-mail.de> wrote:

> Du willst auf deinen Switches VLANs benutzen.

stimmt zwar, aber *grunds�tzlich* geht es auch ohne Layer-2-Trennung

--
Georg Schwarz http://home.pages.de/~schwarz/
georg....@freenet.de +49 176 91313874

[Juergen P. Meier]

Anton Blau <tony...@gmx.de>:

> Hallo Newsgroup,
>
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.

Das ist ISO/OSI Schicht 3 (IP Routing).

> Brauche ich fï¿œr jedes Subnetz einen eigenen Switch oder geht das auch

Switche sind Schicht 2 (Briding/Switching).

Auf Schicht 2 verschaltest du Ethernet-Segmente.

Ein Ethernet-Segment (ein VLAN, LAN oder auch Broadcastdomain genannt)
kann ein oder mehrere IP-Subnetze beherbergen.

Ein IP-Subnetz kann prinzipiell nur ein Ehternet-Segment ausfuellen.

Um verschiedene IP-Subnetze (s.O.) miteinander zu verbinden ist
zwingend ein IP-Router noetig (das kann auch ein Host sein der Routing
Funktoin erfuellt, Linux oder Windows koennen das z.B. wenn man es
entsprechend einschaltet).

> ï¿œber einen? Die Subnetze sollen nicht geroutet werden. Die Clients im

D.h. auf IP-Layer getrennt bleiben? Das geht prinzipell auch parallel
nebeneinander auf dem selben Layer-2 Segment (LAN, VLAN bzw.
Ethernet-Segment), jedoch mit einem dicken "aber ..." (s.U.)

> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.

Der Richtige Weg[tm] ist es diese beiden IP-Subnetze auch auf
verschiedenen Layer-2 Netzsegmenten (VLANs wenn es ein und derselbe
Switch sein soll) zu verteilen.

Der billige Weg ist es, beide IP-Subnetze unabhaengig von einander auf
dem selben LAN-Segment (VLAN, Ethernet-Segment, Broadcast-Domain wie
auch immer man das nennen moechte) zu betreiben. Aber vorsicht:
insbesonder aeltere Betriebsysteme verhalten sich zum Teil automatisch
als Router wenn man mehere IP-Subnetze auf einem Host konfiguriert.

Und mit Hilfe von ARP und forwarding-cahches kann es passieren, dass
Hosts auch ohne dediziertes Gateway das die Netze verbindet die
IP-Addressen im anderen Subnetz direkt ansprechen koennen.

Darum trennt man das Ueblicherweise auch auf Layer-2 (z.B. in dem man
auf dem Switch verschiedene VLANs einrichtet)

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

[Juergen P. Meier]

Georg Schwarz <georg....@freenet.de>:

> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>
>> Du willst auf deinen Switches VLANs benutzen.
>

> stimmt zwar, aber *grundsï¿œtzlich* geht es auch ohne Layer-2-Trennung

Wenn der Switch die Netze nicht auf Layer 2 trennt, koennen Hosts
diese Netztrennung die dann nur auf Layer 3 besteht einfach
ueberwinden.

Sollte also die Anforderung existieren, dass Hosts in den
verschiedenen IP-Netzen auf keinen Fall mit Hosts des anderen
IP-Netzes kommunizeren koennen duerfen, dann muss auf Layer-2 auch
getrennt werden. Andernfalls kann man sich das in der Tat sparen.

[Tim Ritberg]

Am 19.12.2013 01:44, schrieb Anton Blau:
> Hallo Newsgroup,
>
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.
>

Ja die Frage ist dumm. Dir das unter die Nase zu reiben provozierst du
ja :-)

Um dich zu entdummen:
http://de.wikipedia.org/wiki/OSI-Modell

Tim

[Ralph Aichinger]

Tim Ritberg <t...@server.invalid> wrote:
> Am 19.12.2013 01:44, schrieb Anton Blau:
>> Hallo Newsgroup,
>>
>> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
>> Clients, die sich in zwei unterschiedlichen Subnetzen
>> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.
>>
>
> Ja die Frage ist dumm.

Nein.

/ralph

[Holger Marzen]

* On Thu, 19 Dec 2013 01:44:11 +0100, Anton Blau wrote:

> Hallo Newsgroup,
>
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.
>

> Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch
> über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im

> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.

Du brauchst nur einen einzigen Switch, wenn es Dir um einen bloß um
einen funktionierenden Betrieb geht. Wenn sich die Rechner in den
verschiedenen Subnetzen auf keinen Fall sehen dürfen, auch nicht wenn
sie tricksen, brauchst Du mehrere Switche. Entweder in Form mehrerer
Geräte oder in Form von virtuellen LANs auf einem entsprechend
konfigurierbaren Gerät.

[Holger Marzen]

Nicht drauf reinfallen! Dort steht nur ein Teil der Wahrheit, der in
diesem Zusammenhang irreführend ist. IP-Adressen sind auf Schicht 3
angesiedelt, MAC-Adressen auf Schicht 2. Die unbedingt notwendige
Verbindung, das ARP-Protokoll (bei ipv4), wurde dazwischengeklemmt.
Aus Verlegenheit taucht es deshalb nicht in der Tabelle "Die sieben
Schichten" auf. Man findet das Kürzel "ARP" ein Mal, und es verlinkt auf
http://de.wikipedia.org/wiki/Address_Resolution_Protocol
Im rechten Kasten steht es dort falsch unter "Netzzugang". Es müsste
auch in die Zeile "Internet" ragen.

Ein solcher Hinweis, wie Tim ihn gegeben hat, ist für die Praxis und das
Verständnis genauso falsch wie der Rat schlechter Fahrlehrer: "Bisschen
Gas geben und die Kupplung langsam und gleichmäßig kommen lassen." Der
eine unterschlägt, dass sich ARP eben *nicht* in eine der OSI-Schichten
einsortieren lässt, der andere unterschlägt den Druckpunkt, an dem man
die Kupplung erst mal eine Weile so halten muss, damit die Karre nicht
springt oder der Motor abgewürgt wird.

[Holger Marzen]

* On Thu, 19 Dec 2013 01:44:11 +0100, Anton Blau wrote:

> Hallo Newsgroup,
>
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.
>

> Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch
> über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im

> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.

Du brauchst nur einen einzigen Switch, wenn es Dir bloß um einen

[Anton Blau]

Vielen Dank. Damit komme ich gut weiter.

Tony

[Juergen Ilse]

Hallo,

Holger Marzen <hol...@marzen.de> wrote:
> * On Thu, 19 Dec 2013 01:44:11 +0100, Anton Blau wrote:
>> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
>> Clients, die sich in zwei unterschiedlichen Subnetzen
>> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.

>> Brauche ich fï¿œr jedes Subnetz einen eigenen Switch oder geht das auch
>> ï¿œber einen? Die Subnetze sollen nicht geroutet werden. Die Clients im

>> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.

> Du brauchst nur einen einzigen Switch, wenn es Dir bloￜ um einen

> funktionierenden Betrieb geht. Wenn sich die Rechner in den

> verschiedenen Subnetzen auf keinen Fall sehen dï¿œrfen, auch nicht wenn

> sie tricksen, brauchst Du mehrere Switche.

... oder einen Switch, den man in irgend einer Weise "partitionieren" kann
(mein TP-Link "WebSmart" Switch bietet so etwas) oder einen managebaren
VLAN-faehigen Switch (dann sind die Ports des einen Netzes in ein VLAN und
die des anderen Netzes in ein anderes VLAN zu packen).

> Entweder in Form mehrerer Gerï¿œte oder in Form von virtuellen LANs auf
> einem entsprechend konfigurierbaren Gerï¿œt.

Nun ja, verschiedene VLANs auf einem Managebaren Switch wuerde ich nicht
unbedingt gleich mit mehreren Switches vergleichen (insbesondere, weil
man mit "Trunk-Ports" die strikte Trennung wieder teilweise aufheben kann).

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

[Juergen P. Meier]

Ralph Aichinger <ra...@pangea.at>:

Es gibt zwar viele Dumme Fragen, aber diese Frage war keineswegs Dumm.

Ganz im Gegensatz zu obiger Antwort.

[Ralph Aichinger]

Juergen P. Meier <nospa...@jors.net> wrote:
>>> Ja die Frage ist dumm.
>>
>> Nein.
>
> Es gibt zwar viele Dumme Fragen, aber diese Frage war keineswegs Dumm.
>
> Ganz im Gegensatz zu obiger Antwort.

Ich weiß jetzt nicht, ob ich das richtig verstehe. Du stimmst
mir zu, daß die Frage des OP nicht dumm war, aber mein "Nein"
zur Aussage "die Frage ist dumm" wäre es gewesen? Oder du
findest auch das Statement zur Frage falsch?

Egal, ich denke, daß die Frage des OP ein Beispiel für eine
sinnvoll gestellte Frage ist, die man nicht nur sinnvoll
beantworten kann, sondern anhand der man auch einiges lernen
kann. Die genug Details mitbringt, ohne sich zu verzetteln
(tatsächlich wäre nur eine weitere Information IMHO noch
interessant gewesen, ob die Trennung der Subnetze aus
Auslastungsgründen oder aus Sicherheitsgründen erfolgen soll)

Außerdem war der Verweis aufs OSI-Schichtenmodell natürlich
im besten Fall leicht verwirrend, und IMHO auch etwas am Thema
vorbei.

Mein leicht flapsiges "Nein" war nur deswegen so kurz&knapp,
weil ich das nicht so im Raum stehen lassen wollte (daß die
Frage angeblich "dumm" gewesen wäre).

/ralph

[Georg Schwarz]

Juergen P. Meier <nospa...@jors.net> wrote:

> Wenn der Switch die Netze nicht auf Layer 2 trennt, koennen Hosts
> diese Netztrennung die dann nur auf Layer 3 besteht einfach
> ueberwinden.

nat�rlich.

>
> Sollte also die Anforderung existieren, dass Hosts in den
> verschiedenen IP-Netzen auf keinen Fall mit Hosts des anderen
> IP-Netzes kommunizeren koennen duerfen, dann muss auf Layer-2 auch
> getrennt werden. Andernfalls kann man sich das in der Tat sparen.

das stimmt. Falls eine solche Anforderung existiert, wird der OP dies
hoffentlich zu beherzigen wissen.
Auch DHCP o.�. ist ohne Trennung auf Layer-2 zumindest kniffeliger.

[Detlef Bosau]

Das denke ich auch.

VLANs sind zwar schick - aber hier kommt es erstmal darauf an, was Du
überhaupt willst und was Du brauchst.

Ich habe Konfigurationen wie Deine über Jahre in Betrieb gesehen - gehen
tut so etwas völlig problemlos. Wenn Du VLANs brauchst, kannst Du das
immer noch machen, aber möglicherweise ist das für Dich völlig oversized.

[Gerald Breuer]

Am 27.12.2013 22:18, schrieb Detlef Bosau:

> Ich habe Konfigurationen wie Deine über Jahre in Betrieb gesehen - ...

Ja, aber als Dampfplauderer mit Achtelwissen hat man dich aber nicht
an die Geräte rangelassen.

[Detlef Bosau]

Ich bin kein Dampfplauderer und habe kein Achtelwissen.

Nur weil der Versuch Dich abzutreiben fehlgeschlagen ist, hast Du noch
lange kene Berechtigung zur Meinungsäußerung,

Ich frage mich, wann Deutschland endlich seine Unterschicht absetzt.

[jung...@gmail.com]

1"ce