expertenaustausch > comp.os.* > comp.os.unix.networking.misc

Anton Blau (19.12.2013, 02:44)
Hallo Newsgroup,

vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
Clients, die sich in zwei unterschiedlichen Subnetzen
(192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.

Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch
über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im
jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.

Vielen Dank!

Tony
Friedemann Stoyan (19.12.2013, 06:52)
Anton Blau wrote:
> Hallo Newsgroup,


> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.


> Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch
> über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im
> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.


Du willst auf deinen Switches VLANs benutzen.

mfg Friedemann
Georg Schwarz (19.12.2013, 09:17)
Friedemann Stoyan <usenet> wrote:

> Du willst auf deinen Switches VLANs benutzen.


stimmt zwar, aber *grundsätzlich* geht es auch ohne Layer-2-Trennung
Juergen P. Meier (19.12.2013, 09:54)
Anton Blau <tony.blue>:
> Hallo Newsgroup,
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.


Das ist ISO/OSI Schicht 3 (IP Routing).

> Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch


Switche sind Schicht 2 (Briding/Switching).

Auf Schicht 2 verschaltest du Ethernet-Segmente.

Ein Ethernet-Segment (ein VLAN, LAN oder auch Broadcastdomain genannt)
kann ein oder mehrere IP-Subnetze beherbergen.

Ein IP-Subnetz kann prinzipiell nur ein Ehternet-Segment ausfuellen.

Um verschiedene IP-Subnetze (s.O.) miteinander zu verbinden ist
zwingend ein IP-Router noetig (das kann auch ein Host sein der Routing
Funktoin erfuellt, Linux oder Windows koennen das z.B. wenn man es
entsprechend einschaltet).

> über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im


D.h. auf IP-Layer getrennt bleiben? Das geht prinzipell auch parallel
nebeneinander auf dem selben Layer-2 Segment (LAN, VLAN bzw.
Ethernet-Segment), jedoch mit einem dicken "aber ..." (s.U.)

> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.


Der Richtige Weg[tm] ist es diese beiden IP-Subnetze auch auf
verschiedenen Layer-2 Netzsegmenten (VLANs wenn es ein und derselbe
Switch sein soll) zu verteilen.

Der billige Weg ist es, beide IP-Subnetze unabhaengig von einander auf
dem selben LAN-Segment (VLAN, Ethernet-Segment, Broadcast-Domain wie
auch immer man das nennen moechte) zu betreiben. Aber vorsicht:
insbesonder aeltere Betriebsysteme verhalten sich zum Teil automatisch
als Router wenn man mehere IP-Subnetze auf einem Host konfiguriert.

Und mit Hilfe von ARP und forwarding-cahches kann es passieren, dass
Hosts auch ohne dediziertes Gateway das die Netze verbindet die
IP-Addressen im anderen Subnetz direkt ansprechen koennen.

Darum trennt man das Ueblicherweise auch auf Layer-2 (z.B. in dem man
auf dem Switch verschiedene VLANs einrichtet)

Juergen
Juergen P. Meier (19.12.2013, 10:06)
Georg Schwarz <georg.schwarz>:
> Friedemann Stoyan <usenet> wrote:
>> Du willst auf deinen Switches VLANs benutzen.

> stimmt zwar, aber *grundsätzlich* geht es auch ohne Layer-2-Trennung


Wenn der Switch die Netze nicht auf Layer 2 trennt, koennen Hosts
diese Netztrennung die dann nur auf Layer 3 besteht einfach
ueberwinden.

Sollte also die Anforderung existieren, dass Hosts in den
verschiedenen IP-Netzen auf keinen Fall mit Hosts des anderen
IP-Netzes kommunizeren koennen duerfen, dann muss auf Layer-2 auch
getrennt werden. Andernfalls kann man sich das in der Tat sparen.
Tim Ritberg (19.12.2013, 11:00)
Am 19.12.2013 01:44, schrieb Anton Blau:
> Hallo Newsgroup,
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.


Ja die Frage ist dumm. Dir das unter die Nase zu reiben provozierst du
ja :-)

Um dich zu entdummen:


Tim
Ralph Aichinger (19.12.2013, 13:00)
Tim Ritberg <tim> wrote:
> Am 19.12.2013 01:44, schrieb Anton Blau:
>> Hallo Newsgroup,
>> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
>> Clients, die sich in zwei unterschiedlichen Subnetzen
>> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.

> Ja die Frage ist dumm.


Nein.

/ralph
Holger Marzen (19.12.2013, 14:06)
* On Thu, 19 Dec 2013 01:44:11 +0100, Anton Blau wrote:

> Hallo Newsgroup,
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.
> Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch
> über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im
> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.


Du brauchst nur einen einzigen Switch, wenn es Dir um einen bloß um
einen funktionierenden Betrieb geht. Wenn sich die Rechner in den
verschiedenen Subnetzen auf keinen Fall sehen dürfen, auch nicht wenn
sie tricksen, brauchst Du mehrere Switche. Entweder in Form mehrerer
Geräte oder in Form von virtuellen LANs auf einem entsprechend
konfigurierbaren Gerät.
Holger Marzen (19.12.2013, 14:16)
* On Thu, 19 Dec 2013 10:00:57 +0100, Tim Ritberg wrote:

> Am 19.12.2013 01:44, schrieb Anton Blau:
> Ja die Frage ist dumm. Dir das unter die Nase zu reiben provozierst du
> ja :-)
> Um dich zu entdummen:
>


Nicht drauf reinfallen! Dort steht nur ein Teil der Wahrheit, der in
diesem Zusammenhang irreführend ist. IP-Adressen sind auf Schicht 3
angesiedelt, MAC-Adressen auf Schicht 2. Die unbedingt notwendige
Verbindung, das ARP-Protokoll (bei ipv4), wurde dazwischengeklemmt.
Aus Verlegenheit taucht es deshalb nicht in der Tabelle "Die sieben
Schichten" auf. Man findet das Kürzel "ARP" ein Mal, und es verlinkt auf

Im rechten Kasten steht es dort falsch unter "Netzzugang". Es müsste
auch in die Zeile "Internet" ragen.

Ein solcher Hinweis, wie Tim ihn gegeben hat, ist für die Praxis und das
Verständnis genauso falsch wie der Rat schlechter Fahrlehrer: "Bisschen
Gas geben und die Kupplung langsam und gleichmäßig kommen lassen." Der
eine unterschlägt, dass sich ARP eben *nicht* in eine der OSI-Schichten
einsortieren lässt, der andere unterschlägt den Druckpunkt, an dem man
die Kupplung erst mal eine Weile so halten muss, damit die Karre nicht
springt oder der Motor abgewürgt wird.
Holger Marzen (19.12.2013, 14:16)
* On Thu, 19 Dec 2013 01:44:11 +0100, Anton Blau wrote:

> Hallo Newsgroup,
> vielleicht stelle ich eine etwas dumme Frage: Ich habe hier mehrere
> Clients, die sich in zwei unterschiedlichen Subnetzen
> (192.168.1.X/255.255.255.0 und 192.168.2.x/255.255.255.0) befinden.
> Brauche ich für jedes Subnetz einen eigenen Switch oder geht das auch
> über einen? Die Subnetze sollen nicht geroutet werden. Die Clients im
> jeweiligen Subnetz sollen nur die anderen im jeweiligen Subnetz sehen.


Du brauchst nur einen einzigen Switch, wenn es Dir bloß um einen
funktionierenden Betrieb geht. Wenn sich die Rechner in den
verschiedenen Subnetzen auf keinen Fall sehen dürfen, auch nicht wenn
sie tricksen, brauchst Du mehrere Switche. Entweder in Form mehrerer
Geräte oder in Form von virtuellen LANs auf einem entsprechend
konfigurierbaren Gerät.
Anton Blau (19.12.2013, 15:27)
Am 19.12.2013 13:16, schrieb Holger Marzen:
> * On Thu, 19 Dec 2013 01:44:11 +0100, Anton Blau wrote:


> Du brauchst nur einen einzigen Switch, wenn es Dir bloß um einen
> funktionierenden Betrieb geht. Wenn sich die Rechner in den
> verschiedenen Subnetzen auf keinen Fall sehen dürfen, auch nicht wenn
> sie tricksen, brauchst Du mehrere Switche. Entweder in Form mehrerer
> Geräte oder in Form von virtuellen LANs auf einem entsprechend
> konfigurierbaren Gerät.


Vielen Dank. Damit komme ich gut weiter.

Tony
Juergen Ilse (19.12.2013, 15:34)
Hallo,

Holger Marzen <holger> wrote:
> * On Thu, 19 Dec 2013 01:44:11 +0100, Anton Blau wrote:
> Du brauchst nur einen einzigen Switch, wenn es Dir bloß um einen
> funktionierenden Betrieb geht. Wenn sich die Rechner in den
> verschiedenen Subnetzen auf keinen Fall sehen dürfen, auch nicht wenn
> sie tricksen, brauchst Du mehrere Switche.


.... oder einen Switch, den man in irgend einer Weise "partitionieren" kann
(mein TP-Link "WebSmart" Switch bietet so etwas) oder einen managebaren
VLAN-faehigen Switch (dann sind die Ports des einen Netzes in ein VLAN und
die des anderen Netzes in ein anderes VLAN zu packen).

> Entweder in Form mehrerer Geräte oder in Form von virtuellen LANs auf
> einem entsprechend konfigurierbaren Gerät.


Nun ja, verschiedene VLANs auf einem Managebaren Switch wuerde ich nicht
unbedingt gleich mit mehreren Switches vergleichen (insbesondere, weil
man mit "Trunk-Ports" die strikte Trennung wieder teilweise aufheben kann).

Tschuess,
Juergen Ilse (juergen)
Juergen P. Meier (19.12.2013, 15:53)
Ralph Aichinger <ralph>:
> Tim Ritberg <tim> wrote:
> Nein.


Es gibt zwar viele Dumme Fragen, aber diese Frage war keineswegs Dumm.

Ganz im Gegensatz zu obiger Antwort.
Ralph Aichinger (19.12.2013, 16:45)
Juergen P. Meier <nospam-1984> wrote:
>>> Ja die Frage ist dumm.

>> Nein.

> Es gibt zwar viele Dumme Fragen, aber diese Frage war keineswegs Dumm.
> Ganz im Gegensatz zu obiger Antwort.


Ich weiß jetzt nicht, ob ich das richtig verstehe. Du stimmst
mir zu, daß die Frage des OP nicht dumm war, aber mein "Nein"
zur Aussage "die Frage ist dumm" wäre es gewesen? Oder du
findest auch das Statement zur Frage falsch?

Egal, ich denke, daß die Frage des OP ein Beispiel für eine
sinnvoll gestellte Frage ist, die man nicht nur sinnvoll
beantworten kann, sondern anhand der man auch einiges lernen
kann. Die genug Details mitbringt, ohne sich zu verzetteln
(tatsächlich wäre nur eine weitere Information IMHO noch
interessant gewesen, ob die Trennung der Subnetze aus
Auslastungsgründen oder aus Sicherheitsgründen erfolgen soll)

Außerdem war der Verweis aufs OSI-Schichtenmodell natürlich
im besten Fall leicht verwirrend, und IMHO auch etwas am Thema
vorbei.

Mein leicht flapsiges "Nein" war nur deswegen so kurz&knapp,
weil ich das nicht so im Raum stehen lassen wollte (daß die
Frage angeblich "dumm" gewesen wäre).

/ralph
Georg Schwarz (20.12.2013, 01:08)
Juergen P. Meier <nospam-1984> wrote:

> Wenn der Switch die Netze nicht auf Layer 2 trennt, koennen Hosts
> diese Netztrennung die dann nur auf Layer 3 besteht einfach
> ueberwinden.


natürlich.
> Sollte also die Anforderung existieren, dass Hosts in den
> verschiedenen IP-Netzen auf keinen Fall mit Hosts des anderen
> IP-Netzes kommunizeren koennen duerfen, dann muss auf Layer-2 auch
> getrennt werden. Andernfalls kann man sich das in der Tat sparen.


das stimmt. Falls eine solche Anforderung existiert, wird der OP dies
hoffentlich zu beherzigen wissen.
Auch DHCP o.ä. ist ohne Trennung auf Layer-2 zumindest kniffeliger.

Ähnliche Themen