Zwei vLAN über eine Devolo Powerline

[Stationary]

Es gab früher einmal von Devolo die 1200+ Pro-Serie (die schwarzen Powerline-Adapter) mit der man vLAN tagging über den Powerline-Adapter machen konnte. Also am Eingangsadapter mit zwei Netzwerken hinein, durchs Stromnetz und am Ausgangsadapter wieder die Aufspaltung in die beiden Netzwerke, eines pro RJ45 eben.
Da es die Geräte nicht mehr gibt und ich leider nur die normalen 1200+ von Devolo habe, hier nun meine Frage an Euch Experten (nein, ich werde hier nicht die Wände im Altbau aufschlitzen lassen, um direkt Netzwerkkabel zu verlegen, obwohl das sicherlich die beste Lösung wäre):

Eine Fritzbox 7590 liefert auf LAN1 das Hauptnetzwerk und auf LAN4 das Gastnetzwerk. LAN1 (x.y.143.0) und LAN4 (x.y.179.0) sollen nun über die Devolos per Stromnetz in einen anderen Raum gebracht werden.

Kann man hinter der Fritzbox einen Switch anschliessen (z.B. Netgear GS305EP) und den mit LAN1 und LAN4 verbinden (zwei Kabel von der Fritzbox zum Switch), dann den Switch vLAN tagging machen lassen, ihn mit einem einzigen Kabel mit dem Eingangs-Devoloadapter verbinden, im anderen Raum einen identischen Switch mit einem Kabel mit dem dortigen Devolo verbinden und dann aus diesem Switch wieder die beiden Netzwerke LAN1 und LAN4 getrennt ausleiten? Oder kann das nicht funktionieren?

Zusatzfrage, wenn es funktioniert: da es insgesamt 5 Devolos gibt, dann muß wohl hinter jeden Devolo ein Switch, um zu verhindern, daß man aus dem Gastnetzwerk auf Geräte zugreifen kann, die man nicht erreichen können soll? Oder kann das ohnehin nicht passieren, weil das eine Netzwerk x.y.143.z und das andere x.y.179.z ist?

Wenn das nicht funktionieren kann, was wäre die Lösung (mit Devolos aus der Pro-Reihe ging etwas Ähnliches ja)? Gastnetz wlan habe ich versucht dorthin zu bekommen, da kommt nicht genügend an. Zu viele Wände im Weg (und ein Kühlschrank und ein Backofen).

 

[blurrrr]

Grade mal so im Netz gefunden:

...die Magic-Geräte sind nicht in der Lage proaktiv zu taggen, sondern lediglich diese weiter zu leiten.
Unsere Business pro-Geräte hingegen, sind in der lage vlan tagging zu betreiben.

"sollte" also funktionieren (halt ohne Gewähr, ich würde es einfach mal testen). Kannst ja irgendwo am anderen Ende einfach mal einen Client an einen ebenfalls "untagged"-Port hängen und schauen was passiert. Wenn Du eh davor und dahinter managed Switche hast, wäre es wohl am einfachsten, das einfach mal kurz zu testen

 

[the other]

Moinsen,
Meinst du so wie im Kommentar von aqui in diesem Forum beschrieben?
https://administrator.de/forum/vlan-einrichten-an-zyxel-switch-637212.html#comment-1504365

Sorry, bin ein Grafikfan, brauche meist was visuelles...
Anderer switch, aber vom Prinzip her...?

 

[Stationary]

Wenn Du eh davor und dahinter managed Switche hast, wäre es wohl am einfachsten, das einfach mal kurz zu testen

Noch nicht…ich frage, bevor ich die Switche kaufe. Bisher sind wir ohne ausgekommen.
Gibt es irgendwie bevorzugte Marken, Zyxel, Netgear, D-Link?

 

[Stationary]

Meinst du so wie im Kommentar von aqui in diesem Forum beschrieben?

Ja, sieht so aus, wie ich mir das vorstelle, wobei die Verbindung zwischen den Switches über die Powerline laufen soll. Warum ist denn in der Verbindung zwischen den Switches nur die eine Verbindung getaggt?

Brauche ich hinter jedem Devolo einen Switch?

 

[blurrrr]

Brauche ich hinter jedem Devolo einen Switch?

Was hast Du denn "genau" damit vor? Einfach nur ein WLAN-AP (Multi-SSID, VLAN-fähig) am anderen Ende, oder auch noch kabelgebundene Clients für das Gastnetz?

 

[Stationary]

Am anderen Ende soll ein Rechner kabelgebunden ins Gastnetz, außerdem steht da noch ein Gerät, das jetzt schon kabelgebunden (über den Devolo) im Hauptnetz ist.

Die Frage war nur, wenn ich hinter der Fritzbox am Eingang „tagge“, muß dann an jedem Ausgang (insgesamt gibt es vier Devolo-Ausgänge, von denen aber nur einer LAN-Gastnetz+Hauptnetz liefern können soll, die anderen nur LAN-Hauptnetz) einen Switch haben, um Gastnetz und Hauptnetz wieder trennen zu können. Ich möchte auf keinen Fall, daß an den anderen Exitpoints über das Gastnetz zugegriffen werden kann.

Das hier ist, was ich erreichen möchte:

Das ist das Netzwerk in groben Zügen, unwichtige Clients habe ich der Übersichtlichkeit halber mal weggelassen.

Der Mac soll per LAN-Kabel ins Gastnetz LAN4 (x.y.179.0) und Kabel vom Router aus ziehen bzw. Gastnetz-WLAN scheiden aus.
Die Frage ist also, ob vor TV, Drucker und DiskStation auch jeweils ein Switch muß. WLAN soll am Endpunkt mit dem Mac und der Kamera nicht verfügbar sein (das würde der Devolo bereitstellen können, allerdings nicht als Gastnetz).

Ich habe das auch richtig verstanden, daß die Switches für das geplante Setup "port-trunking"-fähig sein müssen, damit Haupt- und Gastnetz über einen einzigen Port des Switches an den Devolo weitergegeben werden können?

 

[Barungar]

Du solltest den devolo Support fragen, falls Du deswegen Anschaffungen machen willst.
Wenn Du schon VLAN-fähige Switch hast, dann versuch es doch einfach als Test.

Das "Problem" ist nämlich, dass wenn ein Gerät keine IEEE 802.1Q unterstütz, sondern nur reines Ethernet, dann muss es per Definition einen getaggen Frame verwerfen, weil der zu lang ist.

Ein Ethernet-Frame darf maximal 1.518 Byte haben. Ein getaggter Frame ist 1.522 Byte lang.
Edit: Wenn man ganz kleinlich ist, dann sind beide Frames sogar noch 8 Byte länger - also 1.526 und 1.530 Byte. Die nicht erwähnten 8 Byte sind die sogenannte "Präambel". Das sind allerdings keinen echten, nutzbaren Daten oder Adressen. Sondern eine alterierende Reihe von 0101-Bits. Damit sich die Ethernet-Geräte auf den "Bus-Takt" synchronisieren können. Ein Relikt aus dem alten 10Base2

 

[Stationary]

Das ist ein wichtiger Hinweis!

 

[Stationary]

@Barungar Die verwendeten Devolo Adapter-Typen sind die folgenden: Devolo 1200+, Devolo 1200+ wifi ac und Devolo 550+ duo. In den Datenblättern lese ich:






Entspricht der Standard IEEE 802.1p wohl dem für VLAN nötigen IEEE 802.1Q?

Wikipedia schreibt dazu nämlich:
“IEEE 802.1p war eine Arbeitsgruppe der IEEE, die unter anderem den Transport von Daten unterschiedlicher Priorität in Rechnernetzwerken neu regeln sollte. Der daraus entstandene Standard IEEE 802.1Q arbeitet auf der 2. Ebene des OSI-Referenzmodells. Die übertragenen Frames werden in Prioritätsklassen von 0 bis 7 eingeteilt. Die 0 wird für Frames verwendet, die keiner bestimmten Priorität zugeordnet sind. Der Standard legt nur fest, dass die Priorität codiert ist mit einer Nummer von 0 bis 7, trifft aber keine weitergehenden Aussagen darüber, wie die Frames im Einzelnen behandelt werden sollen. Die Prioritäten werden durch das Priority Code Point (PCP) Feld des Tag Control Information (TCI) Felds in ein zusätzliches VLAN-tag codiert (siehe IEEE 802.3 Tagged MAC Frame).“

Dann wäre möglicherweise nur der 550+ außen vor?

Für die schwarzen Devolo 1200+ Pro-Adapter, die selbst VLAN machen können, gibt Devolo diese Standards an:

Also nur IEEE 802.1p und auch sonst dieselben, die auch für den 1200+ ohne Pro gelten.

 

[Barungar]

Das "nur" bei IEEE 802.1p kannst Du streichen. Wenn 802.1p gegeben ist, dann ist in meiner Erfahrung auch 802.1Q möglich.
Ich zitiere mal Wikipedia. Also sollte es bei den 1200er funktionieren. Die "verstehen" das VLAN dann zwar nicht, aber sie müssten mit "langen Frames" klarkommen wegen 802.1p!

Unter dem Namen IEEE 802.1p wurde nie ein Dokument von der IEEE publiziert. Die Inhalte der Arbeitsgruppe sind in IEEE 802.1Q eingegangen.

( https://de.wikipedia.org/wiki/IEEE_802.1p )

 

[Stationary]

Ich habe jetzt mit der Suche nach IEEE 802.1q noch diesen Beitrag gefunden: https://community.ui.com/questions/...f#answer/cbabd5d2-d57c-4631-828c-1c1f782b0e36

Sieht eigentlich so aus, wie das, was ich vorhabe.

 

[blurrrr]

Na dann... auf geht's!

 

[Stationary]

Devolo war sehr schnell mit dem Antworten…die arbeiten selbst am Sonnabend: die Antwort von dort war: geht nicht. Bei der Antwort bin ich mir aber nicht sicher, ob die Frage richtig verstanden war. Ich wollte ja wissen, ob die Adapter von den Switches erzeugtes VLAN transparent durchleiten können. Die Antwort war: „Die dLAN-Adapter verfügen nicht über VLAN. Es ist nicht möglich, VLAN mit diesen Geräten zu verwenden.“ Das war jetzt nicht unbedingt die Antwort auf die Frage.

Für 150 Euro (2 Switches) muß ich es dann wohl mal selbst ausprobieren…

 

[blurrrr]

Wie kommst Du auf 150€? Die Dinger gibt es doch schon wesentlich günstiger Also ich hab einen Netgear GS305E (5-Port, sollte ja für Dein Vorhaben reichen) bei mir im Wohnzimmer, das Ding kostet 22,99€... Also wenn Du 2 nimmst, biste noch unter 50€.

Theoretisch kannst Du auch erstmal nur einen nehmen (zwischen Router und Devolo) und das VLAN-Tag direkt am Mac setzen. Dann hast Du zum einem nicht soviel ausgegeben (so einen Switch kann man immer mal gebrauchen) und zum anderen kannst Du damit auch schon testen. Alternativ dazu könntest Du aber auch hingehen, mal einen "freien" Port Deiner Diskstation nehmen, statische IP rein (anderes Netz, ohne Gateway), VLAN-Tag drauf und an Deinem Mac das Spielchen ebenso und dann mal schauen, ob Du die DS über die zusätzliche IP erreichst. Um dann nochmal ganz sicher zu gehen, nimmste das Tag beim Mac mal wieder raus (Syno hat derweil noch das Tag) und schaust nochmal, ob an die zusätzliche IP der Syno kommst (das sollte dann nicht mehr funktionieren). Wenn das soweit alles erfolgreich war, dürfte das mit dem VLAN durch die Devolo-Dinger kein Ding sein und dann kannst Du Dir noch überlegen, ob Du es bei einem Switch belässt, oder 2 nimmst

EDIT: Falls es ein paar Ports mehr sein sollen + PoE, ich hab zusätzlich auch noch einen D-Link DGS-1100-08P im Keller laufen (zwecks VoIP-Telefonen, IP-Cams, WLAN-APs), der liegt dann aber schon direkt bei ~120€/Stk, für Dein Vorhaben vielleicht "etwas" teuer und etwas grösseres bei Deinem Bedarf sehe ich da eigentlich auch eher nicht (ausser Du hast da schon ganz schwer etwas in Planung ). Von daher dieser Hinweis nur mal der Vollständigkeit halber.

 

[Stationary]

Der GS305E macht kein Port Trunking laut Datenblatt. Also benötige ich den GS305EP, den habe ich für 75 Euro gesehen. Und dann bin ich direkt beim GS308EP gelandet, der ist gerade im Angebot, auch für 75 Euro (und vom Format her genauso groß).
So wie ich das verstanden habe, benötige ich Link Aggregation/Port Trunking um mehrere VLANs aus einem Port heraus auszuleiten. Habe ich das falsch verstanden?

 

[the other]

Moinsen,
wofür genau meinst du dass du Port Trunking / Link Aggregation benötigst?
Oder ist das verwechselt mit dem cisco-Sprech "Trunk", was ja erstmal beim Arbeiten mit tagged VLANs nur die Verbindung zwischen switchen bzw. switch und router meint, auf dem das VLAN1 untagged und die anderen tagged übertragen werden?

https://de.wikipedia.org/wiki/Bündelung_(Datenübertragung)

Also: Trunking im Sinne von Bündelung (ähnlich Link Aggregation) ist NICHT dasselbe wie ein Trunk im VLAN Zusammenhang, der hier eher eine Bündelung der virtuellen Netzwerke auf einen Port /Kabel meint. Dieser dient als Übertragungsweg zwischen verschiedenen switchen und/oder Router und trägt alle VLANs, das default VLAN untagged und die anderen tagged. Im Unterschied zum Trunk Port (im VLAN-Thema) gibt es dann die reinen Access Ports, an die du die Clients idR anschließt, hier sind dann die Ports dem jeweiligen VLAN zugeteilt und das VLAN wird untagged am Port in Empfang genommen.

Daher: wenn der switch das Protokoll 802.1Q beherrscht, dann sollte gut sein.

 

[Stationary]

In den Switch gehen Hauptnetz und Gastnetz hinein. Beide müssen ja aus einem einzigen Port auf einen Devolo ausgeleitet werden. Da dann also zwei getaggte Netzwerke über einen (Trunk)Port gehen, muß der Switch dafür dann nicht Porttrunking beherrschen? Habe ich das falsch verstanden?

 

[blurrrr]

Du haust da grade schwer was durcheinander... diese Bündelung (aka Trunking, Bonding, Teaming, Link-Aggregation, usw.) welche Du vermutlich grade meinst, hat in diesem Sinne erstmal "nichts" mit dem VLAN-Thema zu tun. Es ist allerdings beides mal ein "Trunk" wenn man so will... also ein "Zusammenschluss" mehrer "Leitungen". Bei dem was Du meinst, sind "Interfaces" gemeint, z.B. etwas in die Richtung

eth0 + eth1 = bond0

Der Trunk im VLAN-Sinne besagt nur, auf welche VLAN-IDs überhaupt reagiert werden soll auf dem Port. Beispiel:

Du gehst hin und sagst: Port 5 VLANs (tagged) 10+20. Somit werden "beide" VLAN-IDs über diesen Port transportiert. Kommst Du nun mit der VLAN-ID 5 an, wird das Paket einfach verworfen... Port sagt: "Kenn ich nicht, will ich nicht".

Der Wikipedia-Artikel von @the other beschreibt es schon ganz treffend:

Der Begriff „Trunk“ wird bei VLANs in einer etwas geänderten Bedeutung verwendet. Hier werden mehrere verschiedene VLANs über eine physische Verbindung geführt, es gibt also keine Durchsatzsteigerung.

Heisst nicht, dass man nicht auch "beides" machen könnte:

eth0 + eth1 = bond0 -> bond0.10, bond0.20, bond0.30

Somit hättest Du einen Trunk im VLAN-Kontext (bond0 ->VLANs 10,20,30), als auch im herkömmlichen Sinne (eth0+eth1 = bond0).

Was Deine Frage angeht, so will ich Dir natürlich auch keine Antwort schuldig bleiben (und erst recht keinen Screenshot), von daher... Bilder sagen mehr als 1000 Worte:



Wie Du siehst, sind beide VLAN-IDs auf Port 1 ("tagged"), wobei die restlichen Ports alle "untagged" konfiguriert sind (2-4 für das eine VLAN, 5 für das andere VLAN). Hat ihm Wohnzimmer bei dem ganzen Multimedia-Kram den Hintergrund, dass dort der zweite Router mit der 2. Internetstrippe ist und das Signal will ja erstmal runter zur Firewall im Keller. Also wird es oben getrennt geführt (das VLAN mit Port 1+5 ist die Internetstrippe), geht runter in den Keller zur Firewall und wenn es dann zum TV oder so soll, geht es halt wieder hoch und kommt (über die "eine" Strippe die in den Keller führt (tagged / Trunk eben)) über einen der anderen Ports (2-4) zum TV/Mediaplayer/whatever.

Oder auch einfach in Kurzform: "Geht damit."

Somit sollte Deinem Vorhaben also nix im Wege stehen, das was Du machen willst, kannst Du damit problemlos machen. War also nur ein kleines Verständnisproblem

 

[the other]

Moinsen,
ja, Portrunking muss er behrrschen, aber nach eben 802.1Q!
https://de.wikipedia.org/wiki/IEEE_802.1Q
Das meint einen Trunk als EIN Kabel, das zwischen switch a und switch b liegt. Auf diesem einen Kabel werden alle VLANs übertragen.

Ich glaub in dem Datenblatt geht es aber eher um einen Trunk im Sinne von Kanalbündelung zur Erhöhung der Bandbreite bei mehreren gleichzeitigen Zugriffen.

Wenn du also zB zwischen router und switch bei vielen clients für genug Bandbreitenreserve sorgst nimmst du zwei Ports und verbindest diese(TRUNK). Zur Skalierung dieser Bandbreite zwischen den beiden gebündelten nutzt du dann zB als Protokoll LAGG...

Wenn du im Heimnetz dann VLANs nutzen willst, diverse switche vorhanden sind, dann werden die switche mit einem Trunk (im 802.1Q-Sinne!!) verbunden: EIN Kabel als Übertragung für alle VLANs zwischen den switches.
edit: diesmal war @blurrrr wieder schneller...