VLAN-Trunking möglich?

jochenthomas · 10. März 2020

Hallo,

kurze Frage:

Ist VLAN Trunking zwischen zwei physischen oder virtuellen Netzwerk-Komponenten möglich (gemäß 802.1q)?

Achtung: Ich spreche nicht von Trunking im Sinne von Port-Aggregation sondern nur im Sinne von V-LAN!

Beispiel:

WLAN Router mit
1 physical external Port für Internet (intern = VLAN-01)
1 physical internal Port für interne Anbindung Router an NAS (VLAN Trunking: VLAN 01-03)
2 physical internal Ports für VLAN-02 --> z.B. physical devices (Notebook, etc.) hinter Firewall/VPN
2 physical internal Ports für VLAN-03 --> z.B. physical device mit Zugriff auf virtuelle Maschine
QNAP NAS mit
1 physcal Adapter Anbindung Router zu NAS (VLAN-Trunking: VLAN-01-03)
1 virtual Adapter für VLAN-01 (Internet) --> z.B. für eine Firewall/VPN mit ausgehendem Traffic auf VLAN-02
1 physcal Adapter für VLAN-02 --> z.B. physical devices (Notebook, etc.) hinter Firewall
1 virtual Adapter für VLAN-03 --> z.B. diverse Virtuelle Maschinen angebunden

Die Frage ist also, wie wird so ein Multi-VLAN Verbindung (Trunk) eingerichtet?

Ich sehe nur die Möglichkeit der Zuordnung von VLAN zu den entsprechenden Einzel-Adaptern...

Crazyhorse · 10. März 2020

Ich glaube was du meinst ist VLAN Tagging auf dem Link zum NAS?

Du kannst einem Adapter, oder auch einem LAG mehrere VLAN zuordnen, jendefalls in der aktuellen 4.4.1er QTS Version.

Ob du die dann jedoch alle separat mit einem Software definden Switch verknüpfen kannst und dann der gewünschen Anwendung, also VM oder Conti zuweisen kannst, musst du testen.

Vor kurzem hatte ich das mit einem Conti versucht und da ging das nicht.

Hätte natürlich auch gern alles auf meinem 2er LAG als Tagged Frames drauf und dann weitere über entsprechende vSwitche verteilt.

Schade das hier nicht der vSwitch aus einer schönen VMware Umgebung von den Funktionen integriert ist, das wäre zu geil!

jochenthomas · 12. März 2020

Hallo,

schon mal vielen Dank für die Antwort.

Ja - irgendwie habe ich das Gefühl, das gute Ideen seitens QNAP nur zur Hälfte entwickelt werden (siehe auch Container Station); wahrscheinlich will man das Marketing befeuern und nicht zu viel investieren (Entwicklung und Geld)...

Dennoch bin ich mir nicht sicher, ob wir vom selben sprechen (obwohl Du von Tagged Frames sprichts) , daher zur Klarstellung:

A /// Meinst Du "Network & Virtual Switch" > Interfaces > + Port Trunking (rechts oben unter blauen Button "System Default Gateway")?

Das dort einstellbare Trunking ist aber Port Aggregation? Ich benötige nur 1 einzelnen Port mit 3 V-LANS)...

Unter Help (rechts oben) ist es dargestellt:

As an example, refer to the following table for Port Trunking modes and their recommended scenario:
(1) --> nur VJBOD, nicht relevant

(2) --> normale Switch, nicht relevant

(3) Managed Switch which support Port Trunking/LACP

Picture

Balance-rr // Balance-xor // Broadcast // 802.3ad dynamic

B /// Oder sprechen wir über "Network & Virtual Switch" > Interfaces > gewählter Adapter, 3 Punkte Erweiterungsmenü >"Add V-Lan"?

In diesem Fall kann ich nur 1 (ein!!) V-LAN zuordnen, dies entspricht dem Tagging.

Ich kann immer noch nicht nachvollziehen, wie ich auf ein LAN-Port drei oder mehr getrennt Netze adressieren kann.

Kannst Du mir kurz erklären, wie ich einem Adapter **mehrere** V-LANs zuordnen kann?

Ggf. habe ich etwas übersehen?

Die Idee wäre folgendes Router Port 1 (VLAN 1+2+3 <--> Qnap physical Adapter (VLAN 1+2+3) <--> z.B. virtual Switch (NUR VLAN 1) <--> z.B. Virtual Machine (ohne Tagging)

BTW:
Einem softwaredefined Switch kann ich keine V-LAN's zuweisen...

Adapter Adapter x is currently connected to virtual switch Software Defined Switch x. Adding a VLAN will disconnect the adapter from the virtual switch.

Do you want to add a VLAN now?

Crazyhorse · 12. März 2020

B, du fügst ein Vlan hinzu, dann noch eins und dann noch eines.

Bei A hätte ich von LAG oder genauer von LACP besprochen, wolltest du aber nicht.

Ein Trunk ist ein Uplink Port auf einem Switch, der das Vlan 1 untagged überträgt und hier z.B. MST BPDU Pakete übermittelt und alle weiteren VLAN als Tagged Frames weitertgibt.

jochenthomas · 12. März 2020

Ahh, super - das ist ja schon mal ein Hinweis.
Nach und nach ein weiteres hinzufügen....!! Hätte ich auf keinen Fall so verstanden und probiert
OK, das werde ich dann mal testen...

Würde mich ggf. noch einmal melden, Danke noch einmal für den Fingerzeig.

xtc_motz · 24. März 2020

Crazyhorse in einfachen Worten heißt das, dass ich ein Port Trunking mit zwei Netzwerkschnittstellen machen kann mit 2 verschiedenen VLAN's, also zwei verschiedenen IP-Adressen? Ich habe aber weiterhin die Vorteile des Trunkings, d.h. wenn zwei PC's auf das NAS zugreifen, teilt es die Bandbreite auf beide Adapter auf trotz VLAN? Ist das so korrekt?

Hatte die Frage zum Teil auch in einem anderen Beitrag von mir: USB Ethernet Adapter für TS-431P

Crazyhorse · 31. März 2020

Wenn du ein LAG einrichtest, gibt es nach 802.3ad verschiedene Möglichkeiten, L2 und L3 Loadbalancing kann QTS, leider kein L3/L4.

Dann muss dein Switch das auch noch unterstützen und erst dann wird bei L3 und noch besser bei L3/L4 die Bandbreite ausgenutzt.

Bei L2 kann es durch den einfachen HASH vorkommen, das zwei System auf dem gleichen Port landen, ist hier bei meinen beiden FAT Clients leider der Fall.

Mein Switch kann leider auch nur L2.

Was die VLANs angeht, das bring leider nix, da man bei der Contistation dann dran scheitert.

So war es jedenfalls bei mir, als ich vor 1-2 Monaten noch mal einen Versuch gestartet habe das alles sauber über den LAG und mit weiteren Tagged VLANs zu lösen, die dann DMZ Netze in der VM und Conti Umgebung bereitstellen.

War aber nix, da die QTS Unterstützung hier echt scheiße ist.

xtc_motz · 1. April 2020

ich habe einen D-Link DGS-1100-16 in Verwendung, der meiner Meinung nach auf Layer 2 arbeitet. Demnach habe ich beim heutigen Umbau auch im QNAP auf L2 umgestellt, da die Option L2+L3 wahrscheinlich gar nicht unterstützt wird.

Zwecks VLAN's, ich hätte das lediglich gebraucht um das Video-Netz vom Daten-Netz zu trennen und es dann am Qnap doch wieder über den Trunk einzubinden. Ich habe keine VM's in Verwendung und somit auch keine Probleme mit der Containerstation. Sollte dann also funktionieren oder?

Crazyhorse · 2. April 2020

Ok du trennst das, aber leitest es direkt zu NAS?

Dann kannst du dir das auch sparen, weil das NAS keine Firewall ist die von unerwünschten Zugriffen oder Angriffen aus so einem Netz heraus schützt.

Bei mir geht alles, außer das VLAN 1 über die Firewall und hat hier sein Interface und entsprechendes Regelwerk.

xtc_motz · 2. April 2020

die Idee hinter den zwei Netzen war diese, dass man von außen über die VPN oder sonstige Angriffe über Inet nicht direkt auf das Webinterface der Kamera kommt. Das sollte ja in der dieser Form klappen oder?

Crazyhorse · 3. April 2020

Das verstehe ich nicht so ganz.

Ich habe hier ein Kamera Netz und das darf nicht ins interne Netz, das interne Netz darf aber in so ziemlich alle Netze, außer das Gast.

Alles läuft auf einer kleinen Firewall Appliance in Hardware auf, bei der ich so viele VLANs anlegen kann wie ich will und ganz sauber umsetzt, da die pfSense ein Enterprise Produkt ist.

Also noch mal im Detail, was ist dein Ist Zustand und was willst du erreichen, bzw. wie Strukturell absichern?

Nicht das du hier von einer falschen Annahme ausgehst und anschließend ein Problem hast.

xtc_motz · 3. April 2020

Also, ich habe an meiner TS-431P zwei Ethernetports. Der erste Port ist mein normales Heimnetz wo ich auch ins Internet gelange und über VPN darauf zugreifen kann. Am zweiten Port habe ich eine andere Netzwerkadresse für das Video-Lan, wobei das NAS das Gateway ist. Am Switch wo die Kamera dran ist habe ich ein port-basiertes VLAN welches direkt mit dem NAS verbunden ist. Beide Netze haben untereinander keine Verbindung und werden nur im NAS zusammengeführt für die Aufnahme. In der App z.B. greife ich weiterhin auf mein Heimnetz zu und gelange somit in die Surveillance Station. Sollte eigentlich soweit passen von der Sicherheit.

Da ich letztlich das NAS an einen anderen Ort zwecks besserer Kühlung versetzt habe bin ich aber nicht mehr neben dem Video Switch sondern eben an einem anderen Switch. Damit ich weiterhin das Video-Lan nutzen kann müsste ich so die VLAN's an alle Switches im Netz verteilen und demnach auch an der QNAP einstellen. Da ich an der neuen Position die Möglichkeit des Port-Trunkings habe war das eben meine Frage ob ich trotz des Port-Trunkings beide VLAN's vereinen kann und mir trotzdem die Trennung bleibt wie ich sie jetzt habe.

brausepaul · 4. April 2020

Das geht, sofern es der Switch auch unterstützt. Ich habe z.B. Clients, Voip, DMZ, IoT, SmartHome und Management in separaten Netzen/Vlans und die laufen per Trunk und Portbündelung auf dem NAS zusammen. Darauf das Qnap das endlich unterstützt hab ich lange gewartet.

Unbenannt55.JPG

VLAN-Trunking möglich?

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

Multiple Vulnerabilities in jackson-databind

Dumme Frage, bitte nicht lachen ...

Keine Daten auf den Festplatten, obwohl die Festplatten belegt sind

NAS mit 2ten Port Netzwerk Drucker anschliessen

Datenübertragung bricht nach kurzer Zeit ein und bleibt zwischendurch stehen. Qnap-TS462 8GB

PI 5 Sychronisation mit QNAP aber wie?

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

VPN - ganz allgemein

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur

Tags