[lug-ld] S) VLAN - unterschätzt, kann mehr

Hakon Benner-Stollowsky hakon.benner-stollowsky at hornbach.com
Di Mär 2 15:38:07 CET 2021 

Hi Heinz, Ekki,

ein VLAN pro Kunde ist in diesem Kontext nicht falsch. An dem Provider-Port, den der Kunde zur Verfügung gestellt bekommt, kann ja auch nur das eine VLAN getaggt ausgegeben werden, das für den einen Kunden gedacht ist. Dann erscheinen andere VLANs nicht auf diesem Port. Setzt halt dann schon wieder eine PtP Verbindung voraus. Solange das dann wieder ein irgendwie geartetes DSL oder Cable-Zeug ist, welches ein Modem benötigt und da ggf. noch Provider-Spezifische Sicherheitsmechanismen drüberhocken (z.B. MAC Security o.ä.) und nicht einfach durch X-Beliebige Hardware (LAN-Port) darauf zugegriffen werden kann, ist das eigentlich auch alles OK.

Die Aufteilung in unterschiedliche VLANs: Voice/Data (so wie wir das z.B. auf dem HB Campus machen) ist für einen einzelnen User (Internet-Konsument) nicht nötig. Die Priorisierung von Voice zu Data (QoS; IEEE 802.1p<https://de.wikipedia.org/wiki/IEEE_802.1p>) erfolgt in diesem Fall wahrscheinlich durch den Router (Fritz!Box oder sonstige) eher in den IP Headern (L3) und nicht auf L2.

Grundsätzlich hab ich auch schon mal in einem Provider-Router gesehen, dass man auf der WAN-Seite des Routers eine VLAN ID eingeben kann.

Zu den 4k möglichen VLAN’s, von denen du als O2 Kunde für deinen Internetzugang nur ein einziges bekommst, sei zu fragen, ob du als End-User mit einem O2 Internetanschluss wirklich 4k unterschiedliche IP-Netze haben willst?

@Heinz: Was meinst du mit den „8 Prio-Stufen des VLANS“?

VLANs (802.1q) sind IMHO zur Netztrennung da und 802.1p (QoS) für die Priorisierung.

Liebe Grüße
Hakon

Von: lug-ld <lug-ld-bounces at lists.lug-ld.de> Im Auftrag von Ekki Plicht (DF4OR)
Gesendet: Dienstag, 2. März 2021 13:52
An: Allgemeine Mailingliste der Linux-User-Group Landau <lug-ld at lists.lug-ld.de>
Betreff: Re: [lug-ld] S) VLAN - unterschätzt, kann mehr

EXTERNAL MAIL

Der Grund bei O2 dürfte Geld sein. Nur 1 Router pro x Kunden, ist doch prima.

Was man dabei nicht vergessen darf:
Ein VLAN bringt Null Sicherheit, wenn man ans Kabel rankommt. Dann schleife ich einen Ethernet-Tap ein, oder einen kleinen Switch und kann alles mithören, egal über welches VLAN es läuft. Sprich: wenn der Zugang zum Router gesichert ist und nur der Provider dran kann, dann kann man das für unbedarfte User schon so machen. Wenn der Router hingegen bei einer Mietpartei in der Wohnung steht und alle anderen per VLAN dran hängen, dann würde ich das ablehnen.

Gruß,
Ekki


Am Di., 2. März 2021 um 11:15 Uhr schrieb Pahle Heinz <heinz.pahle at gmx.de<mailto:heinz.pahle at gmx.de>>:
Lieber Ekki, liebe LUGer,

zum VLAN soviel:
Ekki, was Du aufgezählt hast an VLAN-Fähigkeiten ist einleuchtend. Bei
allem Aufgezähltem steckt überall das 'V' für virtual drin. Wenn man
sich etwas mit den erforderlichen Frames, Ethernet+Payload befasst, dann
merkt man schnell, dass das uralte Ethernet II bis zum Platzen
aufgemotzt wurde. Dummerweise werden Beschreibungen einiger
(Entwicklungs-)Zwischenschritte (und Sonderlösungen von Firmen) im web
nicht mit einem Datum versehen. So entdeckt man scheinbare Widersprüche,
kommt ins Schleudern, kapiert nix. Für mich wäre es einfach gewesen, ich
hätte mir die Norm IEEE 802.1Q gekauft, dafür ein paar Hundert CHF
(Fränkli) berappt(!). Um das zu umgehen, ein Hilferuf an
Administratoren, die vielleicht schon VLAN ausreizten.

Jetzt endlich, warum ich das mit VLAN genauer wissen wollte:
Eine Freundin zog um und was ist mit ihrem AVM DSL-Router? Mitnehmen,
neuen mieten? Der neue Provider O2 will VLAN-Anbindung!? Merkwürdig, bei
O2 eine einzige VLAN-ID, obwohl 4K möglich wären. Nebenbei: Der
vorhandene AVM-Router kann erst einmal kein VLAN. Es gäbe aber
SW-Krücken dafür...

Aber verdammt nochmal, warum an dieser Stelle VLAN?
In diesem Fall passt kein Standardbeispiel, wie es auch Ekki aufgezählt hat.
Nach langem Herumlesen kam ich zur Überzeugung, dass einzig alleine die
8 Prio-Stufen des VLANS auch für einen simplen Router ans WAN angebunden
Sinn machen. Ich kann doch gleichzeitig als Einzelperson surfen und
telefonieren. Welcher Dienst Vorrang haben muss, das ist ja klar. Und
das können VLAN-Frames mit einem 3-Bit-Feld bestimmen, also 8 Möglichkeiten.
Ich will für meine Erkenntnisse jetzt nicht meinen Kopf dafür hinhalten,
würde liebend gerne die IEEE 802.1Q-Norm lesen. IEEE-Normen,
staubtrocken, aber dennoch klar. Wenn jemand so eine PDF hat, alleine
zum Lernen an mich, wäre toll. Manchesmal dümpeln bei Unis, irgendwo auf
der Welt, solche Sachen abgreifbar herum. Fand nix.

Gruß
Heinz

heinz.pahle at gmx.de<mailto:heinz.pahle at gmx.de>
_______________________________________________
lug-ld mailing list
lug-ld at lists.lug-ld.de<mailto:lug-ld at lists.lug-ld.de>
http://lists.lug-ld.de/mailman/listinfo/lug-ld<https://protection.retarus.com/v1?u=http%3A%2F%2Flists.lug-ld.de%2Fmailman%2Flistinfo%2Flug-ld&c=3ii9Xaz&r=2b64kdvAlLFHpaXGxMKHLP&k=7s1&s=KaddMFF5X9WnVKPhS7mRLloQXsp1AowhGd5e7UdZnYC>

HORNBACH Baumarkt AG
Sitz: Bornheim/Pfalz
Registergericht Landau HRB 2311
USt-IDNr. DE 151 116 749
WEEE-Reg.-Nr. DE 39697378

Vorsitzender des Aufsichtsrates: Albrecht Hornbach
Vorstand: Erich Harsch (Vorsitzender),
Roland Pelka (stellv. Vorsitzender),
Karin Dohm, Susanne Jäger, Karsten Kühn, Ingo Leiner, Dr. Andreas Schobert
**********************************************************************************************
HORNBACH auf Facebook    http://www.facebook.com/hornbach.de
HORNBACH auf Youtube      http://www.youtube.com/hornbach
HORNBACH auf Twitter        http://twitter.com/Hornbach_tweets
**********************************************************************************************
E-mail-Newsletter: Jetzt anmelden!

Ein Mail. Ein Wink:
Einfach auf hornbach.de gehen, anmelden und los geht es.
Lassen Sie sich nichts durch die Lappen gehen!

http://www.hornbach.de/newsletter
**********************************************************************************************
Sofern die in Art. 21 DSGVO (https://dsgvo-gesetz.de/art-21-dsgvo/) genannten
Voraussetzungen erfüllt sind können Sie der Verarbeitung Ihrer Daten widersprechen.
Weitere Hinweise zum Umgang mit Ihren Daten und zu Ihren Rechten erhalten
Sie unter https://www.hornbach.de/cms/de/de/datenschutz.html.
********************************************************************************************** This e-mail is only intended for the person(s) to whom it is addressed and may
contain confidential information. Unless stated to the contrary, any opinions or
comments are personal to the writer and do not represent the official view of the
company. If you have received this e-mail in error, please notify us immediately by
reply e-mail and then delete this message from your system. Please do not copy
it or use it for any purposes, or disclose its contents to any other person.
Thank you for your co-operation.
**********************************************************************************************
[~HBlegalnotice~]
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lug-ld.de/pipermail/lug-ld/attachments/20210302/d16e66b7/attachment-0001.html>

Mehr Informationen über die Mailingliste lug-ld