Der Switch

In der hier vorgestellten Lösung wird ein Cisco SG300-10 Switch verwandt. Die Überlegungen lassen sich aber leicht auf andere Switches übertragen.

Grundsätzliches

Bei vielen Switches ist es unmöglich, sich komplett auszusperren. Der SG300 hat die Konfigurationsspeicher Ausgeführte Konfiguration und Startkonfiguration.

In die Ausgeführte Konfiguration werden alle Einstellungen gespeichert, die du vornimmst. Bei einem Neustart wird als erstes die Startkonfiguration in die Ausgeführte Konfiguration kopiert und dann die Ausgeführte Konfiguration ausgeführt.

Wenn du sich also mit einer Einstellung ausgeschlossen hast, starte den Switch einfach neu und du hast den zuletzt in die Startkonfiguration gespeicherten Stand.

Sobald du eine Einstellung vorgenommen hast, die Dich nicht aussperrt, siehst du oben neben dem Benutzernamen einen Link zum Speichern der Aktuellen Konfiguration in die Startkonfiguration.

Konfiguartion speichern

VLANs anlegen

Das VLAN für den Internetzugang hat die VLAN-ID 2, das Schüler-WLAN die VLAN-ID 10 und das Schulnetz die VLAN-ID 16.

VLAN-Einstellungen

Wähle VLAN-Verwaltung -> VLAN-Einstellungen und klicken auf Hinzufügen.

Es öffnet sich ein Dialogfenster, mit dem du die VLANs hinzufügen kannst.

VLAN-Hinzufügen

Füge die VLANs wie im Bild hinzu.

VLAN-Übersicht

Sobald alle VLANs hinzugefügt sind, schließe das Fenster. Die VLANs sollten jetzt aufgeführt sein.

Jetzt wäre ein guter Zeitpunkt, um die Ausgeführte Konfiguartion zu speichern.

Ausgeschlossen, Getaggt, Ungetaggt und PVID

Für jeden Switchport und für jedes VLAN muss festgelegt werden, ob das VLAN mit der VLAN-ID x ausgeschlossen, getaggt akzeptiert oder Datenpakete, die mit der VLAN-ID x getaggt sind, ungetaggt weitergeleitet werden.

Ausgeschlossen:
Datenpakete, die mit der VLAN-ID x getaggt sind, werden verworfen.
Getaggt:
Datenpakete, die mit der VLAN-ID x getaggt sind, werden weitergeleitet.
Ungetaggt:
Von Datenpaketen, die mit der VLAN-ID x getaggt sind, wird die VLAN-ID entfernt und zum Client weitergeleitet. Die meisten Clients können mit getaggten Datenpaketen nichts anfangen.
PVID:
Bei einem Port, der mit der PVID x markiert ist, werden alle ungetaggten Datenpakete des Clients mit der VLAN-ID x getaggt.

Den Ports die VLANs zuweisen

VLAN-Topologie
Port 1:
Der Hypervisor ist über ein Netzwerkkabel mit Port 1 des Switches verbunden. Der Port 1 ist getaggtes Mitglied der VLANs 2, 10 und 16.
Port 2-5:

Die APs sind im Schulnetz und werden über ein ungetaggtes VLAN verwaltet. VLAN 16 ist ungetaggt und PVID ist 16.

Zusätzlich soll das Schüler-WLAN vom AP ausgestrahlt werden. Um es vom Schulnetz zu trennen, muss es getaggt am AP ankommen. VLAN 10 ist getaggt.

Port 7-8:
Die Clients sind nur im Schulnetz und arbeiten mit ungetaggten Datenpaketen. VLAN 16 ist ungetaggt und PVID ist 16.
Port 9:
Auch der Router arbeitet mit ungetaggten Datenpaketen. VLAN 2 ist ungetaggt und PVID ist 2.
Port 10:
Über diesen Port wird der Switch gemanaged. Er ist das einzige Mitglied des Standard VLAN 1. Damit ist der Switch weder über das WLAN noch über das Schulnetz managebar.

Schritt für Schritt

Wähle VLAN-Verwaltung -> Port-VLAN.

VLAN1

In der Grundeinstellung ist für jeden Port VLAN 1 ungetaggt und PVID 1 eingestellt.

Da der Switch nur über den Port 1 verwaltet wird, verbiete den Ports 1 bis 9 die Mitgliedschaft zu VLAN 1 und bestätige anschließend mit Übernehmen. Man beachte, dass dabei PVID 1 automatisch gelöscht wird.

Nun wähle die VLAN-ID 2 und klicken auf Los.

VLAN2

Für Port 1 wähle getaggt und für Port 9 Ungetaggt. Dabei wird PVID automatisch selektiert.

Jetzt ist VLAN 10 an der Reihe.

VLAN10

Für die Ports 1 bis 5 wählst du getaggt.

Und schließlich noch VLAN 16.

VLAN16

Da die APs und die Clients im Schulnetz sind, sind die Ports 2 bis 8 ungetaggt und PVID ist gesetzt.

Über VLAN-Verwaltung -> Port-VLAN-Mitgliedschaft erhält man eine Zusammenfassung.

Zusammenfassung

Jetzt wäre ein guter Zeitpunkt zum Speichern der Konfiguration.