Moin miteinander,
ich habe seit wenigen Wochen eine 1906VA, das einzige Lancom Gerät bei mir. Ansonsten habe ich einige managed Switche von Cisco sowie zwei APs von Cisco und komme damit gut klar. Den Lancom habe ich mir angeschaffft, weil er nach der Spezifikation so ziemlich alles das (und etwas mehr) liefert, was ich brauche und noch machen will. Leider ist mir aber irgendwie das Konzept der LAN KOnfiguration mit VLANs und LANS und ETHs nicht klar.
Die WAN Anbindung war kein Problem. Zum Spielen habe ich erst einmal den 1906VA in mein LAN eingehängt, als Routerkaskade. Wenn es läuft, gebe ich den Speedport der Telekom zurück.
Auf dem Bild ist zu sehen, wie die Konfiguration aussehen soll.
Es gibt drei Wohnungen. Jede Wohnung soll ein eigenes VLAN bekommen.
Es soll ein Gastzugang VLAN-10 geben.
AmzonTV soll ein VLAN-30 bekommen
Ein Admin VLAN-201 soll in allen Wohnungen verfügbar sein, damit ich die Switche administrieren kann.
Admin VLAN-201 10.10.1.0
Gast VLAN-10 192.168.10.0
Amzon VLAN-30 192.168.30.0
Whg1 VLAN-200 192.168.200.0
Whg2 VLAN-150 192.168.150.0
Whg3 VLAN-100 192.168.100.0
Auf dem Bild seht Ihr, wo die VLANs überall verfügbar sein müssen. Whg3 fungiert eigentlich ein wenig wie das Gast VLAN, wird sich mittelfristig aber sicherlich ändern. Dann wird dort sicherlich auch Gast-VLAN erforderlich werden. Aber erst einmal wie abgebildet.
Mein problem: Ich bekomme es nicht hin.
Die VLANs habe ich alle angelegt. Alle VLANs Dabei habe ich die ETH Ports naiv so belegt: LAN1-3 sind als Trunk definiert, LAN4 als Access. VLAN Modul ist aktiviert (wahrschienlich überflüssig).
Dazu die netze konfiguriert:
Dazu die DHCPs.
Die Firewall hat eine ALLOW-ALL Einrichtung, damit ich erst einmal grundsätzlich die Netze und das DHCP prüfen kann. Dann wollte ich über die Firewall die Kommunikation zwischen den VLANS einschränken bzw. lediglich für das nötigste öffnen.
Mein erstes Problem ist jedoch, dass z.B. das DHCP über ETH2-LAN2 für das Admin-VLAN-201 schon gar nicht mehr funzt. Ich bekomme am Switch 10.10.1.20 keine IP mehr zugewiesen. Wenn ich alles auf LAN1 konfiguriere, funktioniert es prinzipiell schon, aber so verstehe ich die Logik nicht. Mir wird aus dem Referenzhandbuch eben nicht klar, was LAN und logisches LAN ist, auc hnicht, was ich mit den Bridges machen kann bzw. wie man diese konfiguriert. Die ETHs sind die Ports, in die ich die RJ45 stecke, klar. Die VLANs sind die VLAN definitionen. Aber dann wird es unverständlich.
Was muss ich einstellen, damit die VLANS wie im Schema angezeigt eingerichtet sind und das DHCP auf allen VLANS funktioniert?
Evtl. müssen dann statische Routen eingestellt werden. Vorstellbar, dass VLAN-150 auf VLAN-200 (z.B. auf den NAS oder Drucker) zugreifen können soll. Hätte ich über die Firewall (versucht) eingestellt.
Vielleicht gibt es im Forum bereits diese Fragen (prinzipiell) und Antworten, dann entschuldige ich mich schon mal dafür, dass ich nicht richtig suche. Allein ich habe nur Fragen zu mehrere VLANs auf einem Port/LAN gefunden, das ist machbar. Ich versuche das hier schon eine ganze Weile, aber immer funzt irgendetwas nicht.
Viele Grüße, Thomas
VLANs auf mehrere ETH und DHCP
Moderator: Lancom-Systems Moderatoren
VLANs auf mehrere ETH und DHCP
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: VLANs auf mehrere ETH und DHCP
Hallo Thomy,
na, hast Dich nicht getraut, mich anzurufen? Ja, ich habe auch keine Langeweile gehabt, wie Du sicher gemerkt hast, aber ich hatte Dir gesagt, dass Du Dich melden kannst. Ich hoffe Du bist noch mit Spaß bei der Sache, weil irgendwann kippt das ja und dann kommt eher der Frust hoch wenn es immer und immer wieder nicht funktioniert, das muss ja nicht sein. Und gleich als erste Übung das volle Programm ist schon eine gewisse Herausforderung...
), wäre die Netztrennung damit vollzogen.
Wenn Du jetzt den Einwand bringst, dass jemand das vom LANCOM-Router kommende Ethernetkabel an der Switch ausziehen könnte und dann - mit entsprechender Konfiguration, d. h. entsprechendem VLAN-Tag - in Dein Netz einsteigen könnte (also in Whg. 2 oder 3 in das Netz von Whg. 1), dann wird es etwas aufwändiger, dann kommt man um das VLAN-Modul nicht umhin, da gewisse VLANs an gewissen Ports nicht anliegen sollen oder ggf. anders getaggt (z. B. das Config-LANCOM-Netz (was in der Auflistung nicht erwähnt ist, aber in der Abbildung)).
Mit Bridges bridged Du zwischen Ports, klassisch zwischen LAN und WLAN, später dann zwischen LAN-x und WLAN-x-y, inzwischen aber auch zwischen LAN-x und LAN-y oder irgendeinem anderen Port der umfangreichen Liste. Möchtest Du also ein lokales Netzwerk (ich vermeide hier mal aus gutem Grund den Begriff VLAN) an verschiedene Ports binden, so bindest Du es an eine Bridge-Gruppe (BRG-x) und weist dieser halt die entsprechenden Ports zu. Und auf diese zusätzliche Abstraktionsebene kannst Du dann mit VLAN noch eine oben drauf setzen.
Aber was Du wie einstellen musst und warum, das zeige ich Dir dann lieber in einer TeamViewer-Sitzung, weil ich da in der Hälfte der Zeit wesentlich mehr rüberbringen kann und auch sehe, ob Du es verstanden hast, als hier. Wenn Du aber diesen Beitrag hier gelesen hast, wirst Du feststellen, dass Du (von der obigen einfachen Variante abgesehen) für alle ETH-Ports unterschiedliche logische LAN-Ports brauchst, weil die alle andere Zuordnungen haben sollen. Das wiederum heißt, dass auch ein BRG-Port zum Einsatz kommt und da dann das VLAN drauf aufgesetzt wird. Falls Du also selber probieren willst, dann los, aber nicht so viel Zeit verdallern, dann ruf mich lieber an...
Viele Grüße,
Jirka
na, hast Dich nicht getraut, mich anzurufen? Ja, ich habe auch keine Langeweile gehabt, wie Du sicher gemerkt hast, aber ich hatte Dir gesagt, dass Du Dich melden kannst. Ich hoffe Du bist noch mit Spaß bei der Sache, weil irgendwann kippt das ja und dann kommt eher der Frust hoch wenn es immer und immer wieder nicht funktioniert, das muss ja nicht sein. Und gleich als erste Übung das volle Programm ist schon eine gewisse Herausforderung...
Da dahinter (bis auf an ETH-4) überall managed Switches kommen, wäre die einfachste Variante, die VLANs auf allen Ports auszugeben und dann in den Switches zu selektieren. Dazu bräuchte man noch nicht mal das VLAN-Modul. Da in den Wohnungen keine Informatiker sitzen (also die entsprechenden Wohnungen
), wäre die Netztrennung damit vollzogen.Wenn Du jetzt den Einwand bringst, dass jemand das vom LANCOM-Router kommende Ethernetkabel an der Switch ausziehen könnte und dann - mit entsprechender Konfiguration, d. h. entsprechendem VLAN-Tag - in Dein Netz einsteigen könnte (also in Whg. 2 oder 3 in das Netz von Whg. 1), dann wird es etwas aufwändiger, dann kommt man um das VLAN-Modul nicht umhin, da gewisse VLANs an gewissen Ports nicht anliegen sollen oder ggf. anders getaggt (z. B. das Config-LANCOM-Netz (was in der Auflistung nicht erwähnt ist, aber in der Abbildung)).
Weil es das VLAN an diesem Port mit Deiner Konfig so nicht gibt. Das ADMIN-Netz ist LAN-1 zugewiesen und LAN-1 gibt es nur an ETH-1 und ETH-4.
Siehe oben, einfachste Variante.
ETH sind Ethernet-Ports, die man frei und flexibel belegen kann, mitunter heißen diese auch, der Schönheit halber, WAN-Ports. An beiden kannst Du logische Ports zuweisen, z. B. DSL-1 oder LAN-1. Gehören mehrere ETH-Ports dem gleichen logischen LAN (oder auch DSL) an, dann wird zwischen diesen Ethernet-Ports geswitcht.
Mit Bridges bridged Du zwischen Ports, klassisch zwischen LAN und WLAN, später dann zwischen LAN-x und WLAN-x-y, inzwischen aber auch zwischen LAN-x und LAN-y oder irgendeinem anderen Port der umfangreichen Liste. Möchtest Du also ein lokales Netzwerk (ich vermeide hier mal aus gutem Grund den Begriff VLAN) an verschiedene Ports binden, so bindest Du es an eine Bridge-Gruppe (BRG-x) und weist dieser halt die entsprechenden Ports zu. Und auf diese zusätzliche Abstraktionsebene kannst Du dann mit VLAN noch eine oben drauf setzen.
Na ja, schlichtes VLAN kann man schon in der Tabelle der IP-Netzwerke definieren. Das VLAN-Modul brauchst Du, wenn Du z. B. ein VLAN an einem Port getaggt und am nächsten z. B. ungetaggt oder gar nicht ausgeben willst.
Mit DHCP hat das nichts zu tun, Problem ist, dass das Netz nicht anliegt und damit dann natürlich auch kein DHCP. Mit fester IP würdest Du aber auch nicht weiter kommen.
Aber was Du wie einstellen musst und warum, das zeige ich Dir dann lieber in einer TeamViewer-Sitzung, weil ich da in der Hälfte der Zeit wesentlich mehr rüberbringen kann und auch sehe, ob Du es verstanden hast, als hier. Wenn Du aber diesen Beitrag hier gelesen hast, wirst Du feststellen, dass Du (von der obigen einfachen Variante abgesehen) für alle ETH-Ports unterschiedliche logische LAN-Ports brauchst, weil die alle andere Zuordnungen haben sollen. Das wiederum heißt, dass auch ein BRG-Port zum Einsatz kommt und da dann das VLAN drauf aufgesetzt wird. Falls Du also selber probieren willst, dann los, aber nicht so viel Zeit verdallern, dann ruf mich lieber an...
Viele Grüße,
Jirka