VLAN (Switch Port Config)

[overcast37]

Hallo zusammen,
ich hatte hier ja schon einmal um Hilfe gebeten, inzwischen bin ich schon einen Schritt weiter, jedoch sind neue Probleme hinzugekommen und ich würde euch gerne um Hilfestellung bitten.

Ich habe den Router und beide Switche so wie zwei Laptops neben mir und möchte die Konfiguration nun testen. Das geht mit umstecken des Netzwerkkabels auch entsprechend gut. DHCP läuft alles soweit, ich habe jedoch Probleme mit dem Zugriff in die anderen Netze (gem. der Hierarchie).

Konfiguration:
Port 1: VLAN1 - Zugang zu allen VLAN
Port 2: VLAN20 - Zugang zu VLAN20 und VLAN30
Port 3: VLAN30 - Zugang zu VLAN30
Port 4: Siehe Port 1
Switch 1 Port 25 ist der Uplink zum Router,
Switch 1 Port 26 ist der Tunk zu Switch 2.
Switch 2 Port 25 ist der Tunk zu Switch 1.


Ich habe drei Netzwerke (VLANs):

IP Netzwerke.png

Und zwei Switche, welche wie folgt konfiguriert sind; Switch 1:

Switch-1.png

Port Status-1.png

[overcast37]

Und Switch 2:

Switch-2.png

Port Status-2.png

Ich komme von 192.168.1.x in VLAN20 & 30, anders rum geht es nicht - alles gut.
Ich komme aber von VLAN 20 nicht in VLAN 30. Eine Idee weshalb?
Die niedrigere nummer sollte doch immer in die höhere können, deshalb sind die Gäste ja auch immer auf 90/100 etc.

Bin für Vorschläge dankbar

[Dr.Einstein]

Die niedrigere nummer sollte doch immer in die höhere können, deshalb sind die Gäste ja auch immer auf 90/100 etc.

Ähhh, nein. Routing Tag (bzw. Schnittstellentag) 0 kommt überall hin (Admin Netz). Gleiche Routing Tags können sich gegenseitig erreichen. Unterschiedliche Routing Tags sind gegeneinander gesperrt. Wenn du einen Zugriff haben willst, brauchst du entweder gleiche Routing Tags oder eine Firewallregel, die von Netz A auf Netz B erlaubt + umtaggt (Ziel Tag).

Gruß Dr.Einstein

[overcast37]

Das ist peinlich. Liegt es daran, dass die VLANs über den Switch und nicht über den Router laufen? Den das mit der Hierarchie hatte ich irgendwo gelesen, finde es aber gerade leider nicht.

Aber die Einstellungen sehen dennoch vernünftig aus oder habe ich etwas übersehen?

[Dr.Einstein]

ja

[overcast37]

Stichwort VLAN Modul?

[Dr.Zett]

Nein, das VLAN-Modul im Router kannst Du aus lassen.

Wenn Du möchtest, dass VLAN20 und VLAN30 (über den Router) miteinander verbunden sind, dann musst Du den beiden Netzen den gleichen Schnittstellentag zuweisen.

Wobei sich mir in diesem Fall dann die Frage stellt, wozu Du den ganzen Aufwand mit den VLANs betreibst, wenn Du dann die Netze doch wieder verbindest? Nur der verschiedenen IP-Bereiche wegen? Das macht keinen Sinn.

[overcast37]

Hallo Dr. Zett, ja, da hast du vollkommen recht. Ich weiß nicht wie ich auf die Idee gekommen bin, aber als ich mich zuletzt mit dem Thema beschäftigt habe, habe ich gelesen, dass die Tags eine Hierarchie haben. Das hat für mich Sinn gemacht und deshalb bin ich über die Geschicht mit dem Ping gestolpert.

Mit dem neuen Wissen muss ich mir nochmal Gedanken machen, wie ich das Netzwerk dann genau erstelle.

Damit ich jetzt aber nicht so einen blödsinn für die Nachwelt in meinem Eingangspost hinterlasse, und ich mit der Suche sowas in der Richtung auch nicht gefunden habe, stimmt diese kurze Anleitung welche ich mir erarbeitet habe?

Code: Alles auswählen

1x Lancom 1900EF
2x Lancom GS2326

1. IP Netzwerke anlegen:
	192.168.20.1/24 - Management - VLAN ID 0 - TAG 0
	172.20.1.1/24 - Benutzer - VLAN ID 20 - TAG 20
	172.21.1.1/24 - WLAN intern - VLAN ID 30 - TAG 20
	172.21.10.1/24 - WLAN Gast - VLAN ID 40 - TAG 40
	172.22.1.1/24 - IoT - VLAN ID 50 - TAG 50
2. DHCP Server für die jeweiligen Netzwerke anlegen und aktivieren (ja).
3. Switch konfigurieren
	3.1 VLAN IDs anlegen
	3.2 VLAN Membership für die jeweilige VLAN ID festlegen
	3.3 VLAN Port konfigurieren:
						Port Type/Frame Type/Engress rule/PVID
		Zugriff auf Alles (0): 	C-Port/All/Access/1
		Spezifische VLAN: 	C-Port/Untagged/Access/TAG (bspw. 20)
		Router Uplink: 		C-Port/All/Hybrid/1
		Switch/Switch:		C-Port/All/Trunk/1
		
	Apply & safe start.

[Dr.Zett]

Ja, das sieht stimmig aus. Und um auf Deinen Kommentar bzgl. "peinlich" zurück zu kommen: Es ist nicht peinlich, wenn man nicht alles weiß.

Rein technisch gesehen läuft Dein Setup ja nun. Again what learned. Was Du nun noch kritisch hinterfragen musst, ist die Trennung der Netze. Das WLAN-Gastnetz komplett abzutrennen, macht sicherlich Sinn (um ein Beispiel zu nennen).

Netze, die ohnehin miteinander verbunden sein sollen, so wie "Benutzer" und "WLAN intern", brauchst Du nicht per VLAN abtrennen. Am Ende des Tages schaffst Du Dir einen unnötigen Flaschenhals hinsichtlich der Performance. Der Traffic von zusammengehörigen Netzen muss nicht über den Router laufen, das können Deine Switches auch allein.

[overcast37]

Vielen Dank, auch zum Hinweis mit den Netzen!

[overcast37]

Kurze Rückfrage noch zu Access Point (noch nicht von Lancom, derzeit Ubiquiti):
Die SSIDs stelle ich auf dem Controller der APs ein mit vergebe dort die entsprechenden VLAN IDs.

Am Switch wäre die VLAN Port Configuration folgend korrekt, da Trunk ja alle IDs überträgt?

Code: Alles auswählen

					Port Type/Frame Type/Engress rule/PVID
		Ansteuerung APs: 	C-Port/All/Trunk/1

[Dr.Zett]

Erstmal musst Du im Controller unter "Netzwerke" die Netze mit "nur VLAN" anlegen...

Bildschirmfoto 2022-02-14 um 16.21.36.png

...und danach den WLAN's bei "Network" entsprechend zuweisen:

Bildschirmfoto 2022-02-14 um 16.21.12.png

Am Switch wäre die VLAN Port Configuration folgend korrekt, da Trunk ja alle IDs überträgt?

Richtig, am Switch Port zum AP müssen alle VLANs getaggt anliegen - die Access Points können die selbst auseinander dividieren.

[overcast37]

Noch einmal vielen Dank, damit hast du mir sehr geholfen!

[overcast37]

Vielen Dank nochmal für die hilfreichen Antworten.
Ich habe jetzt alle Einstellungen im Testsetup testen können und kann am Wochenende meinen Umbau beginnen
Anbei noch etwas fürs Auge (erstellt mit draw.io).

Netzwerkkonfiguration.pdf

[overcast37]

Hallo Dr. Zett,
nochmals vielen Dank für deine Hilfe beim Thema VLAN und Synology / Unifi AP. Habe gestern (fast) alles zum laufen gebracht.

Komisch nur: Die Synology hat, mit im DSM/Netzwerk aktiviertem VLAN, nicht funktioniert (die Anschlüsse haben nur eine 169er IP bekommen). Habe beim rumprobieren den Haken im DSM bei VLAN mal entfernt und prompt war die korrekte IP vom VLAN/Netz da.
Habe ich hier etwas falsch angelegt, weshalb der bei aktiviertem VLAN nicht mitspielt?
Oder hat es etwas mit 802.1Q zu tun? In meinem Switch steht unter VLAN/Ports in der ersten Zeile für S-Port-Custom die 0x88A - hat das etwas damit zu tun? (wobei das ja nur so wäre wenn ich S-Port-Custom auswählen würde?)

Die Unifi APs funktionieren auch alle, jedoch habe ich weder bei den APs noch beim Controller den Trunk im Lancom Switch aktivieren müssen.
Mit Trunk brach die Verdingung ab/kam nicht zustande. Bei AP und Controller sind die Einstellungen momentan C-PORT/ALL/HYBRID/1.
Aber es funktioniert; das einloggen in die jeweilige SSID befördert die Clients nun in das jeweilige Netz.

Auch Nennenswert, falls jemand sich das Thema in Zukunft einmal hilfesuchend anschaut: Die VLAN only option gibt es bei Unifi nur im alten Style der Benutzeroberfläche. Im neuen Style steht das nicht zur Auswahl.