Zweites LAN-Kabel lässt prim. Netz abrauchen

[Josh]

Hallo zusammen!

Ich fand es eine gute Idee, mich mal näher mit VLANs zu beschäftigen, da ich mein Netz aufteilen will in z.B. allg.LAN, Gäste-Lan, Test-LAN usw.

Ich habe nun wie folgt die Dinge auf meinem 1783vaw eingestellt:

1) Schnittstellen/Ethernetports:
ETH1 = DSL-1 (ext. Modem)
ETH2 = LAN-1 (verbunden mit Port 1 vom Netgear-Switch)
ETH3 = LAN-2 (verbunden mit Intel NUC - Proxmox - Test-VMs)
EHT4 = LAN-3 (soll später mit Port 2 Netzgear-Switch verbunden werden)

2) IPv4/IP-Netzwerke
- Intranet - 192.168.178.1 - VLAN-ID:0 - LAN-1 - TAG=0
- DMZ - 172.16.0.1 - VLAN-ID:0 - LAN-2 - TAG=1
- WLAN - 192.168.2.1 - VLAN-ID:0 - WLAN-1 - TAG=2
- Testnetz - 10.0.0.1 - VLAN-ID:100 - LAN-3 - TAG=3

3) IPv4/DHCP-Netzwerke
für jedes IP-Netz einen eigenen DHCP konfiguriert

Als nächsten Schritt habe ich in meinem Hauptswitch Netgear GS724TPv2 (24-Port PoE-Switch) folgende Konfig vorgenommen:
1) VLAN-ID 100 erstellt

2) Dem Port-2, den ich für die Verbindung zum Lancom vorgesehen habe, die VLAN-ID 100 tagged zugewiesen. Den Port aus allen sonstigen VLANs entfernt.

3) Switch-Port-15 an dem der Test-Laptop hängt ebenfalls die VLAN-ID 100 untagged zugewiesen und die PVID 100.

Wenn ich nun das Kabel zwischen EHT4 und dem Netgear Port-2 einstecke, funktioniert die VLAN-Verbindung. Aber.... das Hauptnetz/LAN ist sofort beim Einstecken den Netzwerkkabels tot d.h. es können keine Geräte innerhalb des LANs mehr erreicht werden.

Ich vermute, dass ich irgendeine sehr dumme Konfiguration vorgenommen habe. Ich finde aber den Fehler nicht.

Wenn ich dem Testnetz testweise anstatt LAN-3 das LAN-1 gebe, ist beim Anstecken des Netzwerkkabels alles in Ordnung. Wenn ich dem Testnetz LAN-2 (also die DMZ) zuordnet, ist das Netz mit dem Anstecken des Kabel auch sofort tot.

Fällt jemandem der Fehler auf? Oder was kann ich noch machen, um den Fehler zu beheben?

Gruß Josh

EDIT:
Die einzelnen Netze habe ich einzeln mit einem Laptop direkt am Lancom getestet. Diese laufen grundsätzlich.

[tstimper]

Hi,

hab nur überflogen, ein paar Tips, was mir auffällt:

- Wenn ich den Lancom im VLAN Modus habe, nehme ich nie die VLAN ID 0, sondere ändere das überall auf 1 oder was anderes
- Jedes IP Netz bekommt eine separate VLAN ID, man will ja die Netze trennen
- Schnittstellen Tags nehme ich nicht, die lasse ich meist auf 0

Dann muss natürlich das VLAN Modul im Lancom an sein und die VLANs den LAN Ports zugewiesen werden
Und Port Typ auf Acces oder Hybrid oder Trunk stellen.

Viele Grüße

ts

[Josh]

Erst Mal Danke für Deine Antwort.

Ja, Du hast recht. Das VLAN-Modul muss eingeschaltet werden, was ich verpennt habe.

Nun bin ich da etwas vorsichtig. Nicht, dass ich mich da durch zu schnelle Klicks aussperre. Wenn ich das VLAN-Modul aktiviere, werden alle VLANs, die Null waren auf 1 gesetzt bzw. ich kontrolliere das nochmal, bevor ich die Config speichere (Quelle). Dabei achte ich darauf, dass mein Management-LAN (also mein Hauptnetz) im VLAN1 ist, damit ich weiter Zugriff habe. Auf dem Switch sind alle Ports default auf VLAN1. Das sollte dann passen, oder? Ich werde das wohl zuerst bei einem alten Lancom 1611 testen...

Wenn ich aber nun zum ersten Test untagged VLAN nehme, brauche ich das VLAN-Modul nicht zu aktivieren, weil ja vom Lancom ein untagged Ethernet-Frame zum Switch kommt und dieser dann das entsprechende VLAN-Tag hinzufügt. Dann kann ich halt seitens des Lancom nur über ein IP-Netz/VLAN kommunizieren. So weit richtig?

Aber auch bei letzterem Szenario macht das zusätzlich eingesteckte Kabel mein Hauptnetz platt. Ich verstehe nicht warum.

[rotwang]

Aber auch bei letzterem Szenario macht das zusätzlich eingesteckte Kabel mein Hauptnetz platt. Ich verstehe nicht warum.

Verstehe ich das richtig, daß das LANCOM mit zwei seiner ETH-Ports mit dem gleichen Switch verbunden ist?

Das ist ein öfters auftauchendes Problem. Das LANCOM verwendet auf allen LAN-x die gleiche MAC-Adresse, d.h. der
Switch sieht diese eine MAC-Adresse an seinem Port 1 und 2. Viele Switche haben nur eine globale Adreßdatenbank, auch wenn VLANs benutzt werden, und leiten den Traffic für eine bestimmte MAC-Adresse dann auch immer nur an einen der beiden Ports - eben den, auf dem gerade zuletzt ein Paket von dieser MAC-Adresse gekommen ist.

Wenn Du in der Doku Deines Switches nichts von IVL (Individual VLAN Learning) findest, dann solltest Du davon ausgehen, daß er nur SVL (Shared VLAN Learning) beherrscht und daß das dann so nicht funktionieren kann. Benutze stattdessen ein einzelnes ETH/LAN als VLAN-Trunk und verbinde LANCOM und Switch nur mit einem Kabel, über das beide Netze laufen.

Einen Durchsatzgewinn hätte man bei diesem Gerät durch eine mehrfache Anbindung so oder so nicht, da im LANCOM CPU und dessen Switch nur über einen einzelnen GBit-Link verbunden sind.

[Josh]

Ja, ich hatte den Lancom Router mit zwei Kabeln an denselben Switch geklemmt. Wenn die Ports alle die gleiche MAC haben, ist's kein Wunder, dass es knallt. Das war mir bisher nicht klar. Habe es eben aber nachvollziehen können, indem ich die MAC vom LAN und der DMZ, die direkt auf dem NUC hängt, über ARP verglichen habe. Beide identisch.

Ich hatte bisher noch nichts von IVL und SVL gehört. Werde mich da aber mal einlesen. Wieder was dazu gelernt. Der Tag hat sich gelohnt.

Danke für die Erklärung.