VLAN - Lancom 1780EW-4G und Netgear GS724T Switch

[koehne]

Hallo,

ich muss ein VLAN einrichten. Allerdings haperte es in der Praxis, da ich sowas noch nicht eingerichtet habe.

Ich habe ein Lancom 1780EW-4G Router und eine Netgear GS724T Switch.

Da ich zwei Netze über einen Switch laufen lassen muss (2 Firmen in einem Gebäude) und beide Internet und ein eigenes WLAN benötigen, muss ich das zwangsläufig per VLAN realisieren?
Jede Firma hat einen Windows Server mit DHCP und DNS. Die Clients sollte dann weiterhin automatisch vom DHCP die IP beziehen.

Am Switch kann man VLAN aktivieren. Dort habe ich dem Port an dem der Router, dem Port an dem der Server und dem Port an dem ein Client hängt ein neues VLAN angelegt. (siehe Screenshot Switch).
Frage1: Die ID vom Switch ist gleichbedeutend mit der VLAN-ID vom Router?
Frage2: Muss ich dem Router überhaupt ein VLAN vergeben, bzw. sollte IEEE802.1Q VLAN anstatt Port-Based VLAN auswählt werden oder regelt das der Lancomrouter?

Da in dem KB Artikel über VLAN (https://www2.lancom.de/kb.nsf/1275/BF3A ... enDocument) gelesen habe, wenn man das VLAN aktiviert kann es zu Probleme kommen auf den Router zuzugreifen, frag ich lieber vorher nach.

Im IP-Netzwerk habe ich das neue Netzwerk (Intranet_I) mit eigenem IP-Bereich und VLAN-ID 2 angelegt. (siehe Screenshot)
Dort ist für das INTRANET für Firma1 und das GAST_WLAN_NETZ für Firma1 die VLAN-ID 0 hinterlegt.
INTRANET_I ist das Netzwerk für Firma2. BRG-3 (Verbindet das 192.168.10.0 Netz für Firma 2 und das WLAN für Firma 2) und VLAN-ID 2 so wie die im Switch angelegt ID. (Richtig so?)

In der VLAN-Tabelle (siehe Screenshot) aber jetzt Intranet_I für die Firma 2 angelegt. LAN-1 Port hängt am Switch und WLAN-1-3 ist das WLAN für Firma 2.

Frage3: Muss ich diese VLAN-ID in 1 ändern, um nach aktivieren des VLAN im Router noch Zugriff auf den Router zu bekommen? Bitte mit Erklärung?!
Frage4: Muss in der Port-Tabelle noch was geändert werden? Der Router soll

[Dr.Einstein]

Hallo koehne,

ich würde folgendes machen, andere Lösungen gibt es natürlich auch:

Lancom
--------
TCP/IP:
Intranet - Netzwerk 1: 192.168.3.99 VLAN 1, beliebig
Intranet - Netzwerk 2: 192.168.10.99 VLAN 2, beliebig
Gastnetz - Netzwerk 1: 192.168.99.99 VLAN 10, beliebig

Schnittstellen / VLAN / VLAN-Tabelle:
VLAN1 - LAN1, WLAN-1
VLAN2 - LAN1, WLAN-1-2
VLAN10 - LAN1, WLAN-1-3

Schnittstellen / VLAN / Port-Tabelle:
LAN-1 immer, VLAN1 (nur immer, wenn ausschließlich Uplink zum Switch besteht, ansonsten gemischt, dann aber andere Konfig im Switch)
WLAN-1 niemals, VLAN1
WLAN-1-2 niemals, VLAN2
WLAN-1-3 niemals, VLAN10

Netgear
--------
IEEE 802.1Q verwenden
Port Uplink Lancom: Alle VLANs tagged
Ports Intranet - Netzwerk 1: untagged, VLAN1
Ports Intranet - Netzwerk 2: untagged, VLAN2
Ports Access Points mit allen Netzen: Alle VLANs tagged, VLAN Vergabe machen die APs

Gruß Dr.Einstein

[koehne]

Das werde ich morgen mal so testen.

Danach sollte dann auf den von mir festgelegten Ports am Switch das IP-Netzwerk 192.168.10.x vom Windows DHCP Server an die angeschlossenen Rechner verteilt werden?

[Dr.Einstein]

Klar, solang die VLANs alle richtig konfiguriert sind. Dafür ists ja da

[koehne]

Bevor ich jetzt was ändere habe ich noch eine Frage. Ich habe doch im Switch dem Port 12,23 und 24 die VLAN ID 2 zugewiesen und somit sind alle Pakete von dieses Ports getaggt mit ID 1 und ID 2.

Wie in meine Bildern zu sehen ist, wurde unter IP Netzwerk dem Intranet die VLAN ID 0 und dem Intranet_I (für die zweite Firma) die VLAN ID 2 zugewiesen.

Eigentlich sollte doch der Zugriff auf Intranet gar nicht mehr funktionieren, da im Switch als Standard ID die 1 eingestellt ist und auf Port 12, 23, 24 müssten die Pakete von Intranet_I normalerweise ankommen, da dieses die ID 2 im Router sowie auf dem Switch hat?
Kann es sein, dass die ID vom Switch nicht gleichbedeutend mit der VLAN ID vom Router ist?

[Dr.Einstein]

Verstehe deine Frage nicht so richtig :-\

Es gibt keine VLAN 0. Wenn man mit VLANs arbeitet, gibt's nur 1-4095. Im Lancom ist VLAN-ID 0 gleichzusetzen mit deaktivierten VLAN. Du VLANs selbst gelten für die gesamte Broadcast-Domäne, also sowohl im Lancom als auch im Switch ist die Bedeutung die selbe (außer Spezialfälle wie Metro VLAN, aber das tut hier nix zur Sache)

Was sind Port 12,23 und 24 am Switch, Uplinks zum Lancom, PC Clients / Server ? Ist ein PC angesteckt, kann dieser Port im Prinzip nur eine VLAN-ID haben, alternativ musst du halt mit Trunks arbeiten, wenn du mehrere VLANs über einen Port schicken willst.

[koehne]

Port 12 ist der Lancom, 23 der Server und 24 soll ein Client werden.
Der Lancom Router soll beide Netze mit Internet versorgen, daher brauch der Port 12 doch auch 2 VLAN-IDs?
Laut Switch Konfiguration hat Port 12, 23 und 24 jetzt VLAN-ID 1 und 2 oder verstehe ich die Konfig falsch (Switch Screenshot).
Was mich wieder dazu bringt, warum das mit VLAN-ID 2 nicht funktioniert.
INTRANET_I hat unter IP-Netzwerk die VLAN-ID 2 und Port 12 und 23 ebenfalls.

Das mit der VLAN-ID 0 im Router habe ich jetzt wohl verstanden. 0 steht für deaktiviert und auch wenn im Switch die VLAN-ID 1 ist, läuft der Traffic von INTRANET darüber. Wenn ich im Router unter IP-Netzwerk VLAN-ID 1 einstelle, würde die Kommunikation immer noch funktionieren, da alle Ports im Router automatisch VLAN-ID 1 haben?!

[Dr.Einstein]

Hallo koehne,

wichtig ist, dass du erst auf den IEEE 802.1Q Modus umschaltest.

Port 12 machst du dann sowohl beim VLAN1 als auch den anderen VLANs auf T wie tagged.
Port 23 bekommt bei VLAN2 eine U wie untagged sowie im Punkt PVID die ID 2 (falls dies nicht sowie automatisch gesetzt ist), in allen anderen VLANs ist Port 23 leer.
Port 24 bekommt bei VLAN1 eine U wie untagged sowie im Punkt PVID die ID 1 (falls dies nicht sowie automatisch gesetzt ist), in allen anderen VLANs ist Port 24 leer.

Wenn ich im Router unter IP-Netzwerk VLAN-ID 1 einstelle, würde die Kommunikation immer noch funktionieren, da alle Ports im Router automatisch VLAN-ID 1 haben?!

Kommt drauf an. Wenn du im Router erstmal ausschließlich unter TCP/IP Netzwerke das Intranet von 0 auf 1 hochhebst und das VLAN Modul deaktiviert lässt, sperrst du dich erst einmal aus. Wenn du danach auf den Switch gehst und den Port 12 bearbeitest so wie oben beschrieben, solltest du über den Port 24 zB wieder auf den Lancom VLAN1 kommen.

Gruß Dr.Einstein

[koehne]

Port 12 machst du dann sowohl beim VLAN1 als auch den anderen VLANs auf T wie tagged.
Port 23 bekommt bei VLAN2 eine U wie untagged sowie im Punkt PVID die ID 2 (falls dies nicht sowie automatisch gesetzt ist), in allen anderen VLANs ist Port 23 leer.
Port 24 bekommt bei VLAN1 eine U wie untagged sowie im Punkt PVID die ID 1 (falls dies nicht sowie automatisch gesetzt ist), in allen anderen VLANs ist Port 24 leer.

Da hab ich jetzt noch ein leichtes logisches Problem mit.
Bist jetzt ist INTRANET im "VLAN0" und INTRANET_I VLAN2.

So würde ich vorgehen:
Erst Switch konfigurieren, dann VLAN0 auf VLAN1 unter IP-Netzwerke ändern.
(Die VLAN Einstellungen im Router unter Schnittstellen-->VLAN werde jetzt ja nicht mehr benötigt, ich da das VLAN im Router aufgrund des VLAN fähigen Switches nicht anschlante muss?)

Switch:
Port 12 (Router) mit T im VLAN1 und VLAN2 ist klar. PVID bleibt 1 aber warum?
Port 23 (Server) mit U im VLAN2 (und keinem anderen VLAN) und PVID 2 weil es nur im VLAN 2 agieren soll?
Port 24 (Client) mit U im VLAN2 (und keinem anderen VLAN) und PVID 2
(Oder ist das falsch? Denn ich verstehe nicht, warum ich den Client ins VLAN 1 stecken soll? Der Client gehört schließlich zum neuen Server.)

EDIT: Nein das hat nicht geklappt.

Port 12, 23 und 24 wie von mir angegeben geändert
INTRANET 192.168.3.x auf VLAN ID 1 geändert

Die Konfig vom Router habe ich per WLAN im 3er Netz geändert.
Nachdem die Übertragung abgeschlossen war, konnte ich mit dem Notebook nicht mehr ins Internet geschweige denn auf den Router zugreifen.
Muss im Router das VLAN unter Schnittstellen aktiviert werden?

Auch der Zugriff vom 192.168.10.1 Server auf das IP Netzwerk INTRANET_1und der Ping zum Router 192.168.10.99 hat nicht funktioniert.

Habs jetzt über den Server von 192.168.3.1 die Routerconfig wieder zurück gestellt.

Könntest du mir bitte nochmal genau erklären, welche Taggs wo gesetzt werden müssen und wie und wo die Einstellungen vom Router geändert werden sollen?

[koehne]

Was habe ich falsch gemacht?

[Dr.Einstein]

Hallo koehne,

Erst Switch konfigurieren, dann VLAN0 auf VLAN1 unter IP-Netzwerke ändern.
(Die VLAN Einstellungen im Router unter Schnittstellen-->VLAN werde jetzt ja nicht mehr benötigt, ich da das VLAN im Router aufgrund des VLAN fähigen Switches nicht anschlante muss?)

Schnittstellen-->VLAN wird erst dann wieder benötigt, wenn du zB das WLAN des Routers nutzen willst, da hier ungetagget Pakete ankommen, die du verändern musst. Für den "Grundaufbau" aber noch nicht notwendig.

Switch:
Port 12 (Router) mit T im VLAN1 und VLAN2 ist klar. PVID bleibt 1 aber warum?

PVID ist hier nur ein Platzhalter, an sich muss diese ausgegraut sein, ist also unwichtig

Port 23 (Server) mit U im VLAN2 (und keinem anderen VLAN) und PVID 2 weil es nur im VLAN 2 agieren soll?

PVID steht für die VLAN ID, dass ungetaggte Pakete bekommen sollen.

Port 24 (Client) mit U im VLAN2 (und keinem anderen VLAN) und PVID 2
(Oder ist das falsch? Denn ich verstehe nicht, warum ich den Client ins VLAN 1 stecken soll? Der Client gehört schließlich zum neuen Server.)

Mit VLANs und Netgear etc. habe ich an sich keinerlei Probleme, habe mehrere Konstellationen am Laufen. Vermutlich reden wir aneinander vorbei. Mir wäre es ja am liebsten, wenn du mal einen richtigen Netzplan anfertigst mit VLAN-Farbmarkierungen, welcher Port wo in welchem VLAN ist. Danach ein paar Konfigurations-Bilder vom Lancom / Netgear - VLAN, in dem Zustand, wo es bei dir dann nicht funktioniert hat. Wüsste nicht, wie ich dir sonst noch helfen kann.

Ich würde wirklich erstmal total simpel vorgehen, VLAN0 auf VLAN1 im Lancom hochheben. Trunk am Switch anlegen zum Lancom. Irgendeinen Port am Netgear auf untagged VLAN1 + PVID 1 setzen (was vermutlich eh bereits jeder Port im Default ist) und dich mit deinem Lapi dort anstecken. Sollte das nicht geht, ist grundlegend was falsch.

Gruß Dr.Einstein

[koehne]

Ich hoffe das bringt und jetzt weiter

[Dr.Einstein]

Hallo koehne,

danke für den Netzplan. Die Einstellungen im NetGear sehen soweit genau richtig aus. Denke, es liegt an der Bastelei im Lancom Router. Ich würde folgendes empfehlen:

- via Telnet / SSH auf den Lancom gehen
- cd setup
- cd lan-bridge
- default -r (löscht all deine Bridge Gruppen auf default)

Danach meine .lcf durcharbeiten, was die TCP/IP - Netzwerke, Schnittstellen - VLANs angeht, wobei WLAN1 = VLAN1, WLAN-1-2 = VLAN2, usw. ist. Benutz hierbei aber bloß keine Bridge Gruppen.

Gruß Dr.Einstein

P.S. bin der Meinung, da fehlen nur 1..2 Konfig-Stellen, dann bist du fertig. Also nicht aufgeben, VLANs sind eine schmerzhafte Angelegenheit, wenn man die ersten Gehversuche macht

[koehne]

Also muss ich das VLAN Modul im Router doch aktivieren und dort die VLAN ID's zuweisen.
Und ob die PVID 1 oder 2 beim Port 12 am Switch ist, ist egal?

[Dr.Einstein]

Das VLAN Modul ist, wie bereits erwähnt, nur dann notwendig, wenn du dich direkt mittels PC am Router ansteckst, oder dich via WLAN verbindest. Im ersten Schritt hätte ich das erst einmal ausgeklammert, da mein vorgeschlagener Test ja vom Switchport != 12 ausgeht Richtung Lancom. Dafür wäre es nicht notwendig gewesen.

Bei Port 12 am Switch sollte die PVID keine Rolle spielen, ich mach Sie trotzdem immer auf das VLAN 1.