VLAN Modul an: Geräteverhalten bei unpassendem VLAN Tag

[Bernie137]

Hallo zusammen,

folgende Situation:
An meinem Arbeitsplatz sind an den Switchen und am zentralen Router folgende Netze konfiguriert:
VLAN1 = Tag1 = Management/Intranet
VLAN181 = Tag 181 = Gastnetz (wobei das Gastnetz für meine Frage keine Bedeutung hat)

Nun möchte ich an meinem Arbeitsplatz einen Lancom AP vorkonfigurieren für eine ganz andere Lokalität. Im Zielnetzwerk gibt es z.B.:
VLAN1 = Tag1 = Management/Intranet
VLAN300 = Tag300 = Gastnetz
Dazu aktiviere ich das VLAN Modul im AP, lege in der VLAN-Tabelle die Netze für die Ziellokalität an und weise in der Port-Tabelle den Tagging-Modus und das Tag zu. Somit habe ich immer die Situation, das die Schnittstelle LAN-1 des AP dem VLAN1 und dem VLAN300 zugewiesen wird. Sobald ich diese Konfiguration abgeschlossen habe, beobachte ich regelmäßig folgendes Problem (egal ob L-54ag, L-322agn, L-822acn und wie sie alle heißen):

Der AP ist für ca. 3 Minuten in meinem Arbeitsplatznetzwerk erreichbar, dann hilft nur ein Neustart des APs und ich kann wieder für 3 Minuten spielen. Wie mache ich es richtig, in welche Falle laufe ich hier jedes Mal?
Mir ist schon klar, dass ich im AP ein VLAN Tag verwende, welches aktuell in meinem Arbeitsplatznetzwerk überhaupt nicht vorhanden ist. Aber das ist ja der Sinn und Zweck der Vorkonfiguration.

vg Bernie

Nachtrag:
Ändere ich in dem AP alles aufs VLAN 181 ab, läuft der AP ohne Probleme. Nun möchte ich es aber vermeiden, jedesmal an den Switchen im Hause meines Arbeitsplatznetzwerkes rumzufummeln, nur damit ich ein anderes VLAN an einem AP konfigurieren kann. Dieses andere VLAN muss zum Zeitpunkt der Vorkonfiguration an diesem AP kein funktionierendes Gastnetzwerk bereitstellen, sondern lediglich existieren können.

[Jirka]

Hi,

Du machst keine Aussage darüber, ob VLAN 1 ungetagged ist oder nicht, was allerdings anzunehmen ist. (Sowohl am AP, als auch an der Switch vom Arbeitsplatz.) Das mit den 3 Minuten sieht sehr eigenartig aus und kann eigentlich kein VLAN-Problem sein, eher ein IP-Adresskonflikt. Normal hat man mit dem VLAN keine Probleme, solange man den AP darüber korrekt anspricht, also eben getagged oder ungetagged.

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

Du machst keine Aussage darüber, ob VLAN 1 ungetagged ist oder nicht, was allerdings anzunehmen ist.

Im Switch und Arbeitsplatz ist es ungetagged und nach meiner Auffassung auch im AP, steht auf: Gemischt, Port-VLAN-ID 1 für LAN-1, auf dem Port andere VLAN Pakete erlauben Ja.

Das mit den 3 Minuten sieht sehr eigenartig aus und kann eigentlich kein VLAN-Problem sein, eher ein IP-Adresskonflikt.

Ich gebe dem AP ein 2. IP Netzwerk mit der VLAN ID 300, IP 0.0.0.0, Maske 255.255.255.0 und DHCP auf Client Modus, wo er aber m.M. nach nix beziehen kann und auch nicht soll. Stelle ich den DHCP für dieses Netzwerk im AP auf aus und trenne ihn nochmal vom Strom, geht es nun. Wie kann das aber sein?

und kann eigentlich kein VLAN-Problem sein, eher ein IP-Adresskonflikt.

Ja, irgendwie klingt das so auch für mich. Versucht denn ein angelegtes zweites Netz im AP mit VLAN ID 300 eine Adresse zu beziehen, obwohl es dass VLAN strukturell gar nicht gibt?

Hier nochmal eine genauere Konfig:

Code: Alles auswählen

Default_VLAN      1           LAN-1, WLAN-1                                                                                          
GAST              300         LAN-1, WLAN-1-2

Code: Alles auswählen

LAN-1               Mixed             Yes                   1                Yes
LAN-2               Ingress-Mixed     Yes                   1                Yes
WLAN-1              Never             No                    1                Yes
WLAN-2              Ingress-Mixed     Yes                   1                Yes
WLAN-1-2            Never             No                    300              Yes

Code: Alles auswählen

INTRANET          0.0.0.0          255.255.0.0      1        BRG-1               loose          Intranet  0        local intranet           
GAST              0.0.0.0          255.255.255.0    300      BRG-1               loose          Intranet  0  

Ich habe bestimmt einen Denkfehler drin.

vg Bernie

[Jirka]

Hallo Bernie,

hmm, dann weiß ich auch nicht weiter.

Am Arbeitsplatz im Intranet ist DHCP an?

Wenn es das VLAN 300 (getagged) an der Switch des Arbeitsplatzes nicht gibt, dann kann der AP hier auch keine Adresse beziehen, korrekt.

Die Einstellung "Alle VLANs erlauben" würde ich grundsätzlich auf Nein setzen. Bei diesem Schalter handelt es sich, anders als Du denkst, um VLANs, die Du nicht definiert hast in der VLAN-Tabelle.

Wieso hast Du die 255.255.0.0 Netzmaske in dem Intranet des APs stehen?

Ach was mir noch einfällt, man muss mitunter aufpassen, dass einem die Sperr-Routen in der IP-Routing-Tabelle nicht dazwischenfunken, Du könntest ja noch mal testen, ob das Verhalten anders ist, wenn die entsprechende deaktiviert ist.

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

vielen Dank für Deine Antwort.

Am Arbeitsplatz im Intranet ist DHCP an?

Ja, mit Maske 255.255.0.0.

hmm, dann weiß ich auch nicht weiter.

Ja, so geht es mir auch. Fakt ist (und das wusste ich zur Beitragserstellung noch nicht): Stelle ich von DHCP Client Modus auf "aus" um für das VLAN300 Netz, gibt es das Problem nicht mehr.

Wenn es das VLAN 300 (getagged) an der Switch des Arbeitsplatzes nicht gibt, dann kann der AP hier auch keine Adresse beziehen, korrekt.

Genau so hab ich es mir auch gedacht.

Bei diesem Schalter handelt es sich, anders als Du denkst, um VLANs, die Du nicht definiert hast in der VLAN-Tabelle.

Danke für den Hinweis. Das wusste ich tatsächlich noch nicht und ist gut zu wissen.

Wieso hast Du die 255.255.0.0 Netzmaske in dem Intranet des APs stehen?

Das rührt daher, wenn ich im Arbeitsplatznetzwerk eine feste IP vergebe, ist das die richtige Maske und quasi ein Relikt in der Konfig. Mit einer festen IP des AP im VLAN1 ist das Verhalten nicht anders. Was ich nie gestetet habe, eine feste IP im VLAN300 einstellen...

Ach was mir noch einfällt, man muss mitunter aufpassen, dass einem die Sperr-Routen in der IP-Routing-Tabelle nicht dazwischenfunken, Du könntest ja noch mal testen, ob das Verhalten anders ist, wenn die entsprechende deaktiviert ist.

Ja stimmt, aber die habe ich alle gelöscht.

Ich werde es bei Gelegenheit mal mit einem DHCP Trace weiter untersuchen. Irgendwie sind ja trotz VLAN beide Netze an BRG1 gebunden.

vg Bernie

[Jirka]

Hallo Bernie,

hmm, das hört sich dann nach einem Bug an.
Die 2. Ethernetschnittstelle am AP nutzt Du ja nicht. Wenn das so ist, fällt mir ansonsten kein Fehler auf. Von daher denke ich wie gesagt, dass es sich hierbei dann um einen Bug handelt.

Von dem eigentlichen Problem oder Bug abgesehen, ist es aber auch nicht unbedingt notwendig, dass der AP im Gastnetz eine IP hat. Allenfalls zum Feststellen der Funktionalität der Einstellungen an den vorgelagerten Switches kann es praktisch sein (Anpingbarkeit), aber ansonsten kann der AP ja auch ohne dass er im Gastnetz steht (dort) bridgen.

Viele Grüße,
Jirka

[Bernie137]

Hallo Jirka,

nein, die 2. Ethernetschnittstelle benutze ich nicht, sofern überhaupt vorhanden.

ist es aber auch nicht unbedingt notwendig, dass der AP im Gastnetz eine IP hat. Allenfalls zum Feststellen der Funktionalität der Einstellungen an den vorgelagerten Switches kann es praktisch sein (Anpingbarkeit), aber ansonsten kann der AP ja auch ohne dass er im Gastnetz steht (dort) bridgen.

Ich weis, aber genau darum geht es mir Du hast es ja selbst so schön in einem Deiner anderen Beiträge so begründet.

Folgendes habe ich bisher herausgefunden:

VLAN1 VLAN300
DHCP DHCP -> Problem
DHCP aus DHCP -> kein Problem (VLAN1 hat fixe IP)
DHCP DHCP aus -> kein Problem (VLAN300 hat keine IP zugewiesen)
DHCP feste IP -> Problem (VLAN300 hat IP Adresse eines fiktiven IP Adressraumes von VLAN1 verschieden)
feste IP feste IP -> muss ich noch testen

Der DHCP Trace war bisher nicht aufschlussreich. Das Häkchen "andere VLAN zulassen" entfernen bei LAN-1 brachte keinerlei Änderung.

vg Bernie