VLAN-Tabelle Verständnisfrage

Allgemeine Fragen zu Themen die sonst nirgendwo passen

Moderator: Lancom-Systems Moderatoren

Antworten
Elektronikfreak
Beiträge: 2
Registriert: 08 Jun 2020, 10:08

VLAN-Tabelle Verständnisfrage

Beitrag von Elektronikfreak »

Hallo in die Runde,
ich bin nicht wirklich neu in der IT Welt, jedoch in der Lancom Welt schon.
Ich denke das ich grundsätzlich weiß was ich tue, jedoch habe ich mit einigen Herangehensweisen bei der Lancom meine Schwierigkeiten.
Da ich die vorh. Lancom inkl. Konfiguration "geerbt" habe, und ich teilweise starke Zweifel an dem habe was da so alles eingerichtet wurde,
versuche ich aktuell Gewisse Einstellungen zu verstehen ob diese korrekt oder überflüssig sind.
LCOS Handbuch und Google brachten mich aber nicht wirklich weiter daher versuche ich hier mal mein Glück und hoffe auf Antworten.

Nun zu den Fragen:
Hardware/Software:
Lancom 7100+VPN Firewall mit 10.40.0210Rel

Unter "Schnittstellen --> VLAN --> VLAN-Tabelle" sind bei mir nur 2 VLANs (und das default natürlich) eingetragen.
Im Netz werden aber aktuell mehr als 10 VLANs genutzt und via IPV4 Regeln auch erfolgreich geroutet.
Was ist konkret hier der Sinn der Sache ?

Die genutzten Netzte sind alle unter "IPV4 --> Allgemein --> IP-Netzwerke" eingetragen.
Hier jeweils mit der IP Adresse .1 für den Router als Gateway im jeweiligen Netz und entsprechend mit unterschiedlichen VLAN IDs.
Schnittstelle ist für alle die gleiche (LAN3) da dort die Firewall an den Switch angeschlossen ist.
Adressprüfung ist Flexibel und die Schnittstellentags sind alle 0 (hier habe ich auch noch nicht ganz verstanden ob dies eine "überholte Technik" ist, oder doch sehr sinnvoll).

Geroutet zwischen den VLANs wird dann über IPV4 Regeln und die Geräte selbst sind auf den jeweiligen Switchen im Netz in die jeweiligen VLANs getaggt und kommen daher alle getaggt am LAN3 der FW an.

Wie gesagt es funktioniert, aber ich komme einfach nicht dahinter ob das os richtig ist, bzw. wozu diese VLAN-Tabelle gut ist.

Danke für Eure Unterstützung.

Gruß Ele
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VLAN-Tabelle Verständnisfrage

Beitrag von Jirka »

Hallo,

vermutlich ist der Haken bei "VLAN-Modul aktiviert" (unter Konfiguration -> Schnittstellen -> VLAN) nicht drin und dann haben alle Einstellungen im VLAN-Modul, also z. B. die VLAN-Tabelle und die Port-Tabelle keine Bedeutung, das VLAN-Tag wird dann einfach in den IP-Netzwerken angegeben. Das VLAN-Modul braucht man z. B. wenn man umtaggen will oder ein Netz auf einem Port getaggt, auf einem anderen ungetaggt ausgeben will oder so.

Die Technik mit den Schnittstellen-Tags ist nicht überholt. Damit kann man je nach Netzwerk unterschiedliche Routing-Regeln (Default-Routen, VPNs usw.) erzielen oder den Netzzugriff auch ohne Firewall unterbinden.

Viele Grüße,
Jirka
Elektronikfreak
Beiträge: 2
Registriert: 08 Jun 2020, 10:08

Re: VLAN-Tabelle Verständnisfrage

Beitrag von Elektronikfreak »

Hey Jirka,
danke für die Info.
Aber der "VLAN-Modul aktiviert" Haken ist gesetzt und demnach auch ursprünglich alle Netze im "VLAN" 1.
Da liegt auch mein Problem das ich befürchte das hier doppelte Dinge geschehen könnten.
Wenn ich es richtig deute, dann hat die VLAN-Tabelle keinen direkten Zusammenhang mit dem setzen der VLANs über die IPv4 Netze.

Daraus ergibt sich aktuell folgendes Verständniss:
- "VLAN-Modul aktiviert" Haken gesetzt, damit die FW grundsätzlich VLANs handelt.
- "VLAN-Tabelle" brauche ich nicht "pflegen", und lasse dort nur den Eintrag "VLAN1(default)" mit VLAN ID1 drin und den Ports der FW die genutzt sind.
Die anderen Einträge können da raus.
- "PortTabelle" für alle Ports "Alle VLANs erlauben" setzen und "Tagging Modus" auf "Hybrid" und die Port ID auf "1"

- Unter "IP-Netzwerke" lasse ich alle Netze auf der einen physikalischen Schnittstelle (LAN3) und (erstmal) das Schnittstellentag auf 0.
- An der Stelle vergebe ich aber für die gewünschten "Unternetze" eine beliebige VLAN ID, die ich sonst auch nirgendwo definieren muß.
- Danach definiere ich IPv4 Regeln die z.B. bestimmte IP Adressen aus Nummernkreis 5 (der im VLAN5 ankommt) den Zugriff auf bestimmte IP Adressen im Nummernkreis 10 (VLAN ID 10) erlaubt.

Das mit den Schnittstellentags fand und finde ich auch ganz interessant, dazu hatte ich eine längere Anleitung gelesen, damit wollte ich mich dann aber erst im Nachgang beschäftigen ob und wie ich das nutzen kann/soll.

Ich hab mir extra noch "zum spielen" einen 1781A gekauft, da der ja (erstaunlicherweise) immernoch mit voll aktueller FW versorgt wird.
An produktiv Systemen rumzumachen kann man machen.... sollte man aber nicht :)
Aber ich kann leider auch nicht die Testumgebung 1:1 abbilden.

So ist es aktuell ja auch lauffähig, aber eine Bestätigung oder ein macht man so gar nicht" von Lancom Profis ist halt besser :)
Antworten