Hallo,
vorhanden ist ein 1811 (für den Internet-Zugang) und mehrere L-54. Alle hängen an einem nicht VLAN-fähigen Switch. Die L-54 sollen ausschliesslich dem Gastzugang ins Internet dienen - ohne Zugriff auf das LAN.
Ok - mit einem VLAN-Switch wäre das einfach, aber auf Grund der Konfigurationsoptionen der Lancoms hatte ich folgende Idee:
Im 1811 und in den L54 wird VLAN mit der gleichen ID aktiviert. Auf den L54 werden abgehende Pakete ins LAN getaggt, damit die im LAN vorhandenen Clients diese verwerfen. Der 1811 sollte auf Grund der selben VLAN-ID diese entgegennehmen. Umgekehrt taggt der 1811 Pakete ins LAN nicht, damit die LAN-Clients auch noch ins Internet können. Die L-54 sind so konfiguriert, dass sie auch ungetaggte Pakete, die sie vom LAN-Port empfangen weiterleiten.
Die VLAN-IDs hab ich erst mal überall auf 1 belassen. Die VLAN-Tabelle umfasst alle möglichen Ports.
Einstellungen am 1811 für LAN-1:
Tagging verwenden: nein
Ungetaggte Frames zulassen: ja
Alle VLANs zulassen: nein
Einstellungen an den L-54 für LAN-1:
Tagging verwenden: ja
Ungetaggte Frames zulassen: ja
Alle VLANs zulassen: nein
Einstellungen an den L-54 für WLAN-1:
Tagging verwenden: nein
Ungetaggte Frames zulassen: ja
Alle VLANs zulassen: nein
Dummerweise können aber noch immer die WLAN-Clients die Clients im LAN erreichen. Hab ich etwas falsch konfiguriert oder geht das prinzipiell nicht?
Gruß
Mario
WLAN Gastzugang per VLAN ohne VLAN-Switch
Moderator: Lancom-Systems Moderatoren
Moin,
am L-54 muß für LAN-1 eine Port-VLAN-Id ungleich 1 gesetzt werden - So wie das
Port-VLAN ingress das VLAN für ungetaggte Pakete festlegt, legt es egress fest, für
welches VLAN die Pakete kein VLAN-Tag erhalten sollen. Eine Wahl von Null wäre
hier auch möglich, ingress legt dann die Port-Mitgliedschaft von LAN-1 fest, welchem
VLAN ungetaggte Pakete zugeschlagen werden. Ich will aber nicht ausschließen, daß
ich da auch noch etwas übersehe, VLANs einzurichten ist eine Sache, die regelmäßig
Knoten ins Hirn macht
Des weiteren gibt es zum Teil Ethernet-Treiber für Windoes (z.B. bestimmte Intel-Treiber),
die in empfangenen Paketen stehende Tags je nach Einstellung einfach kommentarlos
löschen...
Gruß Alfred
am L-54 muß für LAN-1 eine Port-VLAN-Id ungleich 1 gesetzt werden - So wie das
Port-VLAN ingress das VLAN für ungetaggte Pakete festlegt, legt es egress fest, für
welches VLAN die Pakete kein VLAN-Tag erhalten sollen. Eine Wahl von Null wäre
hier auch möglich, ingress legt dann die Port-Mitgliedschaft von LAN-1 fest, welchem
VLAN ungetaggte Pakete zugeschlagen werden. Ich will aber nicht ausschließen, daß
ich da auch noch etwas übersehe, VLANs einzurichten ist eine Sache, die regelmäßig
Knoten ins Hirn macht
Des weiteren gibt es zum Teil Ethernet-Treiber für Windoes (z.B. bestimmte Intel-Treiber),
die in empfangenen Paketen stehende Tags je nach Einstellung einfach kommentarlos
löschen...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
Dann sollte ich die Konfiguration am L-54 folgendermassen ändern(?):
LAN-1: ID 1
WLAN-1: ID 2
VLAN-Tabelle:
Und am 1811 setze ich in der Port-Tabelle einfach das Häkchen 'Pakete erlauben, die zu anderen VLANs gehören'?
Gruß
Mario
Aha - dann wurde also bei meiner obigen Konfiguration der VLAN-Tag 1 beim Weiterleiten ins LAN wieder entfernt?am L-54 muß für LAN-1 eine Port-VLAN-Id ungleich 1 gesetzt werden - So wie das
Port-VLAN ingress das VLAN für ungetaggte Pakete festlegt, legt es egress fest, für
welches VLAN die Pakete kein VLAN-Tag erhalten sollen. Eine Wahl von Null wäre
hier auch möglich, ingress legt dann die Port-Mitgliedschaft von LAN-1 fest, welchem
VLAN ungetaggte Pakete zugeschlagen werden.
Ich kann die Knoten bei mir schon gar nicht mehr zählen.Ich will aber nicht ausschließen, daß
ich da auch noch etwas übersehe, VLANs einzurichten ist eine Sache, die regelmäßig
Knoten ins Hirn macht
Dann sollte ich die Konfiguration am L-54 folgendermassen ändern(?):
LAN-1: ID 1
WLAN-1: ID 2
VLAN-Tabelle:
Code: Alles auswählen
VLAN-Name VLAN-ID Port-Liste
LAN 1 LAN-1
WLAN 2 LAN-1, WLAN-1
Danke für den Hinweis. Hab gerade mal nachgesehen - im Intel ProSet gibt es eine Option QoS/VLAN-Tagging, die standardmäßig deaktiviert ist.Des weiteren gibt es zum Teil Ethernet-Treiber für Windoes (z.B. bestimmte Intel-Treiber),
die in empfangenen Paketen stehende Tags je nach Einstellung einfach kommentarlos
löschen...
Gruß
Mario
Moin,
sind noch keine Tags drin, auf dem Weg durch die Bridge
wird das im Ingress-Filter ermittelte VLAN als Attribut am
Paket mitgeführt, und egress wird dann entschieden, ob
ein Tag reinkommt...oder auch nicht...
und LAN-1 ist nicht Mitglied von VLAN 2 - deshalb würden
Pakete vom WLAN nicht ins LAN weitergereicht werden.
Wenn man bei LAN-1 das Port-VLAN auf 0 (!) setzt, müßten
wir der Sache näher kommen...
Ingress-Filter durchgelassen, aber das 1811 nimmt sie
nicht an, weil 2 ungleich seiner Geräte-VLAN-Id ist. Also
bei VLAN-1 bleiben, in dem LAN und WLAN Mitglied sind.
Gruß Alfred
Es wurde gar nicht erst eingesetzt. Auf der WLAN-SeiteAha - dann wurde also bei meiner obigen Konfiguration der VLAN-Tag 1 beim Weiterleiten ins LAN wieder entfernt?
sind noch keine Tags drin, auf dem Weg durch die Bridge
wird das im Ingress-Filter ermittelte VLAN als Attribut am
Paket mitgeführt, und egress wird dann entschieden, ob
ein Tag reinkommt...oder auch nicht...
WLAN-1 muß auf 1 bleiben, das VLAN 2 gibt es ja gar nichtDann sollte ich die Konfiguration am L-54 folgendermassen ändern(?):
LAN-1: ID 1
WLAN-1: ID 2
und LAN-1 ist nicht Mitglied von VLAN 2 - deshalb würden
Pakete vom WLAN nicht ins LAN weitergereicht werden.
Wenn man bei LAN-1 das Port-VLAN auf 0 (!) setzt, müßten
wir der Sache näher kommen...
Das würde nichts helfen, die Pakete würden dann zwar vomUnd am 1811 setze ich in der Port-Tabelle einfach das Häkchen 'Pakete erlauben, die zu anderen VLANs gehören'?
Ingress-Filter durchgelassen, aber das 1811 nimmt sie
nicht an, weil 2 ungleich seiner Geräte-VLAN-Id ist. Also
bei VLAN-1 bleiben, in dem LAN und WLAN Mitglied sind.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
Ok - ich versuchs dann mal mit der 0 als Port-ID. Danke für Deine Erklärungen.
Gruß
Mario
Jetzt bin ich noch mehr irritiert. Die von mir angeführte VLAN-Tabelle des L-54 würde doch genau das erreichen(?)WLAN-1 muß auf 1 bleiben, das VLAN 2 gibt es ja gar nicht
und LAN-1 ist nicht Mitglied von VLAN 2 - deshalb würden
Pakete vom WLAN nicht ins LAN weitergereicht werden.
Ach so - das ist natürlich ein Argument. Ich war bisher davon ausgegangen, dass die Geräte-VLAN-ID nur zu Verwaltungszwecken benötigt wird.Das würde nichts helfen, die Pakete würden dann zwar vom
Ingress-Filter durchgelassen, aber das 1811 nimmt sie
nicht an, weil 2 ungleich seiner Geräte-VLAN-Id ist. Also
bei VLAN-1 bleiben, in dem LAN und WLAN Mitglied sind.
Ok - ich versuchs dann mal mit der 0 als Port-ID. Danke für Deine Erklärungen.
Gruß
Mario