Hallo,
ich habe seit längerem einen 1781VAW Router, einen L321agn Access Point und jetzt neu einen GS2326P Switch. Mit diesen Geräten möchte ich für "Gäste" ein separates Netzwerk erstellen, hierbei denke ich an VLAN. Ausgangssituation:
WLAN mit SSID Firma an Router und AP mit gleichen Sicherheitseinstellungen und Kanal 1 bzw. 6 funktioniert einwandfrei. Am Switch ist der Access Point an Port 23 und an Port 24 der Router mit Port 1 angeschlossen.
Überlegung:
VLAN 10 Firma
WLAN 1 vom Router
WLAN 1 vom AP
Port 1 .. 16, 23 und 24 vom Switch
Port 2 .. 4 vom Router (optional)
VLAN 20 Gast
WLAN 2 vom Router
WLAN 2 vom AP
Port 17 .. 24 vom Switch
Geplante Konfiguration:
Switch
- System - IP - IPv4
VLAN ID 10
- Configuration - VLAN - VLAN Membership
VLAN ID 1: alle Ports auf VLAN not included
VLAN ID 10: Port 1.. 16, 23 und 24
VLAN ID 20: Port 17 .. 24
- Configuration - VLAN - Ports
PVID 1 .. 16: 10
PVID 17 .. 22: 20
Egress Rule für Port 23 und 24: Trunk
Frage: wie muss die PVID für 23 und 24 aussehen?
Router und AP im LanConfig
Konfiguration - Schnittstellen - VLAN
VLAN-Modul aktivieren
Fragen:
Wie muss die Port-Liste je VLAN aussehen?
Wo verändere ich den VLAN-Port der Geräte?
Ich hab es bisher geschafft den Switch halbwegs zu konfigurieren. Innerhalb eines VLAN konnte ich Geräte anpingen aber mit dem AP bzw. einem beiden VLANs zugeordneten Drucker an Port 23 hatte ich immer Ärger.
Über Tipps zur Konfiguration würde ich mich freuen.
LG,
Martin
GS-2326 VLAN einrichten
Moderator: Lancom-Systems Moderatoren
GS-2326 VLAN einrichten
Im Eigeneinsatz: 1781VAW mit EWE VDSL, GS-2326P Switch, L-321agn Wireless Access Point; 1780EW-4G mit Telekom LTE, Weber Hotspot im Garten
Re: GS-2326 VLAN einrichten
Ich habe weiter mit dem Switch herumexperimentiert. Ich habe aktuell an Port 21 eine Telefonanlage, welche kein VLAN kennt und auf PING immer reagiert. Dies möchte ich versuchshalber zunächst (ähnlich wie später den Access Point an Port 23 sowie den Router an Port 24) aus beiden VLAN erreichen können.
Mit den abgebildeten Einstellungen ist ein PING aus keinem VLAN möglich. Wenn ich das VLAN des Port (Configuration - VLAN - Ports) auf 10 bzw. 20 stelle funktioniert es aus jedem jeweiligen VLAN.
Gemäß der Portzuordnung ist die Telefonanlage Mitglied in allen VLAN Netzen. Im Datenpaket ist die Mac-Adresse des Zieles (PC in einem der VLANs). Diese müsste der Switch wieder erkennen und aufgrund der gemeinsamen Mitgliedschaft in einem der VLANs das Paket weiterleiten können. Aber das passiert so nicht - warum?
Muss ich evtl. eine andere Herangehensweise für das Gesamtproblem wählen?
Mit den abgebildeten Einstellungen ist ein PING aus keinem VLAN möglich. Wenn ich das VLAN des Port (Configuration - VLAN - Ports) auf 10 bzw. 20 stelle funktioniert es aus jedem jeweiligen VLAN.
Gemäß der Portzuordnung ist die Telefonanlage Mitglied in allen VLAN Netzen. Im Datenpaket ist die Mac-Adresse des Zieles (PC in einem der VLANs). Diese müsste der Switch wieder erkennen und aufgrund der gemeinsamen Mitgliedschaft in einem der VLANs das Paket weiterleiten können. Aber das passiert so nicht - warum?
Muss ich evtl. eine andere Herangehensweise für das Gesamtproblem wählen?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Im Eigeneinsatz: 1781VAW mit EWE VDSL, GS-2326P Switch, L-321agn Wireless Access Point; 1780EW-4G mit Telekom LTE, Weber Hotspot im Garten
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: GS-2326 VLAN einrichten
Hey tabaluga,
Du solltest also deine Herangehensweise verändern. Jedes Endgerät bekommt vom Switch nur ein ungetagged VLAN. Infrastrukturkomponenten wie andere Switche am Port, Lancom Router, APs bekommen alle VLANs, entweder über einen Trunk (keine ungetaggten Rahmen -> Risiko des Aussperrens) oder Hybrid (Management Port ungetagged, Rest tagged). Wenn der Router alle VLANs aus deinen Netz kennt und durch den Switch weitergeleietet bekommt, kann der Lancom Router zwischen den VLANs routen, vorrausgesetzt die Firewall/Schnittstellentags lassen dies zu + Alle Endgeräte verweisen via Default Gateway auf die jeweilige VLAN LAN Adresse des Lancom Router.
Es gib hier eigentlich genügend VLAN Beispiele im Forum, die alle möglichen Szenarien abdecken.
Gruß Dr.Einstein
ja, du verwechselst hier was gewaltig. Es können nur Geräte kommunizieren, die sich im gleichen VLAN befinden. Nur weil du Häckchen bei einem Port machst für alle VLANs, heißt das noch lange nicht, dass das Gerät selbst alle VLANs annimmt. Du hast zB gesagt, dass es sich um ein untagged Port handelt. D.h. du gehst von aus, dass das Gerät nicht mit VLANs umgehen kann, zB TK-Anlage. Mithilfe der PVID kannst du diesen ungetagged Rahmen nun eine VLAN-ID zuweisen, nicht mehrere. Für die restlichen VLANs, die du über diesen Port jagst, musst du dir was einfallen lassen, zB auf tagged stellen. Dann muss damit aber das Endgerät umgehen können. Dies funktioniert zB, wenn du einen mangbaren AP hast wie Lancom, oder einen weiteren Switch.tabaluga hat geschrieben: Muss ich evtl. eine andere Herangehensweise für das Gesamtproblem wählen?
Du solltest also deine Herangehensweise verändern. Jedes Endgerät bekommt vom Switch nur ein ungetagged VLAN. Infrastrukturkomponenten wie andere Switche am Port, Lancom Router, APs bekommen alle VLANs, entweder über einen Trunk (keine ungetaggten Rahmen -> Risiko des Aussperrens) oder Hybrid (Management Port ungetagged, Rest tagged). Wenn der Router alle VLANs aus deinen Netz kennt und durch den Switch weitergeleietet bekommt, kann der Lancom Router zwischen den VLANs routen, vorrausgesetzt die Firewall/Schnittstellentags lassen dies zu + Alle Endgeräte verweisen via Default Gateway auf die jeweilige VLAN LAN Adresse des Lancom Router.
Es gib hier eigentlich genügend VLAN Beispiele im Forum, die alle möglichen Szenarien abdecken.
Gruß Dr.Einstein
Re: GS-2326 VLAN einrichten
Moin,
danke für den Hinweis. Ich habe mich die ganze Zeit im Kreis gedreht. Da ich die VLAN ID vom Router sowie AP nie verändert hatte konnte ich die Geräte nach Anpassungen nie wieder erreichen. Nachdem mir das klar geworden ist war die Konfiguration machbar. Ich habe alle Einstellungen notiert, vielleicht helfen Sie jemand anders oder es werden noch Fehler erkannt. Der erste Test vor der Kaffeepause war erfolgreich!
VLAN IDs: 10 office (192.168.0.0/24), 20 public (192.168.10.0/24)
Port 1 vom Router ist mit Port 24 vom Switch verbunden
Access Point ist mit Port 23 vom Switch verbunden
Router LANCOM 1781VAW
Internet, WLAN Netzwerke Firma und public mit Wizard konfiguriert
Schnittstellen → VLAN → VLAN-Modul: aktiviert
Schnittstellen → VLAN → VLAN-Tabelle
VLAN office, ID 10, LAN-1~LAN-4, WLAN-1, P2P-1-1~P2P-1-6,WLC-TUNNEL-1~WLC-TUNNEL-32
VLAN public, ID 20, LAN-2, WLAN-1-2
Schnittstellen → VLAN → Port-Tabelle
LAN-1: Immer, Ja, 10
LAN-2 ~ LAN-4: Niemals, Nein, 10
WLAN-1: Niemals, Nein, 10
WLAN-1-2: Niemals, Nein, 20
Schnittstellen → LAN → Port-Tabelle: WLAN-1-2: BRG2
IPv4 → Allgemein → IP-Netzwerke → INTRANET → VLAN-ID 10
IPv4 → Allgemein → IP-Netzwerke
Neuer Eintrag: public, 192.168.10.1/24, Intranet, VLAN-ID 20, BRG2, Flexibel, Tag 1
IPv4 → DHCPv4 → DHCP-Netzwerke
Neuer Eintrag: PUBLIC, Aktiviert
Anmerkungen: An Port 1 wird nur der Switch funktionieren, an Port 2 .. 4 können Netzwerkgeräte innerhalb des VLAN office angeschlossen werden. An Port 1 werden nur getaggte Datenpakete angenommen.
Switch LANCOM GS-2326P
System → Time → Manual: use NTP Server
System → Time → NTP: ptbtime1.ptb.de, ptbtime2.ptb.de
Configuration → PoE → Configuration: PoE für alle Selbstversorger ausschalten
Configuration → Port → Configuration: Power Control Enabled für alle Ports
Configuration → VLAN → VLAN Membership
ID 1, default: 23 .. 26
ID 10, office: 1 .. 16, 23, 24
ID 20, public: 17 .. 24
Configuration → VLAN → Ports
Standard: C-Port, Ingress Filtering aus, Frame Type All, Egress Rule Hybrid, PVID 10
Port 23: C-Port, Ingress Filtering aus, Frame Type Tagged, Egress Rule Trunk, PVID 1
Anmerkung: nimmt nur getaggte Pakete vom AP an
Port 24: C-Port, Ingress Filtering aus, Frame Type Tagged, Egress Rule Trunk, PVID 1
Anmerkung: nimmt nur getaggte Pakete vom AP an
Anmerkungen:
Ein MFP brachte regelmäßig PoE-Fehler im LANmonitor, daher für alle mit stationären Devices verbundenen Geräte PoE ausgeschaltet, sofern nicht benötigt.
Access Point Lancom L321-agn
WLAN Netzwerke Firma und public mit Wizard konfiguriert
Wireless-LAN → Allgemein → Physikalische Einstellungen Radio → WLAN-Interface: Kanal 1
Schnittstellen → VLAN → VLAN-Modul: aktiviert
Schnittstellen → VLAN → VLAN-Tabelle
VLAN office, ID 10, LAN-1, WLAN-1
VLAN public, ID 20, LAN-2, WLAN-1-2
Schnittstellen → VLAN → Port-Tabelle
LAN-1: Immer, Ja, 10
WLAN-1: Niemals, Nein, 10
WLAN-1-2: Niemals, Nein, 20
IPv4 → Allgemein → IP-Netzwerke → Intranet → VLAN-ID 10
Anmerkungen: Der AP nimmt vom Switch nur getaggte Datenpakete entgegen, andere werden verworfen. Von Clients mitgesendete Tags werden verworfen, ein Wechsel des VLAN somit verhindert.
Bekannte "Probleme": Direkt am Router anschlossene Geräte bekommen keine IP-Adresse; Funktion noch nicht weiter getestet.
Martin
danke für den Hinweis. Ich habe mich die ganze Zeit im Kreis gedreht. Da ich die VLAN ID vom Router sowie AP nie verändert hatte konnte ich die Geräte nach Anpassungen nie wieder erreichen. Nachdem mir das klar geworden ist war die Konfiguration machbar. Ich habe alle Einstellungen notiert, vielleicht helfen Sie jemand anders oder es werden noch Fehler erkannt. Der erste Test vor der Kaffeepause war erfolgreich!
VLAN IDs: 10 office (192.168.0.0/24), 20 public (192.168.10.0/24)
Port 1 vom Router ist mit Port 24 vom Switch verbunden
Access Point ist mit Port 23 vom Switch verbunden
Router LANCOM 1781VAW
Internet, WLAN Netzwerke Firma und public mit Wizard konfiguriert
Schnittstellen → VLAN → VLAN-Modul: aktiviert
Schnittstellen → VLAN → VLAN-Tabelle
VLAN office, ID 10, LAN-1~LAN-4, WLAN-1, P2P-1-1~P2P-1-6,WLC-TUNNEL-1~WLC-TUNNEL-32
VLAN public, ID 20, LAN-2, WLAN-1-2
Schnittstellen → VLAN → Port-Tabelle
LAN-1: Immer, Ja, 10
LAN-2 ~ LAN-4: Niemals, Nein, 10
WLAN-1: Niemals, Nein, 10
WLAN-1-2: Niemals, Nein, 20
Schnittstellen → LAN → Port-Tabelle: WLAN-1-2: BRG2
IPv4 → Allgemein → IP-Netzwerke → INTRANET → VLAN-ID 10
IPv4 → Allgemein → IP-Netzwerke
Neuer Eintrag: public, 192.168.10.1/24, Intranet, VLAN-ID 20, BRG2, Flexibel, Tag 1
IPv4 → DHCPv4 → DHCP-Netzwerke
Neuer Eintrag: PUBLIC, Aktiviert
Anmerkungen: An Port 1 wird nur der Switch funktionieren, an Port 2 .. 4 können Netzwerkgeräte innerhalb des VLAN office angeschlossen werden. An Port 1 werden nur getaggte Datenpakete angenommen.
Switch LANCOM GS-2326P
System → Time → Manual: use NTP Server
System → Time → NTP: ptbtime1.ptb.de, ptbtime2.ptb.de
Configuration → PoE → Configuration: PoE für alle Selbstversorger ausschalten
Configuration → Port → Configuration: Power Control Enabled für alle Ports
Configuration → VLAN → VLAN Membership
ID 1, default: 23 .. 26
ID 10, office: 1 .. 16, 23, 24
ID 20, public: 17 .. 24
Configuration → VLAN → Ports
Standard: C-Port, Ingress Filtering aus, Frame Type All, Egress Rule Hybrid, PVID 10
Port 23: C-Port, Ingress Filtering aus, Frame Type Tagged, Egress Rule Trunk, PVID 1
Anmerkung: nimmt nur getaggte Pakete vom AP an
Port 24: C-Port, Ingress Filtering aus, Frame Type Tagged, Egress Rule Trunk, PVID 1
Anmerkung: nimmt nur getaggte Pakete vom AP an
Anmerkungen:
Ein MFP brachte regelmäßig PoE-Fehler im LANmonitor, daher für alle mit stationären Devices verbundenen Geräte PoE ausgeschaltet, sofern nicht benötigt.
Access Point Lancom L321-agn
WLAN Netzwerke Firma und public mit Wizard konfiguriert
Wireless-LAN → Allgemein → Physikalische Einstellungen Radio → WLAN-Interface: Kanal 1
Schnittstellen → VLAN → VLAN-Modul: aktiviert
Schnittstellen → VLAN → VLAN-Tabelle
VLAN office, ID 10, LAN-1, WLAN-1
VLAN public, ID 20, LAN-2, WLAN-1-2
Schnittstellen → VLAN → Port-Tabelle
LAN-1: Immer, Ja, 10
WLAN-1: Niemals, Nein, 10
WLAN-1-2: Niemals, Nein, 20
IPv4 → Allgemein → IP-Netzwerke → Intranet → VLAN-ID 10
Anmerkungen: Der AP nimmt vom Switch nur getaggte Datenpakete entgegen, andere werden verworfen. Von Clients mitgesendete Tags werden verworfen, ein Wechsel des VLAN somit verhindert.
Bekannte "Probleme": Direkt am Router anschlossene Geräte bekommen keine IP-Adresse; Funktion noch nicht weiter getestet.
Martin
Im Eigeneinsatz: 1781VAW mit EWE VDSL, GS-2326P Switch, L-321agn Wireless Access Point; 1780EW-4G mit Telekom LTE, Weber Hotspot im Garten