VLAN Neuling braucht Hilfe

Forum zu "managed" LANCOM Switches

Moderator: Lancom-Systems Moderatoren

Antworten
Plows
Beiträge: 3
Registriert: 24 Mär 2021, 18:43

VLAN Neuling braucht Hilfe

Beitrag von Plows »

Hallo Liebe Lancom Freunde,
vielleicht kann mir jemand etwas helfen bei meinem Problem, ich habe vorher noch nichts mit VLAN am Hut gehabt, aber nun möchte ich mich etwas damit auseinander setzen und hoffe hier kann mich jemand unterstützen.

Ich habe 5 x Lancom Switche die mit SFP Module per Glasfaser verbunden sind 1 x GS-3528X und 4 x GS-3126XP, alles läuft gut nun würde ich gerne mit der FritzBox 7590AX das Gast Netzwerk über LAN Port 4 aktivieren.

Auf dem GS-3528X habe ich den Port 20 und 19 VLAN Access aktiviert mit der VLAN ID 20 und mit dem LAN Port 4 FritzBox verbunden.
Wenn ich ein PC an Port 19 verbinde, dann ist dieser im Gast Netzwerk, das Gefällt mir soweit ganz Gut.

Nun möchte ich auf den anderen 4 x GS-3126XP die mit den SFP Modulen miteinander verbunden sind auch einige Ports mit VLAN ID 20 nutzen, dazu habe ich alle SFP Module, auch den GS-3528X, von Access auf Trunk und Untag Port VLAN umgestellt, in der Hoffnung das diese Ports alle VLAN´s akzeptieren, ist das Richtig so?

Ist mein vorhaben ohne Lancom VLAN Modul überhaupt richtig?

LG
Jason.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VLAN Neuling braucht Hilfe

Beitrag von tstimper »

Hallo Jason,
Plows hat geschrieben: 18 Apr 2023, 15:53 Nun möchte ich auf den anderen 4 x GS-3126XP die mit den SFP Modulen miteinander verbunden sind auch einige Ports mit VLAN ID 20 nutzen, dazu habe ich alle SFP Module, auch den GS-3528X, von Access auf Trunk und Untag Port VLAN umgestellt, in der Hoffnung das diese Ports alle VLAN´s akzeptieren, ist das Richtig so?
LG
Jason.
Die Switchports zum Verbinden der Switche müssen alle VLANs getaggt übertragen.

Beispiel:

Du hast vermutlich noch das Default VLAN 1 und zusätzlich VLAN 20 fürs Gastnetz

Also der Port zur Fritzbox ist UNTAGGED VLAN 20
Die Ports zwischen den Switchen sind TAGGED VLAN 1 und TAGGED VLAN 20
Die Ports an den Switchen, die im Gast Netz sein sollen, sind UNDAGGED VLAN 20
Alle anderen Ports sind UNTAGGED Default VLAN 1

Bei der Umstellung muss Du aufpassen, das Du Dir den Weg nicht abschneidest.

Also entfernten Switch umstellen, dann erreichst Du ihn nicht mehr, dann die Verbindung zu dem Switch davor umstellen, dann erreichst Du den
entfernten Switch wieder, dann Config Safe auf dem entfernten Switch, damit die Änderung einen Stomausfall und einen Reboot überlebt.

Vorher und hinterher Device Config Backup nicht vergessen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Plows
Beiträge: 3
Registriert: 24 Mär 2021, 18:43

Re: VLAN Neuling braucht Hilfe

Beitrag von Plows »

Guten Morgen TS,
ich habe es gestern Abend noch zum laufen gebracht, wie folgt

GS-3528X Mode Port VLAN Egress Tagging Allowed VLANs
Ports 24 bis 28 Trunk VLAN ID 1 Untag Port VLAN 1 - 4094

GS-2326+ Egress Rule PVID VLAN Member
Port 26 Fritzbox Hybrid PVID 20 All (1 und 20) - hier würde ich wohl nur 20 auswählen
Port 23 Uplink GS2528 Hybrid PVID 1 All (1 und 20)

GS-3126XP Mode Port VLAN Egress Tagging Allowed VLANs
Port 25 (SFP) Trunk VLAN ID 1 Untag Port VLAN 1 - 4094
Port 23 (Gast) Hybrid VLAN ID 20 Untag Port VLAN 20

Port 23 (Gast) befindet sich im Gast Netzwerk, ich werde heute mal die Uplink Ports auf Tagged umstellen zum testen.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VLAN Neuling braucht Hilfe

Beitrag von tstimper »

Hi,

Also die Verbindungen zwischen den Switchen
sollen Tagged VLAN 1 und Tagged VLAN 20 sein.

Alle VLANs kann man machen. Besser ist,
immer genau das zu konfigurieren was man wirklich braucht.

Und Config Backup vorher und hinterher nicht vergessen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VLAN Neuling braucht Hilfe

Beitrag von Dr.Einstein »

tstimper hat geschrieben: 19 Apr 2023, 20:46 Also die Verbindungen zwischen den Switchen
sollen Tagged VLAN 1 und Tagged VLAN 20 sein.
Weil?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VLAN Neuling braucht Hilfe

Beitrag von tstimper »

Dr.Einstein hat geschrieben: 19 Apr 2023, 21:04
tstimper hat geschrieben: 19 Apr 2023, 20:46 Also die Verbindungen zwischen den Switchen
sollen Tagged VLAN 1 und Tagged VLAN 20 sein.
Weil?
Weil nur diese beiden VLANs genutzt werden in dem Beispiel.

Also weden nur diese beiden VLANs konfiguriert .

Braucht man später weitere VLANs,
konfiguriert man die später dazu.
Egal ob über GUI, CLl oder Scipt.

Und über die Config Backups hat man dann eine schöne Historie der Änderungen.

Nur zu erlauben was nötig ist sichert das Netz gleichzeitig
bei Fehlern da die dann z.B. nur auf einen Switch Segment
begrenzt würden.

Also je nach Netzwerk Design

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VLAN Neuling braucht Hilfe

Beitrag von Dr.Einstein »

Wieso explizit beides "Tagged"? Das meinte ich.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VLAN Neuling braucht Hilfe

Beitrag von tstimper »

Dr.Einstein hat geschrieben: 19 Apr 2023, 21:24 Wieso explizit beides "Tagged"? Das meinte ich.
Er hat VLAN ID 20 für ein Gästenetz und sonst nichts weiteres.

Also hat er nur VLAN ID 1 und VLAN ID 20


Und bei der Verbindung zwischen Switchen musst Du das Tag mit übergeben, damit der Verbindungspartner weiß,
in welches VLAN das Paket gehört.

Viele Grüße

ts
Zuletzt geändert von tstimper am 19 Apr 2023, 21:45, insgesamt 1-mal geändert.
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VLAN Neuling braucht Hilfe

Beitrag von Dr.Einstein »

Ok ich gebs auf, du verstehst mich nicht. Weitermachen :)
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VLAN Neuling braucht Hilfe

Beitrag von tstimper »

Dr.Einstein hat geschrieben: 19 Apr 2023, 21:44 Ok ich gebs auf, du verstehst mich nicht. Weitermachen :)
Dann erkläre es mir.

Zum Aufgeben haben wir keine Zeit.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: VLAN Neuling braucht Hilfe

Beitrag von PappaBaer »

Moin,

was Dr. Einstein angemerkt hat ist folgendes:

Auf einem 802.1Q Trunk wird das Native-VLAN ungetagged und alle anderen VLANs getagged übertragen.
Lancom hat hier bei der Modus-Bezeichnung der Ports (leider) etwas Verwirrendes benutzt. Bei Lancom bedeutet der Modus "Trunk" tatsächlich, dass nur tagged VLANs erlaubt sind, der Modus "Hybrid" ist hier der Modus, bei dem ein VLAN ungetagged und alle weiteren nur getagged übertragen werden.
Dieser Hybrid-Modus ist aber der, der bei den meisten mir bekannten Hersteller als 802.1Q Trunk bezeichnet wird.

Zwischen den Switches laufen ja am Ende auch nicht nur Nutzdaten, sondern auch Protokolle wie STP (und dessen Variationen) und diese Protokolle kommunizieren über das native VLAN.

Für eine maximale Kompatibilität zwischen verschiedenen Herstellern würde ich bei Lancom bei den Trunks immer den Mode "Hybrid" wählen. Ob man nun dort dann eine ungenutzte VLAN-ID ungetagged überträgt und alle tatsächlich genutzten VLANs getagged ist am Ende eine Glaubensfrage.

Hier wird das bei eigentlich allen Switchherstellern out-of-the-box auf allen Ports konfigurierte Default VLAN1 für das normale Netz genutzt und ein VLAN20 für das Gast-Netz. Es reicht also absolut, die Trunks im Modus Hybrid (Default-Einstellung) laufen zu lassen mit VLAN1 ungetagged und PVID1 und das VLAN 20 getagged oben drauf zu legen.

Grüße,
Torsten
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VLAN Neuling braucht Hilfe

Beitrag von tstimper »

PappaBaer hat geschrieben: 20 Apr 2023, 11:51 Moin,

was Dr. Einstein angemerkt hat ist folgendes:

Auf einem 802.1Q Trunk wird das Native-VLAN ungetagged und alle anderen VLANs getagged übertragen.
Lancom hat hier bei der Modus-Bezeichnung der Ports (leider) etwas Verwirrendes benutzt. Bei Lancom bedeutet der Modus "Trunk" tatsächlich, dass nur tagged VLANs erlaubt sind, der Modus "Hybrid" ist hier der Modus, bei dem ein VLAN ungetagged und alle weiteren nur getagged übertragen werden.
Dieser Hybrid-Modus ist aber der, der bei den meisten mir bekannten Hersteller als 802.1Q Trunk bezeichnet wird.

Zwischen den Switches laufen ja am Ende auch nicht nur Nutzdaten, sondern auch Protokolle wie STP (und dessen Variationen) und diese Protokolle kommunizieren über das native VLAN.

Für eine maximale Kompatibilität zwischen verschiedenen Herstellern würde ich bei Lancom bei den Trunks immer den Mode "Hybrid" wählen. Ob man nun dort dann eine ungenutzte VLAN-ID ungetagged überträgt und alle tatsächlich genutzten VLANs getagged ist am Ende eine Glaubensfrage.

Hier wird das bei eigentlich allen Switchherstellern out-of-the-box auf allen Ports konfigurierte Default VLAN1 für das normale Netz genutzt und ein VLAN20 für das Gast-Netz. Es reicht also absolut, die Trunks im Modus Hybrid (Default-Einstellung) laufen zu lassen mit VLAN1 ungetagged und PVID1 und das VLAN 20 getagged oben drauf zu legen.

Grüße,
Torsten
Hallo Torsten,

Vielen Dank für die ausführliche Erklärung.

Wir meiden das default VLAN 1 wenn es geht und legen
das default VLAN auf eine ungenutzte VLAN ID

Warum? Switche können im Überlast Fall Pakete ins
Default VLAN und das lässt sich für Angriffe nutzen.

Oder wie lässt sich das verhindern?

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten