VLAN Einstellung ändert sich während Betrieb 1781VAW

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
hubiuwe
Beiträge: 27
Registriert: 17 Jan 2016, 08:23
Wohnort: Mainz

VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von hubiuwe »

Hallo zusammen!

Vor einiger Zeit stellte ich an einem 1781AW V9.24 "LAN-2" fest daß auf einem Port VLAN-TAGs ausgegeben werden die dort nicht sein dürften.
Es handelte sich dabei um Muticast und Broadcast Pakete. Der Port ist "ungetagd" den es ist ein fritzbox angeschlossen.

Konfiguration geprüft -- OK.

Nach einiger Zeit im CLI den Status der Ports angesehen und siehe da, da lag der Fehler, Port LAN-2 = Hybrid.
Also Konfiguration ändern doch die Konfiguration war richtig.
Jegliche Änderung die ich vor nahm änderte im Status nichts.

Wegen DSL Umstellung war sowieso ein neuer Router fällig, es wurde ein 1781VAW.
Dann Router mit Werkskonfiguration und via Script div. Einstellungen vom WA in den VAW übernommen unter anderem auch die VLAN Einstellungen.
Nach dem Router Neustart die VLAN-Einstellungen überprüft... super alles so wie es sein soll. LAN-2 = Acces und es kommen auch keine "ge-tagten" Pakete mehr an.

Das war vor ein paar Monaten.
Heute durch Zufall auf Port LAN-2 wieder das Problem wie oben.

Jetzt zu der Konfiguration.
Eingestellt ist:

Code: Alles auswählen

> ls Setup/Interfaces/LAN-Interfaces

Ifc     Operating   Tx-Limit    Rx-Limit  
========----------------------------------
LAN-1   Yes         0           0         
LAN-2   Yes         0           0         
LAN-3   Yes         0           0         
LAN-4   Yes         0           0         


> ls Setup/Interfaces/Ethernet-Ports               

Port       Assignment   Connector   MDI-Mode    Private-Mode        Downshift    Clock-Role         Power-Saving      Flow-Control    
===========---------------------------------------------------------------------------------------------------------------------------
ETH-1      LAN-1        Auto        Auto        No                  Yes          Master-Preferred   Yes               Auto            
ETH-2      LAN-2        Auto        Auto        No                  Yes          Master-Preferred   No                Auto            
ETH-3      LAN-3        Auto        Auto        No                  Yes          Master-Preferred   No                Auto            
ETH-4      LAN-4        Auto        Auto        Yes                 Yes          Master-Preferred   No                Auto            


> ls /Setup/VLAN/Networks 

Name              VLAN-ID     Ports                                               
==================--------------------------------------------------------------
Default_VLAN      1           LAN-1, LAN-2, LAN-3, WLAN-1, WLAN-1-3             
VOIP              2           LAN-1, LAN-2, LAN-3                               
GAST              100         LAN-1, LAN-3, WLAN-1, WLAN-1-2                       
DMZ-EXT-IP        1001        LAN-4                                             
DMZ               1000        LAN-4                                             

> ls /Setup/VLAN/Port-Table 

Port                Tagging-Mode      Allow-All-VLANs       Port-VLAN-Id     Tx-LLDP-TLV-Port-VLAN    
====================----------------------------------------------------------------------------------
LAN-1               Trunk             Yes                   1                Yes                      
LAN-2               Access            No                    1                No                       
LAN-3               Trunk             No                    1                Yes                      
LAN-4               Trunk             No                    1000             No                       
WLAN-1              Access            Yes                   1                Yes                     

> ls Setup/LAN-Bridge/Port-Data

Port                Active      Bridge-Group   Private-Mode    DHCP-Limit    Point-To-Point-Port 
====================-----------------------------------------------------------------------------
LAN-1               Yes         BRG-1          No              0             Auto                
LAN-2               Yes         BRG-1          No              0             Auto                
LAN-3               Yes         BRG-1          No              0             Auto                
LAN-4               Yes         none           No              0             Auto                
WLAN-1              Yes         BRG-1          No              0             Auto                
Nach einem Neustart der Status:

Code: Alles auswählen

> ls /Status/VLAN/Port-Table 

Port                Tagging-Mode      Allow-All-VLANs       Port-VLAN-Id   
====================-------------------------------------------------------
LAN-1               Trunk             Yes                   1              
LAN-2               Access            No                    1              
LAN-3               Trunk             No                    1              
LAN-4               Trunk             No                    1000           
WLAN-1              Access            Yes                   1              
P2P-1-1             Hybrid            Yes                   1         


> ls /Status/VLAN/Networks  

VLAN-ID     Ports                                        
============-----------------------------------------------
1           LAN-1~LAN-3,WLAN-1,WLAN-1-3                    
2           LAN-1~LAN-3                                     
100         LAN-1,LAN-3,WLAN-1,WLAN-1-2                                                                                                                                                                                                                           
1000        LAN-4                                            
1001        LAN-4                           
der bleibt auch ca 20 min so stehen.
und nach ca 20min sieht es so aus:

Code: Alles auswählen

> ls /Status/VLAN/Port-Table 

Port                Tagging-Mode      Allow-All-VLANs       Port-VLAN-Id   
====================-------------------------------------------------------
LAN-1               Trunk             Yes                   1              
LAN-2               Hybrid            No                    1              
LAN-3               Trunk             No                    1              
LAN-4               Trunk             No                    1000           
WLAN-1              Access            Yes                   1              
P2P-1-1             Hybrid            Yes                   1         


> ls /Status/VLAN/Networks  

VLAN-ID     Ports                                        
============-----------------------------------------------
1           LAN-1~LAN-3,WLAN-1,WLAN-1-3                    
2           LAN-1~LAN-3                                     
100         LAN-1~LAN-4,WLAN-1,WLAN-1-2 
1000        LAN-4                                            
1001        LAN-4                                      
LAN-2 ist jetz im Modus Hybrid
und VLAN 100 ist jetzt Portmember LAN-1~LAN-4 anstelle von LAN-1, LAN-3

Das geschieht ca 20min nach einem reboot.


Das Verhalten ist mit dem 1781AW, 1781VAW und Versionen 9.x, 10.00, und jetzt auch mit 10.12 REL.

Habe ich irgend wo einen Denkfehler?
Kann das jemand bei sich nachvollziehen?

Danke und Gruß Uwe.
Benutzeravatar
Björn
Beiträge: 65
Registriert: 14 Sep 2010, 12:32
Kontaktdaten:

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von Björn »

Sieht echt merkwürdig aus...

Musste allerdings gerade daran denken, dass bei einigen Herstellern das VLAN-Tag 1 eine gesonderte Rolle spielt bzw. ein Magick ist.
Versuch mal alles was wirklich auf ID 1 läuft auf eine andere ID zu setzen.

Ist jetzt zwar etwas ins blaue - aber eine ähnliche Konfig läuft zu Hause ohne dieses Phänomen :G) (Benutze die Tags 101 bis 103)

Gruß Björn
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von alf29 »

Moin,

es gibt einige Module im LCOS, die die VLAN-Konfig dynamisch ändern/erweitern können, damit z.B. dynamische Zuweisungen von VLANs an WLAN-Clients per 802.1X funktionieren. Wird im WLAN so etwas benutzt?

Ich meine, in der 10.12 ist ein show-Kommando hinzugekommen, um diese Zusätze anzuzeigen. Muß ich morgen ausgraben, wie das heißt.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von alf29 »

Moin,

Noch eine Frage: Du hast im Setup LAN-2 sowohl Member von VLAN-1 als auch 2 gemacht:
Default_VLAN 1 LAN-1, LAN-2, LAN-3, WLAN-1, WLAN-1-3
VOIP 2 LAN-1, LAN-2, LAN-3
und andererseits willst Du LAN-2 im Access-Mode (d.h. ohne VLAN-Tags) betreiben:
LAN-2 Access No 1 No
Das ergibt für mich keinen Sinn. Access-Mode heißt, Frames sind niemals getaggt, sowohl ingress als auch egress. Womit implizit alle einkommenden Frames dem Port-VLAN zugeordnet werden. Ein zweites VLAN da zu habe ergibt für mich keinen Sinn.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hubiuwe
Beiträge: 27
Registriert: 17 Jan 2016, 08:23
Wohnort: Mainz

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von hubiuwe »

Hallo

@alf29
es gibt einige Module im LCOS, die die VLAN-Konfig dynamisch ändern/erweitern können, damit z.B. dynamische Zuweisungen von VLANs an WLAN-Clients per 802.1X funktionieren. Wird im WLAN so etwas benutzt?

Ich meine, in der 10.12 ist ein show-Kommando hinzugekommen, um diese Zusätze anzuzeigen. Muß ich morgen ausgraben, wie das heißt.
Dynamische Zuweisung gibt es nur bei WLAN-1
Noch eine Frage: Du hast im Setup LAN-2 sowohl Member von VLAN-1 als auch 2 gemacht:
Da könnte das Problem liegen, VLAN 2 gibt es noch nicht. Das werde ich Ändern.
und andererseits willst Du LAN-2 im Access-Mode (d.h. ohne VLAN-Tags) betreiben:
Das ist richtig. Angeschlossen ist nur eine FritzBox die Analoge Telefonanschlüsse in VoiP umwandelt sonst macht sie nichts. Da sie aber nicht mit VLAN-TAGS umgehen kann, Access-Mode.
Es war mal Angedacht das sie in das VOIP-VLAN 2 kommt.

Danke mal sehen ob es das war.
Zuletzt geändert von hubiuwe am 20 Sep 2017, 23:58, insgesamt 1-mal geändert.
hubiuwe
Beiträge: 27
Registriert: 17 Jan 2016, 08:23
Wohnort: Mainz

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von hubiuwe »

Hallo
für VLAN-2 habe ich LAN-2 als Member entfernt.
Es scheint zu Funktionieren näheres sehe ich morgen Früh.

Code: Alles auswählen

> ls /Setup/VLAN/Networks

Name              VLAN-ID     Ports                                               
==================--------------------------------------------------------------
Default_VLAN      1           LAN-1, LAN-2, LAN-3, WLAN-1, WLAN-1-3             
VOIP              2           LAN-1,LAN-3                               
GAST              100         LAN-1, LAN-3, WLAN-1, WLAN-1-2                       
DMZ-EXT-IP        1001        LAN-4                                             
DMZ               1000        LAN-4                                             
Vielen Dank für den Denkanstoß!
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von alf29 »

Moin,

OK, das Kommando, um dynamische Erweiterungen an der VLAN-Konfig einzusehen, ist schlicht "show vlan" und existiert ab der 10.12.
Dynamische Zuweisung gibt es nur bei WLAN-1
Vorsicht, Falle: Wenn im WLAN einem Client dynamisch ein VLAN zugewiesen wird, z.B. per 802.1X und RADIUS, dann passieren zweierlei Dinge in Richtung VLAN-Modul:

(1) die SSID, auf der der Client eingebucht ist, wird zusätzlich Member dieses VLANs, falls sie das noch nicht ist. Das muß auch so sein, sonst würden Pakete in diesem VLAN ja gar nicht auf diese SSID gebridget.

(2) zusätzlich muß es ja üblicherweise "auf der anderen Seite" einen Port geben, auf dem der AP diese Pakete irgendwo hinleitet. Die Kunden, die 802.1X, VLANs und dynamische Zuweisung benutzen, haben üblicherweise einfache APs im Einsatz und keine WLAN-Router. Deshalb ist im LCOS momentan hart kodiert, daß LAN-* für so ein Szenario als VLAN-Trunks betrachtet werden. Sie werden in dieser Situation ebenfalls Mitglied des zugewiesenen VLANs, und weil ein Port, der Mitglied in mehr als einem VLAN ist, zumindest auf LAN-Seite schwerlich ein Access-Port sein kann, wird dessen Modus mindestens auf Hybrid gehoben.

Ich vermute, (2) ist die Ursache für das, was Du bei LAN-2 beobachtest. Im beschriebenen Szenario ist es erwünscht, daß alle LAN-Ports so behandelt werden, weil es APs mit mehr als einem LAN-Port gibt und es sonst zu schwer zu findenden Problemen führen würde, wenn die beiden Ports sich nicht gleich verhalten und jemand versehentlich manche APs über den falschen Port anschließt.

Ich gebe zu, für Dein Szenario mit einem WLAN-Router geht das nach hinten los, aber andererseits scheint das nicht allzu häufig zu passieren, denn dieser Mechanismus steckt im LCOS schon seit diversen Jahren "drin". Ich werde das mal einkippen, daß man die 'assoziierten' VLAN-Trunk-Ports konfigurierbar machen kann.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hubiuwe
Beiträge: 27
Registriert: 17 Jan 2016, 08:23
Wohnort: Mainz

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von hubiuwe »

Hallo Alfred

Danke für die Infos.

Die Variante (2) ist schuld und ich konnte es Provozieren.
Ich habe 3 SSIDs WLAN-1, WLAN-1-2 und WLAN-1-3 bei WLAN-1 werden per Radius VLANs dynamisch zugewiesen, was übrigens super funktioniert.
Auf einem L-322 agn R2 sind die gleichen SSiDs vorhanden.

Nach einem Neustart des 1781VAW sind noch keine WLAN Teilnehmer eingebucht da ist alles noch i.O. In dem Moment wo ein Mobilteilnehmer vom L-322 zum 1781 wechselt und ihm die VLAN-ID 100 zugewiesen wird, wird Port LAN-2 Hybrid.

mit show vlan
erscheint übrigens vorlegendes:

Dynamic VLAN Assignments:
=========================

VLAN Ifc Age(s) Trunk-Port(s) Flags
--------------------------------------------------------------
100 WLAN-1 2877 LAN-*




Jetzt kenne ich wenigsten den Grund Danke.
Warum dabei aber alle Ports die Mitgliedschaft des VLANs erhalten verstehe ich allerdings nicht :G)

Danke Uwe
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von alf29 »

Moin,
Warum dabei aber alle Ports die Mitgliedschaft des VLANs erhalten verstehe ich allerdings nicht :G)
Wie ich oben geschrieben hatte: dieses Feature wird üblicherweise von Kunden wie Unis oder Firmen benutzt, die viele 'einfache APs' herumhängen haben und keinen WLAN-Router. Die Dual-Radio-APs (wie Deinem L-322) haben alle zwei Ethernet-Ports (die heißen da auch direkt LAN-1 und LAN-2) und es kommt schon mal vor, daß ein Gerät unabsichtlich über LAN-2 und nicht LAN-1 angeschlossen wird (bei einem 322 tut das PoE ja auch noch an beiden Ports...). Deshalb sagt das WLAN dem VLAN in so einem Fall, daß alle LAN-* in das dynamisch zugewiesene VLAN aufgenommen werden sollen. Ich habe es hier intern als Änderungsvorschlag eingekippt, diese fixe Einstellung konfigurierbar zu machen.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
hubiuwe
Beiträge: 27
Registriert: 17 Jan 2016, 08:23
Wohnort: Mainz

Re: VLAN Einstellung ändert sich während Betrieb 1781VAW

Beitrag von hubiuwe »

Super Danke
Antworten