Netzwerkstrukturverbesserung - Schule - WLC

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Aushilfsinformatiker »

Hallo, jetzt sind Sommerferien, und ich kann ohne Stress einiges im System ausprobieren. Momentan haben wir folgende Konstellation mit anderen IP-Adressbereichen in zwei Gebäuden:

1906a
Verwaltungsnetzwerk (192.168.179.0) - Routing Tag 0 (VDSL-100)
Schulnetzwerk (192.168.178.0) - Routing Tag 1 (Glasfaser) - WLC 4600+ mit Public Spot (WLC-Tunnel) und einem eingehängten Netzwerk für Schulgeräte

Bis jetzt habe ich die Trennung im WLC vorgenommen. Da wir jetzt in allen drei Gebäuden Glasfaser erhalten, will ich die Schulleitung, welche noch an einem anderen APL (VDSL) hängt und per VPN ins Schulnetzwerk zugreift komplett mit auf den 1906 nehmen. Ist folgendes problemlos möglich, ohne mir was zu zerschießen... momentan läuft alles wie am Schnürchen:

1906
Verwaltungsnetzwerk (192.168.179.0) - VLAN1
Schulnetzwerk (192.168.178.0) - VLAN2
PC-Kabinett 1 (192.168.175.0) - VLAN3 (nur Kabel) - VLAN-Routing zu Schulnetzwerk
PC-Kabinett 2 (192.168.176.0) - VLAN4 (nur Kabel) - VLAN-Routing zu Schulnetzwerk
Schulleitung (192.168.177.0) - VLAN5

alles getaggt auf einen GS2326p+, dort die Trennung vornehmen, entsprechend patchen. Die

bis dahin ist alles eigentlich klar.... wie bekomme ich die VLANS in den Controller?
Vermutlich: alles getaggt vom Switch auf den WLC und dort in Profile/Logische WLAN-Netzwerke/ auf tagged und die ID eingeben?
Anschließend den Datenverkehr zwischen den Netzwerken in der Firewall des WLC blockieren.
Die AP's müssen wie der WLC alle Netzwerke getaggt erhalten....

Für Hinweise auf Fehler im Konstrukt wäre ich sehr dankbar. Wenn das sauber funktioniert, übertrage ich das ähnlich auf die zwei anderen Gebäude.

Danke und viele Grüße!
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von tstimper »

Hallo,

hier wäre mal ein Netzwerk Diagramm hilfreich und dann mal 1-2 Stunden konzentriertes gemeinsames Nachdenken :-)

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Aushilfsinformatiker »

Hallo,

vielen Dank für die Rückmeldung. Die letzten Monate waren arbeitstechnisch sehr ausfüllend, sodass ich erst jetzt einen ernsthaften Plan erstellt habe. Momentan läuft alles sehr gut, ich will jedoch aufgrund der Skalierung (3 neue PC-Kabinette) komplett umbauen und bin mir bei so manchen Dingen nicht sicher. Ich habe in die PDF alle offenen Fragen reingestellt. Bei uns geht nach den Osterferien der Digitalpakt los (Hämmern, Bohren, Buddeln....angenehm). Wir kaufen keinerlei Peripherie, wir investieren nur in Netzwerktechnik, Komplettverkabelung von 3 Schulgebäuden und 3 Internatsgebäuden. Das Hauptgebäude ist jedoch kompliziert zu bauen, Internat ist relativ unkompliziert.

Bis jetzt ist alles portbasiert und durch Routing-Tags getrennt.
Jetzt sollen alle Netzwerkgeräte im IP-Adressbereich des Verwaltungsnetzwerkes konfiguriert werden. Die Erreichbarkeit des Schulservers aus den anderen VLANS ist für mich noch völlig unklar. Zu Hause habe ich das Inter-VLAN-Routing nicht hinbekommen. Vielleicht wäre es sinnvoll, VLAN für jeden Netzwerkport an dem Schulserver einzurichten? Dann müsste man sicherlich unter DNS/Stationsnamen die Domain für jedes VLAN weiterleiten?

Danke und Grüße
AH
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von tstimper »

Hallo Aushilfsinformatiker,

Also VLAN Modul muss an sein, um mit VLANs zu arbeiten.

VLAN Tag 0 gibt es doch garnicht bzw. heist das bei LANCOM "Alle VLANs"?
Bzw. ein Paket mit VLAN Tag 0 bekommt das Port VLAN Tag des SwitchPorts, über den das Paket reinkommt.

VLAN Tag 1 ist fast immer das Defailt VLAN, das würde ich auch nicht nutzen.

Ich nehme immer VLANs ab 10 zur besseren Übersicht und 1 (und 0) wird garnicht genutzt.
Der Router muss in den Router Mode und nicht in den Bridge Mode, dann dem Router IPs in jedem Netzwerk geben,
und den Traffic zwischen den Netzen mit Firewall Rules steuern.

Das geht problemlos auch mit WLC und Public Spot und mit mehreren Uplinks.

Du hast dann halt auch die ganze interne Gigabit Routing Last auf dem 1906VA, das kann den schon stressen.

Je nachdem, welches konkrete Switch Modell Du einsetzt, kann es Sinn machen, dort zu routen und ACLs zu nutzen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Aushilfsinformatiker »

Hallo, vielen Dank für die Rückmeldung. Bei eingeschaltetem Modul stelle ich natürlich auf VLAN0 auf 1. Die Last auf dem Router ist minimal, sie pendelt zwischen 4& und 12%.

Kannst du mir einmal ein Beispiel für eine entsprechende Firewall-Regel geben, z.B.:


VLAN 20/Routing Tag 1/192.168.161.0/ PC-Kabinett, Mini-Server
an
VLAN 10/Routing Tag 1/192.168.178.126 (Schulserver)

Ich versuche das zu Hause gerade nachzubauen, mir gelingt keine Regel, um irgendeine Station in einem anderen Netzwerk zu erreichen. Zu Hause habe ich nur zwei Netze eingerichtet. Ganz simpel VLAN1 und VLAN2 zum üben.
--------
Nachtrag (5 Minuten später): Ich habe gerade auf Router-Mode umgestellt und mich komplett abgeschossen. Zum Glück kam ich noch von Außen drauf. Ist das richtig, dass Firewall-Regeln bei Inter-VLAN-Routing nur im Router-Mode greifen? Dann sind meine Versuche zu Hause völlig sinnlos.

Vielen Dank für die Hilfe
AH
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von tstimper »

Aushilfsinformatiker hat geschrieben: 11 Feb 2023, 18:37 Ist das richtig, dass Firewall-Regeln bei Inter-VLAN-Routing nur im Router-Mode greifen? Dann sind meine Versuche zu Hause völlig sinnlos.
Den Router stelle ich immer in den Router Mode.
Leider stehen die Lancom Router default im Bridge Modus und die meisten ändern das wohl nicht.
Deshalb greift dann die Firewall in LAN nicht und Du kannst auch nicht gut den Traffic analysieren.

Es geht dann schon alles irgendwie, aber Du weist nicht genau warum.

Ich habe da lieber klare Regeln:

- Lan Bridge in den Router Modus
- Default Deny-All Regel
- Das Reject Objekt in der Firewall mit SNMP ergänzen
- Dann mit Lanmonitor die Blocks beobachten
- Einzelne Allow-Regeln für die gewünschten Dienste erstellen, angefangen mit DNS, NTP, Ping, HTTPS, HTTP, SMTP

usw.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Aushilfsinformatiker »

Hallo, vielen Dank! Beim Umstellen auf den Router Mode sollte man unter ipv4/Schnittstelle von BRG beispielsweise auf LAN1 umstellen?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von tstimper »

Aushilfsinformatiker hat geschrieben: 11 Feb 2023, 20:07 Hallo, vielen Dank! Beim Umstellen auf den Router Mode sollte man unter ipv4/Schnittstelle von BRG beispielsweise auf LAN1 umstellen?
Ja genau

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Aushilfsinformatiker »

Herzlichen Dank, jetzt habe ich wieder was gelernt. Dein Szenario werde ich zu Hause erst einmal basteln. Hat der Router Mode Auswirkungen auf den WLC-Tunnel?
Ich habe mal versucht deine Ideen in der ersten Grafik umzusetzen. Für den Fall, dass zu viel Last ohne Bridge Mode entsteht, aber ich noch eine Variante gebaut, wo die verschiedenen VLANS im Bridgemodus an die VLAN-konfigurierten LAN-Ports des Servers andocken. Das wäre vielleicht auch noch eine Variante.

Besten Dank und viele Grüße!
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von tstimper »

Aushilfsinformatiker hat geschrieben: 12 Feb 2023, 12:38 Hat der Router Mode Auswirkungen auf den WLC-Tunnel?
Oh ja , das haben wir bitter lernen müssen.
Das Verhalten ist Firmware anhängig und die Auffassungen zur korrekten Konfiguration unterscheiden sich.

Mit 10.42 auf dem WLC gilt Bridge Zwang und damit auch
maximal 8 nutzbare WLC Tunnel statt der einstellbaren 32 .

Deine Varianten muss ich mir morgen mal groß ausdrucken,
um drauf rumzumalen 😀

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
PappaBaer
Beiträge: 157
Registriert: 21 Jul 2016, 20:49

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von PappaBaer »

tstimper hat geschrieben: 11 Feb 2023, 18:20 Der Router muss in den Router Mode und nicht in den Bridge Mode
Moin,
ich grätsche hier mal rein. Ich denke, Du meinst die Einstellung der LAN-Bridge an dieser Stelle?
Da kann ich Deine Aussage nämlich weder nachvollziehen noch bestätigen. Was hat die LAN-Bridge mit Inter-VLAN-Routing zu tun?
Hier geht es auf dem Router doch nur darum, IP-Netze, die über verschiedene VLANs auf den ETH-Ports angebunden sind, gesteuert über die Firewall miteinander zu verbinden.

Grüße,
Torsten
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von tstimper »

PappaBaer hat geschrieben: 12 Feb 2023, 18:49
tstimper hat geschrieben: 11 Feb 2023, 18:20 Der Router muss in den Router Mode und nicht in den Bridge Mode
Moin,
ich grätsche hier mal rein. Ich denke, Du meinst die Einstellung der LAN-Bridge an dieser Stelle?
Da kann ich Deine Aussage nämlich weder nachvollziehen noch bestätigen. Was hat die LAN-Bridge mit Inter-VLAN-Routing zu tun?
Hier geht es auf dem Router doch nur darum, IP-Netze, die über verschiedene VLANs auf den ETH-Ports angebunden sind, gesteuert über die Firewall miteinander zu verbinden.

Grüße,
Torsten
Hi Torsten,

Code: Alles auswählen

By default, all logical interfaces (e.g. LAN-x, WLAN-x, P2P-x or WLC-TUNNEL-x) are aggregated transparently in a bridge (BRG-1).

In "isolated mode" the bridge, i.e. the layer-2 forwarding between the different logical interfaces, is disabled.

It may be regarded as a global enable-/disable switch for the bridging function.

Info:
 Additional "Bridge" functionalities (e.g. Spanning Tree) also work in "Isolated mode".
Also mit dem Inter-VLAN Routing hat es nicht zu tun, es ist nur eine saubere Trennung für den Fall, das mal Netzwerk Fehler oder Konfig Fehler
an den angeschlossenen Switche vorkommen.
Broadcasts gehen über die Bridge, im Router Mode bleiben sie am Interface hängen.

Beim WLC und WLC-Tunneln wiederum flutet der WLC UDP Replies (z.B. DNS Replies) an alle APs, weil er sich zumindest in der 10.42 nicht merkt, an welchem AP denn der Client hängt, der den Request geschickt hat. Ich habe nicht nachverfolgt, in welcher LCOS Version das letztendlich gefixt ist.

Also der WLC muss im Bridge Mode, wenn er WLC Tunnel nutzt. Der Router sollte dann in den isolierten Mode, um die Broadcasts zumindest im Fehlerfall im Teilnetz zu lassen.

Wie genau man es konkret macht, hängt sicher auch von der Netzwerklast ab.

Die Firewall im LCOS prüft nur geroutete Pakete.
Betreibt man den Router im Bridge Mode, kann man also problemlos an den jeweiligen Interfaces und Switches
Geräte im selben IP Netz betreiben, ohne das fir Firewall das blocken kann.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Aushilfsinformatiker »

Hallo, vielen Dank für die Informationen. Ich frage morgen bei der Projektplanung nach, ob wenigstens ein Layer3-Switch geplant für das Hauptgebäude, wo der Server steht geplant ist. Das dürfte doch die Probleme lösen?



Viele Grüße
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Koppelfeld »

Aushilfsinformatiker hat geschrieben: 12 Feb 2023, 19:59 Hallo, vielen Dank für die Informationen. Ich frage morgen bei der Projektplanung nach, ob wenigstens ein Layer3-Switch geplant für das Hauptgebäude, wo der Server steht geplant ist. Das dürfte doch die Probleme lösen?
Das SCHAFFT Probleme.
Ein Switch arbeitet aus L2. Ein Router auf L3.

Ich empfehle immer die ALF - Episode mit der Riesenkakerlake. Kate Tanner will eine Kakerlake vom Planeten Melmac mit einem irdischen Insektenvernichter beseitigen. Das Ergebnis ist bei weitem nicht das erwartete.
Lessons learned: NIEMALS unterschiedliche Welten miteinander vermischen. Router: Layer 3. Switch (i.e. Multiport - Bridge): Layer 2.

Es gibt durchaus Szenarien, in denen es angebracht sein kann, innerhalb eines Switches zu Routen. Typische Anwendung wäre halt Ost-West - Traffic.

Ansonsten gibt User tstimper genau die Empfehlung, die ich auch immer als Leitlinie hergenommen habe.
Im WLC bridgen, im Router routen.
Aushilfsinformatiker
Beiträge: 46
Registriert: 13 Apr 2020, 10:56

Re: Netzwerkstrukturverbesserung - Schule - WLC

Beitrag von Aushilfsinformatiker »

Ok, vielen Dank! Ich ging jetzt davon aus, dass der WLC sich am Router Mode des 1906 stört. Wenn die Systemlast nicht tragisch ist, wäre das eine super Lösung, welche ich als Laie beherrsche. Die Option 2 (Serverports VLAN) muss ich nochmal durchdenken.

Ich werde einmal morgen im Hauptgebäude, wo ich kein aktiviertes VLAN habe (nur Netzwerktrennung durch Routing Tags), jedoch genau die Hardware in der Grafik zum Testen auf Router Mode stellen. Zur Not komme ich immer wieder von Außen auf den Router und stelle es zurück. Wenn der WLC weiterhin sauber arbeitet, dann ist mir das lieber als am Server aus Gründen der Performance das LACP aufzulösen.


Viele Grüße
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“