WLC - VLAN-Konfiguration

[fildercom]

Hallo zusammen,

ich habe mal wieder ein paar WLC-Fragen.

Es gibt folgendes Ausgangs-Szenario:
Im WLAN gibt es nur eine SSID, diese wird ohne VLAN direkt ins LAN ausgekoppelt. Das VLAN-Modul der APs ist nicht aktiv

Nun sollen zwei weitere SSIDs eingerichtet werden, 1 x GAST und 1 x VOICE, die jeweils von den APs getaggt ins LAN ausgekoppelt werden und am Router dementsprechend "verwertet" werden sollen (VLAN-Modul nicht aktiviert, aber ARF-Netze mit VLAN für GAST und VOICE wurden erstellt). Das interne Netz soll weiterhin ohne VLAN direkt ins LAN ausgekoppelt werden.

GAST soll VLAN-ID 2 sein, VOICE VLAN-ID 3.

Die entsprechende Konfiguration im WLC ist kein Problem und funktioniert auch (in den physikalischen WLAN-Paramatern und den logischen WLAN-Netzwerken).

Was mich aber stutzig macht ist folgendes:
Das bestehende interne Netz (ohne VLAN) steht dort als "untagged" mit VLAN-ID 2. In folgendem Workshop ist das interne Netz mit VLAN-ID 1 markiert:
https://www.lancom-systems.de/docs/LCOS ... ation.html

Leider kann ich das nicht auf die VLAN-ID 1 abändern, das LANconfig sagt, dass es erst ab 2 möglich ist.

Anbei mal die Screenshots meiner aktuellen Konfiguration (da ist das VOICE-Netz mit VLAN-ID 3 noch nicht dabei).

Funktionieren tut wie gesagt alles, aber was mich stutzig macht ist die Tatsache, dass das interne (Management-)Netz hier auch die VLAN-ID 2 benutzt (eben nicht getagged). Aber wenn nirgends ein Tagging stattfindet, wird hoffentlich auch kein Paket in ein VLAN gesendet, oder?

Sind aufgrund dieser Tatsache irgendwelche Probleme zu erwarten? Oder ist versehentlich ein unberechtigter Zugriff vom internen ins GAST-Netz und umgekehrt möglich bzw. zu erwarten?

Gerne würde ich das GAST-Netz auf der VLAN-ID 2 lassen, da auch die Netzbereiche dementsprechend einheitlich aufgebaut sind.

Noch eine Frage am Rande:
Kann man in der All-IP-Option die SIP-Geschichten direkt ins VLAN 3 "jagen" ohne das VLAN-Modul des Routers zu aktivieren? Also so wie bei den ARF-Netzen? Das wäre sehr praktisch. Andernfalls muss die Sprache in ein separates ARF-Netz. Ich hoffe, dass sich zumindest das bewerkstelligen lässt. Eine gewisse Trennung zwischen Sprache und Daten ist auf jeden Fall erforderlich.

Viele Grüße und danke
fildercom.

[Pothos]

Hi fildercom,

ich denke das es ein rein optisches Thema ist.

In meinem Aufbau ist es genau so. Das VLAN Tag 2 wird in LANconfig angezeigt aber das untagged hat dort vorrang und wird entsprechend an die APs ausgerollt. Das VLAN Tag zwei wird erst ausgerollt wenn du auf tagged umschaltest, so wie du es bei deinem zweiten Netzwerk bereits eingerichtet hast.

[fildercom]

Hallo Pothos,

danke für die Antwort. Also kann ich es so lassen und ist dies kein mögliches Sicherheitsproblem?

Viele Grüße und danke
fildercom.

PS: Der VCM bietet mir keine Möglichkeit an, die SIP-Pakete direkt in ein bestimmtes VLAN zu "leiten" um es einer SSID zuzuordnen, damit die APs das Tagging übernehmen. Gibt es hierfür irgend eine andere Lösung?

[hyperjojo]

hi,

PS: Der VCM bietet mir keine Möglichkeit an, die SIP-Pakete direkt in ein bestimmtes VLAN zu "leiten", damit die APs das Tagging übernehmen. Gibt es hierfür irgend eine andere Lösung?

der VCM bietet dir an, ein Routing Tag pro SIP-Leitung zu setzen.

Gruß hyperjojo

[fildercom]

Hallo hyperjojo,

mit dem Routing-Tag gehen die SIP-Daten aber in ein anderes ARF-Netz. Dort kann ich wiederum die VLAN-Segmentierung einrichten. Aber ich möchte es eben ungern in ein getrenntes Netz haben, sondern im selben Adressbereich, nur per VLAN in einer anderen SSID. Lässt sich das irgendwie lösen?

Viele Grüße und danke
fildercom.

[hyperjojo]

hallo,

ich sehe wenig Sinn in einer VLAN Konfig, wenn du das gleiche Netz nutzt. Was spricht gegen einen anderen Bereich?

Gruß hyperjojo

[fildercom]

hallo,

ich sehe wenig Sinn in einer VLAN Konfig, wenn du das gleiche Netz nutzt. Was spricht gegen einen anderen Bereich?

Gruß hyperjojo

Hallo hyperjojo,

da im VCM die Rufnummern nur registriert werden sollen und noch eine nachgeordnete SIP-PBX eingesetzt werden soll, wäre es hilfreich wenn diese PBX im selben Adressbereich wie das "Hausnetz" erreichbar wäre. Sonst wird es mit dem Routing so kompliziert, oder aber die SIP-PBX müsste auch eine Netz-Virtaulisierung unterstützen, damit sie auf mehrere IP-Adressen "hört" (das weiß ich aber aktuell nicht, ob das machbar ist).

Für andere Vorschläge bin ich aber offen, also wenn man es besser machen kann, dann bitte einfach hier schreiben.

Viele Grüße und danke
fildercom.

[fildercom]

hallo,

ich sehe wenig Sinn in einer VLAN Konfig, wenn du das gleiche Netz nutzt. Was spricht gegen einen anderen Bereich?

Gruß hyperjojo

Ich habe es nun in einem separaten Netz konfiguriert, siehe auch in meinem anderen Thema.

Nun ist noch die Frage offen, wie ich die SIP-PBX mit in dieses VLAN "einbinden" kann. Die ARF-Netze sind in beiden Routern mit All-IP (1 x VoIP-Gateway, 1 x ISDN-Gateway) vorhanden und mit identischen Tags und VLANs versehen, das Tagging übernehmen die gemanagten APs.

Wie muss ich vorgehen, um die SIP-PBX ebenfalls in dieses VLAN einzubinden? Im besten Fall wenn sie an einem (Achtung) Unmanaged-Switch angeschlossen ist. Geht das überhaupt? Wenn ja, wie?

Im Datenblatt der Anlage steht:

Netzwerksegmentierung auf Layer2 möglich. Pro SSID ist eine VLAN ID möglich. Static VLAN
Konfiguration gemäß IEEE 802.1q; Unterstützt bis zu 256 VLANs.

(das Gerät soll NUR als SIP-PBX verwendet werden, Router, WLAN usw. werden nicht verwendet)

Gruß und danke
fildercom.