Hallo Zusammen.
Ich habe momentan einen 1722 am laufen. soweit tut alles.
Nun möchte ich gerne VLAN einführen mit ARF und Netze trennen. Dazu könnte ich euere Hilfe gebrauchen. Ich stehe hier etwas auf dem Schlauch was ich alles machen muss.
Was ich gernen möchte sieht man am angehängten Bild.
Ich möchte gerne 4 Netze.
Office Netz ( kann fast alles incl. Management vom Lancom)
Gäste Netz: über Powerline nur Internet, kein zugriff auf lokale Netze
WLAN Netz: Nur Internet + Druckerzugriff
Servernetz: server darf Internet,Drucken auf WLAN drucker, Zugriff vom Office Netz muss möglich sein, der Rest blockiert.
Wie muss ich hier am besten vorgehen? Wie legt man die Netze an? Wie muss ich die Firewall Regeln definieren? Brauche ich einen Trunk zum Switch? Wie funktioniert die VLAN Konfig? Ist etwas undurchsichtig für mich!
Vielen Dank für euere Hile!
PS: etwas später kommt auch VPN hinzu. aber eins nach dem anderen...
Gruß
Etwas komplexeres Netzwerkszenario (VLAN/Routing ARF usw...)
Moderator: Lancom-Systems Moderatoren
Etwas komplexeres Netzwerkszenario (VLAN/Routing ARF usw...)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Hi.
Hat den noch keiner sowas gemacht? Kann ich mir fast nicht vorstellen.
Ich steig nicht ganz durch mit dem Schnittstellenzuordnungen, VLAN, Tags usw.
In den Lancom FAQs ist immer von/mit WLAN die Rede und anhand vom Handbuch kann ich es mir absolut nicht erklären, wie man das einrichtet.
Wäre nett wenn evtl. noch jemand was dazu schreiben kann...
Evtl. ist es auch für andere Hilfreich...
Grüße
Hat den noch keiner sowas gemacht? Kann ich mir fast nicht vorstellen.
Ich steig nicht ganz durch mit dem Schnittstellenzuordnungen, VLAN, Tags usw.
In den Lancom FAQs ist immer von/mit WLAN die Rede und anhand vom Handbuch kann ich es mir absolut nicht erklären, wie man das einrichtet.
Wäre nett wenn evtl. noch jemand was dazu schreiben kann...
Evtl. ist es auch für andere Hilfreich...
Grüße
Hallo JJ1,
Im 1722 muss das VLAN-Modul nicht eingeschaltet werden (jedenfalls gibt es entsprechend Deiner Zeichnung keinen Grund dafür). Du legst die IP-Netzwerke/ARF-Netze mit entsprechendem Schnittstellen-Tag und zugehörigem VLAN-Tag an (0 entspricht ungetaggt) und zum Schluss wird das Ganze noch mit ein paar Firewall-Regeln garniert, die erlauben, was sonst verboten wäre.
Viele Grüße,
Jirka
Klar, schon. Aber ich kenne diesen HP-Switch nicht. Und da bzgl. VLAN viel von selbigem abhängt, kann man hier kein Rezept angeben.JJ1 hat geschrieben:Hat den noch keiner sowas gemacht?
Im 1722 muss das VLAN-Modul nicht eingeschaltet werden (jedenfalls gibt es entsprechend Deiner Zeichnung keinen Grund dafür). Du legst die IP-Netzwerke/ARF-Netze mit entsprechendem Schnittstellen-Tag und zugehörigem VLAN-Tag an (0 entspricht ungetaggt) und zum Schluss wird das Ganze noch mit ein paar Firewall-Regeln garniert, die erlauben, was sonst verboten wäre.
Viele Grüße,
Jirka
Zuletzt geändert von Jirka am 12 Jan 2010, 16:36, insgesamt 1-mal geändert.
Hallo Jirka.
Vielen Dank für die Antwort.
Vielleicht kommen wir weiter wenn ich dir zeige was schon konfiguriert ist und wie der Switch aussieht (ist eigentlich ein billiger HP VLAN Switch mit Weboberfläche).
Ich hab die Netze angelegt (siehe Bilder). Wo ich nicht weiterkomme, ist die Verbindung vom Switch zum Lancom. Bei Cisco wüsste ich es, mit Lancom bin ich leider noch nicht soweit...
Wie kann ich das Bewerkstelligen, das ich mit einem Kabel vom Switch zum Lancom die VLANs übertragen kann.
Von meiner Denkweise: im Lancom einen Port konfigurieren, der alle VLANs rüber lässt, am HP auch einen Trunk Port konfigurieren und dann die entsprechenen Geräte patchen und das VLAN auf dem Port einstellen. Aber hier hänge ich wie gesagt fest... Auch weis ich nicht was ich im VLAN Menü des Lancoms konfigurieren muss(Port Tabelle/VLAN Tabelle).
Evtl kannst Du ja etwas Licht ins dunkel bringen.
Gruß
JJ1
Vielen Dank für die Antwort.
Vielleicht kommen wir weiter wenn ich dir zeige was schon konfiguriert ist und wie der Switch aussieht (ist eigentlich ein billiger HP VLAN Switch mit Weboberfläche).
Ich hab die Netze angelegt (siehe Bilder). Wo ich nicht weiterkomme, ist die Verbindung vom Switch zum Lancom. Bei Cisco wüsste ich es, mit Lancom bin ich leider noch nicht soweit...
Wie kann ich das Bewerkstelligen, das ich mit einem Kabel vom Switch zum Lancom die VLANs übertragen kann.
Von meiner Denkweise: im Lancom einen Port konfigurieren, der alle VLANs rüber lässt, am HP auch einen Trunk Port konfigurieren und dann die entsprechenen Geräte patchen und das VLAN auf dem Port einstellen. Aber hier hänge ich wie gesagt fest... Auch weis ich nicht was ich im VLAN Menü des Lancoms konfigurieren muss(Port Tabelle/VLAN Tabelle).
Evtl kannst Du ja etwas Licht ins dunkel bringen.
Gruß
JJ1
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von JJ1 am 18 Nov 2009, 20:43, insgesamt 2-mal geändert.
Hallo JJ1,
In der VLAN-Tabelle die getaggten Netze anlegen.
Welches Netz soll das ungetaggte sein?
Wie sieht unter Schnittstellen -> LAN die Belegung der Ethernet-Ports aus?
Wie weit sind LANCOM und Switch auseinander? Bzw. welches Gerät soll/muss wo eingesteckt werden?
Viele Grüße,
Jirka
Du musst dazu Deiner Switch sagen, dass sie die Pakete entsprechend taggen soll. Das Kabel selber verändert dann daran nichts und der LANCOM richtet sich danach was ankommt bzw. sendet auch entsprechend getaggt raus, wenn ein Paket nicht dem Standard-VLAN angehört.JJ1 hat geschrieben:Wie kann ich das Bewerkstelligen, dass ich mit einem Kabel vom Switch zum Lancom die VLANs übertragen kann.
Wofür werden denn die anderen 3 Ports verwendet? Möglicherweise muss man hier gar nichts künstlich beschränken (die VLANs können also an allen Ports anliegen). Ungetaggte Geräte gehören dann automatisch dem Standard-VLAN an.JJ1 hat geschrieben:Von meiner Denkweise: im Lancom einen Port konfigurieren, der alle VLANs rüber lässt,
In der Port-Tabelle den Tagging-Modus auf Gemischt stellen.JJ1 hat geschrieben:Auch weis ich nicht was ich im VLAN Menü des Lancoms konfigurieren muss(Port Tabelle/VLAN Tabelle).
In der VLAN-Tabelle die getaggten Netze anlegen.
Welches Netz soll das ungetaggte sein?
Wie sieht unter Schnittstellen -> LAN die Belegung der Ethernet-Ports aus?
Wie weit sind LANCOM und Switch auseinander? Bzw. welches Gerät soll/muss wo eingesteckt werden?
Viele Grüße,
Jirka
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Hallo IIl, Trunking ist mehr das zusammenfassen von mehreren Anschluessen die dann parallel die Daten versenden.Von meiner Denkweise: im Lancom einen Port konfigurieren, der alle VLANs rüber lässt, am HP auch einen Trunk Port konfigurieren und dann die entsprechenen Geräte patchen und das VLAN auf dem Port einstellen. Aber hier hänge ich wie gesagt fest... Auch weis ich nicht was ich im VLAN Menü des Lancoms konfigurieren muss(Port Tabelle/VLAN Tabelle).
Der Anschluss den Du an den VLAN Port vom Router anschliessen muss auf T (Tagged) stehen und alle VLANs auswaehlen, die anderen dann auf U (untag) mit der richtigen VLAN Nummer. Dann sollte alles funktionieren.
MFG
Starmanager
Hallo JJ1,
so richtig tragen Deine schönen Bilder auch nicht zur Klarheit bei. Davon abgesehen, dass ETH1 beim LANCOM rechts ist und Du auch geschrieben hast, dass Du den Switch mit ETH4 verbinden wolltest, steht da nun plötzlich Solarlog, WLAN und DMZ Zukunft dran. Ich meine woher soll ich nun wissen, welchem VLAN die angehören sollen? Und wenn keinem, welchem ARF-Netz dann?
Genauso an der Switch. Zu welchem VLAN sollen Priv1, 2, 4 gehören? Ok, das spielt jetzt eher eine untergeordnete Rolle, aber in Deinem ersten Posting sind die Rechner nicht zu sehen. Den Server am GBit-Anschluss anzuschließen ist übrigens auch Augenwischerei, da er ja getrennt von den anderen Ports in einem eigenen Netz sein wird. Aber auch ok, denn auch der Server muss ja irgendwo angeschlossen werden.
Desweiteren hast Du immer noch nicht geschrieben, welches der ARF-Netze das ungetaggte sein soll.
Wollen wir das Ganze nicht telefonisch klären? Ich sehe hier langsam keinen grünen Zweig mehr. Deine VLAN-Einstellungen (Port-Tabelle) sind falsch, nicht so, wie ich geschrieben hatte. Von einem WLAN_VLAN war bisher auch nicht die Rede und aus Deinen Zeichnungen kann ich auch nicht entnehmen, wieso dies erforderlich wäre.
Viele Grüße,
Jirka
so richtig tragen Deine schönen Bilder auch nicht zur Klarheit bei. Davon abgesehen, dass ETH1 beim LANCOM rechts ist und Du auch geschrieben hast, dass Du den Switch mit ETH4 verbinden wolltest, steht da nun plötzlich Solarlog, WLAN und DMZ Zukunft dran. Ich meine woher soll ich nun wissen, welchem VLAN die angehören sollen? Und wenn keinem, welchem ARF-Netz dann?
Genauso an der Switch. Zu welchem VLAN sollen Priv1, 2, 4 gehören? Ok, das spielt jetzt eher eine untergeordnete Rolle, aber in Deinem ersten Posting sind die Rechner nicht zu sehen. Den Server am GBit-Anschluss anzuschließen ist übrigens auch Augenwischerei, da er ja getrennt von den anderen Ports in einem eigenen Netz sein wird. Aber auch ok, denn auch der Server muss ja irgendwo angeschlossen werden.
Desweiteren hast Du immer noch nicht geschrieben, welches der ARF-Netze das ungetaggte sein soll.
Wollen wir das Ganze nicht telefonisch klären? Ich sehe hier langsam keinen grünen Zweig mehr. Deine VLAN-Einstellungen (Port-Tabelle) sind falsch, nicht so, wie ich geschrieben hatte. Von einem WLAN_VLAN war bisher auch nicht die Rede und aus Deinen Zeichnungen kann ich auch nicht entnehmen, wieso dies erforderlich wäre.
Viele Grüße,
Jirka
Hallo Jirka.
Ja, da hast du Recht, So kommt das wenn man drauf loswurstelt ohne einen Plan. Ich habe übrigens kein Test System, das ist mein Live-system, deshalb kann ich keine Änaderungen abspeichern, bzw. ich will mir nicht den Ast absägen mit testen
Anbei habe ich das nochmal besser dargestellt.
Nochmal zum Thema, vergiss alles ander von oben:
Ich möchte über 1 Port am Lancom(eth-1/lan-1) auf den Switch (Port1) verbinden. Die anderen Ports am Lancom sollen vorerst unbenutzt bleiben.
Ich muss dann in der VLAN Tabelle alle VLANs in der VLAN Port Liste auf LAN-1 legen, oder? So müssten alle VLAN über LAN-1 rübergehen.
Lan-1 wird ja gemapped auf ETH1. Was passiert mit dem Eintrag:
VLAN-Name VLAN-ID Port-Liste
Default_VLAN 1 *-*
Was muss ich in der Port VLAN Tabelle noch alles machen?
So ist es jetzt:
VLAN-Port Tagging-Modus Alle VLANs erlauben Port-ID
LAN-1 Gemischt An 1
Was muss ich bei "Alle VLANs erlauben" und "Port ID" eingeben?
Dann muss ich bestimmt im IP-Netzwerke Menü noch die entsprechende VLAN ID in den ARF Netzen eintragen.
Am Switch habe ich nun folgendes gemacht:
Ich habe die VLANs angelegt und den Ports zugewiesen. Dann habe ich immer z.B. VLAN 100 ist Mitglied von Port1 und Port 8, VLAN 2 Ist Mitglied von Port 1 und Port 2-5. Am Switch an Port 1 habe ich konfiguriert: Modus tagged only und keine VLAN ID vergeben. An den Access Ports z.B. habe ich eingestellt das abgehende Pakete mit dem jeweiligen VLAN Tag versehen werden.
Sollte es so funktionieren? So, und was mache ich mit dem untagged VLAN? Das lasse ich mit der VLAN ID 1 und weise es dem ARF Netz Internal1 zu oder wie? Was ich noch nicht weiss, da nun Port 1 (also der Uplink) nur getaggte Pakete kann, hat das irgendwelche Auswirkungen?
Falls das alles falsch ist, könntest du mir dann vllcht eine kurze Step by Step Anleitung machen, so nach dem Motto 1. 2. 3....?
Gruß
JJ
PS: Sorry für die Verwirrung...
Ja, da hast du Recht, So kommt das wenn man drauf loswurstelt ohne einen Plan. Ich habe übrigens kein Test System, das ist mein Live-system, deshalb kann ich keine Änaderungen abspeichern, bzw. ich will mir nicht den Ast absägen mit testen
Anbei habe ich das nochmal besser dargestellt.
Nochmal zum Thema, vergiss alles ander von oben:
Ich möchte über 1 Port am Lancom(eth-1/lan-1) auf den Switch (Port1) verbinden. Die anderen Ports am Lancom sollen vorerst unbenutzt bleiben.
Ich muss dann in der VLAN Tabelle alle VLANs in der VLAN Port Liste auf LAN-1 legen, oder? So müssten alle VLAN über LAN-1 rübergehen.
Lan-1 wird ja gemapped auf ETH1. Was passiert mit dem Eintrag:
VLAN-Name VLAN-ID Port-Liste
Default_VLAN 1 *-*
Was muss ich in der Port VLAN Tabelle noch alles machen?
So ist es jetzt:
VLAN-Port Tagging-Modus Alle VLANs erlauben Port-ID
LAN-1 Gemischt An 1
Was muss ich bei "Alle VLANs erlauben" und "Port ID" eingeben?
Dann muss ich bestimmt im IP-Netzwerke Menü noch die entsprechende VLAN ID in den ARF Netzen eintragen.
Am Switch habe ich nun folgendes gemacht:
Ich habe die VLANs angelegt und den Ports zugewiesen. Dann habe ich immer z.B. VLAN 100 ist Mitglied von Port1 und Port 8, VLAN 2 Ist Mitglied von Port 1 und Port 2-5. Am Switch an Port 1 habe ich konfiguriert: Modus tagged only und keine VLAN ID vergeben. An den Access Ports z.B. habe ich eingestellt das abgehende Pakete mit dem jeweiligen VLAN Tag versehen werden.
Sollte es so funktionieren? So, und was mache ich mit dem untagged VLAN? Das lasse ich mit der VLAN ID 1 und weise es dem ARF Netz Internal1 zu oder wie? Was ich noch nicht weiss, da nun Port 1 (also der Uplink) nur getaggte Pakete kann, hat das irgendwelche Auswirkungen?
Falls das alles falsch ist, könntest du mir dann vllcht eine kurze Step by Step Anleitung machen, so nach dem Motto 1. 2. 3....?
Gruß
JJ
PS: Sorry für die Verwirrung...
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Probier mal folgendes
VLAN=Default-Lan VLAN-ID=1 Port Liste=LAN-2~LAN-4
VLAN=Internal2 VLAN-ID=2 Port Liste=LAN-1
VLAN=Server_VLAN VLAN-ID=100 Port Liste=LAN-1
VLAN=Guest-Lan VLAN-ID=10 Port Liste=LAN-1
VLAN=WLAN_VLAN VLAN-ID Port Liste=(entsprechend dem Port fuer WLAN)
und immer LAN- verwenden.
Auf der Switch Seite
am ETH 1 vom "Switch" Tagged einschalten fuer VLAN 2, 100, 10
am ETH 2-5 vom Switch untagged fuer VLAN 2
am ETH 7 vom Switch untagged fuer VLAN 10
am ETH 8 vom Switch untagged fuer VLAN 100
danach sollten die IP Adressen vom Router zumindest pingbar sein. Nicht vergessen jeweils die IP adresse wechseln oder ueberpruefen ob DHCP bereits funktioniert. Nicht vergessen einen Port am Switch unberuehrt lassen um die Konfig unabhaengig vom Router ausfuehren zu koennen.
In der Netzliste LAN-1 verwenden wenn es auf dem VLAN rauskommen soll. Wichtig auch die VLAN ID wechseln und die Routing Tags wieder auf 0 zuruecksetzen.
Viel Erfolg
Starmanager
VLAN=Default-Lan VLAN-ID=1 Port Liste=LAN-2~LAN-4
VLAN=Internal2 VLAN-ID=2 Port Liste=LAN-1
VLAN=Server_VLAN VLAN-ID=100 Port Liste=LAN-1
VLAN=Guest-Lan VLAN-ID=10 Port Liste=LAN-1
VLAN=WLAN_VLAN VLAN-ID Port Liste=(entsprechend dem Port fuer WLAN)
und immer LAN- verwenden.
Auf der Switch Seite
am ETH 1 vom "Switch" Tagged einschalten fuer VLAN 2, 100, 10
am ETH 2-5 vom Switch untagged fuer VLAN 2
am ETH 7 vom Switch untagged fuer VLAN 10
am ETH 8 vom Switch untagged fuer VLAN 100
danach sollten die IP Adressen vom Router zumindest pingbar sein. Nicht vergessen jeweils die IP adresse wechseln oder ueberpruefen ob DHCP bereits funktioniert. Nicht vergessen einen Port am Switch unberuehrt lassen um die Konfig unabhaengig vom Router ausfuehren zu koennen.
In der Netzliste LAN-1 verwenden wenn es auf dem VLAN rauskommen soll. Wichtig auch die VLAN ID wechseln und die Routing Tags wieder auf 0 zuruecksetzen.
Viel Erfolg
Starmanager
Hallo Zusammen.
Ich komme dem Ziel näher. Anbei die aktuelle Konfig. Ich kann nun von den Netzen hin und herpingen, DHCP funktioniert für die jeweiligen Netze. Alles soweit prima,
aber ich habe noch ein paar Fragen die ihr mir evtl. beantworten könnt:
Als erstes habe ich das VLAN Modul noch aktiviert. Wozu braucht man das, was wird besser? Ohne das aktivieren hat auch alles funktioniert wenn der Modus auf "gemischt" war. wenn das Modul aktiviert ist, geht nur noch der Modus "immer", aber alles tut soweit.
OK, noch ein Problem: Wenn ich nun ein Gerät an ETH4/LAN4 des Lancom hänge, das eine IP aus dem 1er VLAN hat, kann ich zwar ins Internet und aufs Servernet, aber von Geräten im VLAN 1er Netz komme ich nicht auf den Websever des Devices (z.B. probiere ich vom 192.168.0.33 auf den 192.168.0.9 zu kommen, 0.9 hängt am Lancom ETH4 0.33 hängt am Switch in VLAN 1). Irgendwas stimmt da noch nicht. Hänge ich das Gerät an den Switch in VLAN 1 geht alles ??? Ping vom Lancom aus auf die 0.9 tut aber.
3. Frage: Routing Tags. Vorher hatte ich überall die Routing Tags in den ARF Netzen eingetragen. Jetzt habe ich alle auf 0 gemacht, wie Starmanger wollte. Es tut noch alles, nur wozu habe ich die dann gebraucht?
4. Firewall Regeln: Habt ihr noch Verbesserungsvorschläge/Ergänzungen? Oder sind diese soweit sicher?
5. Frage. Brauche ich noch ein "untagged" VLAN oder passt dann soweit alles?
Achso, und zu guter letzt ist mir noch aufgefallen: Ich betreibe nun LCOS 7.8 RC1. Nach dem Speichern der Config mit den LAN Tools ist der Router für ca. 20-30 Sek überhaupt nicht mehr erreichbar.Lanconfig meckert rum das die Konfig nicht gespeichert werden kann (obwohl sie gespeichert ist) Es geht quasi garnix mehr. Dann meldet sich irgendwann wieder LANMonitor und alles ist prima (Inkl neuer Konfig). Hat das was mit dem VLAN aktiviern zu tun? Weil abstürzen tut er nicht, es steht nix im Log.
Fragen über Fragen!
Vielen Dank für euere Hilfe, habt mir echt geholfen!!!!!! Tolles Forum
Gruß
JJ1
Ich komme dem Ziel näher. Anbei die aktuelle Konfig. Ich kann nun von den Netzen hin und herpingen, DHCP funktioniert für die jeweiligen Netze. Alles soweit prima,
aber ich habe noch ein paar Fragen die ihr mir evtl. beantworten könnt:Als erstes habe ich das VLAN Modul noch aktiviert. Wozu braucht man das, was wird besser? Ohne das aktivieren hat auch alles funktioniert wenn der Modus auf "gemischt" war. wenn das Modul aktiviert ist, geht nur noch der Modus "immer", aber alles tut soweit.
OK, noch ein Problem: Wenn ich nun ein Gerät an ETH4/LAN4 des Lancom hänge, das eine IP aus dem 1er VLAN hat, kann ich zwar ins Internet und aufs Servernet, aber von Geräten im VLAN 1er Netz komme ich nicht auf den Websever des Devices (z.B. probiere ich vom 192.168.0.33 auf den 192.168.0.9 zu kommen, 0.9 hängt am Lancom ETH4 0.33 hängt am Switch in VLAN 1). Irgendwas stimmt da noch nicht. Hänge ich das Gerät an den Switch in VLAN 1 geht alles ??? Ping vom Lancom aus auf die 0.9 tut aber.
3. Frage: Routing Tags. Vorher hatte ich überall die Routing Tags in den ARF Netzen eingetragen. Jetzt habe ich alle auf 0 gemacht, wie Starmanger wollte. Es tut noch alles, nur wozu habe ich die dann gebraucht?
4. Firewall Regeln: Habt ihr noch Verbesserungsvorschläge/Ergänzungen? Oder sind diese soweit sicher?
5. Frage. Brauche ich noch ein "untagged" VLAN oder passt dann soweit alles?
Achso, und zu guter letzt ist mir noch aufgefallen: Ich betreibe nun LCOS 7.8 RC1. Nach dem Speichern der Config mit den LAN Tools ist der Router für ca. 20-30 Sek überhaupt nicht mehr erreichbar.Lanconfig meckert rum das die Konfig nicht gespeichert werden kann (obwohl sie gespeichert ist) Es geht quasi garnix mehr. Dann meldet sich irgendwann wieder LANMonitor und alles ist prima (Inkl neuer Konfig). Hat das was mit dem VLAN aktiviern zu tun? Weil abstürzen tut er nicht, es steht nix im Log.
Fragen über Fragen!
Vielen Dank für euere Hilfe, habt mir echt geholfen!!!!!! Tolles Forum
Gruß
JJ1
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.