Grundkonfiguration 1781A

[alf29]

Moin,

Dabei kommt es auf das "*-*" an - das ist nämlich syntaktisch falsch !!!!!!!!!!!!!!!!!

Das ist syntaktisch völlig korrekt und ein sogenannter Wildcard-Ausdruck - damit wird für den Konfig-Default festgelegt, daß alle Interfaces Member des Default-VLANs 1 sind. Gegenüber einer expliziten Aufzählung hat dieser Wildcard-Ausdruck den Vorteil, daß er immer alle Interfaces erfaßt, je nach LANCOM-Typ sind ja unterschedlich viele und -artige Interfaces vorhanden und mit einem *-* erfaßt man immer alle. Andere gültige Wildcard-Ausdrücke wären z.B. LAN-*, um LAN-1 bis LAN-4 zu erfassen.

Es mag sein, daß dieser Default-Eintrag für Dein Szenario nicht paßt, dann mußt Du ihn eben löschen oder ändern, aber syntaktisch ist das erstmal völlig richtig.

In einer Doku hatte ich irgendwo gelesen, dass ein bereich durch "~" getrennt wird. War außergewöhnlich und auch da habe ich mir noch nix dabei gedacht.

Das ist korrekt, Bereiche a la 'von ...bis .. ' werden durch eine Tilde definiert, weil der Bindestrich schon Teil von Interface-Namen ist, mußte ich dafür nun einmal mir ein anderes Zeichen suchen...

Bereiche mit Tilde sind übrigens in der Praxis nicht übermäßig sinnvoll, weil als Reihenfolge die Reihenfolge gilt, so wie sie in der VLAN-Port-Tabelle steht. In der Vergangenheit sind neue Interfaces aus Kompatibilitätsgründen immer am Ende angehängt worden, bei manchen Geräten steht jetzt z.B. ein LAN-3 und LAN-4 ganz am Ende der Tabelle, das LAN-1 aber ganz am Anfang, mit dem Ergebnis, daß ein Ausdruck wie 'LAN-1~LAN-4' viel mehr Interfaces erfaßt, als man eigentlich meint. Da ist ein Wildcard-Ausdruck a la 'LAN-*' wesentlich intuitiver in der Funktion...

Gruß Alfred

[averlon]

Hi,
wie dem auch sein.
Leider funktioniert meine konfig doch nicht ganz.

Keine ahnung warum.

Ich kann z.B. nicht.

• - eine http verbindung aus 10.10.110.x nach 10.10.109.x bekommt ein erstes bild aber dann steht sie
  - wenn ich einen ping von einem client auf ein anderes netzwerksegment mache, also von 10.10.110.x auf 10.10.109.x, dann läuft der zwar durch, bleibt aber immer wieder zwischendurch hängen.
  - dateizugriffe vom linux client auf das nas hängen.

Ich komme damit zurück zu meiner ursprungsfrage: Wie konfiguriere ich den LANCOM mit mehreren netzwerksegmenten.

xxx.xxx.110.xxx = LAN-1 = Clients
xxx.xxx.108.xxx = LAN-2 = DMZ (kommt später)
xxx.xxx.111.xxx = LAN-3 = WLAN Clients
xxx.xxx.109.xxx = LAN-4 = Storage Systeme

Voraussetzung:
- der WLAN Access-Point ist direkt mit dem LANCOM LAN-3 verbunden (ohne switch)
- alle anderen geräte hängen am switch (wie auch sonst).

[averlon]

Hallo,
Problem gelöst.

Meine konfig war anscheinend richtig.

Nur der "blöde" Netgear-Switch hat die VLANs scheinbar nicht richtig gemacht.

Ich hatte noch einen alten Switch im keller und habe die Storage-Geräte mal daran gehängt - funzt.

Es lag also am switch der aber VLAN können soll.
Von einem GS116E von Netgear würde ich, wenn man VLAN haben will, abraten.

Jetzt werde ich mir einen LANCOM zulegen - in der hoffnung, dass der kann!

[averlon]

Hallo *,

nachdem ich mir einen lancom GS-1224 zugelegt habe habe ich leider das gleiche problem wieder.

Ich muss also meine aussage über den Netgear etwas revidieren.

Problem besteht also noch!

Bei dem gs-1224 habe ich port based vlan eingeschaltet und die schnittstellen aus dem router jeweils der entsprechenden vlan-gruppe zugeordnet.

Zugriff ins internet, egal aus welcher gruppe, funktioniert.

Ping zu den anderen gruppen funktioniert - wenn auch mit zeiten die ich in dem kleinen netzwerk noch nicht ganz nachvollziehen kann (1,xx ms). aber egal.

Z.B. web-zugriff von einem netzwerksegement auf ein anderes netzwerksegment oder auch dateizugriffe auf den storage-bereich vom client - keine chance.

Ich bin etwas ratlos.

[averlon]

Hi Backslash,

Das beste ist, am Switch (und am LANCOM) einen Trunk-Port einzurichten, auf dem alle VLANs laufen. .....

Gruß
Backslash

Bitte um hinweise wie ich das realisieren kann. Mittlerweile habe ich auch einen lancom 1224 switch.

[Dr.Einstein]

Gehe jetzt mal von einem GS-1224 aus.

VLAN-Mode: Tag Based
Double Tag: off

- Entsprechend benötigte VLANs hinzufügen und Ports, wo das VLAN auftaucht,
markieren (auch der Uplink zum Lancom gehört dazu)

- Unter Port Config machst du für alle Ports, wo PCs etc. dranhängen "Access"
und die entsprechende PID, die dem PC zugeordnet werden soll
- Für den Uplink zum Lancom machst du "Trunk", tagged only

- Im Lancom lässt du das VLAN Modul aus, und vergibst unter TCP-IP/
Netzwerke die VLAN IDs der Netze. Fertig
(Konstellation, wenn nix am Lancom hängt außer der Switch)

Gruß Dr.Einstein

[averlon]

Hi Dr. Einstein,
das mit dem VLAN-Modul = aus - das war wohl der entscheidende hinweis.

Den rest hatte ich schon.

Danke
P.S.: so ganz verstehen tue ich es noch nicht - denn port-based vlan müsste eigentlich auch funktioniert haben.

[averlon]

Hallo alle zusammen,

jetzt scheint es zu funktionieren.

Einstellungen:

• - VLAN aktiv
  - im TCP/Ip jedem Netzwerk die entsprechende VLAN-ID zuordnen
  - in Kommunikation/Gegenstellen/DSL der DSL-Definition die VLAN-ID "0" zuordnen.
  - im Switch "tag based vlan" mit den entsprechenden VLAN-IDs einstellen und
  - im Switch die trunks zum router als "trunk" konfigurieren. Alle anderen als "access".

Verstehen tue ich es nicht.

Eigentlich sollte das auch mit port-based VLAN am switch funktionieren. Nach meinem verständnis macht port-based vlan nichts anderes als den physikalischen switch in mehrere logische switche aufzuteilen. Gerade so, als ob ich mehrere physikalische switche hätte. Und mit mehreren physikalischen switche hat es ja auch funktioniert (mein gerät aus dem keller).

Lösung funktioniert - Knowledge aber unbefriedigend.

[alf29]

Moin,

Eigentlich sollte das auch mit port-based VLAN am switch funktionieren. Nach meinem verständnis macht port-based vlan nichts anderes als den physikalischen switch in mehrere logische switche aufzuteilen. Gerade so, als ob ich mehrere physikalische switche hätte.

Prinzipiell ja, der Haken an der Sache ist aber, daß viele Switche bei Port-basiertem VLAN keine getrennte MAC-Adreßtabelle pro 'virtuellem Switch' führen, d.h. man bekommt Probleme, wenn die gleiche MAC-Adresse an Ports aus verschiedenen Port-Gruppen auftaucht - der Switch lernt dann ständig den Zielport für die MAC-Adresse um und in der anderen Port-Gruppe für diese Adresse ankommende Pakete werden verworfen, weil aus Sicht des Switches der Zielport in einer andere Port-Gruppe liegt, wo er keine Pakete hinleiten darf.

Das LANCOM verwendet auf allen LAN-x aber die gleiche Adresse und wenn Du das LANCOM mit mehreren Kabeln getrennt an die einzelnen Port-Gruppen anschließt, dann passiert das oben beschriebene. Bei Tag-basiertem VLAN unde inem einzigen "VLAN-Trunk-Kabel" zum Switch bleibt die MAC-Adresse des LANCOM aus Sicht immer am gleichen Port.

Gruß Alfred

[averlon]

Hallo Alfred,
einleuchtende erklärung.

Gut - jetzt glaube ich mal, dass der "günstige" netgear-switch das nicht kann.

Jetzt hätte ich aber vermutet, dass der "nicht so günstige" lancom 1224 das dann doch kann.

Und zusätzlich: Der lancom router wird ja sicherlich in deutlich komplexeren umgebungen eingesetzt als bei mir. Da könnte das thema (ich sage explizit nicht problem) ja bei lancom schon mal aufgetaucht sein. Das sind ja, so stellt es sich mir dar, kluge köpfe. Warum dann nicht jedem port eine eigene MAC geben.

Gut - egal - hat mich viel geld, nerven und zeit gekostet - geht aber jetzt.

[alf29]

Moin,

Jetzt hätte ich aber vermutet, dass der "nicht so günstige" lancom 1224 das dann doch kann.

Ob solche Sachen funktionieren, hängt - wie bei PC-Mainboards - im wesentlichen vom eingesetzten Chipsatz ab, und der unterscheidet sich bei 'billigen' und 'teureren' Switches häufig gar nicht. Selbst entwickelte Switch-Hardware gibt's üblicherweise erst bei ganz dickem Eisen, wo es keine fertigen Chipsätze von der Stange gibt, dann auch zu den zu erwartenden Preisen von den 'üblichen Verdächtigen' (Cisco, Juniper, Extreme...).

Wofür man bei einem LANCOM-Switch (der zumindest von der Hardware her auch kein LANCOM-Eigenprodukt ist) mehr bezahlt, ist die Anpassung der Firmware, die darauf läuft und die dafür sorgt, daß die LANCOM-Switches genauso im LANconfig 'auftauchen' wie die LANCOM-eigenen Router. Speziell größere Kunden sind dann gerne bereit, einen "LANCOM-Aufschlag" zu bezahlen, wenn sie dafür alles aus einer Hand bekommen.

Und zusätzlich: Der lancom router wird ja sicherlich in deutlich komplexeren umgebungen eingesetzt als bei mir. Da könnte das thema (ich sage explizit nicht problem) ja bei lancom schon mal aufgetaucht sein.

Das taucht durchaus öfters auf, daß Leute das LANCOM quasi 'redundant' an einen Switch anschließen wollen, und die Antwort darauf lautet eigentlich immer 'VLAN'. Man hat übrigens auch keinen Bandbreitengewinn aus den mehreren Ethernet-Links, weil im LANCOM-Router der Ethernet-Switch-Baustein und die CPU auch nur über einen Ethernet-Link miteinander verbunden sind.

Warum dann nicht jedem port eine eigene MAC geben.

Bei einigen der 1781-Vorgänger sind die zusätzlichen LAN- und DMZ-Interfaces erst im Verlauf der LCOS-Pflege hinzugefügt worden. MAC-Adressen werden in der Produktion eingetauft, die hätte man nachträglich nur schwer irgendwo herzaubern können. Es wäre höchstens eine Lösung mit lokal administrierten Adressen wie auf der WAN-Seite gegangen, aber dafür war in der Praxis bisher nicht genügend Bedarf (siehe oben...).

Gruß Alfred

[averlon]

Hallo Alfred,
wenn ich schon einen kenner der materie dran habe.

Nach meinen netzwerkkenntnissen wäre auch ein anderer weg mit mehreren netzwerksegmenten möglich gewesen:

xxx.xxx.108.0 = lan-1
xxx.xxx.109.0 = lan-2
xxx.xxx.110.0 = lan-3
xxx.xxx.111.0 = lan-4
Netmask 255.255.252.0

- alle schnittstellen auf "private mode = off"

- nur ein kabel zum switch (kein VLAN)

- alle clients an den switch, auch mit /23

Müsste eigentlich auch gegangen sein.

Frage ist dann allerdings für mich, ob die die firewall des routers nutzen kann die zugriffe zu steuern.