Lancom 1790EF: Management-VLAN

[MarcoausWeimar]

Guten Morgen!

Wir haben uns vor kurzem einen Lancom 1790EF angeschafft, um einen Außenstandort mit ca. 50 Mitarbeitern via VPN an unseren Haupstandort anzubinden. Da wir im Außenstandort mehrere Netze betreiben, haben wir am Lancom verschiedene VLANS eingerichtet.

Am LAN-1 Port des Lancom-Routers ist ein Cisco Switch angeschlossen, der für Server- und Mitarbeiternetze genutzt wird, am Port LAN-2 ist ein weiterer Cisco-Switch angeschlossen, der ausschließlich für ein Gäste-WLAN und Gäste-LAN genutzt wird.

Um die beiden Cisco-Switche zu managen, haben wir ein Management-Vlan 2616 eingerichtet. Ich bekomme es einfach nicht hin, dass das MGM-VLAN über LAN-1 und LAN-2 zu verteilen.

VLAN-Tabelle
Management-Vlan: 2616
Mitarbeiter (LAN-1): 2600,2601,2602,2632,2648
Gäste-VLANS (LAN-2): 2666,2680

Port-Konfiguration der beiden Cisco-Switches:
Cisco-Switch für Mitarbeiter

Code: Alles auswählen

interface GigabitEthernet1/0/48
 description Uplink Lancom
 switchport trunk allowed vlan 2616,2600,2601,2602,2648
 switchport mode trunk
end

Cisco-Switch für Gäste

Code: Alles auswählen

interface GigabitEthernet1/0/48
 description Uplink Lancom
 switchport trunk allowed vlan 2616,2666,2680
 switchport mode trunk
end

Am Lancom-Router habe ich das VLAN-Modul aktiviert und die VLANS angelegt, das MGM-VLAN 2616 habe ich LAN-1 und LAN-2 zugeordnet, LAN-4 nutze ich zum direkten Router-Zugriff vor Ort:

VLAN-Tabelle.png

Die LAN-Ports habe ich auf Trunk eingestellt und die Option deaktiviert, dass Pakete von unbekannten VLANS erlaubt werden:

VLAN-Porttabelle.png

Und hier liegt mein Problem: Ich habe die IPv4-Netze angelegt und jedem Netz ein VLAN und LAN-Port zugeordnet:

Interfaces.png

Wenn ich nun dem Netzwerk "VLAN2616" die Schnittstelle LAN-1 zuweise, kann ich den Swicht für die Mitarbeiter erreichen, nicht aber den Switch der Gäste. Weise ich dem Netzwerk die LAN-2 Schnittstelle zu, kann ich den Gäste-Switch erreichen, nicht aber den Mitarbeiter-Switch.

Ich würde gerne beide Switche gleichzeitig über das Management-VLAN 2616 erreichen können.

Hat jemand einen guten Rat für mich?

Danke schonmal!

Gruß, Marco

[tstimper]

Hi Marco,

wenn sich die Cisco Switche untereinander im MGT VLAN 2616 erreichen können,
reicht es meiner Meinung nach, das VLAN 2616 auf EINEM Lancom LAN Port gebunden ist.

Ich habe allerdings auch eine LANCOM-Router - Cistco Switch Verbindung in mehreren Filialen,
da musste ich lm LANCOM den Tagging Mode des Ports auf Hybrid stellen.
Mir fehlte da der Zugrif auf den Cisco Switch, meine Vermutung war, das das mit einer falschen Einstellung der PVID
auf den Cisco Switch zu tun hatte.

Das Ergebnis war dann, das wir zu den Cisco Switche nur einen einzigen Uplink zu einem im Hybrid Tagging Mode eingestellten LANCOM Port nutzen.

Das würde ich gerne besser verstehen

Viele Grüße

ts

[MarcoausWeimar]

Hallo Ts,

ich kann den Gäste-Switch auch per Kabel mit den Mitarbeiter-Switch direkt verbinden und ein Access-Vlan auf beide Ports konfigurieren, ich favorisiere aber die Lösung, die Switche über LAN-1 und LAN-2 direkt anzusprechen.

Den Nachteil in der von dir beschriebenen Lösung sehe ich darin, dass ich den Gaste-Switch nicht erreichen kann, sollte mal der Mitarbeiter-Switch ausfallen.

Mich wundert es, dass ich das IP-Netzwerk einem VLAN und einer LAN-Schnittstelle zuordnen muss. Bei Cisco kann ich ja auch ein IP-Netzwerk anlegen, welches einem VLAN zugeordnet wird. Ob hier die Einrichtung einer Bridge-Group eine Lösung ist, wäre noch zu testen, allerdings muss ich dann erst eine Laborumgebung aufbauen.

Gruß, Marco

[tstimper]

Hallo Ts,

ich kann den Gäste-Switch auch per Kabel mit den Mitarbeiter-Switch direkt verbinden und ein Access-Vlan auf beide Ports konfigurieren, ich favorisiere aber die Lösung, die Switche über LAN-1 und LAN-2 direkt anzusprechen.

Den Nachteil in der von dir beschriebenen Lösung sehe ich darin, dass ich den Gaste-Switch nicht erreichen kann, sollte mal der Mitarbeiter-Switch ausfallen.

Mich wundert es, dass ich das IP-Netzwerk einem VLAN und einer LAN-Schnittstelle zuordnen muss. Bei Cisco kann ich ja auch ein IP-Netzwerk anlegen, welches einem VLAN zugeordnet wird. Ob hier die Einrichtung einer Bridge-Group eine Lösung ist, wäre noch zu testen, allerdings muss ich dann erst eine Laborumgebung aufbauen.

Gruß, Marco

Hallo Marco,

ich wollte das auch so einrichten wir Du und hab zusammen mit dem LANCOM Support Stunden beim der Fehlersuche verbracht.
Letzendlich haben wir dann nur einen Trunk vom LANCOM zu einem Cisco erstellt.

Leider habe ich derzeit keinen Cisco Switch zur Verfügung, an der Lösung bin ich allerdings auch interessiert

Viele Grüße

ts

[Dr.Einstein]

Ich würde gerne beide Switche gleichzeitig über das Management-VLAN 2616 erreichen können.

Du benötigst eine BRIDGE Gruppe. Unter Schnittstellen / LAN / LAN-Bridge / Port-Tabelle weist du LAN-1, LAN-2 und LAN-4 ein und der selben BRG-Gruppe zu, sagen wir BRG-1. Diese neu definierte Zusammenfassung der Ports setzt du dann unter IPv4 Netzwerke bei deinem MGMT-Netz, statt dem LAN-x.

Gruß Dr.Einstein

[MarcoausWeimar]

Danke, ich werde die Einrichtung einer Bridge-Group in einer Laborumgebung testen und mich wieder melden, aber der Ansatz macht auf jedanfall Sinn!

[tstimper]

Ich würde gerne beide Switche gleichzeitig über das Management-VLAN 2616 erreichen können.

Du benötigst eine BRIDGE Gruppe. Unter Schnittstellen / LAN / LAN-Bridge / Port-Tabelle weist du LAN-1, LAN-2 und LAN-4 ein und der selben BRG-Gruppe zu, sagen wir BRG-1. Diese neu definierte Zusammenfassung der Ports setzt du dann unter IPv4 Netzwerke bei deinem MGMT-Netz, statt dem LAN-x.

Gruß Dr.Einstein

Die LAN Bridge selbst lässt Du dabei aber dennoch im Router Mode (isolated mode) oder?

Viele Grüße

ts

[MarcoausWeimar]

Guten Morgen zusammen,

vielen Dank an euch beiden, dank der Hinweise funktioniert der Zugriff nun wie gewünscht.

Ich habe zunächst den Isolierten Modus eingestellt, konnte dann aber die Switches nicht erreichen, daher habe ich den Standard-Modus belassen:

LAN-Bridge.png

LAN-1 und LAN-2 habe ich habe ich der Bridge-Group 1 zugewiesen:

LAN-Bridge-Port-Tabelle.png

Das IP-Netzwerk VLAN 2616 hab ich auf BGR-1 geändert und kann nun beide Switches erreichren

IP-Interfaces.png

Eine abschließende Frage habe ich noch. Wenn ich eine Adresse im VLAN 26xx anpinge, die nicht erreichbar ist, antwortet die IP-Adresse des VLANs 2600. Kann ich irgendwoe einstellen, dass auf Ping-Unreachable Pakete das jeweilige Netzwerk antwortet? Ich vermute, dass im moment das erste Netzwerk in der Netzwerkliste (VLAN2600) als Standard-Absende-IP verwendet wird.

Code: Alles auswählen

C:\>ping 172.xx.[b]16[/b].5
Ping wird ausgeführt für 172.xx.16.5 mit 32 Bytes Daten:
Antwort von 172.xx.[b]0[/b].1: Zielhost nicht erreichbar.

Gruß, Marco

[Dr.Einstein]

Ändere die Adressprüfung von flexibel auf streng, danach sollte die passende IP antworten. Die Nachricht selbst kannst du meines Wissens nicht abändern.

[MarcoausWeimar]

Hallo Einstein

hab ich gemacht, allerdings hat sich das Verhalten auch nach einem anschließenden Neustart nicht verändert:

Screenshot 2023-09-01 064319.png

Code: Alles auswählen

C:\>ping 172.xx.[b]16[/b].5
Ping wird ausgeführt für 172.xx.16.5 mit 32 Bytes Daten:
Antwort von 172.xx.[b]0[/b].1: Zielhost nicht erreichbar.

[backslash]

Hi MarcoausWeimar,

in ICMP-Meldungen wird immer die Adresse als Absender eingesetzt, die dem Ziel der Meldung (Quelle des ursprünglichen Pings) am nächsten ist...

Die Adressprüfung spielt nur eine Rolle dabei, ob die Firewall eine Zugriff auf das Netz als Einbruchsversuch sieht (Rückroute muß existrieren) oder nicht - ist hier also völlig irrelevant

kleine Anmerkung am am Rande: Da du eh nur private Adressen verwendest (172.16.x.x) kannst du dir das Übermalen der Adressen auch sparen - vor allem würde es Leuten helfen, dir zu helfen...
BTW: da du gar kein Netz mit 172.x.x.1 definiert hast (zumindest sieht man in den übermalten Netzen keins, in dem das LANCOM die .1 hat), ist dein Problem auch noch "falsch" gemeldet. Manchmal schießt man sich übertriebender Paranoia am Ende selbst ins Knie...

Gruß
Backslash