VLAN und 1821+ als AccessPoint

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
SunSeb
Beiträge: 218
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

VLAN und 1821+ als AccessPoint

Beitrag von SunSeb »

Hallo,

ich habe eine Frage zu folgendem Szenario. Ich "missbrauche" einen 1821+ als Accesspoint. Gateway ist ein 1722. Auf dem 1821+ sind zwei SSID konfiguriert, die eine als Zugang zum Firmennetz (WLAN-1) und die andere ein Gastzugang (WLAN-1-2). Beide Netze werden mit VLAN getaggt/getrennt. Der Internet bzw. Intranetzugang findet dann über den 1722 statt, der über DHCP auch die Adressen in den jeweiligen Netzen vergibt: Gast VLAN 10 und Firmenlan VLAN 1. Das funktioniert auch alles sehr gut.

Nun wollte ich die Switch-Ports im 1821+/AccessPoint benutzen, um auch hier Zugang zum jeweiligen Netz zu schaffen. ETH-1 ist mit dem 1722 verbunden, ETH-2 soll Zugang zum FirmenLAN ermöglichen und die Ports ETH-3/4 sollen einen Gastzugang über Kabel ermöglichen. Dazu habe ich folgende Konfig im 1821/Accesspoint vorgenommen:

Code: Alles auswählen

root@AP1821+:/Setup/TCP-IP/Netzliste
> ls

Netzwerkname      IP-Adresse       IP-Netzmaske     VLAN-ID  Interface   Quellpruefung  Typ       Rtg-Tag

---------------------------------------------------------------------------------------------------------
---------------------------------------------------
DMZ               0.0.0.0          255.255.255.0    0        beliebig    locker         DMZ       0
 zone
INTRANET          10.10.1.16       255.255.255.0    1        beliebig    locker         Intranet  0
t
GASTNETZ          10.10.10.16      255.255.255.0    10       beliebig    locker         Intranet  0

Code: Alles auswählen

root@AP1821+:/Setup/VLAN
> ls Netzwerke

Name              VLAN-ID     Ports


----------------------------------------------------------------------------------
----------------------------------------------------------------------------------
-----------------------------------------
Default_VLAN      1           LAN-1,WLAN-1,P2P-1-1~P2P-1-6,WLAN-1-3~WLAN-1-8,LAN-3


GAST_VLAN         10          LAN-1,LAN-2,WLAN-1-2
und die Ports:

Code: Alles auswählen

root@AP1821+:/Setup/VLAN
> ls Port-Tabelle

Port      Tagging-Modus    Alle-VLANs-zulassen   Port-VLAN-Id
-------------------------------------------------------------
LAN-1     Gemischt         ja                    1
WLAN-1    Gemischt         ja                    1
P2P-1-1   Ingress-Gemisch  ja                    1
P2P-1-2   Ingress-Gemisch  ja                    1
P2P-1-3   Ingress-Gemisch  ja                    1
P2P-1-4   Ingress-Gemisch  ja                    1
P2P-1-5   Ingress-Gemisch  ja                    1
P2P-1-6   Ingress-Gemisch  ja                    1
WLAN-1-2  Gemischt         ja                    10
WLAN-1-3  Ingress-Gemisch  ja                    1
WLAN-1-4  Ingress-Gemisch  ja                    1
WLAN-1-5  Ingress-Gemisch  ja                    1
WLAN-1-6  Ingress-Gemisch  ja                    1
WLAN-1-7  Ingress-Gemisch  ja                    1
WLAN-1-8  Ingress-Gemisch  ja                    1
LAN-2     Gemischt         ja                    10
LAN-3     Ingress-Gemisch  ja                    1
LAN-4     Ingress-Gemisch  ja                    1
Die Ports des Switches im 1821+ haben folgende Konfig:

Code: Alles auswählen

root@AP1821+:/Setup/Schnittstellen/Ethernet-Ports
> ls

Port     Zuordnung    Anschluss   MDI-Modus   Privat-Modus
----------------------------------------------------------
ETH-1    LAN-1        Auto        Auto        nein
ETH-2    LAN-1        Auto        Auto        nein
ETH-3    LAN-2        Auto        Auto        nein
ETH-4    LAN-2        Auto        Auto        nein
Leider haben die Teilnehmer an ETH-2/Intranet keinen Zugang mehr zum Internet bzw. zum Gateway sobald einer der Ports ETH-3/4 aktiv ist. Der Rest des Firmennetzwerkes ist aber erreichbar?!

Gruß,
Sebastian
Nach oben
SunSeb
Beiträge: 218
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

Beitrag von SunSeb »

Hallo nochmal,

leider bin ich noch nicht richtig weiter gekommen. Meiner Meinung nach liegt es noch an der Konfiguration der (W)LAN-Bridge. Der genaue Zusammenhang zwischen der Bridge und VLAN ist mir wohl noch nicht ganz klar:

Muß ich alle Interfaces in der gleichen Bridgegruppe zusammenfassen und werden sie dann durch das VLAN getrennt?

Oder hängt man die Interfaces in verschiedene Bridgegruppen und faßt sie dann über das VLAN zusammen, also z.B. so:

BRG-1: LAN-1 und WLAN-1
BRG-2: LAN-2 und WLAN-1-2
und dann
VLAN 1: LAN-1,WLAN-1
VLAN 10: LAN-1,LAN-2,WLAN-1-2?

Bin für Hinweise sehr dankbar...

Gruß,
SEBastian
Nach oben
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6214
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:
Kontaktdaten von alf29

Beitrag von alf29 »

Moin,

VLAN und Bridge-Gruppen sind zwei Paar Schuhe. Interfaces in unterschiedlichen Bridge-
Gruppen sind komplett voneinander getrennt (unabhängig von VLANs), das kann man am ehesten
mit dem port-basierten VLAN vergleichen, das manche Ethernet-Switche anbieten (im Gegensatz
zum Tag-basierten VLAN).

Lassen wir mal die Einstellungen des Ethernet-Switches außen vor, dann sind in dem
Firmen-VLAN (1) LAN-1 (gemischt als VLAN-Trunk) und WLAN-1 (niemals getaggt, Branch-Port
für vollen Zugang zum Firmennetz) enthalten. Im Gast-VLAN sind LAN-1 (weil VLAN-Trunk),
WLAN-1-2 (niemals getaggt, WLAN-Gast-Zugang) und LAN-2 (kabelgebundener Zugang
zum Gastnetz, auch niemals getaggt) Mitglied. Bei LAN-2 und WLAN-1-2 stellst Du das Port-
VLAN auf 10, d.h. dort hereinkommende Pakete werden dem VLAN 10 zugewiesen (und auf
LAN-1 mit einem VLAN-Tag ausgegeben, weil 10 nicht das Port-VLAN auf LAN-1 ist). Auf
WLAN-1 bleibt das Port-VLAN auf 1, ebenso auf LAN-1. Gemischter Modus auf LAN-1
mit Port-VLAN 1 heißt, daß VLAN-1 ungetaggt und VLAN 10 getaggt läuft.

Gruß Alfred
Nach oben
SunSeb
Beiträge: 218
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

Beitrag von SunSeb »

Guten Abend,

@alf29: vielen, vielen Dank für die Antwort.

Ich habe die Konfiguration genau wie angegeben durchgeführt. Die jeweiligen Rechner erhalten auch eine Adresse vom DHCP-Server (ein 1722 am Trunk-Port des 1821+). Das Tagging der jeweiligen Packete funktioniert also...

Folgendes Problem bleibt jedoch:
ETH-2 ist an LAN-1 gebunden. ETH-3 ist an LAN-2 gebunden. Ein Rechner an ETH-2 kann das Gateway nicht mehr erreichen, also auch nicht ins Internet und obwohl eine Adresse über DHCP zugewiesen wurde, sobald ein Rechner an ETH-3 angeschlossen ist!? Rechner, die über die jeweiligen WLAN-Interfaces angebunden sind, zeigen dieses Verhalten nicht.

Vielleicht gibt es ja noch einen Hinweis?

Vielen Dank nochmal und schönen Abend,
SEBastian
Nach oben
SunSeb
Beiträge: 218
Registriert: 09 Dez 2004, 10:32
Wohnort: Bonn

Beitrag von SunSeb »

Hallo,

leider funktioniert der Aufbau noch nicht richtig und ich wollte nocheinmal Fragen zur Fehlereingrenzung stellen:

1) Muß ich noch irgendwelche Einstellungen an den Switch Ports machen -> Privat-Modus?
2) Der Traffic der verschiedenen VLANs angeschlossen am Switch sollte ohne IP-Router funktionieren, oder?
3) Das Fehlverhalten tritt erst mit Traffic auf ETH-3 auf, ohne an der Konfiguration etwas zu ändern. Ist der Hintergrund vielleicht im Bereich ARP-Auflösung? Warum gibt der Switch die auf ETH-2 (LAN-1) empfangenen Packete nur dann nicht mehr auf dem Trunk-Port (ETH-1/LAN-1) aus?

Vielleicht gibt es ja noch einige Hinweise...

Vielen Dank und sorry fürs VLAN-nerven ;-)

SEBastian
Nach oben
Antworten

Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“