Hallo LANCOMer,
beim 7100VPN sind ja alle LAN-Ports per Default im "Private-Mode", was auch nicht änderbar ist. Im Handbuch gibt es zwar einen Hinweis, wie man über die Bridge oder Bridge-Gruppen angeblich auch die Datenübertragung zwischen den LAN-Ports ermöglichen kann, aber es gibt beim 7100VPN gar keine Bridge-Gruppen...
Wie kann ich nun beim 7100VPN zwischen ETH 1 und ETH 2 (beide LAN-1 zugeordnet, ETH 3 = DSL1, ETH 4 = DSL2, LCOS 8.62) eine Datenübertragung realisieren? Im Moment fließen keine Daten.
Viele Grüße
Stefan
Wie LAN-Bridge beim 7100VPN?
Moderator: Lancom-Systems Moderatoren
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Wie LAN-Bridge beim 7100VPN?
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
bridge-mäßig überhaupt nicht, das Gerät enthält keine LAN-Bridge. Eventuelle Hinweise im Handbuch beziehen sich entweder auf Geräte, die wegen WLAN und/oder CAPWAP L3-Tunnel das Modul 'Setup/LAN-Bridge' enthalten oder sie sind schlicht falsch...
Datentransfer zwischen den Ports geht bei diesem Gerät nur über den Router.
Gruß Alfred
bridge-mäßig überhaupt nicht, das Gerät enthält keine LAN-Bridge. Eventuelle Hinweise im Handbuch beziehen sich entweder auf Geräte, die wegen WLAN und/oder CAPWAP L3-Tunnel das Modul 'Setup/LAN-Bridge' enthalten oder sie sind schlicht falsch...
Datentransfer zwischen den Ports geht bei diesem Gerät nur über den Router.
Gruß Alfred
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
demnach sollte ich also ETH-1 das Interface LAN-1 und das IP-Netz 1 und
ETH-2 das Interface LAN-2 und das andere IP-Netz 2 zuweisen und
dann ggf. entsprechende Routing-Einträge setzen?
Im Moment habe ich nur ein IP-Netz definiert und dieses mit "beliebig" allen Schnittstellen zugeordnet. Ich werde das mal testen.
Vielen Dank
Stefan
demnach sollte ich also ETH-1 das Interface LAN-1 und das IP-Netz 1 und
ETH-2 das Interface LAN-2 und das andere IP-Netz 2 zuweisen und
dann ggf. entsprechende Routing-Einträge setzen?
Im Moment habe ich nur ein IP-Netz definiert und dieses mit "beliebig" allen Schnittstellen zugeordnet. Ich werde das mal testen.
Vielen Dank
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
Gruß Alfred
das wäre eine Variante - schlichtes LAN-LAN-Routing. NAT oder Maskieren geht dabei dann nicht.demnach sollte ich also ETH-1 das Interface LAN-1 und das IP-Netz 1 und
ETH-2 das Interface LAN-2 und das andere IP-Netz 2 zuweisen und
dann ggf. entsprechende Routing-Einträge setzen?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Janosch,
eigentlich macht der L-7100 genau das, was ich brauche. Er trennt zwei eigenständige Nutzer / Netze (viele Router und Computer) voneinander, die aber doch einen gemeinsamen Internetzugang nutzen. Bisher hingen alle Netzwerk-Geräte an einem Switch an ETH-1 / LAN-1 in einem Netz. Jetzt habe ich diese auf ETH-1 und ETH-2 verteilt und es ist zwischen den Ports kein Datenfluss möglich.
Im Moment ist es so, dass es nur ein IP-Netz (LAN-1 = 10.0.10.0) und ein DMZ-Netz für beide Ports gemeinsam (Zuordnung: jeweils beliebig) gibt.
So weit, so gut.
Nur leider hängt an ETH-1 auch ein kleiner Server, der gleichfalls die Geräte an ETH-2 per Ping und SNMP überwachen soll. Der Server sieht jetzt aber die Geräte an ETH-2 nicht mehr.
Demnach müsste ich an ETH-2 ein neues Netz (Bsp.: LAN-2 = 10.0.11.0) aufspannen und auch fest an ETH-2 binden. Gleichfalls das bisherige IP-Netz LAN-1 fest an ETH-1 binden. Dann könnte ich auch "Server-Routen" definieren, wodurch nur der Server aus LAN-1 Zugriff auf die entsprechenden Geräte (Router) in LAN-2 bekommt.
Ich bin mir aber unsicher, ob diese ganze Konfiguration Einfluss auf mein DMZ-Netz mit der Zuordnung "beliebig" hat? Schließlich sollen die Rechner / User aus LAN-1 und LAN-2 weiterhin in ein und der selben DMZ stehen.
Und eigentlich sollte auch ein Zugriff aller Computer / User aus LAN-1 und LAN-2 auf die Server in der DMZ, egal ob diese an ETH-1 oder ETH-2 angeschlossen sind, möglich sein - was aber derzeit auch nicht geht.
Vielleicht wäre es aber auch einfacher die bisherige Konfig zu lassen und lieber in den Routern nach dem Switch entsprechende Firewall-Regeln zu definieren, die einen Zugriff aus Netz-1 zu Netz-2 und umgekehrt verhindern...
Viele Grüße
Stefan
eigentlich macht der L-7100 genau das, was ich brauche. Er trennt zwei eigenständige Nutzer / Netze (viele Router und Computer) voneinander, die aber doch einen gemeinsamen Internetzugang nutzen. Bisher hingen alle Netzwerk-Geräte an einem Switch an ETH-1 / LAN-1 in einem Netz. Jetzt habe ich diese auf ETH-1 und ETH-2 verteilt und es ist zwischen den Ports kein Datenfluss möglich.
Im Moment ist es so, dass es nur ein IP-Netz (LAN-1 = 10.0.10.0) und ein DMZ-Netz für beide Ports gemeinsam (Zuordnung: jeweils beliebig) gibt.
So weit, so gut.
Nur leider hängt an ETH-1 auch ein kleiner Server, der gleichfalls die Geräte an ETH-2 per Ping und SNMP überwachen soll. Der Server sieht jetzt aber die Geräte an ETH-2 nicht mehr.
Demnach müsste ich an ETH-2 ein neues Netz (Bsp.: LAN-2 = 10.0.11.0) aufspannen und auch fest an ETH-2 binden. Gleichfalls das bisherige IP-Netz LAN-1 fest an ETH-1 binden. Dann könnte ich auch "Server-Routen" definieren, wodurch nur der Server aus LAN-1 Zugriff auf die entsprechenden Geräte (Router) in LAN-2 bekommt.
Ich bin mir aber unsicher, ob diese ganze Konfiguration Einfluss auf mein DMZ-Netz mit der Zuordnung "beliebig" hat? Schließlich sollen die Rechner / User aus LAN-1 und LAN-2 weiterhin in ein und der selben DMZ stehen.
Und eigentlich sollte auch ein Zugriff aller Computer / User aus LAN-1 und LAN-2 auf die Server in der DMZ, egal ob diese an ETH-1 oder ETH-2 angeschlossen sind, möglich sein - was aber derzeit auch nicht geht.
Vielleicht wäre es aber auch einfacher die bisherige Konfig zu lassen und lieber in den Routern nach dem Switch entsprechende Firewall-Regeln zu definieren, die einen Zugriff aus Netz-1 zu Netz-2 und umgekehrt verhindern...
Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
gab es einen bestimmten Grund, warum Du die Clients auf ETH-1 und ETH-2 verteilt hast? Denn egal ob man nun routet oder bridget, das belastet die CPU im LANCOM zusaetzlich, denn das Geraet hat keinen integrierten Hardware-Switch (deshalb kann man ja auch den Private-Mode nicht ausschalten...). Die CPU im 7100 hat zwar ganz gut 'Dampf', genug, um zwischen zwei GE-Ports fast mit Linespeed zu bridgen, aber im Routing-Modus wird's schon deutlich weniger und eigentlich moechte man die CPU-Leistung im LANCOM auch nicht unnoetig verschwenden, wenn ein externer Switch das genauso gut kann.
Das 9100 und 7100 sind nun einmal primaer als Central-Site-Gateways konzipiert, wo ueber die einzelnen Ethernet-Ports verschiedene WANs, LANs und DMZ-Netze herangefuehrt werden. Dass Kunden einzelne Port-Gruppen als 'Mini-Switche' nutzen moechten, kommt in der Praxis so gut wie nicht vor, ganz im Gegenteil, eigentlich wollen viele Kunden noch mehr als die vier Ports...bei Heimanwender-Szenarien sieht das anders aus, dafuer steckt in den entsprechenden Geraeten dann auch ein Hardware-Switch.
Gruss Alfred
gab es einen bestimmten Grund, warum Du die Clients auf ETH-1 und ETH-2 verteilt hast? Denn egal ob man nun routet oder bridget, das belastet die CPU im LANCOM zusaetzlich, denn das Geraet hat keinen integrierten Hardware-Switch (deshalb kann man ja auch den Private-Mode nicht ausschalten...). Die CPU im 7100 hat zwar ganz gut 'Dampf', genug, um zwischen zwei GE-Ports fast mit Linespeed zu bridgen, aber im Routing-Modus wird's schon deutlich weniger und eigentlich moechte man die CPU-Leistung im LANCOM auch nicht unnoetig verschwenden, wenn ein externer Switch das genauso gut kann.
Das 9100 und 7100 sind nun einmal primaer als Central-Site-Gateways konzipiert, wo ueber die einzelnen Ethernet-Ports verschiedene WANs, LANs und DMZ-Netze herangefuehrt werden. Dass Kunden einzelne Port-Gruppen als 'Mini-Switche' nutzen moechten, kommt in der Praxis so gut wie nicht vor, ganz im Gegenteil, eigentlich wollen viele Kunden noch mehr als die vier Ports...bei Heimanwender-Szenarien sieht das anders aus, dafuer steckt in den entsprechenden Geraeten dann auch ein Hardware-Switch.
Gruss Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
wie bereits geschrieben geht es mir eigentlich nur um die Sicherheit, dass aus Netz 1 nicht direkt auf die Rechner in Netz 2 zugegriffen werden kann. Außerdem hatte ich noch die Vorstellung, so den Traffic von Netz 1und 2 getrennt per snmp je Interface / Netz zu erfassen.
Da der 7100 nur für Ping-Überwachung und snmp zwischen den Netzen routen müsste, wäre die zusätzliche CPU-Last vermutlich sehr gering.
Viele Grüße
Stefan
wie bereits geschrieben geht es mir eigentlich nur um die Sicherheit, dass aus Netz 1 nicht direkt auf die Rechner in Netz 2 zugegriffen werden kann. Außerdem hatte ich noch die Vorstellung, so den Traffic von Netz 1und 2 getrennt per snmp je Interface / Netz zu erfassen.
Da der 7100 nur für Ping-Überwachung und snmp zwischen den Netzen routen müsste, wäre die zusätzliche CPU-Last vermutlich sehr gering.
Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
