VLAN, LAN-1, LAN-2, Bridge

[SunSeb]

Hallo,

es ist das schöne Thema VLAN und ich habe folgendes Szenario:

Man hat auf einem Lancom zwei Netze NETZ1 und NETZ2 und folgende VLAN-Tabelle:
NETZ1 ID 100 LAN-1
NETZ2 ID 200 LAN-1~LAN-2

VLAN-Port-Tabelle
LAN-1: Tagging-Modus: gemischt, Port-VLAN-ID: 100
LAN-2: Tagging-Modus: nie, Port-VLAN-ID: 200

ETH-1 ist der Trunk-Port und gehört zu LAN-1. Beide Netze kommen dort durch VLAN getrennt an. (z.B. von taggendem Switch oder AP)

ETH-2 ist die Anbindung für NETZ2 und gehört zum LAN-2.

Problem: Clients mit ID 200 am ETH-1 haben keine Verbindung zu Clients an ETH-2, obwohl beide zum NETZ2 gehören und auch über DHCP eine IP aus dem jeweiligen Netz erhalten. Beide sind vom Lancom aus erreichbar.

Ich vermute, daß der Switch im Lancom keinen Traffic zwischen ETH-1 und ETH-2 resp. LAN-1 und LAN-2 erlaubt und die Clients sich daher nicht erreichen?! Warum und wie kann man das elegant lösen?

Ich hoffe, es kann jemand folgen

Lieber Gruß,
SEBastian

[alf29]

Moin,

Du hast leider nicht geschrieben, um was für ein Gerät
es sich handelt. Daß der Switch selber nicht zwischen
den Ports weiterleitet, ist korrekt, der 'weiß' ja gar nichts
von VLANs und könnte das gar nicht korrekt tun. Das wäre
(auf Layer-2) die Aufgabe der (W)LAN-Bridge im LCOS,
die aber auf Geräten ohne WLAN nicht vorhanden ist -
dort könnte eine Verbindung nur über den Router und
passende gesetzte IP-Netze hergestellt werden.

Gruß Alfred

[Jirka]

Hallo Alfred,

Daß der Switch selber nicht zwischen
den Ports weiterleitet, ist korrekt, der 'weiß' ja gar nichts
von VLANs und könnte das gar nicht korrekt tun.

nun ja, das mag ja in dem Fall hier stimmen, aber wenn die beiden Ports z. B. zu
einem 1722 gehören und VLAN-mäßig identisch konfiguriert sind, dann leitet der
Switch selber schon zwischen den Ports weiter - möchte ich jedenfalls behaupten.
Nur hier geht das eben nicht, da Pakete aus NETZ2 am ETH-1 getaggt rein und
raus kommen, während sie am ETH-2 ungetaggt ein- und ausgehen. Meiner
Meinung nach sollte SEBastian das eher sinnvoller konfigurieren.

Machen doch immer wieder Spaß die VLAN-Diskussionen, oder?

Viele Grüße,
Jirka

[alf29]

Moin,

nun ja, das mag ja in dem Fall hier stimmen, aber wenn die beiden Ports z. B. zu
einem 1722 gehören und VLAN-mäßig identisch konfiguriert sind, dann leitet der
Switch selber schon zwischen den Ports weiter - möchte ich jedenfalls behaupten.

Selber weiterleiten tut der Switch nur dann, wenn zwei Ethernet-Ports auf die gleiche
Zuordnung 'gebunden' sind.

Gruß Alfred

[Jirka]

Hallo Alfred,

ja, so könnte man es auf den Punkt bringen. Haben die Ports also eine unterschiedliche Zuordnung, und das ist ja oben der Fall, so ist der 'Private Mode' quasi implizit an, was ja unterm Strich auch notwendig ist.

Viele Grüße,
Jirka

[Sushifix]

Hallo zusammen,

ich habe gerade ein ähnliches Thema und möchte gerne noch etwas mehr Tranzparenz. Ich bin kein Experte, daher bin ich für jede Hilfe dankbar.

Den Satz "Haben die Ports also eine unterschiedliche Zuordnung" des vorherigen Eintrags, bezieht sich das auf die Port-VLAN-ID der VLAN Porttabelle?

D.h. wenn ich ungeachtet vom Tagging-Modus ein Port auf VLAN=1 und den anderen auf VLAN=4 setze kann ich nicht direkt zwischen den Port (ohne Netzwerke im LANCOM zu nutzen) kommunizieren?

Was mir auch noch nicht ganz klar ist ist die sogennate Netzwerktabelle für VLANs. Hier gibt es Ja eine Zuordung zwischen Ports und den Teilnehmenden VLANs. Ich hätte vermutet, dass ich damit ein direktes bridging zwischen z.B. LAN-1 und LAN-4 für die VLAN-ID =4 durchführen kann. Ein Test gestern hat aber gezeitgt, dass dies nicht der Fall ist.

Wofür genau ist die Netzwerktabelle?

Besten Dank!
Sascha

[alf29]

Moin,

en Satz "Haben die Ports also eine unterschiedliche Zuordnung" des vorherigen Eintrags, bezieht sich das auf die Port-VLAN-ID der VLAN Porttabelle?

Das bezieht sich auf die Zuordnungen unter Setup->Interfaces->Ethernet-Ports. Wenn zwei Ports
unterschiedlichen Funktionen zugeordnet sind, dann findet
in der Hardware des Switches *keinerlei Weiterleitung* von
Paketen zwischen diesen beiden Ports statt, unabhängig
von irgendwelchen VLAN-Einstellungen.

Eine Weiterleitung von Paketen zwischen diesen Ports ist
dann nur noch über die Host-CPU und das LCOS möglich,
entweder auf Layer 2 über die LAN-Bridge oder auf Layer 3
über den IP-Router und passend an die LAN-x gebundene
ARF-Netze. Da auf Geräten ohne WLAN die LAN-Bridge
nicht vorhanden ist, fällt Weiterleitung auf Layer 2 auf
Geräten ohne WLAN damit *komplett flach*.

Was mir auch noch nicht ganz klar ist ist die sogennate Netzwerktabelle für VLANs. Hier gibt es Ja eine Zuordung zwischen Ports und den Teilnehmenden VLANs. Ich hätte vermutet, dass ich damit ein direktes bridging zwischen z.B. LAN-1 und LAN-4 für die VLAN-ID =4 durchführen kann. Ein Test gestern hat aber gezeitgt, dass dies nicht der Fall ist.

Wofür genau ist die Netzwerktabelle?

Sie legt fest, welche Ports 'Mitglied' in welchen VLANs sind
und bestimmt damit z.B., auf welche Ports ein Broad- oder
Multicast geflutet wird - oder ob eine Weiterleitung eines
bestimmten Pakets von LAN-n an LAN-m erlaubt ist. Wenn
aber gar keine Instanz vorhanden ist, die bridgen will...

Gruß Alfred

[Sushifix]

Okay, eine Weiterleitung auf Layer 2 fällt dann (da 1722VOIP) wohl *komplett flach*.

Da diese Instanz (LAN-Bridge) nicht vorhanden ist nützt mir die Netzwerktabelle für VLANs also herzlich wenig, richtig?

Ziel war:

wenn auf LAN-1, (VLANID:1-wegen anderem Netz, Tagging: gemischt) von einem WLAN-Access-Point eine Anfrage mit VLANID:4 kommt sollte diese auf LAN-4 (VLANID:4, Tagging:Niemals) weitergeleitet werden (VLANID entfernen). LAN-4 ist kein Teilnehmer eines Netzwerkes im LANCOM, also sozusagen unbekannt. Ich hatte jetzt über die Netzwerktabelle einen Eintrag gemacht, der LAN-1 und LAN-4 mit VLANID:4 kommunizieren ließ.

Bitte nochmal bestätigen, dass das so nicht geht.

Wie würden sie das Thema lösen? Ziel ist das WLAN-Netz mit VLANID:4 an ein internes Netz zu binden, dass dem LANCOM1722 bisher unbekannt ist. Alternativ hätte ich die Idee das Netz auch im LANCOM zu definieren, jedoch musste ich dann a.) per Tag verhindern, dass zu anderen Netzen kommuniziert wird b.) einen Eintrag in die Routing-Tabelle vornehmen, damit die default Route nicht im Internet landet.

Ist das eine Alternative? Haben sie andere? Welche Einträge müsste ich vornehmen?

Nochmals Besten Dank!

[SunSeb]

Guten Abend

und lieben Dank für die Antworten.

Auch in meinem Beispiel handelt sich um einen 1722. Da die beiden Ethernet-Ports unterschiedliche Zuordnungen haben (LAN-1 vs. LAN-2) leitet der Switch keine Packete weiter... (@alf29 - Danke)

Wie könnte man das "sauber" konfigurieren, dass das Weiterleiten der Router übernimmt? Man könnte ein drittes Netz als LAN-3 an ETH-2 definieren. Das hätte nur den Nachteil eines weiteren Adressbereiches - manchmal kann man Broadcasts ja auch gebrauchen

Gibt es eine andere Möglichkeit ein "bridgen" zu realisieren?

Schönes WE und nochmal vielen Dank,
SEBastian

[Jirka]

Hallo SEBastian,

also ich bin ja eher für sinnvoll umkonfigurieren, wie ich oben schon schrieb. Was hängt denn tatsächlich am ETH-1?

Viele Grüße,
Jirka

[alf29]

Moin,

nein, da sehe ich auf Layer 2 ansonsten keine Möglichkeiten, da geht auf Geräten ohne LAN-Bridge
nur Routing mit den ganzen Konsequenzen. Die 17xx-Geräte werden nun einmal primär als Router
und nicht als Bridges verkauft...wer weiß, vielleicht kommt die Bridge irgendwann
mal auch in die Geräte ohne WLAN rein, wir haben neulich mal so etwas für einen Projektkunden
gebaut, der Netzwerkzugang auf Layer 2 machen will (Fiber) anbieten will. Beim RADIUS-Server tut
sich ja demnächst auch etwas.

Gruß Alfred

[SunSeb]

Hallo,

@alf29 - nochmal Danke für die erschöpfende Erklärung...

@Jirka - an ETH-1 hängt ein Accesspoint, der zwei SSID bedient und diese per VLAN getrennt an den 1722 weiterleitet...

Gruß und vielen Dank,
SEBastian

[Jirka]

Hallo SEBastian,

jo, na dann taggen wir im Accesspoint die VLANs so, dass das Netz2 am ETH-1 des 1722 ungetaggt ankommt...

Also am AP (was ist das für ein AP? Ein LANCOM?):
NETZ1 ID 100 getaggt
NETZ2 ID 200 ungetaggt (also ID 0)

Dann am 1722:
Hier gibt es jetzt 2 Varianten. Variante 1 ist das VLAN-Modul abzuschalten (die Variante ist keinesfalls schlechter):
Also VLAN-Modul deaktivieren

Dann unter IP-Netzwerke:
NETZ1 ID 100 LAN-1
NETZ2 ID 0 LAN-1

Schnittstellenzuordnung:
ETH-1 -> LAN-1
ETH-2 -> LAN-1

Oder Variante 2, da ist das VLAN-Modul aktiviert (eigentlich nur sinnvoll, wenn Du das VLAN-Modul noch für andere VLAN-Geschichten an den anderen Ports benötigst, mit der Aktivierung des VLAN-Moduls werden im wesentlichen die Ingress- und Egress-Filter ein- und ausgeschaltet):
Also VLAN-Modul aktivieren

VLAN-Tabelle:
NETZ1 ID 100 LAN-1
NETZ2 ID 200 LAN-1

Port-Tabelle:
LAN-1 Gemischt Aus 200

Dann unter IP-Netzwerke:
NETZ1 ID 100 LAN-1
NETZ2 ID 200 LAN-1

Schnittstellenzuordnung:
ETH-1 -> LAN-1
ETH-2 -> LAN-1

Pass auf, dass Du Dich während der Konfiguration nicht selber aussperrst. Die Reihenfolge wie ich es aufgeschrieben habe, ist diesbezüglich nicht optimiert...

Viele Grüße,
Jirka

[SunSeb]

Hallo Jirka,

entschuldige meine späte Antwort...

Vielen Dank für die Hinweise zur Konfiguration - es funktioniert!

Dennoch müssen beide ETHs zum gleichen LAN gehören. Interessant wäre folgender Fall:

an ETH-1 ein AccessPoint (LC-320) mit zwei über VLAN getaggten Netzen A und B
an ETH-2 eine ungetaggte Verbindung mit Netz A
an ETH-3 eine ungetaggte Verbindung mit Netz B

also der parallele Betrieb zweier Netze, welche über WLAN (AP) und LAN (2mal) angebunden sind. Hättest Du hier noch einen Tip?

Viele Grüße und schönen Abend,
SEBastian

PS. So ein USB-auf-seriell-Adapter hat schon so manches mal geholfen

[Jirka]

Hallo SEBastian,

Dennoch müssen beide ETHs zum gleichen LAN gehören.

Ja, das war Ziel der Sache, damit die Switch im 1722 zwischen den beiden ETH-Ports auch switcht...

Interessant wäre folgender Fall:

an ETH-1 ein AccessPoint (LC-320) mit zwei über VLAN getaggten Netzen A und B
an ETH-2 eine ungetaggte Verbindung mit Netz A
an ETH-3 eine ungetaggte Verbindung mit Netz B

also der parallele Betrieb zweier Netze, welche über WLAN (AP) und LAN (2mal) angebunden sind. Hättest Du hier noch einen Tip?

Nun ja, an dieser Stelle funktioniert dieser Ansatz dann nicht mehr...
Dadurch, dass zwei ungetaggte Netze (ETH-2 und ETH-3) auf einer Schnittstelle (ETH-1) landen sollen, kann hier nicht mehr geswitcht werden.
Dieser Fall lässt sich so nicht mit einem 1722 abbilden. Entweder ein Gerät mit Bridge, wie Alfred schon geschrieben hat, also z. B. ein 1811n oder ein 1821n; ein 1823 kommt ja wegen seiner nur zwei ETH-Ports nicht wirklich in Frage, oder aber extern andere Geräte. Das kann ein VLAN-Switch sein mit dem man entsprechend umtaggt, oder aber ein alter 1511 oder man tauscht den AP durch einen dual-AP mit zwei ETH-Ports aus (wenn man denn die Möglichkeit hat ein zweites Kabel anzuschließen) oder schlussendlich man konfiguriert die Rechner in dem zweiten LAN schlicht so, dass sie dem getaggten VLAN angehören, d. h. sie selber schon getaggt verschicken.

PS. So ein USB-auf-seriell-Adapter hat schon so manches mal geholfen

He, he Mein Notebook (noch nicht alt) hat seriell sogar an Board, wie sich das für ein Profi-Notebook gehört

Viele Grüße,
Jirka