GS2326 - VLAN1 ja oder nein

Forum zu "managed" LANCOM Switches

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

GS2326 - VLAN1 ja oder nein

Beitrag von firefox_i »

Hallo zusammmen,
ich bin grade dran ein Netzwerk mit einem Router, 2 Switchen und einem AP einzureichten.
Verbunden sind die auch tatsächlich in der Kette, also erst der Router, dann über 1 Leitung zum SwitchA, der über 2 Leitungen zu SwitchB und daran dann der AP.
Alles Komponenten von Lancom.
An beiden Switchen hängen Rechner, sowohl am Router als auch am AP werden WLANs eingerichtet zwischen denen auch geroamt wird.
Es gibt auch 2 WLANs die rein ins Internet sollen (einmal ein WLAN für die privaten Geräte der Mitarbeiter, einmal für Gäste).

Soweit so gut, wegen der getrennten WLANs usw. sind VLANs notwendig.

Nun hab ich mich intensiv mit der Sache beschäftigt und festgestellt, dass Lancom in den KB Artikeln sehr oft das INTRANET im VLAN1 lässt.
Ich hab aber mal als "best practices" mir angeeignet "keine Clients im VLAN1, das ist das Management VLAN".

Diesen Begriff scheint aber Lancom nur im Switch und in einem WLC zu kennen und nicht im Router oder AP.

Auch der Begriff des "default VLANs" und "native VLANs" ist mir bei LANCOM ehrlich gesagt nicht ganz klar.
Gibts das bei LANCOM überhaupt ?

Mein Kenntnisstand war:
- Pakete des "native VLAN" werden immer ohne Tags übertragen.
- Nur dann wenn der Rechner im "Management VLAN" ist, kann er die Komponente konfigurieren.
- "Default VLAN" ist das VLAN das standardmäßig eingerichtet ist und das auf allen Ports aktiv ist. Kann auch nicht gelöscht werden.

Stimmt das so ?

Welches ist bei LANCOM das native VLAN?



Und gleich noch ne Frage konkret zu LANCOM:
Hab ich es richtig verstanden, dass der Router und AP von allen Stationen aus managebar ist, von denen er erreichbar ist, die Switche aber nur dann, wenn die Station von der ich ihn konfigurieren möchte auch im Management VLAN ist?


Beim Einlesen habe ich auch den Eindruck gewonnen, dass das Management WLAN ungetaggt übertragen wird.
Ist das tatsächlich so?
Wenn das so wäre, dann wäre ja bei der Vorgehensweise in den LANCOM KB Artikeln so, dass der INTRANET Traffic ungetaggt übertragen wird....



Nun zum "was mach ich am besten":

a) Trivialansatz
***********
- Management VLAN bleibt auf 1 in den Switches
- Intranet bleibt auf VLAN1

Das führt ja dazu (sofern ich es oben richtig verstanden habe), dass ich von allen Rechnern im INTRANET aus Router, AP und Switche konfigurieren kann (Vorteil und Nachteil zugleich).


b) Management VLAN ungleich 1
************************
- Management VLAN wird z.B. auf 99 gesetzt
- Intranet bleibt auf VLAN1

Ab jetzt kann ich nur noch dann die Switche konfigurieren, wenn ich an nem Port hänge, der eingehende Pakete mit 99 tagt oder auf denen der Rechner bereits mit 99 tagt - richtig ?
Wenn ja hat das ja den Vorteil, dass keiner mir die Switche umkonfigurieren kann.
Den Router und AP aber sehr wohl !

--> etwas bessere Sicherheit
--> INTRANET weiter im "allen bekannten" VLAN1 und somit gefährdet
--> ich kann an einem Rechner entweder die Switche konfigurieren oder am normalen INTRANET teilnehmen.


c) alle VLANs ungleich 1
************************
- Management VLAN wird z.B. auf 99 gesetzt
- Intranet wird z.B. auf VLAN10 gesetzt

Jetzt hab ich nochmal ne Stufe mehr Sicherheit, weil mir jetzt keiner das VLAN1 ansprechen kann.





Hab ich das so richtig wiedergegeben?
Was ist der "übliche" Weg der Profis hier?

Noch ein kleiner Randaspekt:
Ich häng mich durchaus über VPN von außen in das Netzwerk.
Welchem VLAN wird hier zugeordnet?
Ich vermute, dass das der Router festlegt, je nachdem, wohin der VPN Tunnel geht richtig?
Dann hätte aber jedes Szenario, bei dem das Management VLAN der Switche unterschiedlich zum VLAN des INTRANET ist (oder dem Netz in das der VPN Tunnel geht), den Nachteil, dass ich via VPN die Switche nicht mehr konfigurieren kann oder hab ich hier nen Denkfehler ?

Wäre super wenn zu dem ein oder anderen Punkt jemand was sagen könnte.

Danke
S.
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: GS2326 - VLAN1 ja oder nein

Beitrag von firefox_i »

Hallo,
hmm ich wundere mich gerade, warum da noch keiner was dazu sagen konnte.
Ist meine Frage zu bescheuert?

S.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: GS2326 - VLAN1 ja oder nein

Beitrag von Dr.Einstein »

Hallo firefox_i,

ich weiss ja nicht, es sind sehr viele Fragen, viele erschließen sich mir auch nicht direkt. Darum gebe ich erstmal nur eine kurze Antwort, vielleicht ergänzt wer anders.

Egal welche Komponente, du definierst für Ports VLAN. Diese haben einen Modus z.B. untagged/niemals, tagged/immer, mixed/hybrid/gemischt und je nach Modus evtl. eine Port VLAN ID. Untagged bedeutet, dass kein VLAN Header versendet / erwartet wird für die hinterlegte PVID. tagged/immer ist genau das Gegenteil, es werden ausschließlich Pakete mit VLAN Header empfangen/verschickt. Welche VLANs erlaubt sind, wird meist in langen Portzuordnungslisten gepflegt oder dynamisch über Protokolle. Bei mixed/hybrid/gemischt kommt es zu einer Mischung aus beiden Fällen. Es können sowohl Rahmen ohne VLAN Header (PVID) als auch Rahmen mit VLAN Header versendet werden, abhängig von der VLAN Membershiptabelle.

Und das ist im Prinzip alles, was es zu VLAN zu wissen gibt. Ob du nun VLAN 1 oder 100 oder 1000 für das Management nimmt, völlig egal. Ob du VLAN1000 zwischen Komponenten tagged oder untagged machst, völlig egal. Du musst es nur überall so einstellen, dass die Geräte miteinander kommunizieren können und du dich idealerweise nicht aussperrst. Lancom Router haben kein "Management VLAN". Da wird das über Routing Tags und/oder Access Listen eingeschränkt. Im Default ist der Zugriff aber über jedes LAN Netz möglich. Anders die Lancom Switche, hier kannst du eine Management VLAN ID hinterlegen. Auch hierbei ist wieder völlig latte, ob 1 100 oder 1000, tagged oder untagged.

Best practice wird es nicht geben. Jedes Szenario und jeder Admin wird seine eigene Handschrift haben.

Gruß Dr.Einstein
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: GS2326 - VLAN1 ja oder nein

Beitrag von firefox_i »

Hallo Dr.Einstein,
danke dass Dich der Sache angenommen hast.

Ich habe bisher eben mit anderen Herstellern gearbeitet und die trennen eben "native", "default" und "Management" VLAN.

Das letztere scheint es ja tasächlich nur auf demn LC Switchen zu geben.
Das erstere ist mir noch garnicht untergekommen.

Deshalb die Frage mal runtergebrochen:

- gibt es im Switch ein VLAN das automatisch nicht getaggt wird (Verhalten eines native VLANs) ?

Ich denke den Rest kann ich dann per Trial and Error und Wireshark selbst rausfinden.

S.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: GS2326 - VLAN1 ja oder nein

Beitrag von Dr.Einstein »

Hi,

klingt nach Cisco Syntax deine Frage. Find die Cisco Beschriftung genauso furchtbar, wie die der Lancom Router. Bei Cisco ist es ja

802.1q + Native VLAN 1 z.B., das ist im Lancom Switch C-Type, Access PVID. Genauso kannst du aber auch von Access auf Trunk stellen. Dann gibt es kein "Native" VLAN.

Ich persönlich hasse diese ganzen konkurrierenden VLAN Bezeichungen. Deswegen red ich eigentlich nur von tagged (=VLAN Header) /untagged (=kein VLAN Header) mit der jeweiligen ID.

Gruß Dr.EInstein
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: GS2326 - VLAN1 ja oder nein

Beitrag von firefox_i »

Hi,
jupp Cisco.
Ich hab oft den Eindruck, dass da jeder Hersteller ne andere Begrifflichkeit hat.....Naja egal..

Ich mag einfach keine Automatismen und gerade bei VLANs bin ich ein großer Fan von "alles was nicht von oder zu nem Port eines Endgerätes geht wird getagged".
Zumindest meiner Meinung nach weiß man dann immer "alles in der Infrastruktur hat nen Tag" und kann entsprechend drauf zb im Wireshark filtern...

Danke für Deine Hilfe.

Sven
Antworten