Hallo allerseits.
Ich stecke hier auch mit einem VLan Problem fest, wobei ich sagen muss, dass ich bisher auch noch nicht mit VLan's auf den Lancoms gearbeitet habe.
Erst mal die Beschreibung:
Ich habe 2 L54dual die jeweils mit einem Lankabel mit einem GS1224 verbunden sind und einen 1722VoIP der ebenfalls mit einem Lankabel im selben GS1224 steckt.
Die L54dual spannen jeweils zwei Netz auf, das erste (WLAN1-1) ist das "normale" WLan, was ohne Einschränkungen Zugang zum gesamten Netzwerk und uneingeschränkt ins Internet (über den 1722) gewähren soll.
Das zweite Netz (WLAN 2-1) soll ueber VLan vom größten Teil des Lan's getrennt sein, sprich nur Zugang zu Endegräten an bestimmten Ports des Switches haben und später mal nur über den Content-Filter im 1722 ins Internet gelangen.
Bisher habe ich folgendes gemacht:
Auf den Access-Points habe ich das VLan-Modul aktiviert und das VLan in den IP-Adress-Einstellungen habe ich das VLan von 0 auf 1 geändert.
Dann habe ich in der VLan-Tabelle ein neues VLan mit der VLan-ID 2 und folgenden Ports angelegt: LAN-1, LAN-2, WLAN1-2
In der VLan Port-Tabelle habe ich den Eintrag für WLAN-1-2 wie folgt geändert: Tagging-Modus: Gemischt, Andere VLan-ID Pakete erlauben: ein, Port-VLAN-ID:2
Alle anderen VLan-Einstellungen sind auf den Werks-Einstellungen für VLan-ID 1 geblieben.
Auf dem Switch steht der VLAN Mode auf "Tag-based" und Double Tag auf "Disable".
Dann habe ich auf dem Switch eine neue VLan-Group mit der VLan-ID 2 angelegt und die Ports für die Access-Points, den 1722 und den Domainen-Kontroller (inkl. DHCP-Server) hinzugefügt.
Auf dem 1722 habe ebenfalls das VLan-Modul aktiviert und in den IP-Adress-Einstellungen das VLan von 0 auf 1 geändert.
Dann habe ich in der VLan-Tabelle ein neues VLan mit der VLan-ID 2 und folgenden Ports angelegt: LAN-1
An den Einstellungen in der VLan Port-Tabelle habe ich keine Änderungen vorgenommen, ebenso sind alle anderen VLan-Einstellungen sind auf den Werks-Einstellungen für VLan-ID 1 geblieben.
Das "normale" WLan mit der Standard VLan-ID 1 funktioniert ohne Probleme, das WLan 1-2 mit der VLan-ID 2 funktioniert überhaupt nicht, ich kann keinen anderen Netzwerkteilnehmer erreichen, bekomme also von Domänenkontroller auch keine IP-Adresse zugewiesen.
Kann jemand sehen, wo mein(e) Fehler liegt/liegen?
Gruss
Alfred
Ebenfalls Probleme mit den VLan Einstellungen
Moderator: Lancom-Systems Moderatoren
Moin,
Gruß Alfred
Das erscheint mir nicht sinnvoll. Üblicherweise sind die WLAN-SSIDs ja VLAN-mäßig Branch-Ports, sollen also ungetaggt laufen, also Tagging-Modus auf 'niemals'. Was ich dafür vermisse, ist der Tagging-Modus von LAN-1 und LAN-2, der muß auf 'gemischt' stehen, damit die Pakete von WLAN-1-2, die per Port-VLAN-Vorgabe ins VLAN 2 gezwungen werden, auf den LAN-Ports getaggt herauskommen. VLAN 1 für das interne Netz und Management der APs soll weiterhin ungetaggt laufen?In der VLan Port-Tabelle habe ich den Eintrag für WLAN-1-2 wie folgt geändert: Tagging-Modus: Gemischt, Andere VLan-ID Pakete erlauben: ein, Port-VLAN-ID:2
Auf dem Router/Gateway kann man üblicherweise auf das Einschalten des VLAN-Moduls verzichten, das (ungetaggt laufende) VLAN 1 wird von ihm dann weiterhin als VLAN 0 in der Tabelle der IP-Netzwerke betrachtet. Es reicht, ein weiteres IP-Netz auf VLAN 2 anzulegen, das geht dann auch ohne aktiviertes VLAN-Modul getaggt raus.Auf dem 1722 habe ebenfalls das VLan-Modul aktiviert und in den IP-Adress-Einstellungen das VLan von 0 auf 1 geändert.
Dann habe ich in der VLan-Tabelle ein neues VLan mit der VLan-ID 2 und folgenden Ports angelegt: LAN-1
An den Einstellungen in der VLan Port-Tabelle habe ich keine Änderungen vorgenommen, ebenso sind alle anderen VLan-Einstellungen sind auf den Werks-Einstellungen für VLan-ID 1 geblieben.
Wie der domänenkontroller an das ganze angebunden ist, hast Du nicht beschrieben. Irgendetwas bezüglich VLAN 2 müßte da auch konfiguriert sein, oder hat der getrennte Netzwerkkarten für beide VLANs?Das "normale" WLan mit der Standard VLan-ID 1 funktioniert ohne Probleme, das WLan 1-2 mit der VLan-ID 2 funktioniert überhaupt nicht, ich kann keinen anderen Netzwerkteilnehmer erreichen, bekomme also von Domänenkontroller auch keine IP-Adresse zugewiesen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Ja, VLAN 1 soll weiterhin ungetagt funktionierenalf29 hat geschrieben: Das erscheint mir nicht sinnvoll. Üblicherweise sind die WLAN-SSIDs ja VLAN-mäßig Branch-Ports, sollen also ungetaggt laufen, also Tagging-Modus auf 'niemals'. Was ich dafür vermisse, ist der Tagging-Modus von LAN-1 und LAN-2, der muß auf 'gemischt' stehen, damit die Pakete von WLAN-1-2, die per Port-VLAN-Vorgabe ins VLAN 2 gezwungen werden, auf den LAN-Ports getaggt herauskommen. VLAN 1 für das interne Netz und Management der APs soll weiterhin ungetaggt laufen?
Der Domänenkontroller hat bisher mit VLAN noch nichts am Hut, das wollte ich eigentlich mit der VLan-Konfiguration des Switches erschlagen, indem ich den Port des Domänenkontrollers dem VLAN 1 und dem VLAN 2 zuordne.Wie der domänenkontroller an das ganze angebunden ist, hast Du nicht beschrieben. Irgendetwas bezüglich VLAN 2 müßte da auch konfiguriert sein, oder hat der getrennte Netzwerkkarten für beide VLANs?
Erst einmal Danke für die schnelle Antwort, werde morgen früh mal die Einstellungen wie oben ändern.
Gruss
Alfred
Moin,
Gruß Alfred
Du kannst einem Port an einem Switch maximal ein VLAN ungetaggt zuordnen - ansonsten könnte die andere Seite die Pakete ja nicht auseinanderhalten. Wenn Du es wie mit den Ports machst, an denen die L-54 bzw. das 1722 hängen, dann ist das VLAN 1 ungetaggt und das VLAN 2 (also das, auf dem die Pakete von der beschränkten SSID kommen) getaggt. Ohne dem Domänenkontroller irgendwie zu sagen, was er mit VLAN 2-getaggten Paketen anfangen soll, wird dieser sie vermutlich einfach verwerfen. Das nur als VorwarnungDer Domänenkontroller hat bisher mit VLAN noch nichts am Hut, das wollte ich eigentlich mit der VLan-Konfiguration des Switches erschlagen, indem ich den Port des Domänenkontrollers dem VLAN 1 und dem VLAN 2 zuordne.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo,
so ich habe jetzt mal die VLAN-Einstellungen im Access-Point angepasst.
Die Einstellungen in der VLan-Port-Tabelle lauten nun wie folgt:
LAN-1 und LAN-2: Tagging-Modus: gemischt; Alle VLan's erlauben: Ein; Port-ID: 1
WLAN-1-2: Tagging-Modus: niemals; Alle VLan's erlauben: Ein; Port-ID: 2
Die VLan-Einstellungen auf dem Switch habe ich alle wieder rückgängig gemacht.
Das VLan-Modul auf dem 1722 habe ich wieder ausgeschaltet und die VLan-ID des Inranets wieder auf 0 gesetzt.
Weiterhin habe ich ein weiteres IP-Netzwerk mit der IP-Adresse 251 und VLan-ID 2 angelegt. Das Standard-Intranet mit der VLan-ID 0 hat die IP-Adresse 250.
Wenn ich das richtig verstanden habe, müsste ich doch jetzt von einem Client im WLAN-1-2 unter der IP-Adresse 251 auf den Router kommen, oder? (Die IP-Adresse des Clients wurde manuell konfiguriert, da DHCP ja noch nicht funktioniert
)
Leider kann ich den Router nicht erreichen...
so ich habe jetzt mal die VLAN-Einstellungen im Access-Point angepasst.
Die Einstellungen in der VLan-Port-Tabelle lauten nun wie folgt:
LAN-1 und LAN-2: Tagging-Modus: gemischt; Alle VLan's erlauben: Ein; Port-ID: 1
WLAN-1-2: Tagging-Modus: niemals; Alle VLan's erlauben: Ein; Port-ID: 2
Die VLan-Einstellungen auf dem Switch habe ich alle wieder rückgängig gemacht.
Das VLan-Modul auf dem 1722 habe ich wieder ausgeschaltet und die VLan-ID des Inranets wieder auf 0 gesetzt.
Weiterhin habe ich ein weiteres IP-Netzwerk mit der IP-Adresse 251 und VLan-ID 2 angelegt. Das Standard-Intranet mit der VLan-ID 0 hat die IP-Adresse 250.
Wenn ich das richtig verstanden habe, müsste ich doch jetzt von einem Client im WLAN-1-2 unter der IP-Adresse 251 auf den Router kommen, oder? (Die IP-Adresse des Clients wurde manuell konfiguriert, da DHCP ja noch nicht funktioniert
)Leider kann ich den Router nicht erreichen...
Alfred hat geschrieben:Ja, VLAN 1 soll weiterhin ungetagt funktionierenalf29 hat geschrieben: Das erscheint mir nicht sinnvoll. Üblicherweise sind die WLAN-SSIDs ja VLAN-mäßig Branch-Ports, sollen also ungetaggt laufen, also Tagging-Modus auf 'niemals'. Was ich dafür vermisse, ist der Tagging-Modus von LAN-1 und LAN-2, der muß auf 'gemischt' stehen, damit die Pakete von WLAN-1-2, die per Port-VLAN-Vorgabe ins VLAN 2 gezwungen werden, auf den LAN-Ports getaggt herauskommen. VLAN 1 für das interne Netz und Management der APs soll weiterhin ungetaggt laufen?
Der Domänenkontroller hat bisher mit VLAN noch nichts am Hut, das wollte ich eigentlich mit der VLan-Konfiguration des Switches erschlagen, indem ich den Port des Domänenkontrollers dem VLAN 1 und dem VLAN 2 zuordne.Wie der domänenkontroller an das ganze angebunden ist, hast Du nicht beschrieben. Irgendetwas bezüglich VLAN 2 müßte da auch konfiguriert sein, oder hat der getrennte Netzwerkkarten für beide VLANs?
Erst einmal Danke für die schnelle Antwort, werde morgen früh mal die Einstellungen wie oben ändern.
Gruss
Alfred
Moin,
Wenn das der Fall ist, machst Du das gleiche auf dem 1722. Kommen die Pakete nicht an, dann hast Du den Switch VLAN-mäßig nicht richtig eingerichtet. Dabei kann ich Dir aber nicht helfen, weil ich mit der VLAN-Konfig der Switches nicht auskenne. Wenn die Pakete ankommen, sehen wir weiter...
Gruß Alfred
Das klingt mir nach keiner guten Idee...dem Switch wirst Du schon irgendwie sagen müssen, daß es VLANs gibt und wie er sie handhaben soll. Managbare Switches kann man üblicherweise nicht in einen VLAN-agnostischen Modus versetzen, in dem sie die Pakete 'as-is' mit oder ohne VLAN-Tag einfach durchreichen...Die VLan-Einstellungen auf dem Switch habe ich alle wieder rückgängig gemacht.
Was meinst Du mit der 'IP-Adresse 250'? Damit das letzen Endes funktioniert, mußt Du schon zwei disjunkte IP-Netzwerke definieren, und der Router muß in jedem dieser Netze eine IP-Adresse haben. Z.B. 192.168.250.0/24 und 192.168.251.0/24.Weiterhin habe ich ein weiteres IP-Netzwerk mit der IP-Adresse 251 und VLan-ID 2 angelegt. Das Standard-Intranet mit der VLan-ID 0 hat die IP-Adresse 250.
Vielleicht gehst Du die Sache mal systematisch an. Verifiziere erstmal, ob von einem an WLAN-1-2 eingebuchten Client erzeugte Pakete mit dem korrekten VLAN-Tag versehen werden und auf dem LAN-Interfasce herauskommen. Dazu stellst Du auf dem AP unter Setup/LAN/Trace-MAC die MAC-Adresse des Clients ein und schaltest den Ethernet-Trace ein - die Trace-MAC ist wichtig, damit Du bei dem Ethernet-Trace keinen Schneeball-Effekt bekommst. Gelistete Pakete mit der MAC-Adresse des Clients als Quelle sollten ein VLAN-Tag enthalten (Zeile "802.1p/q VLAN) mit der 2 als VLAN-Id.Leider kann ich den Router nicht erreichen...
Wenn das der Fall ist, machst Du das gleiche auf dem 1722. Kommen die Pakete nicht an, dann hast Du den Switch VLAN-mäßig nicht richtig eingerichtet. Dabei kann ich Dir aber nicht helfen, weil ich mit der VLAN-Konfig der Switches nicht auskenne. Wenn die Pakete ankommen, sehen wir weiter...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo,alf29 hat geschrieben:
Vielleicht gehst Du die Sache mal systematisch an. Verifiziere erstmal, ob von einem an WLAN-1-2 eingebuchten Client erzeugte Pakete mit dem korrekten VLAN-Tag versehen werden und auf dem LAN-Interfasce herauskommen. Dazu stellst Du auf dem AP unter Setup/LAN/Trace-MAC die MAC-Adresse des Clients ein und schaltest den Ethernet-Trace ein - die Trace-MAC ist wichtig, damit Du bei dem Ethernet-Trace keinen Schneeball-Effekt bekommst. Gelistete Pakete mit der MAC-Adresse des Clients als Quelle sollten ein VLAN-Tag enthalten (Zeile "802.1p/q VLAN) mit der 2 als VLAN-Id.
Wenn das der Fall ist, machst Du das gleiche auf dem 1722. Kommen die Pakete nicht an, dann hast Du den Switch VLAN-mäßig nicht richtig eingerichtet. Dabei kann ich Dir aber nicht helfen, weil ich mit der VLAN-Konfig der Switches nicht auskenne. Wenn die Pakete ankommen, sehen wir weiter...
Gruß Alfred
ich habe mich Freitag wieder etwas mit dem Thema befassen können. Die Sache mit dem Domänenkontroller lassen wir erst mal weg, da kümmere ich mich später drum, eventuell ist er auch gar nicht von Nöten...
Die Pakete werden auf dem Access-Point getaggt. Die Switchkonfiguration habe ich angepasst und es kommen auch Pakete auf dem Router an.
Ich habe nun auf dem Router ein neues Netzwerk (Name: Gaeste, Netz: 192.168.2.0) mit der VLAN-ID 2 angelegt. Weiterhin habe ich ein neues DHCP-Netzwerk für "Gaeste" eingerichtet.
Die Clients bekommen auch per DHCP eine IP-Adresse zugewiesen, aber das war es dann auch.
Ich kann den Router, unter der bei IP-Netzwerke konfigurierten IP-Adresse, nicht anpingen und damit habe ich natürlich auch weder DNS, noch Routing ins Internet etc...
Was habe ich denn nun schon wieder vergessen?
Wie bereits geschrieben, die Pakete kommen auf dem Router an, allerdings sehe ich im Trace auf dem 1722 kein VLAN-Tag mehr, ich denke aber, das ist auch korrekt so, richtig?
Gruss
Alfred
Moin,
Nein, VLAN-mäßig ist der Port von Switch zum 1722 auch ein VLAN-Trunk, auf dem mehrere VLANs laufen, und somit alle bis auf eines (in Deinem Fall VLAN 1) getaggt laufen müssen. Wie man das dem Switch sagt, weiß ich allerdings nicht. Üblicherweise hat man da einen Haufen Boxen pro Port und VLAN und hakt dann an, daß VLAN 2 auf diesem Port getaggt laufen soll.
Gruß Alfred
Meinst Du jetzt den Ethernet-Trace?Wie bereits geschrieben, die Pakete kommen auf dem Router an, allerdings sehe ich im Trace auf dem 1722 kein VLAN-Tag mehr, ich denke aber, das ist auch korrekt so, richtig?
Nein, VLAN-mäßig ist der Port von Switch zum 1722 auch ein VLAN-Trunk, auf dem mehrere VLANs laufen, und somit alle bis auf eines (in Deinem Fall VLAN 1) getaggt laufen müssen. Wie man das dem Switch sagt, weiß ich allerdings nicht. Üblicherweise hat man da einen Haufen Boxen pro Port und VLAN und hakt dann an, daß VLAN 2 auf diesem Port getaggt laufen soll.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo,alf29 hat geschrieben:Moin,
Meinst Du jetzt den Ethernet-Trace?
Nein, VLAN-mäßig ist der Port von Switch zum 1722 auch ein VLAN-Trunk, auf dem mehrere VLANs laufen, und somit alle bis auf eines (in Deinem Fall VLAN 1) getaggt laufen müssen. Wie man das dem Switch sagt, weiß ich allerdings nicht. Üblicherweise hat man da einen Haufen Boxen pro Port und VLAN und hakt dann an, daß VLAN 2 auf diesem Port getaggt laufen soll.
Gruß Alfred
du hattest Recht. Ich hatte schon ein vorher ein paar Einstellungen im Web-Interface gesucht, die ich bei unseren HP Switchen auf der Befehlszeile benutze...
Nach einem Blick ins Handbuch hat sich dann herausgestellt, dass ich einfach einen Button im Web-Interface übersehen hatte.
Und... macht man es richtign funktioniert es auch.
Danke für die Hilfe.
Gruss
Alfred