LANCOM VLAN-modul, zweck bleibt unklar

[roell.f]

hallo,

zunächst hatte ich zu den VLAN-grundlagen etwas unter z.b. https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen gelesen.

anschließend war dann zum thema "VLAN-implentierung in LANCOM-routern" das LCOS-referenzhandbuch 10.40 an der reihe. dort steht der wenig hilfreiche satz:

Schalten Sie das VLAN-Modul nur ein, wenn Sie mit den Auswirkungen der VLAN-Nutzung vertraut sind.

um über die auswirkungen einer VLAN-modul-aktivierung klarheit zu erhalten, habe ich hier im forum zahlreiche VLAN-beiträge gelesen. mein fazit: mal muss für die VLAN-nutzung das VLAN-modul aktiviert werden, mal ist die aktivierung des moduls überflüssig und es wird deshalb davon abgeraten.

nur: worin der zweck des VLAN-moduls im kern besteht, das konnte ich nicht entnehmen.

nach meinem verständnis, geht es doch letzlich darum, welchen ethernet-frames eine VLAN-markierung (engl. VLAN-tag) inkl. VLAN-ID hinzugefügt bzw. entnommen wird. diese angaben werden für sub-netze (w.z.b. "INTRANET") und für logischen interfaces (w.z.b. LAN-1) eingestellt.

ich verstehe nicht, wozu man überhaupt ein "VLAN-modul" aktivieren muss?

wo und wie wirkt sich ein aktiviertes VLAN-modul auf die ethernet-frames aus?

[Jirka]

Hallo,

das VLAN-Modul brauchst Du im Wesentlichen, wenn Du umtaggen willst, oder ein Netz an einer Stelle getaggt, an einer anderen ungetaggt ausgeben willst.
Beispiel: Ein Netz an ETH-1 ungetaggt, an ETH-2 aber VLAN-getaggt. Oder Gastnetz an WLAN 1-2 ungetaggt an ETH-1 VLAN-getaggt.
Hast Du einen LANCOM-Router ohne WLAN und dahinter einen VLAN-Switch oder nur einige VLAN-fähige APs (ohne managebaren Switch), dann brauchst Du das VLAN-Modul im Normalfall nicht.
Wenn man das VLAN-Modul einschaltet, muss man das VLAN-Tag 0 in der IP-Netzwerke-Tabelle (ARF-Netze) auf 1 setzen, weil es ein VLAN 0 nach Einschalten des Moduls nicht mehr gibt.

Viele Grüße,
Jirka

[roell.f]

hallo jirka,

danke für deine schnelle antwort.

das VLAN-Modul brauchst Du im Wesentlichen, wenn Du umtaggen willst, oder ein Netz an einer Stelle getaggt, an einer anderen ungetaggt ausgeben willst.
Beispiel: Ein Netz an ETH-1 ungetaggt, an ETH-2 aber VLAN-getaggt. Oder Gastnetz an WLAN 1-2 ungetaggt an ETH-1 VLAN-getaggt.

ist es korrekt, wenn ich deine aussage wie folgt umformuliere?

1. wenn innerhalb eines LANCOM-routers für mindestens ein subnetz mindestens eine der drei nachgenannten bedingungen zutrifft:
   1. das VLAN-tag soll aus einem ethernet-frame entfernt werden
   2. ein VLAN-tag soll einem ethernet-frame hinzugefügt werden
   3. in einem ethernet-frame mit VLAN-tag soll die VLAN-ID durch eine andere VLAN-ID ersetzt werden
   dann muss das VLAN-modul aktiviert werden.
2. darüberhinaus existieren keine weiteren bedingungen, welche eine aktivierung des VLAN-moduls notwendig machen.
3. VLAN-tag-änderungen werden für logische interfaces (w.z.B LAN-1), nicht etwa für physische interfaces (w.z.B. ETH-1) konfiguriert.

beste grüße
frank

[GrandDixence]

Das VLAN-Modul ist zuständig für die Verarbeitung des VLAN-Tags im Ethernet-Frame gemäss IEEE 802.1Q:
https://de.wikipedia.org/wiki/IEEE_802.1Q

Ein guter Einstieg in die Thematik VLAN bietet:
https://www.heise.de/ct/artikel/VLAN-Vi ... 21621.html

Nach jeder Konfigurationsänderung ein Konfigurationsbackup erstellen:
viewtopic.php?f=41&t=16565&p=93547&hili ... kup#p93547
Sobald man das VLAN-Modul aktiviert, sperrt man sich gerne und leicht vom LANCOM-Routerzugang aus!

Der Einsatz des VLAN-Moduls macht Sinn in Kombination mit ARF:
viewtopic.php?f=41&t=16109&p=90529&hili ... ten#p90529

fragen-zum-thema-firewall-f15/portfreig ... tml#p99671

[roell.f]

hallo GrandDixence,

Das VLAN-Modul ist zuständig für die Verarbeitung des VLAN-Tags im Ethernet-Frame gemäss IEEE 802.1Q:
https://de.wikipedia.org/wiki/IEEE_802.1Q

den wikipedia-artikel kannte ich schon und ich teile deine meinung, dass er lesenswert ist.

Ein guter Einstieg in die Thematik VLAN bietet:
https://www.heise.de/ct/artikel/VLAN-Vi ... 21621.html

ja, dieser ct-beitrag liefert eine gute vorlage für die konzeption der eignen zonen. etwas jünger ist der beitrag https://www.heise.de/select/ct/2017/8/1492099651008880. leider müht sich darin ernst ahlers darin ab, mit einer router-kaskade aus 2 fritzboxen gerade mal 4 zonen zu realisieren. ich hatte die hoffnung, dass ein beitrag auf basis eines routers, der von einem hier allen bekannten hersteller stammt , folgen würde.

Nach jeder Konfigurationsänderung ein Konfigurationsbackup erstellen:
viewtopic.php?f=41&t=16565&p=93547&hili ... kup#p93547
Sobald man das VLAN-Modul aktiviert, sperrt man sich gerne und leicht vom LANCOM-Routerzugang aus!

dem sich-aussperren kann man auch wie folgt begegnen:

1. den lancom per internet über sein web-portal erreichbar machen.
2. mit hilfe eines über das mobilfunknetz verbundenen smartphones / tablets auf dem LC einloggen.
3. die LC-konfiguration sowohl als LCF- als auch als LCS-datei auf dem mobilgerät sichern (downloaden).
   
   die LCS-dateien haben im gegensatz zu den LCF-dateien den vorteil, dass sie besser lesbar/verstehbar sind. außerdem lassen sich die unterschiede zweier LCS-dateien mit hilfe des unix-diff-befehls oder dem emacs-ediff-modul sehr gut nachvollziehen. diese diffs eignen sich auch ausgezeichnet als basis für eigene lancom-skripte.
   .
4. im falle des aussperrens die LCF-datei mit dem mobilgerät wieder uploaden.

verbindet man das mobilgerät per USB mit dem PC und setzt die "scrcpy"-software (siehe: http://ct.de/ysuh) ein, dann lässt sich das webconfig im browser auf dem mobilgerät bequem vom PC aus steuern.

Der Einsatz des VLAN-Moduls macht Sinn in Kombination mit ARF:
viewtopic.php?f=41&t=16109&p=90529&hili ... ten#p90529

fragen-zum-thema-firewall-f15/portfreig ... tml#p99671

danke auch für diese beiden links.

im weiteren verlauf dieses threads möchte ich das thema "wie konzipiere ich mein VLAN" wieder verlassen und mich wieder dem thema zuwenden "welche auswirkungen hat die aktivierung des VLAN-moduls?".

mich wundert, dass die managebaren switches, die ich kenne, ohne so etwas wie ein "aktivierbares VLAN-modul" auskommen.

ich habe das gefühl, dass es sich bei der aktivierbarkeit um ein feature handelt, welches man auch ebenso gut hätte weglassen können. anders gesagt: hätte LANCOM das VLAN-module nicht einfach dauerhaft aktiv lassen können und die VLAN-tags mit den bereits vorhandenen konfigurationsmöglichkeiten vollständig steuern können?

herzliche grüße
frank

[Jirka]

ist es korrekt, wenn ich deine aussage wie folgt umformuliere?

Nein. (Oder ich verstehe es nicht richtig. Ethernet-Frames gibt es innerhalb des LANCOM-Routers eher auch nicht, allenfalls an der Schnittstelle nach außen.)

VLAN-tag-änderungen werden für logische interfaces (w.z.B LAN-1), nicht etwa für physische interfaces (w.z.B. ETH-1) konfiguriert.

Ja.

etwas jünger ist der beitrag https://www.heise.de/select/ct/2017/8/1492099651008880. leider müht sich darin ernst ahlers darin ab, mit einer router-kaskade aus 2 fritzboxen gerade mal 4 zonen zu realisieren.

Der Artikel ist unter Niveau (wenn ich mich jetzt nicht irre), von dem Autor war man bessere Artikel gewohnt.

mich wundert, dass die managebaren switches, die ich kenne, ohne so etwas wie ein "aktivierbares VLAN-modul" auskommen.

Weil man es da in der Regel immer braucht.

ich habe das gefühl, dass es sich bei der aktivierbarkeit um ein feature handelt, welches man auch ebenso gut hätte weglassen können. anders gesagt: hätte LANCOM das VLAN-module nicht einfach dauerhaft aktiv lassen können und die VLAN-tags mit den bereits vorhandenen konfigurationsmöglichkeiten vollständig steuern können?

Von der Performance abgesehen bauscht das aber die Konfiguration auf, wenn es auch einfacher und übersichtlicher geht.

Das VLAN-Modul sorgt auf Layer 2 genau dafür, dass Forwarding-Entscheidungen aufgrund von VLAN-Tags getroffen werden können. Wenn Du das nicht brauchst, kannst Du VLAN ganz normal auf Layer 3 nutzen, d. h. ein IP-Netz ist über ein gewisses VLAN-Tag an den Router gebunden. Das bedeutet, dass z. B. das Gastnetz den LANCOM immer mit VLAN-ID 2 verlässt und alles was mit VLAN-ID 2 ankommt, wird dem Gastnetz zugeordnet.

Viele Grüße,
Jirka

[Aushilfsinformatiker]

Hallo, ich linke mich mal in den alten Thread ein. Ich bin gerade dabei unser Schulnetzwerk zu erweitern. Zu Hause habe ich einen alten 1781vaw um "zu üben" bzw. Szenarien vorher zu testen. Zu Hause habe ich das VLAN-Modul aktiviert und ein Gästenetz gebaut, welches auch über WLAN und LAN ausgegeben wird. Das ging problemlos.

In der Schule haben wir eine 1906av, WLC 4600, jede Menge Switche und AP's..... Es läuft wirklich sehr gut und stabil seid Jahren. Momentan habe ich im Hauptgebäude die Netze per Routing Tags getrennt. WLAN-Zugang ist nur über den Public Spot für Schüler möglich, welches vom Netz abgeschirmt ist. Theoretisch brauch ich doch, nach dem hier gelesenen, das VLAN-Modul nicht aktivieren? IP-Netzwerke und VLANS einrichten, alles VLANS auf den Switch getrennt und dort trennen, fertig? Ohne Tag dann direkt auf den WLC. Mir gehen gerade die IP's so langsam aus.

Ein weiteres Thema wäre VLAN-Routing. Ich kenne mich gut mit Draytek aus, da war es relativ unkompliziert. Gibt es bei Lancom eine spezielle Vorgehensweise?

z.B. Info-Kabinett VLAN1 auf Server im VLAN2

Ich habe es über Firewall-Regeln probiert.... nix kommt durch. Die Firewall ist grundsätzlich auf Deny all gestellt.

Viele Grüße und Danke für das Feedback

[Jirka]

Du musst in der Firewall-Regel auch das Routing-Tag angeben von dem Netz, wo der Server drin steht (das Schnittstellen-Tag).

[roell.f]

hallo aushilfsinformatiker,

in meinen beiträgen dieses threads geht es eher darum, die arbeitsweise des LANCOM VLAN-moduls zu verstehen.

bei dir handelt es sich, so scheint mir, mehr um ein konkretes projekt. deswegen möchte ich dich bitten, mit hilfe des admins deinen beitrag in einen neuen thread zu verschieben.

beste grüße
frank

[Dr.Einstein]

das VLAN-tag soll aus einem ethernet-frame entfernt werden[*]ein VLAN-tag soll einem ethernet-frame hinzugefügt werden[*]in einem ethernet-frame mit VLAN-tag soll die VLAN-ID durch eine andere VLAN-ID ersetzt werden

Die Aussage stimmt nicht vollständig. Beispiel: ETH-1 LAN-1, 192.168.1.0 VLAN 1; ETH-2 LAN-2, 192.168.2.0 VLAN2. Routing zwischen den Netzen wird durch den Lancom durchgeführt. Frames kommen getaggt beim Lancom an. In diesem Fall ist das VLAN Modul nicht notwendig. Das Eintragen der VLAN-IDs am jeweiligen Netzwerk genügt.

[roell.f]

hallo Dr. Einstein,

wenn ich dein beispiel

ETH-1 LAN-1, 192.168.1.0 VLAN 1
ETH-2 LAN-2, 192.168.2.0 VLAN 2

ansehe, dann würde ich sagen, dass der lancom für das routing zwischen LAN-1 und LAN-2 in den ethernet-frames das tag "VLAN 1" gegen das tag "VLAN 2" austauschen, d.h. umtaggen muss.

nun sagt aber jirka, dass für das umtaggen, das VLAN-modul eingeschaltet sein muss.

das VLAN-Modul brauchst Du im Wesentlichen, wenn Du umtaggen willst, oder ein Netz an einer Stelle getaggt, an einer anderen ungetaggt ausgeben willst.
Beispiel: Ein Netz an ETH-1 ungetaggt, an ETH-2 aber VLAN-getaggt. Oder Gastnetz an WLAN 1-2 ungetaggt an ETH-1 VLAN-getaggt.

du jedoch sagts, dass in deinem beispiel das VLAN-modul ausgeschaltet bleiben darf.

wie lässt sich der widerspruch auflösen?

[Dr.Einstein]

Fehler sind menschlich wäre die beste Erklärung? Außerdem gilt das nur für ein sehr spezifisches Szenario, hat er vermutlich einfach nur vereinfacht niedergeschrieben. Um auf mein Beispiel zurückzukommen

ETH-1 LAN-1, 192.168.1.0 VLAN 1 tagged
ETH-2 LAN-2, 192.168.2.0 VLAN 2 untagged

würdest du das VLAN Modul wiederum brauchen. Außer du stellst 192.168.2.0 auf VLAN 0 um, was ja aus Sicht des nachgelagerten Endgerätes ebenfalls einem untagged entspricht.

Probier es einfach aus. Wenn du mit einem konkreten Aufbau nicht weiter weißt, beschreib ihn so detailliert wie möglich und du bekommst hier garantiert die richtige Antwort (VLAN Modul ein/aus)

[Jirka]

Die Aussage stimmt nicht vollständig. Beispiel: ETH-1 LAN-1, 192.168.1.0 VLAN 1; ETH-2 LAN-2, 192.168.2.0 VLAN2. Routing zwischen den Netzen wird durch den Lancom durchgeführt. Frames kommen getaggt beim Lancom an. In diesem Fall ist das VLAN Modul nicht notwendig. Das Eintragen der VLAN-IDs am jeweiligen Netzwerk genügt.

Genau. Wie ich im übrigen oben schon schrieb (nein, mit kurzer Begründung; 16. Juni 2020 00:11).

wenn ich dein Beispiel

ETH-1 LAN-1, 192.168.1.0 VLAN 1
ETH-2 LAN-2, 192.168.2.0 VLAN 2

ansehe, dann würde ich sagen, dass der Lancom für das Routing zwischen LAN-1 und LAN-2 in den Ethernet-Frames das Tag "VLAN 1" gegen das Tag "VLAN 2" austauschen, d. h. umtaggen muss.

Nein. Erstens disqualifiziert hier schon der Begriff "für das Routing" alles was mit umtaggen zu tun hat. Wenn ein lokales LAN (IP-Netzwerk, ARF-Netz) an LAN-1 gebunden ist (hier 192.168.1.0) und ein anderes an LAN-2 (hier 192.168.2.0), dann wird nichts umgetaggt. Es ist nur festgelegt, dass das eine lokale LAN VLAN-ID 1 getaggt den LANCOM verlässt (bzw. genauer angebunden ist, weil es wird ja auch empfangen) und das andere VLAN-ID 2 getaggt. Genau genommen, wenn jetzt ein Paket vom einen lokalen LAN zum anderen geht, passiert folgendes: Das Paket kommt an ETH-1 rein, was LAN-1 zugeordnet ist und LAN-1 ist dem lokalen LAN 192.168.1.0 zugeordnet. Das Paket wurde VLAN-ID 1 getaggt auf dem Ethernet angenommen/empfangen, es verlässt jetzt das Ethernet und geht in das IP-Router-Modul. Im IP-Router-Modul gibt es kein VLAN, VLAN ist eine Technologie um auf dem Ethernet mehrere lokale Netze zu übertragen, die sich gegenseitig - von der Übertragungskapazität abgesehen - nicht stören und die sauber getrennt sind, auch wenn das "sauber" nicht gegen Mithören schützt, hier also keine VPN-Tunnel oder WLC-Tunnel vorliegen. Folglich haben wir im IP-Router jetzt ein normales IP-Paket (+ Schnittstellen-Tag genau genommen). Dieses IP-Paket geht jetzt entsprechend verschiedener Regeln (Firewall, Schnittstellen-Tags, interne Routing-Tabelle) weiter und landet im 192.168.2.0-er Netz. Da geht es also rein und kommt nun wieder aufs Ethernet, weil darüber muss das Paket in diesem Fall den LANCOM-Router verlassen. Und da auf dem Ethernet für dieses lokale LAN VLAN-ID 2 eingestellt ist, geht es über VLAN-ID 2 raus, die VLAN-ID 2 wurde hinzugefügt. Aber hier wurde zu keinem Zeitpunkt umgetaggt! (Für jemand, der es (noch) nicht versteht: Man könnte ergänzen aus Sicht des VLAN-Moduls.)

Ein einfaches Beispiel, wo tatsächlich umgetaggt werden muss wäre folgendes (das lokale LAN 192.168.2.0 spielt hier zum Verständnis eigentlich keine Rolle, es zeigt nur, warum so eine Konstellation Sinn ergeben könnte):
lokales LAN 192.168.1.0 -> BRG-1; BRG-1 -> LAN-1, LAN-2
lokales LAN 192.168.2.0 -> LAN-2
ETH-1 -> LAN-1, 192.168.1.0 ungetaggt
ETH-2 -> LAN-2, 192.168.1.0 VLAN-ID 1 getaggt; 192.168.2.0 VLAN-ID 2 getaggt (oder meinetwegen auch ungetaggt, wie man es braucht)

Wenn jetzt ein Paket aus dem 192.168.1.0-er LAN an Port ETH-1 (ungetaggt) kommt und zu einem anderen Gerät im 192.168.1.0-er LAN an ETH-2 soll, dann wird es umgetaggt! Es kommt ungetaggt rein und geht am anderen Port getaggt wieder raus. Im IP-Router-Modul landet dieses Paket übrigens nicht.

Viele Grüße
Jirka