Hallo,
ich plane, den Gastzugang per VLAN gemäss folgendem Dokument einzurichten:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... lan,German
Das ist soweit alles verständlich und logisch - bis auf eine Kleinigkeit. Am LAN-Interface ist ja als PVID die 1 vorgegeben und das Tagging aktiviert. Nun heisst es jedoch in der Hilfe, dass bei eingeschaltetem Tagging genau diese PVID als Ausnahme behandelt wird und ein Paket mit dieser VLAN-ID nicht getaggt wird.
Das würde jedoch bedeuten, dass Pakete von WLAN-1 (welche ja die ID 1 bekommen) ungetaggt auf das LAN geschickt werden, während Pakete von WLAN-1-2 korrekt mit ID 2 getaggt werden.
Ist das so korrekt? Und falls ja: Warum gibt es diese Ausnahmeregel?
Ich überleg nur, ob das mit dem beteiligten Switch Probleme machen könnte - ok: ungetaggte Pakete sollte er mit seiner eigenen PVID versehen und getaggte einfach so belassen...
Gruß
Mario
VLAN Gastzugang
Moderator: Lancom-Systems Moderatoren
Moin,
und ungetaggten Paketen auf einem Interface in beiden Richtungen zuzulassen - was
ungetaggt hereinkommt, dem wird das Port-VLAN zugewiesen, und was auf diesem VLAN
herausgeht, wird auch dementsprechend wieder ungetaggt herausgegeben.
Wer sämtlichen Traffic getaggt haben möchte, muß das Port-VLAN auf ein VLAN setzten,
das es nicht gibt, oder auf 0.
Gruß Alfred
Ja, das ist korrekt so, und das muß auch so sein, um einen Mischbetrieb von getaggtenDas würde jedoch bedeuten, dass Pakete von WLAN-1 (welche ja die ID 1 bekommen) ungetaggt auf das LAN geschickt werden, während Pakete von WLAN-1-2 korrekt mit ID 2 getaggt werden.
Ist das so korrekt? Und falls ja: Warum gibt es diese Ausnahmeregel?
und ungetaggten Paketen auf einem Interface in beiden Richtungen zuzulassen - was
ungetaggt hereinkommt, dem wird das Port-VLAN zugewiesen, und was auf diesem VLAN
herausgeht, wird auch dementsprechend wieder ungetaggt herausgegeben.
Wer sämtlichen Traffic getaggt haben möchte, muß das Port-VLAN auf ein VLAN setzten,
das es nicht gibt, oder auf 0.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
Andere Variante: Tagging am Switchport aus und am Lancom in der Porttabelle für LAN-1 das 'Weiterleiten unmarkierter Pakete...' erlauben. Das funktioniert dann auch.
Ist das ein Fehler im KB-Dokument? Sonst würde Deine Erklärung ja keinen Sinn machen.
Gruß
Mario
ich habs gerade mal ausprobiert. Der Switchport befindet sich in den VLANs 1 und 2, Tagging ist aus. Damit ist jedoch keine Verbindung zum Lancom mehr möglich. Ich musste erst das Tagging am Switchport einschalten.was ungetaggt hereinkommt, dem wird das Port-VLAN zugewiesen, und was auf diesem VLAN herausgeht, wird auch dementsprechend wieder ungetaggt herausgegeben.
Andere Variante: Tagging am Switchport aus und am Lancom in der Porttabelle für LAN-1 das 'Weiterleiten unmarkierter Pakete...' erlauben. Das funktioniert dann auch.
Ist das ein Fehler im KB-Dokument? Sonst würde Deine Erklärung ja keinen Sinn machen.
Dann muss man aber am Switch das Tagging zwingend aktivieren(?)Wer sämtlichen Traffic getaggt haben möchte, muß das Port-VLAN auf ein VLAN setzten, das es nicht gibt,
Die 0 ist mir noch spanisch. In der Hilfe steht, dass 'für ankommende unmarkierte Geräte' eine Zuweisung anhand der VLAN-Zugehörigkeit getroffen wird. Welche VLAN-ID bekommt das Paket, falls der Port mehreren VLANs angehört?oder auf 0.
Gruß
Mario
Moin,
Fall mehr mit einem Tag versehen.
durchsucht das VLAN-Ingress-Filter die Liste der VLANs, bei denen der Port Mitglied ist,
und nimmt das mit der niedrigsten Nummer.
Die Arbeitsweise der VLAN Ingress- und Egress-Filter kann man zusammenfassend so
beschreiben (ein VLAN-Trace gibt das auch aus):
Ingress:
(1) Falls das Paket ein VLAN-Tag besaß, ist das VLAN dieses Pakets gleich den im Tag
enthaltenen Netzwerk, ansonsten:
(2a) falls die Annahme ungetaggter Pakete für diesen Port verboten ist, verwerfe das
Paket.
(2b) falls das anliefernde Interface eine VLAN-Id für dieses Paket anbietet, nimm diese.
Das passiert im LANCOM nur bei WLAN-Clients, denen ein bestimmtes VLAN
individuell zugeordnet wurde.
(2c) falls für diesen Port ein Port-VLAN ungleich Null definiert ist, nimm dieses.
(2d) ordne das Paket dem VLAN mit der niedrigsten Nummer zu, in dem dieser Port
Mitglied ist.
(3) verwerfe das Paket, falls der Port nicht Mitglied dieses auf die eine oder andere
Weise ermittelten VLANs ist und die Annahme beliebiger VLANs für diesen Port
deaktiviert ist, ansonsten bearbeite das Paket weiter.
Das Egress-Filter ist ein bisserl übersichtlicher:
(1) Falls das Paket zu einem VLANs gehört, in dem der Port nicht Mitglied ist, verwerfe es.
(2) Falls Tagging eingeschaltet ist, und das VLAN des Pakets ungleich dem Port-VLAN
ist, setze ein VLAN-Tag in das Paket ein. Ansonsten setze kein Tag ein bzw. belasse
es bei einem eventuell geforderten Prioritäts-Tag.
Ein paar Zusatzbemerkungen:
(1) intern im Gerät werden Pakete immer ohne VLAN-Tag verarbeitet - die Information
über Paket-VLAN und -Piorität wird quasi als Sideband-Information am Paketpuffer
transportiert, genauso darüber, ob und was für ein Tag ursprünglich 'auf der Leitung'
drin war. Das eventuell einsetzen Eines Tags passiert auch wiederum erst unmittelbar
for der Abgabe des Pakets an die Hardware.
(2) Prioritäts-getaggte Pakete (also solche mit einem Tag, das aber die VLAN-Id Null
enthält) gelten für das Ingress-Filter wie ungetaggte Pakete - wenn VLAN aktiviert
ist, *muß* für die weitere Verarbeitung jedem Paket ein VLAN zugewiesen werden.
(3) Schaltet man VLAN im LANCOM ab, so findet das Herausnehmen bzw. Einsetzen
von Tags weiterhin statt, es entfallen aber die Ingress- bzw. Egress-Filter, die diese
Information möglicherweise verändern könnten. Bei Paketen, die einfach die
LAN-Bridge durchlaufen, wird in diesem Fall das Tag am Ende wieder 1:1 so
eingesetzt, wie es hereingekommen war.
(4) Pakete ohne VLAN-Tag werden bei abgeschaltetem VLAN intern mit einer VLAN-Id
von Null transportiert, deshalb muß in diesem Fall die Geräte-VLAN-Id auf Null stehen,
wenn man das Gerät mit ungetaggten Paketen erreichen will.
Ich hoffe, das hilft ein bißchen...
Gruß Alfred
Korrekt, wenn Tagging ausgeschaltet ist, werden ausgehende Pakete auf gar keinenich habs gerade mal ausprobiert. Der Switchport befindet sich in den VLANs 1 und 2, Tagging ist aus. Damit ist jedoch keine Verbindung zum Lancom mehr möglich. Ich musste erst das Tagging am Switchport einschalten.
Fall mehr mit einem Tag versehen.
Das bezieht sich nur auf die Annahme ankommender, ungetaggter Pakete.Andere Variante: Tagging am Switchport aus und am Lancom in der Porttabelle für LAN-1 das 'Weiterleiten unmarkierter Pakete...' erlauben. Das funktioniert dann auch.
Das ist korrekt.Die 0 ist mir noch spanisch. In der Hilfe steht, dass 'für ankommende unmarkierte Geräte' eine Zuweisung anhand der VLAN-Zugehörigkeit getroffen wird.
Für den Fall, daß (1) das Paket ungetaggt ist und (2) kein Port-VLAN definiert ist,Welche VLAN-ID bekommt das Paket, falls der Port mehreren VLANs angehört?
durchsucht das VLAN-Ingress-Filter die Liste der VLANs, bei denen der Port Mitglied ist,
und nimmt das mit der niedrigsten Nummer.
Die Arbeitsweise der VLAN Ingress- und Egress-Filter kann man zusammenfassend so
beschreiben (ein VLAN-Trace gibt das auch aus):
Ingress:
(1) Falls das Paket ein VLAN-Tag besaß, ist das VLAN dieses Pakets gleich den im Tag
enthaltenen Netzwerk, ansonsten:
(2a) falls die Annahme ungetaggter Pakete für diesen Port verboten ist, verwerfe das
Paket.
(2b) falls das anliefernde Interface eine VLAN-Id für dieses Paket anbietet, nimm diese.
Das passiert im LANCOM nur bei WLAN-Clients, denen ein bestimmtes VLAN
individuell zugeordnet wurde.
(2c) falls für diesen Port ein Port-VLAN ungleich Null definiert ist, nimm dieses.
(2d) ordne das Paket dem VLAN mit der niedrigsten Nummer zu, in dem dieser Port
Mitglied ist.
(3) verwerfe das Paket, falls der Port nicht Mitglied dieses auf die eine oder andere
Weise ermittelten VLANs ist und die Annahme beliebiger VLANs für diesen Port
deaktiviert ist, ansonsten bearbeite das Paket weiter.
Das Egress-Filter ist ein bisserl übersichtlicher:
(1) Falls das Paket zu einem VLANs gehört, in dem der Port nicht Mitglied ist, verwerfe es.
(2) Falls Tagging eingeschaltet ist, und das VLAN des Pakets ungleich dem Port-VLAN
ist, setze ein VLAN-Tag in das Paket ein. Ansonsten setze kein Tag ein bzw. belasse
es bei einem eventuell geforderten Prioritäts-Tag.
Ein paar Zusatzbemerkungen:
(1) intern im Gerät werden Pakete immer ohne VLAN-Tag verarbeitet - die Information
über Paket-VLAN und -Piorität wird quasi als Sideband-Information am Paketpuffer
transportiert, genauso darüber, ob und was für ein Tag ursprünglich 'auf der Leitung'
drin war. Das eventuell einsetzen Eines Tags passiert auch wiederum erst unmittelbar
for der Abgabe des Pakets an die Hardware.
(2) Prioritäts-getaggte Pakete (also solche mit einem Tag, das aber die VLAN-Id Null
enthält) gelten für das Ingress-Filter wie ungetaggte Pakete - wenn VLAN aktiviert
ist, *muß* für die weitere Verarbeitung jedem Paket ein VLAN zugewiesen werden.
(3) Schaltet man VLAN im LANCOM ab, so findet das Herausnehmen bzw. Einsetzen
von Tags weiterhin statt, es entfallen aber die Ingress- bzw. Egress-Filter, die diese
Information möglicherweise verändern könnten. Bei Paketen, die einfach die
LAN-Bridge durchlaufen, wird in diesem Fall das Tag am Ende wieder 1:1 so
eingesetzt, wie es hereingekommen war.
(4) Pakete ohne VLAN-Tag werden bei abgeschaltetem VLAN intern mit einer VLAN-Id
von Null transportiert, deshalb muß in diesem Fall die Geräte-VLAN-Id auf Null stehen,
wenn man das Gerät mit ungetaggten Paketen erreichen will.
Ich hoffe, das hilft ein bißchen...
Gruß Alfred
Hallo,
so - jetzt hab ich das alles konfiguriert. Ich muss dazu sagen, dass das KB-Dokument etwas unausgegoren ist. Mal abgesehen davon, dass nicht auf die Port-Konfiguration des VLAN-Switches eingegangen wird, ist die dort beschriebene Konfiguration suboptimal.
Damit das überhaupt wie dort beschrieben funktioniert, muss man dem Switch-Port, an dem der Router angeschlossen ist, die PVID 2 verpassen, damit vom Router kommende ungetaggte Pakete die VLAN-ID 2 bekommen. Damit auch das Hausnetz-WLAN noch was vom Internet hat, hat der Autor den Kniff angewendet, bei WLAN-1 das Weiterleiten von Paketen auch für andere VLANs zu erlauben (übrigens ist die Weiterleitung auf LAN-1 ebenso überflüssig). Das ist zwar direkt keine Sicherheitslücke - aber wenn ich schon VLANs betreibe, will ich nicht den Datenverkehr von WLAN-1-2 auf WLAN-1 sehen.
Vollkommen übersehen hat der Autor, dass bei dieser Konfiguration das LAN keinen Zugriff mehr auf den Router und damit aufs Internet hat. Nun gut - vielleicht war das erwünscht. Das sollte aber ein recht seltener Fall sein.
Um diese Einschränkungen zu beseitigen, muss man ein drittes VLAN "Internet" definieren. Die VLAN-Konfiguration am Lancom sieht dann so aus:
VLAN-1: LAN-1, WLAN-1
VLAN-2: LAN-1, WLAN-1-2
VLAN-3: LAN-1, WLAN-1, WLAN-1-2
Am Switchport des Routers muss als PVID die 3 angegeben werden. Damit kann man dann am Switch sogar weitere VLANs einrichten, dessen Pakete gar nicht erst den Switch auf dem trunked Port zum Lancom verlassen.
Gruß
Mario
so - jetzt hab ich das alles konfiguriert. Ich muss dazu sagen, dass das KB-Dokument etwas unausgegoren ist. Mal abgesehen davon, dass nicht auf die Port-Konfiguration des VLAN-Switches eingegangen wird, ist die dort beschriebene Konfiguration suboptimal.
Damit das überhaupt wie dort beschrieben funktioniert, muss man dem Switch-Port, an dem der Router angeschlossen ist, die PVID 2 verpassen, damit vom Router kommende ungetaggte Pakete die VLAN-ID 2 bekommen. Damit auch das Hausnetz-WLAN noch was vom Internet hat, hat der Autor den Kniff angewendet, bei WLAN-1 das Weiterleiten von Paketen auch für andere VLANs zu erlauben (übrigens ist die Weiterleitung auf LAN-1 ebenso überflüssig). Das ist zwar direkt keine Sicherheitslücke - aber wenn ich schon VLANs betreibe, will ich nicht den Datenverkehr von WLAN-1-2 auf WLAN-1 sehen.
Vollkommen übersehen hat der Autor, dass bei dieser Konfiguration das LAN keinen Zugriff mehr auf den Router und damit aufs Internet hat. Nun gut - vielleicht war das erwünscht. Das sollte aber ein recht seltener Fall sein.
Um diese Einschränkungen zu beseitigen, muss man ein drittes VLAN "Internet" definieren. Die VLAN-Konfiguration am Lancom sieht dann so aus:
VLAN-1: LAN-1, WLAN-1
VLAN-2: LAN-1, WLAN-1-2
VLAN-3: LAN-1, WLAN-1, WLAN-1-2
Am Switchport des Routers muss als PVID die 3 angegeben werden. Damit kann man dann am Switch sogar weitere VLANs einrichten, dessen Pakete gar nicht erst den Switch auf dem trunked Port zum Lancom verlassen.
Gruß
Mario