VLAN Konfigurationsproblem

[xsheep]

Guten Morgen,

wir betreiben ein Kundennetz mit mehreren APs von Lancom. In diesem Netz haben wir mehrere VLANs, die über Switche konfiguriert wurden.

Jetzt möchten wir dieses Netz durch 2 weiteren APs erweitern.
Die VLAN-Konfiguration soll jedoch nicht über Switche, sondern direkt an den APs erfolgen.

Die APs, ein L-54ag und ein OAP-310agn, laufen mit LCOS 7.56.
Ein weiterer AP, der L54-dual ist schon im Netz integriert und baut nur die P2P-Verbindungen mit den anderen APs auf (auch LCOS 7.56).

Das Konfigurationsmenü für VLANs ist sehr verwirrend. Nach langem ausprobieren und einstellen, konnten wir eine ansatzweise nachvollziehbare Konfiguration aufbauen, die aber nicht wirklich lief.

Den Aufbau des VLANs sieht man in der Grafik.



Das eigentliche Problem:
Die APs liegen alle in demselben Netz.
Pakete von PC1, der an ETh1 von L54ag angeschlossen ist, sollen mit der VLAN-ID 1004 getaggt werden und über die zwei P2P-Verbindungen an den
OAP310agn übertragen werden. Dieser soll die Pakete wieder untaggen und an PC3 weiterleiten. Das selbe soll von PC3 zu PC1 funktionieren.
Auf die APs kann man nur über WLAN, also über die P2P-Verbindungen zugreifen. Dafür bietet sich der L54-dual an.
PC2 darf nicht auf PC1 und PC3 zugreifen, da dieser keinen passenden VLAN-Tag hat, dieser kann nur über den L54-dual auf die anderen APs zugreifen. Soweit die Theorie.

Mit unserer Konfiguration, die ich gleich weiter erläutere, können wir mit PC2 auf alle APs zugreifen, aber nicht auf die anderen PCs. Genauso wie es sein soll.
Wenn wir jetzt einen Ping von PC1 an PC3 schicken, oder umgekehrt, können diese sich nicht erreichen.

Auf dem l54ag und dem oap wurde folgende VLAN-Tabelle eingetragen:



Unter dem Menüpunkt TCP/IP -> IP-Netzwerke haben wir für das INTRANET die VLAN-ID 1 vergeben, dies soll auch die default VLAN-Verbindung sein, die auch für die P2P-Verbingungen konfiguriert wurde. LAN-1 wurde logischeweie der VLAN-ID 1004 zugeordnet.

Unter der Port-Tabelle haben wir auch verschiedene Tagging-Modi ausprobiert. Der Tagging-Modus "Immer" wäre für unsere Situation der Richtige.
Das mit der Port-VLAN-ID habe ich noch nicht so richtig verstanden. Im Referenzhanbuch steht, dass die möglichen Werte von 1-4094 gehen, wieso kann ich dennoch eine 0 eintragen? Aus den Erläuterungen werde ich auch nicht schlau.



Welche Einstellugen muss ich noch beachten, damit ich mit PC1 auf PC3 über die Ethernet-Ports zugreifen kann?



Danke im voraus für eure Hilfe!

Gruß, Alexei

[ogroni]

Hallo Alexei,

wie gewünscht, sollte es klappen.

Am L54ag:
- in der "VLAN-Tabelle" das VLAN Test die Portliste LAN-1 & P2P-1-1 mit der ID 1004 zuweisen
- in der "Port-Tabelle-LAN-1" Tagging-Modus auf "Ankom. gemischt" & die Port-VLAN-ID 1004 eintragen
- in der "Port-Tabelle-P2P-1-1" Tagging-Modus auf "Gemischt" & Häkchen setzen & die Port-VLAN-ID 1 eintragen (unsicher mit gemischt)

Am OAP310agn identisch nachtragen (nur halt die P2P-1-2 verwenden)

Am L54-dual:
- VLAN aktivieren
- in der "VLAN-Tabelle" das VLAN Test die Portliste P2P-1-1 & P2P-1-2 mit der ID 1004 zuweisen
- in der "Port-Tabelle-LAN-1" Tagging-Modus auf "Gemischt" & die Port-VLAN-ID 1 eintragen (unsicher mit gemischt)
- in der "Port-Tabelle-P2P-1-1" Tagging-Modus auf "Gemischt" & Häkchen setzen & die Port-VLAN-ID 1 eintragen
- in der "Port-Tabelle-P2P-1-2" Tagging-Modus auf "Gemischt" & Häkchen setzen & die Port-VLAN-ID 1 eintragen

auf allen:
- es existieren min. 2 IP-Netzwerke mit getrennten Bereichen (eines für PC1 + PC3, sowie eines für default (PC2 + Rest))
- das default-Netzwerk hat die VLAN-IP 1, das Test-Netzwerk die VLAN-ID 1004 (unter TCP-IP / IP-Netzwerke)
- alle 3 Router haben nun jeweils 2 IP-Adressen (eine aus dem default- & eine aus dem Test-Netz)

Jetzt sollte PC1/PC3 entlang den Strecke alle Stationen anpingen können, aber nicht PC2 und die IP´s des default-Netzes

Bis dann ....

) Olaf

[xsheep]

Hi Olaf,

Danke für die schnelle Antwort.

Ich kann die Konfiguration jetzt leider nicht testen. Dazu werde ich erst Anfang nächster Woche kommen.

Ein paar Verständnisfragen habe ich dennoch.
Wieso muss ich auf dem L54-dual das VLAN aktivieren. An diesem AP soll doch nichts getaggt werden, sondern nur weitergeleitet werden. Oder werden die Datenpakete verworfen, wenn sie an dem AP keinen passenden Tag haben und das VLAN deaktiviert ist?

Wenn das VLAN am L54-dual aktiviert und konfiguriert ist, kann ich dann von 2 anderen APs, die miteinander über den L54-dual als Bridge verbunden sind, Pakete (untagged) hin und her schicken?

Muss die Verbindung von PC1 zu PC3 einen getrennten Netzbereich haben? Kann man das VLAN nicht in einem einzelnen Netzbereich, ohne Unterteilung, aufbauen? Die Idee mit den 2 IP-Adressen hatte ich auch schon. Aber es muss doch auch anders gehen, oder?

Wie gesagt, wenn ich an die Geräte komme, werde ich es erstmal so testen.


Gruß, Alexei

[alf29]

Moin,

ich glaube, ich sollte doch einmal zusammenschreiben, wie man per Anhalter zu VLANs kommt...

Das Konfigurationsmenü für VLANs ist sehr verwirrend.

Sie ist eigentlich sehr logisch, aber sie liefert keine fertigen Lösungen, sondern nur die Bausteine,
aus denen man sich die Lösungen zusammenstecken kann. Dazu muß man allerdings erstmal
verstanden haben, wie diese Bausteine funktionieren...

Das mit der Port-VLAN-ID habe ich noch nicht so richtig verstanden. Im Referenzhanbuch steht, dass die möglichen Werte von 1-4094 gehen, wieso kann ich dennoch eine 0 eintragen? Aus den Erläuterungen werde ich auch nicht schlau.

Das ist ein Überbleibsel aus der VLAN-Konfig älterer LCOS-Versionen, die noch kein Äquivalent zum
Modus 'immer' kannten, sondern nur einen mixed Mode. Mit dem Wert 0 hat man dann indirekt dafür
gesorgt, daß doch Pakete in allen VLANs getaggt laufen (weil es das VLAN 0 nicht gibt). Heutzutage
könnte man den Wert eigentlich herausschmeißen...

Wieso muss ich auf dem L54-dual das VLAN aktivieren. An diesem AP soll doch nichts getaggt werden, sondern nur weitergeleitet werden. Oder werden die Datenpakete verworfen, wenn sie an dem AP keinen passenden Tag haben und das VLAN deaktiviert ist?

Prinzipiell kannst Du das VLAN-Modul auf den dual ausgeschaltet lassen. In dieser Betriebsart
reicht das LANCOM alle Pakete in der Form weiter, wie sie hereinkamen - quasi wie ein dummer
Switch, der von VLANs gar nichts weiß. Der Vorteil des aktivierten VLAN-Moduls ist, daß Du
den Transport von Paketen aus anderen VLANs als den angegebenen unterbindest.

Wenn das VLAN am L54-dual aktiviert und konfiguriert ist, kann ich dann von 2 anderen APs, die miteinander über den L54-dual als Bridge verbunden sind, Pakete (untagged) hin und her schicken?

In dem Moment, in dem Du das VLAN-Modul einschaltest, werden einkommenden Pakete immer
einem VLAN zugeordnet (entweder über das Port-VLAN oder den Wert, der im Tag steht) und die
Zugehörigkeiten von Ports zu VLANs entscheiden über eine mögliche Weiterleitung. Nehmen wir
also z.B. einmal an, einder der fraglichen LANCOMs ist das nicht bezeichnete Gerät oben links
in der Zeichnung, und Du hättest in dual 1 als Port-VLAN für P2P-2-1 festgelegt. Dann muß der
P2P-Link, über den es zum anderen LANCOM weitergeht, aich Mitglied im VLAN 1 sein.

Muss die Verbindung von PC1 zu PC3 einen getrennten Netzbereich haben? Kann man das VLAN nicht in einem einzelnen Netzbereich, ohne Unterteilung, aufbauen? Die Idee mit den 2 IP-Adressen hatte ich auch schon. Aber es muss doch auch anders gehen, oder?

IP-Adressen sind erstmal Elemente auf Layer 3 und haben mit dem VLAN-basierten Bridging
erstmal nicht zwingend etwas zu tun. Es ist häufig so, daß IP-Adreßbereiche mit VLANs
korrelieren, es gibt aber genauso den Fall, daß IP-Adreßbereiche in verschiedenen VLANs
mehrfach genutzt werden.

- alle 3 Router haben nun jeweils 2 IP-Adressen (eine aus dem default- & eine aus dem Test-Netz)

Bitte in diesem Zusammenhang nicht von 'Routern' sprechen - ein Router ist ein Gerät, das Pakete
aufgrund von Layer 3-Adressen weiterleitet (also IP, IPX etc...). In diesem Szenario haben wir
es aber erstmal überall mit Bridges zu tun, die aufgrund von Layer-2-Adressen (also MAC-Adressen)
arbeiten.

Gruß Alfred

[xsheep]

Hi Alfred,

danke für die kompetente Antwort.
Jetzt ist mir doch so einiges klarer geworden.

Ich werde mich hier noch mal melden und meine Konfiguration kundtun wenn ich es getestet habe.


Noch ein schönes Wochenende.
Gruß Alexei

[ogroni]

Hallo,

alf29 ist mir mit Deinen Fragen schon sehr kompetent zuvorgekommen.
Eines wäre von mir noch anzumerken.

Sicherlich geht es auch mit einem Netzwerksegment (PC1, PC2, PC3), nur etwas umkomfortabel in der Verwaltung.
Die "Kleinigkeiten", die das Leben etwas erleichtern:
- Routing: Eine Kleinigkeit, Internetzugang oder L2L-Kopplungen getrennt zu erlauben oder zu sperren
- DHCP: Jedes Netzwerksegment wird separat behandelt und ein eingebrachter Testrechner ist sofort im richtigen Netz/VLAN
- ...
Es sei denn, Du schiebst das VLAN 1004 zwischen den AP´s nur blind durch. Dann sind 2 sep. Netzwerksegmente uninteressant.

Bis dann ....

Olaf

[xsheep]

Moin,

habe das ganze zum laufen gekriegt.
In der VLAN-Tabelle habe ich für das TEST Vlan noch die P2P-1-1 hinzugefügt.

Die Port-Tabelle vom L-54ag und OAP sieht folgendermaßen aus:
- LAN-1: Tagging-Modus ist Ankom. gemischt, Port-VLAN-ID ist 1004
- P2P-1-1 (beim L-54ag): Tagging-Modus gemischt, Port-VLAN-ID ist 1
- P2P-1-2 (beim OAP): Tagging-Modus gemischt, Port-VLAN-ID ist 1

In der TCP/IP -> IP-Netzwerke konfiguration für L-54ag & OAP habe ich dem INTRANET Netzwerk die P2P-1-1 Schnittstelle zugeordnet. VLAN-ID ist die 1.

Der L54-dual bleibt unkonfiguriert, also kein VLAN aktiviert.

So kann ich PC1 und PC3 miteinander verbinden. Die Konfiguration der APs kann dann nur mit PC2 erfolgen.


Nochmal danke für eure Hilfe!
Gruß Alexei