Hallo.
Wir haben 25 L-54g im Gebäude verteilt, die als AP für WirelessClients dienen sollen. Desweiteren sind mehrere VLANs definiert, wobei nur 2 VLANs für die AP und deren Clients interessant sind. Meinetwegen VLAN 1 als sog. Management-VLAN und Adressbereich 192.168.1.0 sowie VLAN 60 mit Adressbereich 192.168.60.0. Über VLAN 1 will ich zu Konfigurationszwecken zugreifen können, dazu bekommt der AP eine feste Adresse aus diesem Bereich. Im VLAN 60 sollen alle wireless Clients arbeiten, dazu soll der AP als DHCP-Relay fungieren.
Jetzt ist mir nicht ganz klar, wie die Ports (LAN, WLAN) zu "taggen" sind, damit es sauber funktioniert. Und ... lass ich dem AP auch per DHCP eine Adresse aus dem 60er bereich ziehen oder braucht er garkeine ?
Andreas
VLAN Tagging
Moderator: Lancom-Systems Moderatoren
Moin,
das Tagging für die Clients und das Management-VLAN
bekommst Du schon hin:
(1) beide VLANs definieren, dem Management-VLAN nur
LAN-1 zuordnen, dem Client-VLAN LAN-1 und die
passenden WLANs zuordnen
(2) auf den WLANs das Port-VLAN auf das Client-VLAN
legen, Tagging ausschalten
(3) auf dem LAN das Tagging anschalten und dessen
Port-VLAN auf einen Wert ungleich dem Management-
VLAN und dem Client-VLAN setzen (egress legt das
Port-VLAN fest, für Pakete aus welchen VLAN kein
Tag gesetzt werden soll)
(4) Geräte-VLAN-Id auf das Management-VLAN setzen.
Das mit dem DHCP-Relay geht aber nicht. Alle 'geräte-
internen' Dienste, also alles an Traffic, was nicht gebridget
wird, können nur über das eine Device-VLAN erreicht
werden, das LANCOM kann deswegen IP-mäßig nicht
gleichzeitig im Management- und Client-VLAN erreichbar
sein. Diese Einschränkung wird vielleicht irgendwann
einmal fallen, aber das wird sicher noch einige Zeit
dauern...
Gruß Alfred
das Tagging für die Clients und das Management-VLAN
bekommst Du schon hin:
(1) beide VLANs definieren, dem Management-VLAN nur
LAN-1 zuordnen, dem Client-VLAN LAN-1 und die
passenden WLANs zuordnen
(2) auf den WLANs das Port-VLAN auf das Client-VLAN
legen, Tagging ausschalten
(3) auf dem LAN das Tagging anschalten und dessen
Port-VLAN auf einen Wert ungleich dem Management-
VLAN und dem Client-VLAN setzen (egress legt das
Port-VLAN fest, für Pakete aus welchen VLAN kein
Tag gesetzt werden soll)
(4) Geräte-VLAN-Id auf das Management-VLAN setzen.
Das mit dem DHCP-Relay geht aber nicht. Alle 'geräte-
internen' Dienste, also alles an Traffic, was nicht gebridget
wird, können nur über das eine Device-VLAN erreicht
werden, das LANCOM kann deswegen IP-mäßig nicht
gleichzeitig im Management- und Client-VLAN erreichbar
sein. Diese Einschränkung wird vielleicht irgendwann
einmal fallen, aber das wird sicher noch einige Zeit
dauern...
Gruß Alfred
-
troublefix
- Beiträge: 7
- Registriert: 22 Aug 2006, 15:39
Gut. Wenn ich das richtig verstehe, kann ich meinen AP nur über das Management-VLAN 192.168.1.0 IP-mäßig erreichen. Ich dachte aber, dass es möglich sein muss DHCP-Requests an unseren DHCP-Server weiterzuleiten, der sich aber in einem anderen VLAN und einem anderen IP-Subnetz befindet, oder nicht ?
Wenn nicht, könnte ich das lösen indem ich den AP auch in das VLAN der Clients nehme und somit ihm auch eine feste Adresse aus diesem Bereich gebe ? Ich müsste dann die Konfiguration eben auch über diese Adresse machen. Besteht da nicht auch die Gefahr, dass ihn die Clients attackieren ?
Andreas
Wenn nicht, könnte ich das lösen indem ich den AP auch in das VLAN der Clients nehme und somit ihm auch eine feste Adresse aus diesem Bereich gebe ? Ich müsste dann die Konfiguration eben auch über diese Adresse machen. Besteht da nicht auch die Gefahr, dass ihn die Clients attackieren ?
Andreas
Moin,
Geräten durch den IP-Stack des Gerätes, und der hat wie
gesagt die Einschränkung, daß er insgesamt nur Pakete
aus einem VLAN annimmt (DHCP-Requests sind ja
auch IP-Pakete). Er kann zwar mehrere IP-Adressen
verwalten (z.B. Iintranet- und DMZ-Adresse), aber wie
gesagt nur ein VLAN.
IP-Adressen
Wenn Du es nicht
brauchst, wirst Du ohnehin die Gerätekonfiguration vom
WLAN her ausschalten, unabhängig von der VLAN-Konfig.
Gruß Alfred
Management des Gerätes läuft wie das Forwarding vonGut. Wenn ich das richtig verstehe, kann ich meinen AP nur über das Management-VLAN 192.168.1.0 IP-mäßig erreichen. Ich dachte aber, dass es möglich sein muss DHCP-Requests an unseren DHCP-Server weiterzuleiten, der sich aber in einem anderen VLAN und einem anderen IP-Subnetz befindet, oder nicht ?
Geräten durch den IP-Stack des Gerätes, und der hat wie
gesagt die Einschränkung, daß er insgesamt nur Pakete
aus einem VLAN annimmt (DHCP-Requests sind ja
auch IP-Pakete). Er kann zwar mehrere IP-Adressen
verwalten (z.B. Iintranet- und DMZ-Adresse), aber wie
gesagt nur ein VLAN.
IP-Adressen
Ich kenne jetzt Deine Clients nichtWenn nicht, könnte ich das lösen indem ich den AP auch in das VLAN der Clients nehme und somit ihm auch eine feste Adresse aus diesem Bereich gebe ? Ich müsste dann die Konfiguration eben auch über diese Adresse machen. Besteht da nicht auch die Gefahr, dass ihn die Clients attackieren ?
Wenn Du es nichtbrauchst, wirst Du ohnehin die Gerätekonfiguration vom
WLAN her ausschalten, unabhängig von der VLAN-Konfig.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
troublefix
- Beiträge: 7
- Registriert: 22 Aug 2006, 15:39
Hallo.
Also ich habe jetzt mal ein VLAN (nur eines) konfiguriert. VLAN-ID 200 so wie auch auf den Switchen und Hubs vorgesehen und auf die Interfaces LAN-1 und WLAN-1 gelegt. (Siehe Abbildung). Bei der Port-Tabelle verstehe ich die Rolle der PORT-VLAN-ID nicht, die muss offensichtlich eine andere (als 200 und aller andern im Netz definierten VLANs) sein ?
Noch eine andere Frage: Funkkanal automatisch ? Heißt das, das sich die AP selbst einen Kanal suchen und dabei bestehende Kanäle in der Nähe befindlicher AP berücksichtigen ? Das wäre genial ?
Dank im voraus (werde wohl noch mehr Fragen haben)
Andreas
Also ich habe jetzt mal ein VLAN (nur eines) konfiguriert. VLAN-ID 200 so wie auch auf den Switchen und Hubs vorgesehen und auf die Interfaces LAN-1 und WLAN-1 gelegt. (Siehe Abbildung). Bei der Port-Tabelle verstehe ich die Rolle der PORT-VLAN-ID nicht, die muss offensichtlich eine andere (als 200 und aller andern im Netz definierten VLANs) sein ?
Noch eine andere Frage: Funkkanal automatisch ? Heißt das, das sich die AP selbst einen Kanal suchen und dabei bestehende Kanäle in der Nähe befindlicher AP berücksichtigen ? Das wäre genial ?
Dank im voraus (werde wohl noch mehr Fragen haben)
Andreas
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Moin,
(1) wenn auf diesem Port ein ungetaggtes Paket
hereinkommt, dann legt diese Einstellung fest, welchem
VLAN das Paket zugeordnet wird. Das ist z.B. für die
WLANs wichtig, weil von den WLAN-Clients ja erstmal
ungetaggte Pakete hereinkommen, die der AP irgendwie
zuordnen muß.
(2) Wenn ein Pakete auf einem Port verschickt wird, auf
dem Tagging eingeschaltet ist, dann legt die Port-VLAN-Id
fest, für Pakete aus welchem VLAN doch kein Tag eingesetzt
wird. Dies ist quasi das Spiegelbild zu (1) und notwendig,
wenn man z.B. auf dem LAN gemischt mit getaggten und
ungetaggten Pakete arbeitet.
einmal über das Band gescannt.
Gruß Alfred
Die Port-VLAN-ID hat zwei Zwecke:Also ich habe jetzt mal ein VLAN (nur eines) konfiguriert. VLAN-ID 200 so wie auch auf den Switchen und Hubs vorgesehen und auf die Interfaces LAN-1 und WLAN-1 gelegt. (Siehe Abbildung). Bei der Port-Tabelle verstehe ich die Rolle der PORT-VLAN-ID nicht, die muss offensichtlich eine andere (als 200 und aller andern im Netz definierten VLANs) sein ?
(1) wenn auf diesem Port ein ungetaggtes Paket
hereinkommt, dann legt diese Einstellung fest, welchem
VLAN das Paket zugeordnet wird. Das ist z.B. für die
WLANs wichtig, weil von den WLAN-Clients ja erstmal
ungetaggte Pakete hereinkommen, die der AP irgendwie
zuordnen muß.
(2) Wenn ein Pakete auf einem Port verschickt wird, auf
dem Tagging eingeschaltet ist, dann legt die Port-VLAN-Id
fest, für Pakete aus welchem VLAN doch kein Tag eingesetzt
wird. Dies ist quasi das Spiegelbild zu (1) und notwendig,
wenn man z.B. auf dem LAN gemischt mit getaggten und
ungetaggten Pakete arbeitet.
Ja, genau das heißt es. Vor dem Start der Funkzelle wirdNoch eine andere Frage: Funkkanal automatisch ? Heißt das, das sich die AP selbst einen Kanal suchen und dabei bestehende Kanäle in der Nähe befindlicher AP berücksichtigen ? Das wäre genial ?
einmal über das Band gescannt.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
troublefix
- Beiträge: 7
- Registriert: 22 Aug 2006, 15:39
Moin,
Port-VLAN fest , für Pakete aus welchen VLAN *kein* Tag
eingesetzt werden soll. Wenn auf Deinem LAN
grundsätzlich alle Pakete getaggt sind, wählst Du deshalb
dort die ID irgendeines VLANs, daß in Deinem LAN *nicht*
vorkommt. Falls in Deinem LAN gemischt getaggte und
ungetaggte Pakete laufen, setzt Du dort die ID des VLANs
ein, dem die ungetaggten Pakete angehören sollen.
Auf dem WLAN setzt Du deswegen als Port-VLAN das
VLAN der WLAN-Clients ein.
Pakete annehmen - also das Management-VLAN.
Gruß Alfred
Ich wiederhole: Bei ausgehenden Paketen legt dasDann müsst ich doch da auch die 200 eintragen, oder nicht ? In der Hilfe steht abe, es soll eine andere sein ? Versteh' ich immer noch nicht.
Port-VLAN fest , für Pakete aus welchen VLAN *kein* Tag
eingesetzt werden soll. Wenn auf Deinem LAN
grundsätzlich alle Pakete getaggt sind, wählst Du deshalb
dort die ID irgendeines VLANs, daß in Deinem LAN *nicht*
vorkommt. Falls in Deinem LAN gemischt getaggte und
ungetaggte Pakete laufen, setzt Du dort die ID des VLANs
ein, dem die ungetaggten Pakete angehören sollen.
Auf dem WLAN setzt Du deswegen als Port-VLAN das
VLAN der WLAN-Clients ein.
Das ist genau das VLAN, aus dem interne Dienste im GerätWas ist die VLAN-ID des Gerätes und der dazu gehörende Tag ?
Pakete annehmen - also das Management-VLAN.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015