frosch83
Goto Top

Konfiguration VLAN: Vigor 2850 und Zyxel GS1910-24

Hallo,

ich habe ein Problem beim Aufbau meines privaten VLANs:

Aufbau (Router Vigor 2850):
DHCP für LAN1 aktiviert
VLAN0: Port 1, Subnet: LAN1 (192.168.1.0/24), enable VLAN-TAG VID 1
VLAN1: Port 1, Subnet: LAN1, enable VLAN-TAG VID 2

Anschluss Switch:
für alle Ports:
Ingress Check - enabled
Frame Type: All
Port VLAN Mode: Specific
Port 1: VLAN ID 1 untagged PVID 1
Port 2: VLAN ID 1 unttaged PVID 1
Port 9: VLAN ID 1 tagged PVID 1 ("Trunk")

Klappt: Beide Rechner bekommen eine IP und Ping ist erfolgreich.

Änderung am Switch:
Port 1: wie oben
Port 2: VLAN ID 2 unttaged PVID 2
Port 9: VLAN ID 1 und 2 tagged PVID 1 ("Trunk")

Klappt auch, beide Rechner bekommen eine IP, können sich aber nicht sehen.

Änderung am Router:
VLAN0: wie oben
VLAN1: wie oben, nur Subnet: LAN2 (192.168.2.0/24)

Rechner 2 bekommt keine IP mehr, genauso mit LAN3 und LAN4. Was läuft hier falsch?

Schließe ich an den Switch einen WLAN-AP mit VLAN-Tag-Unterstützung an (SSID1 mit VID 1, SSID2 mit VID 2) und stelle für diesen Port (in VID 1 und 2) TAGGED ein, dann klappt das auch, in beiden SSIDs. Jedenfalls mit SAT-Receiver und Notebook als Rechner 2. 2 Smartphones habe ich getestet, die können das Funknetz sehen, auch den Schlüssel eingeben, aber bekommen wieder keine IP.

Da es mit dem WLAN-AP klappt, liegt es vielleicht doch an den (wenigen) Einstellungen im Switch (Ingress, Frame Type, Port VLAN Mode)?

Schließe ich die beiden Rechner an P1 und P2 des Routers direkt an, und ordne (nun ohne VLAN-Tagging) P1 nach VLAN0 und P2 nach VLAN1 zu, dann funktioniert es auch mit verschiedenen Subnets (inkl. ggf. Subnet-Routing je nach Einstellung).

Firmware habe ich auf den neuesten Stand gebracht. Sucht man im www nach "vigor vlan netgaer sunshine", findet man als ersten Treffer auf ojnetworks.com eine Beschreibung dessen, was ich mir vom Aufbau her so vorstelle.

Gruß, Frosch83.

Content-Key: 231855

Url: https://administrator.de/contentid/231855

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: MrNetman
MrNetman 06.03.2014, aktualisiert am 07.03.2014 um 13:41:54 Uhr
Goto Top
Hi alter Frosch

Du macht aber was ganz anderes als auf der Seite http://www.ojnetworks.com.au/2012/09/creating-tagged-vlan-network-drayt ... steht.

Dir fehlen wohl ein paar Grundlagen.
  • VLANs trennen Netze. Wenn du einen DHCP-Server hast, kann der nur ein VLAN versorgen.
  • Router verbinden Netze über die IP-Bereiche. Wenn der Router oder L3 Switch richtig konfiguriert ist, kann er auch mit DHCP-Anfragen aus anderen Netzen umgehen.
  • tagged Links sind uplinks zwischen Geräten (Switch, Router), die an ein und demselben Port mehrere VLANs transportieren können. Sie sind üblicherweise nicht zum Anschluß von Endgeräten geeignet. Im oberen Link wird das als Trunk-Port bezeichnet.

Gruß
Netman
Mitglied: Frosch83
Frosch83 06.03.2014 um 15:07:45 Uhr
Goto Top
Hallo MrNetman,

was anderes? Oh, das wollt ich nicht face-wink Eigentlich will ich genau das haben: 4-5 verschiedene, getrennte VLANS, mal etwas konkreter als Plan:

VLAN 1 Privat
VLAN 2 Shared (für NAS)
VLAN 3 Kinder
VLAN 4 Gast
VLAN 5 VoIP

mit der Möglichkeit, sowohl "Privat" als auch "Kinder" den Zugriff auf "Shared" zu erlauben, aber eben "Privat" von "Kinder" zu trennen. Ich dachte, die Trennung könnte ich durch die VLANs und den gemeinsamen Zugriff auf VLAN 2 dann durch die im Router angebotenen "Inter-LAN-Routing"-Einstellungen lösen. Nebenbei: Da der Router nur 4 Subnetze managen kann, aber bis zu 8 Vlans, müsste ich zweien der VLANs ein gemeinsames Subnetz zuweisen, aber das scheint ja ojnetworks.com auch zu klappen. Überhaupt müssten im Router die Einstellung eigentlich identisch sein, er hat sie ja auch ganz gut dokumentiert. Nur einen anderen Switch hat er dort.

ad DHCP: Wie auch auf der ojnetworks-Seite in einem Screenshot zu sehen, bietet der Router für jeden LAN-Subnetz-Bereich (4 sind möglich) einen eigenen dhcp-Server an, je unter 192.168.x.1.

ad tagged Links: Genau dafür hab ich in meinem Einstiegsszenario oben ja auch Post 9 am (L2)-Switch gedacht: Von dort geht ein Kabel zum Router.

Gruß,
Frosch83.
Mitglied: MrNetman
Lösung MrNetman 06.03.2014, aktualisiert am 07.03.2014 um 13:41:44 Uhr
Goto Top
Du hast gelöst markiert?

Also: Alle VLANs müssen auf dem uplink getaggt sein. Der Router bekommt so alle VLANs angeliefert. Am Router muss aber der DHCP auch den unterschiedlichen Subnetzen zu konfiguriert werden.
Wenn ich dich verstanden habe, hat dein angeblich ursprünglich funktionierendes VLAN Konzept nur IPs aus einem Netzwerkbereich bekommen.
Sobald du einen zweiten IP-Bereich für den DHCP-Server eingerichtet hast, wurden diese IPs nicht mehr verteilt. Die anderen schon?
Also braucht es eine Verbindung von VLAN zu Subnetz und DHCP.

Die weiteren Ports am Switch sind untagged (en) und einem einzelnen VLAN zugeordnet.
Der WLAN-AP wird auch getaggt (de) angeschlossen und seine SSIDs den selben VLANs zugeordent, wie du sie auch im Netz hast. Damit kannst du diese Netze auch trennen.
siehe http://www.netzmafia.de/skripten/netze/netz7.html#7.6 recht weit unten nach den Grundlagen.
Die VLAN ID 1 ist manchmal etwas kritisch, da dafür häufig die default ID genommen wird.

ein VoIP VLAN ist sehr löblich, aber wenn das Netz klein ist und die Telefone in den jeweiligen Segmenten sind, dann klappt das meist auch so, zumal man ja auch schon mal VoIP Soft-Clients nutzt. (Phoner mit SIP oder gar Skype)

Gruß Netman
Mitglied: Frosch83
Frosch83 06.03.2014 um 17:26:10 Uhr
Goto Top
Die Einstellungen, was die DHCP-Zuordnung bzgl. der Subnetze im Router angeht, scheinen mir richtig zu sein - mit Restrisiko, immerhin funktioniert es ja nicht. Aber er macht ja alles richtig, wenn ich zwei Endgeräte am Router direkt anschließe und unterschiedlichen Subnetzen und auch unterschiedlichen VLANs zuweise. Es gibt erst Probleme, wenn der Switch und damit die VLAN-ID-Tags hinzukommen. Dann klappt es mit den unterschiedlichen Subnetzen überhaupt nicht mehr.

Sollte ich lieber mal VLAN IDs 10, 20, ... nehmen? Ich probiere weiter, noch hab ich nicht aufgegeben. Habe extra drauf geachtet, dass alle Einzelteile das VLAN-Tagging unterstützen ... Muss nur aufpassen, dass ich mich nicht vom Switch aussperre, der hat leider keinen Resetknopf und muss per RS232 resettet werden.

Eine Anfängerfrage noch zum Router: Dort kann ich bei jedem der drei weiteren (Subnetz-)DHCP-Server einstellen, ob "For NAT Usage" oder "For Routing Usage". Ich vermute, NAT ist hier richtig, weil es ja direkt ins WAN gehen soll, oder?

Und noch was zum Switch: In der Zuordnungsmatrix der Ports zu den VLANs gibt es immer drei Möglichkeiten:

grüner Haken: VLAN included
rotes Kreuz: forbidden Port
leer: VLAN not included

Was ist wohl der Unterschied zwischen den letzten beiden Einstellungen?

Bei der VLAN-Port Config im Switch habe ich je Port folgende Einstellmöglichkeiten: Ingress Check (en/disable), Frame Type (All/Tagged), Port VLAN Mode (Specific/None), PVID und TX Tag (Untag_pvid/Tag_all/Untag_all). Wie hängen diese Einstellungen miteinander zusammen? Bezieht sich das alles auf den Verkehr dieses Ports nach oder von außen (Rtg. Endgerät)? Oder auch auf jenen, der vom "Routerport" im Switch hierher geleitet wird? Insbesondere zu den ersten 3 fehlt mir noch ein Weg zu mehr Infos.

Vielen Dank,
Frosch83.

PS: Sorry für das "gelöst", Fehlbedienung beim Versuch, sich zwischen "Antworten" und "Kommentar" zu entscheiden.
Mitglied: aqui
aqui 06.03.2014 um 18:58:46 Uhr
Goto Top
Mitglied: MrNetman
MrNetman 06.03.2014 um 19:00:11 Uhr
Goto Top
ingress check ist für getaggte Links, da wird die VLAN-ID geprüft. das ist z.B: für den Mischbetrieb mit VoIP-Phones.
Für Anwenderports ist das unnötig, da mit dem Anschluß an den Port das VLAN vorbestimmt ist. Das gilt folglich auch für Tx -> untag_all
Der Routerport muss immer komplett getaggt sein, eingehend und ausgehend. Der Router muss ja die Chance bekomme zu erkennen, woher das Paket kommt.
Zum Zugang des Switches. Default VLAN ist eines, das an einem getaggten Port die normalen Ethentpakete annimmt. Damit hat man Zugang. Der Switch sollte aber auf jeden Fall eine (feste) Managementadresse in deinem Lieblings-VLAN bekommen. Dann verlierst du auch die Adresse nicht. Im selben Netz ist dann ja auch der Router erreichbar.

Zur Kreuzchenorgie auf der Weboberfläche.
Es gibt die Möglichkeit von asymetrischen VLANs. Das ist eine Art von Verbindung über einen L2 Switch. Das kann funktionieren. Die saubere Konfiguration von L3 und L2-VLANs ist aber vor zu ziehen und in jedem Falle kompatibel zu andern Herstellern.

Frame Type (All/Tagged) für uplink Ports. Im Falle des Anschlusses eines neuen Switches werden die Pakete ohne VLAN-tag in ein definiertes VLAN geschickt. ISt ganz praktisch für die Ererichbarkeit nach einem austausch. Siehe auch default VLAN.

Gruß
Netman
Mitglied: Frosch83
Frosch83 07.03.2014 um 13:41:07 Uhr
Goto Top
Hallo Netman,

das Problem scheint gelöst. Es muss am Default VLAN ID 1 gelegen haben. Ich habe dieses nun einfach so gelassen und für meinen Aufbau 10, 20, ..., 50 benutzt - nun übrigens exakt so wie auf der anfangs genannten Homepage. Vielen Dank für den Tipp.

Klappt auch mit dem Inter-LAN Routing. Zwar scheint das ein wenig unsauber von Draytek gelöst zu sein. Immerhin wird je nach Einstellung zwischen den verschieden Subnetzen scheinbar ohne Ansehen der VLAN-Zugehörigkeit geroutet. Falls ich also in einem Subnetz mehrere VLANs betreibe, wird das einfach ignoriert. Muss ich mal noch genau testen. Ist halt kein Profigerät. Für meinen Zweck reicht es aber.

In Anerkennung deiner profunden Netzwerkkenntnisse und mit bestem Dank für die freundliche Aufnahme und für Eure Zeit grüßt

Frosch83.
Mitglied: MrNetman
MrNetman 07.03.2014 um 13:46:22 Uhr
Goto Top
Hi Frosch,

deshalb immer wieder der Hinweis auf die Zählweise.
Aber der Draytek routet korrekt. der hat nichts mit den VLANs zu tun. Es ist ein Layer3 Device und kein Layer2 Device.
Wofür man zwei VLANS in einem Subnetz braucht - ich habe oben die Probleme der asymetrischen VLANS erklärt.

Wenns geholfen hat - gerne geschehen