Konfiguration VLAN: Vigor 2850 und Zyxel GS1910-24
Hallo,
ich habe ein Problem beim Aufbau meines privaten VLANs:
Aufbau (Router Vigor 2850):
DHCP für LAN1 aktiviert
VLAN0: Port 1, Subnet: LAN1 (192.168.1.0/24), enable VLAN-TAG VID 1
VLAN1: Port 1, Subnet: LAN1, enable VLAN-TAG VID 2
Anschluss Switch:
für alle Ports:
Ingress Check - enabled
Frame Type: All
Port VLAN Mode: Specific
Port 1: VLAN ID 1 untagged PVID 1
Port 2: VLAN ID 1 unttaged PVID 1
Port 9: VLAN ID 1 tagged PVID 1 ("Trunk")
Klappt: Beide Rechner bekommen eine IP und Ping ist erfolgreich.
Änderung am Switch:
Port 1: wie oben
Port 2: VLAN ID 2 unttaged PVID 2
Port 9: VLAN ID 1 und 2 tagged PVID 1 ("Trunk")
Klappt auch, beide Rechner bekommen eine IP, können sich aber nicht sehen.
Änderung am Router:
VLAN0: wie oben
VLAN1: wie oben, nur Subnet: LAN2 (192.168.2.0/24)
Rechner 2 bekommt keine IP mehr, genauso mit LAN3 und LAN4. Was läuft hier falsch?
Schließe ich an den Switch einen WLAN-AP mit VLAN-Tag-Unterstützung an (SSID1 mit VID 1, SSID2 mit VID 2) und stelle für diesen Port (in VID 1 und 2) TAGGED ein, dann klappt das auch, in beiden SSIDs. Jedenfalls mit SAT-Receiver und Notebook als Rechner 2. 2 Smartphones habe ich getestet, die können das Funknetz sehen, auch den Schlüssel eingeben, aber bekommen wieder keine IP.
Da es mit dem WLAN-AP klappt, liegt es vielleicht doch an den (wenigen) Einstellungen im Switch (Ingress, Frame Type, Port VLAN Mode)?
Schließe ich die beiden Rechner an P1 und P2 des Routers direkt an, und ordne (nun ohne VLAN-Tagging) P1 nach VLAN0 und P2 nach VLAN1 zu, dann funktioniert es auch mit verschiedenen Subnets (inkl. ggf. Subnet-Routing je nach Einstellung).
Firmware habe ich auf den neuesten Stand gebracht. Sucht man im www nach "vigor vlan netgaer sunshine", findet man als ersten Treffer auf ojnetworks.com eine Beschreibung dessen, was ich mir vom Aufbau her so vorstelle.
Gruß, Frosch83.
ich habe ein Problem beim Aufbau meines privaten VLANs:
Aufbau (Router Vigor 2850):
DHCP für LAN1 aktiviert
VLAN0: Port 1, Subnet: LAN1 (192.168.1.0/24), enable VLAN-TAG VID 1
VLAN1: Port 1, Subnet: LAN1, enable VLAN-TAG VID 2
Anschluss Switch:
für alle Ports:
Ingress Check - enabled
Frame Type: All
Port VLAN Mode: Specific
Port 1: VLAN ID 1 untagged PVID 1
Port 2: VLAN ID 1 unttaged PVID 1
Port 9: VLAN ID 1 tagged PVID 1 ("Trunk")
Klappt: Beide Rechner bekommen eine IP und Ping ist erfolgreich.
Änderung am Switch:
Port 1: wie oben
Port 2: VLAN ID 2 unttaged PVID 2
Port 9: VLAN ID 1 und 2 tagged PVID 1 ("Trunk")
Klappt auch, beide Rechner bekommen eine IP, können sich aber nicht sehen.
Änderung am Router:
VLAN0: wie oben
VLAN1: wie oben, nur Subnet: LAN2 (192.168.2.0/24)
Rechner 2 bekommt keine IP mehr, genauso mit LAN3 und LAN4. Was läuft hier falsch?
Schließe ich an den Switch einen WLAN-AP mit VLAN-Tag-Unterstützung an (SSID1 mit VID 1, SSID2 mit VID 2) und stelle für diesen Port (in VID 1 und 2) TAGGED ein, dann klappt das auch, in beiden SSIDs. Jedenfalls mit SAT-Receiver und Notebook als Rechner 2. 2 Smartphones habe ich getestet, die können das Funknetz sehen, auch den Schlüssel eingeben, aber bekommen wieder keine IP.
Da es mit dem WLAN-AP klappt, liegt es vielleicht doch an den (wenigen) Einstellungen im Switch (Ingress, Frame Type, Port VLAN Mode)?
Schließe ich die beiden Rechner an P1 und P2 des Routers direkt an, und ordne (nun ohne VLAN-Tagging) P1 nach VLAN0 und P2 nach VLAN1 zu, dann funktioniert es auch mit verschiedenen Subnets (inkl. ggf. Subnet-Routing je nach Einstellung).
Firmware habe ich auf den neuesten Stand gebracht. Sucht man im www nach "vigor vlan netgaer sunshine", findet man als ersten Treffer auf ojnetworks.com eine Beschreibung dessen, was ich mir vom Aufbau her so vorstelle.
Gruß, Frosch83.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 231855
Url: https://administrator.de/contentid/231855
Ausgedruckt am: 28.03.2024 um 23:03 Uhr
8 Kommentare
Neuester Kommentar
Hi alter Frosch
Du macht aber was ganz anderes als auf der Seite http://www.ojnetworks.com.au/2012/09/creating-tagged-vlan-network-drayt ... steht.
Dir fehlen wohl ein paar Grundlagen.
Gruß
Netman
Du macht aber was ganz anderes als auf der Seite http://www.ojnetworks.com.au/2012/09/creating-tagged-vlan-network-drayt ... steht.
Dir fehlen wohl ein paar Grundlagen.
- VLANs trennen Netze. Wenn du einen DHCP-Server hast, kann der nur ein VLAN versorgen.
- Router verbinden Netze über die IP-Bereiche. Wenn der Router oder L3 Switch richtig konfiguriert ist, kann er auch mit DHCP-Anfragen aus anderen Netzen umgehen.
- tagged Links sind uplinks zwischen Geräten (Switch, Router), die an ein und demselben Port mehrere VLANs transportieren können. Sie sind üblicherweise nicht zum Anschluß von Endgeräten geeignet. Im oberen Link wird das als Trunk-Port bezeichnet.
Gruß
Netman
Du hast gelöst markiert?
Also: Alle VLANs müssen auf dem uplink getaggt sein. Der Router bekommt so alle VLANs angeliefert. Am Router muss aber der DHCP auch den unterschiedlichen Subnetzen zu konfiguriert werden.
Wenn ich dich verstanden habe, hat dein angeblich ursprünglich funktionierendes VLAN Konzept nur IPs aus einem Netzwerkbereich bekommen.
Sobald du einen zweiten IP-Bereich für den DHCP-Server eingerichtet hast, wurden diese IPs nicht mehr verteilt. Die anderen schon?
Also braucht es eine Verbindung von VLAN zu Subnetz und DHCP.
Die weiteren Ports am Switch sind untagged (en) und einem einzelnen VLAN zugeordnet.
Der WLAN-AP wird auch getaggt (de) angeschlossen und seine SSIDs den selben VLANs zugeordent, wie du sie auch im Netz hast. Damit kannst du diese Netze auch trennen.
siehe http://www.netzmafia.de/skripten/netze/netz7.html#7.6 recht weit unten nach den Grundlagen.
Die VLAN ID 1 ist manchmal etwas kritisch, da dafür häufig die default ID genommen wird.
ein VoIP VLAN ist sehr löblich, aber wenn das Netz klein ist und die Telefone in den jeweiligen Segmenten sind, dann klappt das meist auch so, zumal man ja auch schon mal VoIP Soft-Clients nutzt. (Phoner mit SIP oder gar Skype)
Gruß Netman
Also: Alle VLANs müssen auf dem uplink getaggt sein. Der Router bekommt so alle VLANs angeliefert. Am Router muss aber der DHCP auch den unterschiedlichen Subnetzen zu konfiguriert werden.
Wenn ich dich verstanden habe, hat dein angeblich ursprünglich funktionierendes VLAN Konzept nur IPs aus einem Netzwerkbereich bekommen.
Sobald du einen zweiten IP-Bereich für den DHCP-Server eingerichtet hast, wurden diese IPs nicht mehr verteilt. Die anderen schon?
Also braucht es eine Verbindung von VLAN zu Subnetz und DHCP.
Die weiteren Ports am Switch sind untagged (en) und einem einzelnen VLAN zugeordnet.
Der WLAN-AP wird auch getaggt (de) angeschlossen und seine SSIDs den selben VLANs zugeordent, wie du sie auch im Netz hast. Damit kannst du diese Netze auch trennen.
siehe http://www.netzmafia.de/skripten/netze/netz7.html#7.6 recht weit unten nach den Grundlagen.
Die VLAN ID 1 ist manchmal etwas kritisch, da dafür häufig die default ID genommen wird.
ein VoIP VLAN ist sehr löblich, aber wenn das Netz klein ist und die Telefone in den jeweiligen Segmenten sind, dann klappt das meist auch so, zumal man ja auch schon mal VoIP Soft-Clients nutzt. (Phoner mit SIP oder gar Skype)
Gruß Netman
Grundlagen zum VLAN kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ingress check ist für getaggte Links, da wird die VLAN-ID geprüft. das ist z.B: für den Mischbetrieb mit VoIP-Phones.
Für Anwenderports ist das unnötig, da mit dem Anschluß an den Port das VLAN vorbestimmt ist. Das gilt folglich auch für Tx -> untag_all
Der Routerport muss immer komplett getaggt sein, eingehend und ausgehend. Der Router muss ja die Chance bekomme zu erkennen, woher das Paket kommt.
Zum Zugang des Switches. Default VLAN ist eines, das an einem getaggten Port die normalen Ethentpakete annimmt. Damit hat man Zugang. Der Switch sollte aber auf jeden Fall eine (feste) Managementadresse in deinem Lieblings-VLAN bekommen. Dann verlierst du auch die Adresse nicht. Im selben Netz ist dann ja auch der Router erreichbar.
Zur Kreuzchenorgie auf der Weboberfläche.
Es gibt die Möglichkeit von asymetrischen VLANs. Das ist eine Art von Verbindung über einen L2 Switch. Das kann funktionieren. Die saubere Konfiguration von L3 und L2-VLANs ist aber vor zu ziehen und in jedem Falle kompatibel zu andern Herstellern.
Frame Type (All/Tagged) für uplink Ports. Im Falle des Anschlusses eines neuen Switches werden die Pakete ohne VLAN-tag in ein definiertes VLAN geschickt. ISt ganz praktisch für die Ererichbarkeit nach einem austausch. Siehe auch default VLAN.
Gruß
Netman
Für Anwenderports ist das unnötig, da mit dem Anschluß an den Port das VLAN vorbestimmt ist. Das gilt folglich auch für Tx -> untag_all
Der Routerport muss immer komplett getaggt sein, eingehend und ausgehend. Der Router muss ja die Chance bekomme zu erkennen, woher das Paket kommt.
Zum Zugang des Switches. Default VLAN ist eines, das an einem getaggten Port die normalen Ethentpakete annimmt. Damit hat man Zugang. Der Switch sollte aber auf jeden Fall eine (feste) Managementadresse in deinem Lieblings-VLAN bekommen. Dann verlierst du auch die Adresse nicht. Im selben Netz ist dann ja auch der Router erreichbar.
Zur Kreuzchenorgie auf der Weboberfläche.
Es gibt die Möglichkeit von asymetrischen VLANs. Das ist eine Art von Verbindung über einen L2 Switch. Das kann funktionieren. Die saubere Konfiguration von L3 und L2-VLANs ist aber vor zu ziehen und in jedem Falle kompatibel zu andern Herstellern.
Frame Type (All/Tagged) für uplink Ports. Im Falle des Anschlusses eines neuen Switches werden die Pakete ohne VLAN-tag in ein definiertes VLAN geschickt. ISt ganz praktisch für die Ererichbarkeit nach einem austausch. Siehe auch default VLAN.
Gruß
Netman
Hi Frosch,
deshalb immer wieder der Hinweis auf die Zählweise.
Aber der Draytek routet korrekt. der hat nichts mit den VLANs zu tun. Es ist ein Layer3 Device und kein Layer2 Device.
Wofür man zwei VLANS in einem Subnetz braucht - ich habe oben die Probleme der asymetrischen VLANS erklärt.
Wenns geholfen hat - gerne geschehen
deshalb immer wieder der Hinweis auf die Zählweise.
Aber der Draytek routet korrekt. der hat nichts mit den VLANs zu tun. Es ist ein Layer3 Device und kein Layer2 Device.
Wofür man zwei VLANS in einem Subnetz braucht - ich habe oben die Probleme der asymetrischen VLANS erklärt.
Wenns geholfen hat - gerne geschehen