Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firmen-VLAN und Gast-VLAN per WLAN

Frage Netzwerke LAN, WAN, Wireless

Mitglied: itse.com

itse.com (Level 1) - Jetzt verbinden

23.09.2014, aktualisiert 10:20 Uhr, 2299 Aufrufe, 6 Kommentare

Ich versuche es kurz zu machen und hoffe das ich mich klar ausdrücke. Bei Fragen einfach fragen. Kurz das Thema, ein Firmen-VLAN per WLAN und Gast-VLAN per WLAN über einen AP mit Multi-SSID in eine bestehende IT-Infrastruktur einbinden. ARF (Advanced Routing and Forwarding) soll nicht benutzt werden.

Folgende Gerätekonfiguration:
AP mit Multi-SSID - Primary-SSID ist Firma und SSID-1 ist Gast
- VLAN10(Firma) und VLAN20(Gast), default VLAN unverändert, VLAN10 und 20 sind LAN-seitig tagged

Switch 1 - am Port 7 ist der AP angeschlossen, Port 7 ist tagged
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
- Port 7 und Port 1 gehören zu den VLANs
- alle anderen Ports 'Not Member'

Switch 2 - am Port 10 ist der Router 1781EW angeschlossen, Port 10 ist tagged
- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged
- Port 10 und 21 gehören zu den VLANs
- alle anderen Ports 'Not Member'

Router - ETH1 - Firmen-LAN
- ETH2 - VLAN
- ETH3 - GastLAN1
- ETH4 - GastLAN2

1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren? Das Firmen-LAN soll nicht verändert werden.
Das Gast-VLAN soll keinen Zugriff aufs Firmen-LAN haben...(logisch)

Router-Konfiguration:
Ich konfiguriere ETH2 so -> ETH2 ist LAN-2, neues Netz -> 192.168.20.20/24
- Netzwerktyp: Intranet
- VLAN-ID: 20
- Schnittstellen-Zuordnung: LAN-2
- Adressprüfung: streng
- Schnittstellen-Tag: 0
- Kommentar: VLAN

2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Es ist für mich nicht logisch nachzuvollziehen wie das überhaupt gehen soll zweimal das Firmen-LAN zu haben einmal im VLAN -tagged- und einmal ohne VLAN. Das Firmen-VLAN soll die IP-Adressen vom firmeninternen DHCP Server beziehen.
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Für das Gast-VLAN richte ich noch im Router den DHCP ein.

3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???

Ich habe an diesen VLAN-Konfigurationsversuchen schon zu viel Zeit verbracht und ich habe keine Lust den Router Kaputt-Zu-Reseten.

4.) Kann mir jemand sagen wo der Fehler ist?

abde48f9b4ab4de8a458cc05bcee8da0 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Philipp711
23.09.2014, aktualisiert um 09:47 Uhr
Hallo,

für meine Begriffe ist alles bis auf die Verbindungskonfiguration Router -> Switch korrekt!

Ich würde sagen, du hast zwei Möglichkeiten:

1) Du konfigurierst auf dem Router eine Schnittstelle als Tagged und "legst" dort die beiden VLAN's 10 und 20 "drauf" - passend dazu musst du natürlich auch am Switch den Port mit VLAN 10 und 20 taggen.

2) Zu ziehst für jedes VLAN eine eigene Strippe zum Router. D.h. an dem Switch konfigurierst du für jedes VLAN ein untagged/Access-Port. Am Router lässt du ETH1 für das Firmen-LAN auf untagged/Access-Port und ebenso konfigurierst du ETH2 für das Gast-LAN. Jetzt verbindest du den Router mit jeweils einem Kabel pro VLAN...

Hoffe ich konnte dir helfen...
Bitte warten ..
Mitglied: aqui
23.09.2014, aktualisiert um 11:19 Uhr
Das zum Thema gehörende Forums Tutorial hier hast du gelesen ??
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Speziell das Kapitel "Praxisbeispiel" ?
Dort werden eigentlich alle Fragen abgehandelt.

Nich ein paar Anmerkungen zum Rest:
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
Das ist so technisch nicht möglich !
Wenn, dann muss bei einem LACP Trunk beide Ports immer identisch sein. Folglich müssen die beiden Trunk Member Port 1 und 2 tagged sein !
Analog hast du auch den gleichen Fehler auf der anderen Seite an Switch 2 gemacht: ("- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged"). Hier muss natürlich 21 und 22 getagged sein damit die Member wieder identisch sind !

Zu deinen Fragen:
1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren?
Ja, natürlich ! Du verwendest dann am Router auch einen Tagged Link. Das o.a. Tutorial erklärt es dir unter anderem auch im Praxisbeispiel !
2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Nein, du irsst dich nicht ! Das wäre Blödsinn und auch technsich falsch. Mal ganz abgesehen davon das du auch damit einen Routing Loop erzeugtst...also ein absolutes NoGo !
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Kein Wunder, denn die Management IP Adresse des Routers bleibt ja weiterhin im Default VLAN 1 sofern du am Router einen tagged Port benutzt und keine dedizierten Einzelports pro VLAN. Das erklärst du aber leider nicht eindeutig, so das deine Router Konfig hier ziemlich unklar und verwirrend ist
Hier brauchen wir eine detailiertere Info !
3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???
Falsch ! Das Default VLAN 1 wird auf einem Trunk parallel immer untagged übertragen. Du hast auf einem Trunk also immer in der Regel beide Frame Formate !
WAS bitte genau meist du mit "VLAN-Modul" ??? Sowas gibt es als Netzwerk Terminus nicht. Was soll das also sein ? Das du einen Trunk Port am Router generierst ?!
Auch hier genaue Erklärung oder Blick ins obige Tutorial !
4.) Kann mir jemand sagen wo der Fehler ist?
Generell ist dein Konzept absolut richtig !
Dein Fehler liegt vermutlich an 2 Stellen:
1.) LACP Trunk falsch konfiguriert
2.) Trunk auf den Router falsch konfiguriert !
Wenn du da suchst wirst du das schnell fixen. Das o.a. Tutorial beschreibt im Praxisbeispiel ganz genau dieses Szenario mit allen Settings so das das ein Kinderspiel sein sollte das zuzm Fliegen zu bringen !
Bitte warten ..
Mitglied: itse.com
23.09.2014 um 09:57 Uhr
Hallo Phillipp711,

Danke für deine Antwort...

Das mit den pro VLAN ein Kabel ist eben genau das was ich/wir nicht machen wollen...weil es einfach wäre

Das Problem mit dem ich "lege" VLANs 10 und 20 "drauf" ist, dass ich keine Ahnung habe wie ich es im Router (Lancom 1781EW) konfigurieren soll/muss...
Der Support von Lancom will das gleich mit der Fernwartung machen für xx€...
Das Handbuch hilft mir/uns leider nicht weiter...

Dennoch Vielen Dank für deine Mühe...!!!
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.09.2014, aktualisiert um 10:20 Uhr
Das mit den pro VLAN ein Kabel ist eben genau das was ich/wir nicht machen wollen...weil es einfach wäre
Richtig ! Das wäre eine dilettantische Bastellösung. Mit deinem Trunk auf den Router bist du auf dem richtigen Weg !
Das Problem mit dem ich "lege" VLANs 10 und 20 "drauf" ist, dass ich keine Ahnung habe wie ich es im Router (Lancom 1781EW) konfigurieren soll/muss...
DAS ist genau der Knackpunkt !
Hier solltest du mal ins Handbuch sehen oder einer unser Lancom Spezls wie Kollege @Arch-Stanton hier muss mal ran und erklären wie man das macht.
Lancom hat dazu was in seiner Knowledgebase:
https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
...wo es ja mit einem 1711 beschrieben ist das es geht !
Lancom nennt das irgendwie "ARF". Klingt wieder ganz anders wie es der Rest der Welt nennt aber damit geht es ja scheinbar ?!
Hört sich aber in der Doku dazu an als ob man da dann sowas wie ein "VLAN Modul" benötigt, was auch immer das ist..?
Ansonsten schaltest du eine kleine_Firewall davor mit einem Captive Portal für die Gäste und dann klappt das im Handumdrehen ohne "Module" und Frickelei...
Bitte warten ..
Mitglied: itse.com
23.09.2014 um 10:29 Uhr
Danke für deine Antworten @aqui...


Erst hieß es das wir nicht ARF nehmen weil das die Lösung mit den pro VLAN ein Kabel wäre...!!!
Jetzt hat mein Chef gesagt wir Konfigurieren ARF am Router und legen pro VLAN ein Kabel -untagged- am konfigurieren Switch...!!!

Ja, ich wäre auch lieber dran geblieben und hätte gern mit eurer Hilfe nach einer Lösung gesucht...
Jetzt heißt es die Switche neu zu patchen damit wir zwei frei Ports erhalten die zum Router gehen... und dann neu konfigurieren...!!! .

Ich Danke Allen die sich bereits schon was überlegt haben bzw. denen die mir schon geholfen haben...

@aqui...das mit dem LACP-Trunk war eine große Hilfe und ich habe wieder etwas dazu gelernt...Danke...!!! ...weiter so...!!!
Bitte warten ..
Mitglied: aqui
23.09.2014, aktualisiert um 11:18 Uhr
Jetzt hat mein Chef gesagt wir....
Das passiert dann wenn mit einmal wieder Kaufleute (oder was auch immer der Chef ist..?) über sinvolle IT Lösungen entscheiden....no comment.
Eigentlich bist du ja der Fachangestellte der den Chef bei der IT beraten sollte und bestimmt was gemacht wird, denn du musst ja damit umgehen...komische Hierarchie bei euch, aber egal.
Aber OK auch die Bastelvariante nach dem Motto Warum einfach machen wenns umständlich auch geht.. wird so klaglos funktionieren.
Hat auch noch den kleinen Vorteil das beide VLANs nicht einen Link sharen müssen aber den Nachteil der Fehleranfälligkeit durch die aufwendigere Kabelage.
Na ja... Hauptsache es klappt alles zum Schluss und der Cheffe ist zufrieden.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
VLAN Konfiguration Gast-WLAN
gelöst Frage von gt1988tgNetzwerkmanagement2 Kommentare

Guten Tag! Wir haben ein Netzwerk mit der IP 10.0.0.1/21. Es sind Netgear Managed Switche vorhanden. Der Internetzugang geschieht ...

LAN, WAN, Wireless
Default VLAN und Gäste VLAN...
gelöst Frage von itse.comLAN, WAN, Wireless5 Kommentare

Hallo ich muss mal eine Verständnis-Frage(n) stellen zum Thema VLAN genauer gesagt das default VLAN, Management VLAN oder wie ...

LAN, WAN, Wireless
VLAN mit Server und 2 Firmen
Frage von MarcoBrueckLAN, WAN, Wireless6 Kommentare

Guten Morgen, da ich im Bereich VLAN noch nicht wirklich viel gemacht habe bräuchte ichneure Hilfe bei folgendem Problem: ...

Switche und Hubs
VLAN für Gäste WLAN einrichten über FritzBox und Switch
gelöst Frage von Elo-14Switche und Hubs10 Kommentare

Hi zusammen, Es geht um das gute alte Wohnzimmer und die ganzen Besucher die ständig in meinem WLAN rumlungern. ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 1 MinuteMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 12 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 19 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 21 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...