Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firmen-VLAN und Gast-VLAN per WLAN

Frage Netzwerke LAN, WAN, Wireless

Mitglied: itse.com

itse.com (Level 1) - Jetzt verbinden

23.09.2014, aktualisiert 10:20 Uhr, 2013 Aufrufe, 6 Kommentare

Ich versuche es kurz zu machen und hoffe das ich mich klar ausdrücke. Bei Fragen einfach fragen. Kurz das Thema, ein Firmen-VLAN per WLAN und Gast-VLAN per WLAN über einen AP mit Multi-SSID in eine bestehende IT-Infrastruktur einbinden. ARF (Advanced Routing and Forwarding) soll nicht benutzt werden.

Folgende Gerätekonfiguration:
AP mit Multi-SSID - Primary-SSID ist Firma und SSID-1 ist Gast
- VLAN10(Firma) und VLAN20(Gast), default VLAN unverändert, VLAN10 und 20 sind LAN-seitig tagged

Switch 1 - am Port 7 ist der AP angeschlossen, Port 7 ist tagged
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
- Port 7 und Port 1 gehören zu den VLANs
- alle anderen Ports 'Not Member'

Switch 2 - am Port 10 ist der Router 1781EW angeschlossen, Port 10 ist tagged
- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged
- Port 10 und 21 gehören zu den VLANs
- alle anderen Ports 'Not Member'

Router - ETH1 - Firmen-LAN
- ETH2 - VLAN
- ETH3 - GastLAN1
- ETH4 - GastLAN2

1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren? Das Firmen-LAN soll nicht verändert werden.
Das Gast-VLAN soll keinen Zugriff aufs Firmen-LAN haben...(logisch)

Router-Konfiguration:
Ich konfiguriere ETH2 so -> ETH2 ist LAN-2, neues Netz -> 192.168.20.20/24
- Netzwerktyp: Intranet
- VLAN-ID: 20
- Schnittstellen-Zuordnung: LAN-2
- Adressprüfung: streng
- Schnittstellen-Tag: 0
- Kommentar: VLAN

2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Es ist für mich nicht logisch nachzuvollziehen wie das überhaupt gehen soll zweimal das Firmen-LAN zu haben einmal im VLAN -tagged- und einmal ohne VLAN. Das Firmen-VLAN soll die IP-Adressen vom firmeninternen DHCP Server beziehen.
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Für das Gast-VLAN richte ich noch im Router den DHCP ein.

3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???

Ich habe an diesen VLAN-Konfigurationsversuchen schon zu viel Zeit verbracht und ich habe keine Lust den Router Kaputt-Zu-Reseten.

4.) Kann mir jemand sagen wo der Fehler ist?

abde48f9b4ab4de8a458cc05bcee8da0 - Klicke auf das Bild, um es zu vergrößern
Mitglied: Philipp711
23.09.2014, aktualisiert um 09:47 Uhr
Hallo,

für meine Begriffe ist alles bis auf die Verbindungskonfiguration Router -> Switch korrekt!

Ich würde sagen, du hast zwei Möglichkeiten:

1) Du konfigurierst auf dem Router eine Schnittstelle als Tagged und "legst" dort die beiden VLAN's 10 und 20 "drauf" - passend dazu musst du natürlich auch am Switch den Port mit VLAN 10 und 20 taggen.

2) Zu ziehst für jedes VLAN eine eigene Strippe zum Router. D.h. an dem Switch konfigurierst du für jedes VLAN ein untagged/Access-Port. Am Router lässt du ETH1 für das Firmen-LAN auf untagged/Access-Port und ebenso konfigurierst du ETH2 für das Gast-LAN. Jetzt verbindest du den Router mit jeweils einem Kabel pro VLAN...

Hoffe ich konnte dir helfen...
Bitte warten ..
Mitglied: aqui
23.09.2014, aktualisiert um 11:19 Uhr
Das zum Thema gehörende Forums Tutorial hier hast du gelesen ??
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Speziell das Kapitel "Praxisbeispiel" ?
Dort werden eigentlich alle Fragen abgehandelt.

Nich ein paar Anmerkungen zum Rest:
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
Das ist so technisch nicht möglich !
Wenn, dann muss bei einem LACP Trunk beide Ports immer identisch sein. Folglich müssen die beiden Trunk Member Port 1 und 2 tagged sein !
Analog hast du auch den gleichen Fehler auf der anderen Seite an Switch 2 gemacht: ("- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged"). Hier muss natürlich 21 und 22 getagged sein damit die Member wieder identisch sind !

Zu deinen Fragen:
1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren?
Ja, natürlich ! Du verwendest dann am Router auch einen Tagged Link. Das o.a. Tutorial erklärt es dir unter anderem auch im Praxisbeispiel !
2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Nein, du irsst dich nicht ! Das wäre Blödsinn und auch technsich falsch. Mal ganz abgesehen davon das du auch damit einen Routing Loop erzeugtst...also ein absolutes NoGo !
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Kein Wunder, denn die Management IP Adresse des Routers bleibt ja weiterhin im Default VLAN 1 sofern du am Router einen tagged Port benutzt und keine dedizierten Einzelports pro VLAN. Das erklärst du aber leider nicht eindeutig, so das deine Router Konfig hier ziemlich unklar und verwirrend ist
Hier brauchen wir eine detailiertere Info !
3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???
Falsch ! Das Default VLAN 1 wird auf einem Trunk parallel immer untagged übertragen. Du hast auf einem Trunk also immer in der Regel beide Frame Formate !
WAS bitte genau meist du mit "VLAN-Modul" ??? Sowas gibt es als Netzwerk Terminus nicht. Was soll das also sein ? Das du einen Trunk Port am Router generierst ?!
Auch hier genaue Erklärung oder Blick ins obige Tutorial !
4.) Kann mir jemand sagen wo der Fehler ist?
Generell ist dein Konzept absolut richtig !
Dein Fehler liegt vermutlich an 2 Stellen:
1.) LACP Trunk falsch konfiguriert
2.) Trunk auf den Router falsch konfiguriert !
Wenn du da suchst wirst du das schnell fixen. Das o.a. Tutorial beschreibt im Praxisbeispiel ganz genau dieses Szenario mit allen Settings so das das ein Kinderspiel sein sollte das zuzm Fliegen zu bringen !
Bitte warten ..
Mitglied: itse.com
23.09.2014 um 09:57 Uhr
Hallo Phillipp711,

Danke für deine Antwort...

Das mit den pro VLAN ein Kabel ist eben genau das was ich/wir nicht machen wollen...weil es einfach wäre

Das Problem mit dem ich "lege" VLANs 10 und 20 "drauf" ist, dass ich keine Ahnung habe wie ich es im Router (Lancom 1781EW) konfigurieren soll/muss...
Der Support von Lancom will das gleich mit der Fernwartung machen für xx€...
Das Handbuch hilft mir/uns leider nicht weiter...

Dennoch Vielen Dank für deine Mühe...!!!
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.09.2014, aktualisiert um 10:20 Uhr
Das mit den pro VLAN ein Kabel ist eben genau das was ich/wir nicht machen wollen...weil es einfach wäre
Richtig ! Das wäre eine dilettantische Bastellösung. Mit deinem Trunk auf den Router bist du auf dem richtigen Weg !
Das Problem mit dem ich "lege" VLANs 10 und 20 "drauf" ist, dass ich keine Ahnung habe wie ich es im Router (Lancom 1781EW) konfigurieren soll/muss...
DAS ist genau der Knackpunkt !
Hier solltest du mal ins Handbuch sehen oder einer unser Lancom Spezls wie Kollege @Arch-Stanton hier muss mal ran und erklären wie man das macht.
Lancom hat dazu was in seiner Knowledgebase:
https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
...wo es ja mit einem 1711 beschrieben ist das es geht !
Lancom nennt das irgendwie "ARF". Klingt wieder ganz anders wie es der Rest der Welt nennt aber damit geht es ja scheinbar ?!
Hört sich aber in der Doku dazu an als ob man da dann sowas wie ein "VLAN Modul" benötigt, was auch immer das ist..?
Ansonsten schaltest du eine kleine_Firewall davor mit einem Captive Portal für die Gäste und dann klappt das im Handumdrehen ohne "Module" und Frickelei...
Bitte warten ..
Mitglied: itse.com
23.09.2014 um 10:29 Uhr
Danke für deine Antworten @aqui...


Erst hieß es das wir nicht ARF nehmen weil das die Lösung mit den pro VLAN ein Kabel wäre...!!!
Jetzt hat mein Chef gesagt wir Konfigurieren ARF am Router und legen pro VLAN ein Kabel -untagged- am konfigurieren Switch...!!!

Ja, ich wäre auch lieber dran geblieben und hätte gern mit eurer Hilfe nach einer Lösung gesucht...
Jetzt heißt es die Switche neu zu patchen damit wir zwei frei Ports erhalten die zum Router gehen... und dann neu konfigurieren...!!! .

Ich Danke Allen die sich bereits schon was überlegt haben bzw. denen die mir schon geholfen haben...

@aqui...das mit dem LACP-Trunk war eine große Hilfe und ich habe wieder etwas dazu gelernt...Danke...!!! ...weiter so...!!!
Bitte warten ..
Mitglied: aqui
23.09.2014, aktualisiert um 11:18 Uhr
Jetzt hat mein Chef gesagt wir....
Das passiert dann wenn mit einmal wieder Kaufleute (oder was auch immer der Chef ist..?) über sinvolle IT Lösungen entscheiden....no comment.
Eigentlich bist du ja der Fachangestellte der den Chef bei der IT beraten sollte und bestimmt was gemacht wird, denn du musst ja damit umgehen...komische Hierarchie bei euch, aber egal.
Aber OK auch die Bastelvariante nach dem Motto Warum einfach machen wenns umständlich auch geht.. wird so klaglos funktionieren.
Hat auch noch den kleinen Vorteil das beide VLANs nicht einen Link sharen müssen aber den Nachteil der Fehleranfälligkeit durch die aufwendigere Kabelage.
Na ja... Hauptsache es klappt alles zum Schluss und der Cheffe ist zufrieden.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Vlan Verbindungsproblem mit WLAN Bridge (6)

Frage von MackDaddy zum Thema Router & Routing ...

Netzwerkgrundlagen
gelöst Vlan Routing Pfsense APU2 vs L3 (7)

Frage von TimMayer zum Thema Netzwerkgrundlagen ...

LAN, WAN, Wireless
Frage zum Erzeugen eines portbasiertem VLAN (7)

Frage von presto-18 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...