Lancom VLAN (Router, Switche)
- VLAN (alle Geräte) siehe VLAN
- Lancom Router siehe Lancom Router
VLANs lassen sich bei Lancom Routern nicht auf physische Ports (ETH1-4) konfigurieren, sondern nur auf logische Interface (LAN1-4).
Einem physischen Port (ETH1-4) kann man nur ein logisches Interface (LAN1-4) zuordnen.
Einem logischen LAN (LAN1-4) kann man zwei oder mehr physischen Ports zuordnen, aber dann kann man diese nicht mehr per VLAN oder Firewall trennen.
Mehrere logische LAN mit ggf. unterschiedlichen VLANs lassen sich zu einer BRG zusammen fassen.
Beispiel:
- 2 lokale, getrennte Netze (Netz A an ETH1, Netz B an ETH2) sollen über den Router ins Internet gehen
- AccessPoint an ETH4 soll mit 2 unabhängigen SSIDs WLAN für LAN1 (VLAN1) und LAN2 (VLAN30) anbieten
- ETH 1 = LAN-1
- ETH 2 = LAN-2
- ETH 4 = LAN-4
(Schnittstellen -> LAN -> Eth.Ports) - LAN-1 + LAN-2 + LAN-4 = BRG-1
(Schnittstellen -> LAN-Bridge -> Port-Tabelle) - VLAN 1 = LAN-1 + LAN-4
- VLAN 30 = LAN-2 + LAN-4
(Schnittstellen -> VLAN: VLAN-Modul aktivieren, VLAN-Tabelle) - LAN-1 Port-VLAN-ID = 1
- LAN-2 Port-VLAN-ID = 30
- LAN-4 Port-VLAN-ID = 1
(Schnittstellen / VLAN / Port-Tabelle) - Netz A = VLAN 1 / BRG-1
- Netz B = VLAN 30 / BRG-1
(unter IP-Netzwerke: VLAN-ID und Schnittstelle)
Tagging-Mode für logische Interfaces:
- Access (niemals): ausgehend untagged, ankommende VLANs werden interpretiert als hätten sie kein VLAN.
- Hybrid (gemischt): Erlaubt Pakete mit und ohne Tag. Pakete ohne TAG werden dem Port-VLAN (PVID) zugewiesen.
- Trunk (immer): ausgehende Pakete bekommen immer ein TAG. Ankommende Pakete ohne TAG werden verworfen.
VLAN am Router aktivieren, ohne sich auszusperren:
- unter Schnittstellen / VLAN das VLAN Modul aktivieren
- unter Schnittstellen / VLAN / Port-Tabelle prüfen, ob alle LAN-x Ports auf Access (oder Hybrid) stehen mit PVID 1
- unter Schnittstellen / VLAN / VLAN-Tabelle prüfen, ob alle LAN-x Ports dem VLAN 1 angehören
- unter IPv4 / IP-Netzwerke dafür sorgen, dass jedes Netzwerk die VLAN-ID 1 besitzt
Beispiel:
* Lancom Router soll mit TAGGED VLAN an (TAGGED) Switchport
Lösung:
- VLAN Modul AUS lassen
- IP v4 Netzwerk erstellen, VLAN-ID vergeben
- Router ist auf dieser IP nur noch über das TAGGED VLAN ereichbar
Wenn das VLAN-Modul deaktiviert bleibt, muss beim Netzwerk INTRANET die VLAN-ID = 0 bleiben.
In der Routing-Tabelle ist Tag 0 der Wildcard, d.h. Routen mit Tag 0 (Admin-Netz) gelten für alle Netze.
ARF-Netze mit Tag 0 sind "Supervisor"-Netze, d.h. sie sehen alle anderen Netze mit allen anderen Tags.
IP-Netze mit Tag 0 sehen alle Netze, werden aber nur von Netzen mit Tag 0 gesehen.
Netze vom Typ DMZ werden aus allen Tags gesehen.
Verschiedene VLANs lassen sich nur mit Firewallregeln erreichen (Netze gegenseitig erlaubt und auf Zielnetz umtaggen).
Lancom Switche (original: Accton)
- Ports können Trunk (nur Tagged Frames), Hybrid (überträgt tagged und untagged) oder Access
- PVID ist die VLAN-ID, die ein Port eingehenden Datenpaketen ohne VLAN-Tag zuweist
- https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/pspot_tutorial_wlc_vlan_configuration_switch.html
Quellen und Links:
- Beispielkonfiguration VLAN-Router (Hybrid) -> VLAN-Switch (Trunk) -> VLAN-Switch
https://support.lancom-systems.com/knowledge/display/KB/VLAN-Konfiguration+auf+LANCOM+Switches+der+GS-3xxx+Serie - VLAN-Tagging mit Beispielen: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32986752
- VLAN Beispiel: https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/router-accespoint-gast-vlan-t20027.html