Lancom VLAN (Router, Switche)

~ 0 min
2023-07-24 15:03

VLANs lassen sich bei Lancom Routern nicht auf physische Ports (ETH1-4) konfigurieren, sondern nur auf logische Interface (LAN1-4).
Einem physischen Port (ETH1-4) kann man nur ein logisches Interface (LAN1-4) zuordnen.
Einem logischen LAN (LAN1-4) kann man zwei oder mehr physischen Ports zuordnen, aber dann kann man diese nicht mehr per VLAN oder Firewall trennen.
Mehrere logische LAN mit ggf. unterschiedlichen VLANs lassen sich zu einer BRG zusammen fassen.

Beispiel:
- 2 lokale, getrennte Netze (Netz A an ETH1, Netz B an ETH2) sollen über den Router ins Internet gehen
- AccessPoint an ETH4 soll mit 2 unabhängigen SSIDs WLAN für LAN1 (VLAN1) und LAN2 (VLAN30) anbieten

  • ETH 1 = LAN-1
  • ETH 2 = LAN-2
  • ETH 4 = LAN-4
    (Schnittstellen -> LAN -> Eth.Ports)
  • LAN-1 + LAN-2 + LAN-4 = BRG-1
    (Schnittstellen -> LAN-Bridge -> Port-Tabelle)
  • VLAN 1 = LAN-1 + LAN-4
  • VLAN 30 = LAN-2 + LAN-4
    (Schnittstellen -> VLAN: VLAN-Modul aktivieren, VLAN-Tabelle)
  • LAN-1 Port-VLAN-ID = 1
  • LAN-2 Port-VLAN-ID = 30
  • LAN-4 Port-VLAN-ID = 1
    (Schnittstellen / VLAN / Port-Tabelle)
  • Netz A = VLAN 1 / BRG-1
  • Netz B = VLAN 30 / BRG-1
    (unter IP-Netzwerke: VLAN-ID und Schnittstelle)

Tagging-Mode für logische Interfaces:
- Access (niemals): ausgehend untagged, ankommende VLANs werden interpretiert als hätten sie kein VLAN.
- Hybrid (gemischt): Erlaubt Pakete mit und ohne Tag. Pakete ohne TAG werden dem Port-VLAN (PVID) zugewiesen.
- Trunk (immer): ausgehende Pakete bekommen immer ein TAG. Ankommende Pakete ohne TAG werden verworfen.

VLAN am Router aktivieren, ohne sich auszusperren:
- unter Schnittstellen / VLAN das VLAN Modul aktivieren
- unter Schnittstellen / VLAN / Port-Tabelle prüfen, ob alle LAN-x Ports auf Access (oder Hybrid) stehen mit PVID 1
- unter Schnittstellen / VLAN / VLAN-Tabelle prüfen, ob alle LAN-x Ports dem VLAN 1 angehören
- unter IPv4 / IP-Netzwerke dafür sorgen, dass jedes Netzwerk die VLAN-ID 1 besitzt

Beispiel:
* Lancom Router soll mit TAGGED VLAN an (TAGGED) Switchport

Lösung:

  • VLAN Modul AUS lassen
  • IP v4 Netzwerk erstellen, VLAN-ID vergeben
  • Router ist auf dieser IP nur noch über das TAGGED VLAN ereichbar

Wenn das VLAN-Modul deaktiviert bleibt, muss beim Netzwerk INTRANET die VLAN-ID = 0 bleiben.

In der Routing-Tabelle ist Tag 0 der Wildcard, d.h. Routen mit Tag 0 (Admin-Netz) gelten für alle Netze.
ARF-Netze mit Tag 0 sind "Supervisor"-Netze, d.h. sie sehen alle anderen Netze mit allen anderen Tags.
IP-Netze mit Tag 0 sehen alle Netze, werden aber nur von Netzen mit Tag 0 gesehen.
Netze vom Typ DMZ werden aus allen Tags gesehen.
Verschiedene VLANs lassen sich nur mit Firewallregeln erreichen (Netze gegenseitig erlaubt und auf Zielnetz umtaggen).

 

Lancom Switche (original: Accton)

Quellen und Links:

Durchschnittliche Bewertung 5 (7 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.

Gravatar
Armin Ysl (2023-07-12 17:03)
Hallo!

erstmal vielen Dank für diesen Beitrag. Teilweise nicht mal bei Lancom findet man diese mehr zeigenInformationen in dieser Form. Allerdings habe ich es bei mir zwei Mal ausprobiert und es hat leider nicht funktioniert.



Letztendlich habe ich ein LANCOM Router und einen LANCOM Accesspoint und möchte zwei Netze mittels VLAN aufbauen. Netz 1 das Produktive Netzwerk mit Zugriff im LAN und Internet und Netz 2 das Gastnetzwerk mit Zugriff nur auf das Internet. Netz2 gibt es nur im WLAN und ist an keiner LAN-Schnittstelle gebunden. Das WLAN Modul vom Router soll ebenso wie das WLAN Modul vom Accespoint beide Netze bereitstellen.