9
VLAN Netzwerkinfrastruktur mit mehreren Switches und Access-Points
Hallo liebe Community!
Ich arbeite mich an folgender Netzwerkinfrastruktur ab:
Ich möchte mit einem Layer2/3 Switch (Netgear GS716Tv3) hinter einer FritzBox eine VLAN-Struktur aufbauen. Ich möchte 4 VLANs etablieren: 100 (Endgeräte), 200 (Raspberry, NAS & Co), 300 (IoT-Geräte) und das Default VLAN 1. Die Ports habe ich entdprechend mit der PVID versehen - alle untagged.
Da sich beide Geräte in verschiedenen Stockwerken befinden, ist zwischen der Fritz Box und dem genannten Switch (GS716Tv3) noch ein weiterer Switch (Netgear GS308E). Jeweils ein Port beider Switche ist getagged und Memeber aller VLANs. Über den Port verbinde ich die Switche. Der Anschlussport an die Fritz Box ist wieder untagged. Außerdem nutze ich LAN5 der FritzBox, um das IoT-VLAN mit dem Gastzuganz zu verbinden - auch mit einem untagged port.
Mein Problem ist jetzt, dass die Switches nur miteinander reden können, wenn der tagged port die PVID 100 hat. Mit der PVID1 findet keine Kommunikation statt. Im Moment betreibe ich die Switches auch so, um Konnektivität zu haben. Die Kommunikation der VLANs 200 und 300 (jeweils untereinander, nicht miteinander) kommen so aber nicht zustande.
Nach meinem Verständnis müsste die PVID1 bei dem getagged Port doch egal sein? Schließlich verlässt das Datenpaket mit dem Tag der VLAN-ID, zu der der Eingangsport (PVID) gehört, über den das Datenpaket erstmals in den Switch eingetreten ist? Dann müsste - da der tagged Port Mitglied aller betreffenden VLANs ist - doch der Tag nicht verändert werden und das Datenpaket entsprechend korrekt getagged am anderen Switch ankommen?
Zsätzlich betreibe ich einen Multi-SSID Acces Point (Netgear AX4200 AP), der über einen PoE Switch (Netgear GS305EP) mit dem Layer2/3 Switch verbunden ist. Dort kann ich auf den PoE-Switch (GS305EP) zugreifen, wenn dieser einen getagged Port hat, der die PVID des VLAN 1 als default hat. Der Access Point wiederum müsste nach meinem Verständnis auch an einem getagged Port angeschlossenwerden, da das WiFi auch mit einer PVID versehen wird. Das klappt aber nicht. Hier muss ich den Access Ppoint an einen untagged Port anschließen, damit ich Verbindung habe.
Die Verwirrung bei mir ist komplett. Ich habe viele Erfahrungsberichte und Manuals gelesen - aber offenbar nicht mit viel Erfolg. Ich habe sicher irgendwo eine grundlegende Verständnishürde.
Ich hänge mal ein Schema der Netzwerkinfrastruktur an, wie ich dachte, dass es richtig sein müsste (es aber offenbar nicht ist). Sieht jmd. das Problem?
Vlg
Thore
(PS: Firmware ist die jeweils aktuellste)
Ich arbeite mich an folgender Netzwerkinfrastruktur ab:
Ich möchte mit einem Layer2/3 Switch (Netgear GS716Tv3) hinter einer FritzBox eine VLAN-Struktur aufbauen. Ich möchte 4 VLANs etablieren: 100 (Endgeräte), 200 (Raspberry, NAS & Co), 300 (IoT-Geräte) und das Default VLAN 1. Die Ports habe ich entdprechend mit der PVID versehen - alle untagged.
Da sich beide Geräte in verschiedenen Stockwerken befinden, ist zwischen der Fritz Box und dem genannten Switch (GS716Tv3) noch ein weiterer Switch (Netgear GS308E). Jeweils ein Port beider Switche ist getagged und Memeber aller VLANs. Über den Port verbinde ich die Switche. Der Anschlussport an die Fritz Box ist wieder untagged. Außerdem nutze ich LAN5 der FritzBox, um das IoT-VLAN mit dem Gastzuganz zu verbinden - auch mit einem untagged port.
Mein Problem ist jetzt, dass die Switches nur miteinander reden können, wenn der tagged port die PVID 100 hat. Mit der PVID1 findet keine Kommunikation statt. Im Moment betreibe ich die Switches auch so, um Konnektivität zu haben. Die Kommunikation der VLANs 200 und 300 (jeweils untereinander, nicht miteinander) kommen so aber nicht zustande.
Nach meinem Verständnis müsste die PVID1 bei dem getagged Port doch egal sein? Schließlich verlässt das Datenpaket mit dem Tag der VLAN-ID, zu der der Eingangsport (PVID) gehört, über den das Datenpaket erstmals in den Switch eingetreten ist? Dann müsste - da der tagged Port Mitglied aller betreffenden VLANs ist - doch der Tag nicht verändert werden und das Datenpaket entsprechend korrekt getagged am anderen Switch ankommen?
Zsätzlich betreibe ich einen Multi-SSID Acces Point (Netgear AX4200 AP), der über einen PoE Switch (Netgear GS305EP) mit dem Layer2/3 Switch verbunden ist. Dort kann ich auf den PoE-Switch (GS305EP) zugreifen, wenn dieser einen getagged Port hat, der die PVID des VLAN 1 als default hat. Der Access Point wiederum müsste nach meinem Verständnis auch an einem getagged Port angeschlossenwerden, da das WiFi auch mit einer PVID versehen wird. Das klappt aber nicht. Hier muss ich den Access Ppoint an einen untagged Port anschließen, damit ich Verbindung habe.
Die Verwirrung bei mir ist komplett. Ich habe viele Erfahrungsberichte und Manuals gelesen - aber offenbar nicht mit viel Erfolg. Ich habe sicher irgendwo eine grundlegende Verständnishürde.
Ich hänge mal ein Schema der Netzwerkinfrastruktur an, wie ich dachte, dass es richtig sein müsste (es aber offenbar nicht ist). Sieht jmd. das Problem?
Vlg
Thore
(PS: Firmware ist die jeweils aktuellste)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 93606134983
Url: https://administrator.de/contentid/93606134983
Printed on: May 3, 2024 at 06:05 o'clock
9 Comments
Latest comment
Vielleicht erstmal einige Begriffe klären. PVID = Primary VLAN ID, was bedeutet, wenn an diesen Port ein Client/Gerät angeschlossen wird, der kein VLAN/Trunk "versteht", dann greift die voreingestellte VLAN ID und wird diesem Port primär zugewiesen.
VLAN1 ist übrigens bei jedem Switch das "Default VLAN" und es ist untagged. Du solltest also neue VLANs erstellen, statt VLAN1 zu nutzen.
Trunk-Ports nutzen nicht die voreingestellte PVID, da kann ne 1 oder auch 4093 stehen, das juckt den Port oder das TCP/UDP-Paket nicht.
Für den Netgear AX4200 AP was ist in deinem Netzwerk der WAC? Normalerweise wird über diesen das VLAN für die Verwaltung der APs und der SSIDs gesteuert.
VLAN1 ist übrigens bei jedem Switch das "Default VLAN" und es ist untagged. Du solltest also neue VLANs erstellen, statt VLAN1 zu nutzen.
Trunk-Ports nutzen nicht die voreingestellte PVID, da kann ne 1 oder auch 4093 stehen, das juckt den Port oder das TCP/UDP-Paket nicht.
Für den Netgear AX4200 AP was ist in deinem Netzwerk der WAC? Normalerweise wird über diesen das VLAN für die Verwaltung der APs und der SSIDs gesteuert.
Wie Kollege @DerMaddin schon zutreffend schreibt, ist wahrscheinlich das Problem, dass Du VLAN1 gleichzeitig tagged und untagged auf den Trunkports verwendest - falls das so ist. Zumindest verstehe ich Dich so. Das geht natürlich nicht.
Wenn Du g1 auf den Switches untagged auf VLAN1 legst (also auch mit PVID1 versiehst), sollten die Switche untereinander Konnektivität haben und von g3/g4 vom obersten Switch erreichbar sein. Vorausgesetzt Du hast ihnen und dem Client eine feste IP im VLAN1 gegeben, denn eine IP-Adresse vergibt die Fritzbox bei Dir ja nur im VLAN100 bzw. 300.
Hier liegt - unäbhängig vom evtl. falschen Tagging - vielleicht auch Dein Problem. Ohne IP-Adressen natürlich keine Kommunikation. Leider schreibst Du hierzu nichts.
Viele Grüße, commodity
Wenn Du g1 auf den Switches untagged auf VLAN1 legst (also auch mit PVID1 versiehst), sollten die Switche untereinander Konnektivität haben und von g3/g4 vom obersten Switch erreichbar sein. Vorausgesetzt Du hast ihnen und dem Client eine feste IP im VLAN1 gegeben, denn eine IP-Adresse vergibt die Fritzbox bei Dir ja nur im VLAN100 bzw. 300.
Hier liegt - unäbhängig vom evtl. falschen Tagging - vielleicht auch Dein Problem. Ohne IP-Adressen natürlich keine Kommunikation. Leider schreibst Du hierzu nichts.
Die Kommunikation der VLANs 200 und 300 (jeweils untereinander, nicht miteinander) kommen so aber nicht zustande.
Dies sollte aber auch bei Deiner "100er"-Lösung funktionieren. Das spricht für eine Fehlkonfiguration bei der VLAN-Zuweisung an den Switchen. Zumindest im 300er Netz sollten ja IP-Adressen vergeben werden.Viele Grüße, commodity
Mahlzeit.
Für dein Setup würde sich eine kleine Box mit OPNSense / OpenWRT / PFSense lohnen. Denn die Netzwerke untereinander kannst du ja nur schwerlich und richtig mit Regelwerken versehen. Ist das keine Option?
Ansonsten sehe ich ähnlich das Problem bei fehlerhaftem Tagging an den Ports.
Gruß
Marc
Für dein Setup würde sich eine kleine Box mit OPNSense / OpenWRT / PFSense lohnen. Denn die Netzwerke untereinander kannst du ja nur schwerlich und richtig mit Regelwerken versehen. Ist das keine Option?
Ansonsten sehe ich ähnlich das Problem bei fehlerhaftem Tagging an den Ports.
Gruß
Marc
1
Erstmal Danke für alle Kommentare!
Es ist nun so, dass das Tagging/Untagging konsequent umgesetzt ist, soweit ich das überblicken kann. VLAN 1 ist immer tagged, nie untagged.
Ich hatte Daher gehofft, dass der Kommentar von DerMaddin der Schlüssel sein könnte. Aber auch eine Änderung der PVID der tagged Ports von 1 auf eine andere ID funktioniert nicht.
Eine Kommunikation aller VLANS mit den Ports der anderen Switche lässt sich nicht etablieren. Es klappt immer nur ein VLAN - und zwar jenes VLAN, das mit der PVID der tagged Ports der "kleinen" Switche korreliert. Ich vermute daher, dass hier die Ursache des Problems liegt. Könnte das sein?
@commodity: die IP Adressen sollten nicht das Problem sein, da ich einen DHCP/DNS-Server im VLAN200 habe.
@radiogugu: OPNSense ist in der engeren Auswahl. Ich habe die Hardware aber noch nicht.
Vlg
Thore
Es ist nun so, dass das Tagging/Untagging konsequent umgesetzt ist, soweit ich das überblicken kann. VLAN 1 ist immer tagged, nie untagged.
Ich hatte Daher gehofft, dass der Kommentar von DerMaddin der Schlüssel sein könnte. Aber auch eine Änderung der PVID der tagged Ports von 1 auf eine andere ID funktioniert nicht.
Eine Kommunikation aller VLANS mit den Ports der anderen Switche lässt sich nicht etablieren. Es klappt immer nur ein VLAN - und zwar jenes VLAN, das mit der PVID der tagged Ports der "kleinen" Switche korreliert. Ich vermute daher, dass hier die Ursache des Problems liegt. Könnte das sein?
@commodity: die IP Adressen sollten nicht das Problem sein, da ich einen DHCP/DNS-Server im VLAN200 habe.
@radiogugu: OPNSense ist in der engeren Auswahl. Ich habe die Hardware aber noch nicht.
Vlg
Thore
@commodity: die IP Adressen sollten nicht das Problem sein, da ich einen DHCP/DNS-Server im VLAN200 habe.
schön, aber das kann keiner wissen, bis Du es schreibst 
Wann wolltest Du uns denn mal mit einer Konfiguration beglücken?How to correctly ask a question
Solange Du nicht ausführlich beschreibst, wird geraten...
Muss ja nicht sein, kannst ja auch selbst drauf gucken.
Da Du die VLANs systematisch korrekt verbunden hast und ja zumindest untagged (je nach PVID) Konnektivität besteht, ist recht wahrscheinlich, dass Du, wie ich bereits schrieb,
... eine Fehlkonfiguration bei der VLAN-Zuweisung an den Switchen
hast. Damit meine ich, dass das (in Theorie und Zeichnung korrekte) Tagging nicht so umgesetzt ist, dass es auch am Switch funktioniert. Würde die Konnektivität tagged bestehen, wäre das Ändern der PVID ohne Einfluss, wie oben ja auch schon der Kollege @DerMaddin recht deutlich erläutert hat.Also nochmal ran ans Handbuch und kunstgerecht die VLANs taggen, dann wird das schon. Wenn nicht, ist hier ja noch Platz für ein paar Bilder.
Viele Grüße, commodity
1
VLAN 1 ist immer tagged, nie untagged.
Keine gute Idee denn bei 99% aller Geräte arbeiten Trunks immer im Hybridmode so das das PVID VLAN immer untagged mit übertragen wird. Das PVID VLAN darf dann niemals zusätzlich noch getagged sein! Leider erlauben einige Billigswitches so eine unsinnige Konfig was dann aber sofort zu Fehlfunktionen führt. Hier solltest du also nochmal genau hinsehen das das einheitlich überall so ist.Zumindestens auf älterer Netgear Hardware verwendet NG ein proprietäres VLAN Tagging was nicht kompatibel ist zum weltweiten 802.1q Standard. Dies muss dann im Setup zwingend umgestellt werden. Das o.a. Layer 2 VLAN Tutorial hat alle Infos dazu.
Netgear ist hier (leider) gefühlt der Forenspitzenreiter mit problematischen VLAN Setups! ☹️
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?
Soooo ....lange hab ich gesucht. War alles toll, was ihr geraten habt, danke!
Dieses Wochenende habe ich endlich den Master-Fehler gefunden: es war ein physischer Verkabelungsfehler. Erstmaliges Durchmessen hatte zwar beim patchen damals keine Fehler angezeigt, aber offenbar ist zwischenzeitlich mit der Verkabelung etwas passiert... Uff.. @commodity's Kommentar hatte mich veranlasst nochmals alles durchzumessen ..danke!!
Dieses Wochenende habe ich endlich den Master-Fehler gefunden: es war ein physischer Verkabelungsfehler. Erstmaliges Durchmessen hatte zwar beim patchen damals keine Fehler angezeigt, aber offenbar ist zwischenzeitlich mit der Verkabelung etwas passiert... Uff.. @commodity's Kommentar hatte mich veranlasst nochmals alles durchzumessen ..danke!!
