Problem mit einfachen VLAN

Infrastruktur Switching
1

wie bereits an anderer Stelle erläutert, will ich das päd.- und das Verwaltungsnetz über zwei VLANs über ein gemeinsames LAN-Kabel übertragen.

Eigentlich keine „große Sache“, dachte ich mir:
Flugs im Keller, wo der Router von Belwü (Cisco 8xx) steht, einen kleinen (5-Port) managed switch mit zwei VLANs, wie im folgenden Diagramm dargestellt, eingerichtet.

┌───────────────────────────┐     ┌────────────┐
│ Switch Vwltg.             │     │ Host       │
│ VLAN 10 Port 1            │     │ VM Firewall│
│ VLAN 20 Port 1            │     │ VM Server  │
│ Uplink  Port 16 (PVID 20) │     │            │
└─┬───────────────────────┬─┘     └──┬─┬───────┘
 1│                    16 │   rot    │ │ grün
  │                       └──────────┘ └────────
  └───────────────┐
                  │
                  │
                  │
┌─────────────────┴───┐      ┌──────────────────┐
│ Switch (Keller)     │      │ Belwue-Router    │
│ VLAN 10 Port 1,5    ├──────┤ 10.16…  Vwlt.Netz│
│ VLAN 20 Port 2,5    ├──────┤ 141.10… Päd. Netz│
│ Uplink  Port 5      │      │                  │
└─────────────────────┘      └──────────────────┘

· Kleiner 5-Port-Switch im Keller: Zyxel GS1200-5
· Switch für die Verwaltung: Allnet 4804w
(ein zwar schon etwas älteres „Schätzchen“, aber immerhin VLAN-fähig)

Meine Überlegungen:
kleiner Switch default: alle 5 Ports sind (untagged) Mitglied von VLAN ID 1.
Habe nun zum Default zwei zusätzliche VLAN (ID 10 und 20) hinzugefügt, Ports wie im Diagramm zugeordnet und Port 5 als Uplink konfiguriert.

Demnach sollten VLAN 10 und 20 am Switch oben ankommen, der dann VLAN 20 an Port 16 via PVID weiterleitet (so jedenfalls lese ich folgenden Auszug aus dem Manual).

Screenshot ALL4804W_manual_p19

Also alles überschaubar, aber dennoch hakt es irgendwo:

Im Verwaltungsnetz (VLAN 10) funktioniert alles ohne Probleme wie gehabt. Verwaltungs-PC kommt ins Internet (abgesehen davon, dass der Verbindungsaufbau zu einer Webseite gefühlt einen Tick länger braucht als ohne VLAN…) So weit, so gut.

Die clients am päd- Netz hingegen sind abgehängt (kein Internet).
Wenn ich das päd-Netz direkt von Belwü-Router (ohne VLAN) abgreife, funktioniert alles.

D.h., irgendwo habe ich was falsch konfiguriert, aber ich sehe nicht, wo…

Wie immer freue ich mich über jeden Hinweis.

Grüße, sino

2

Hallo Sino,

ich bin kein VLAN-Spezialist … aber ich überlege gerne mit.
Bis zum Verwaltungsswitch sind deine beiden VLANs 10 und 20 praktisch gleich konfiguriert.
Zwei Nachfragen habe ich:

  • Der Port 16 am Verwaltungsswitch mit PVID 20 sollte untagged sein, dass die VM Firewall damit automatisch zurecht kommt. Die Anleitungsseite ist an sich gut. Ich hätte dort eingestellt: Port 16, Egress „untagged“, PVID 20, only tagged „disable“. Was hast du dort eingestellt?
  • Wie greift das Verwaltungsnetz auf das VLAN 10 am Verwaltungsswitch zu? Hast du da nicht auch einen Port konfiguriert, an dem VLAN 10 untagged zu finden ist?

Ist Uplink eine offizielle VLAN 802.1Q Bezeichnung? Ich verstehe einen Uplink so, dass dort alle VLANs tagged von einem zum anderen Switch übertragen werden. Dann würde VLAN 20 tagged an der VM Firewall landen und wird nicht erkannt.

VG
Christian

3

Hallo sino,

auf dem Switch im Keller sollten die VLANs 10 und 20 auf Port 5 getagged sein.
Ebenso auf dem Verwaltungsswitch auf Port 1. Auf Port 16 gibst Du VLAN 20 untagged an die Firewall weiter.

Viele Grüße,
Jochen

4

Hallo ChristianWd & Jochen,

Danke für die Hinweise,

auf dem Switch im Keller sollten die VLANs 10 und 20 auf Port 5 getagged sein.

Habe mir das heute nachmittag mal in Ruhe angesehen:
Theoretisch alles so konfiguriert, wie es sein soll, aber es funktioniert nicht.

Anm.: Bei den kleinen 5 und 8-Port-Switches von Zyxel erfolgt im WebIF das Taggen via Farbcode (an Stelle Buchstaben U/T wie bei vielen anderen Herstellern).

Screenshot_zyxel_gs1200-5_VLAN
Screenshot_zyxel_gs1200-5_VLAN915×505 37.5 KB

Also habe ich Port 1 und 2 als „orange member“ von VLAN 10 bzw. 20 gesetzt, damit diese via Mitgliedschaft mit ID 10 bzw. 20 getaggt weitergeleitet werden.

Was ich etwas verwirrend finde: unabhängig davon kann eine PVID vergeben werden, die ankommende ungetaggte frames mit eben dieser PVID tagged weiterleitet.

Use PVID to add a tag to incoming untagged frames received on that port so that the frames are forwarded to the VLAN group that the tag defines.

Demnach wären ungetaggte frames an Port 2 als green member (an Stelle orange) mit einer PVID 20 ebenfalls mit ID 20 getaggt.

Der Switch oben ist wie folgt konfiguriert:
Screenshot_allnet_4804w_VLAN

an Port 16 ankommende VLAN 10 frames sollten untagged weitergeleitet werden, bin mir aber nicht sicher, ob folgende Konfig. dies so umsetzt:

Screenshot_allnet_4804w_PVIDx

Es sollte funzen - tut aber nicht, werde am Montag mit Wireshark mal ins Netz schnuppern.

Grüße, sino.

5

Hallo Sino,

da sind noch ein paar Denkfehler drin. Hast Du noch VLAN10-VErwaltung und VLAN20-Päd. Netz? Dann müsste das so gehen:

Beim kleinen Switch Musst Du Port 1 auf VLAN 10 untagged setzen und Port 2 auf VLAN 20 untagged. Außerdem musst Du bei Port 1 PVID 10 und bei Port 2 PVID 20 setzen. Port 5 ist richtig konfiguriert.

Beim anderen Switch musst Du in der Tabelle bei Port 16 VLAN 20 anhaken anstatt VLAN 10. Ebenso PVID 20. Und wenn Port 5 zum Verwaltungsnetz geht, dann muss da noch PVID 10 eingestellt werden.

Beste Grüße

Jörg

6

Hallo Sino,

noch eine Ergänzung: Beim großen Switch muss noch bei Port 5 und 16 der Haken bei VLAN 1 weg.

Beste Grüße

Jörg

7

Hallo Jörg,

danke für Hinweise auf meine „Denkfehler“:

Ich fand die Farbcodierung grau · orange · grün sehr suggestiv und ging davon aus, dass infolge der Zuordnung eines Ports zu einem VLAN über den orangefarbenen „Tag Egress Member“ der rausgehende Verkehr mit der VLAN ID getaggt ist. Demnach sollte der Verkehr über Port 1 die ID 10 und jener über Port 2 die ID 20 haben. Nun, dem ist wohl nicht so.

Deinen Hinweis, die VLAN ID über die PVID zu setzen, werde ich am Montag angehen und der Neugierde halber mit Wireshark nachgucken (müsste zum Anzapfen ggf. einen Switch zwischenschalten, um die evtl. dort noch vorhandenen VIDs zu sehen, bevor sie im Switch oben gestrippt werden).

Grüße, sino

8

Hallo Sino,

leider läuft ft die Sache mit den VLANs bei jedem Hersteller anders, die Sprechweise ist unterschiedlich und das Vorgehen immer wieder neu.

Wie ich es verstehe:

Wenn ein Paket (über das Kabel) am Port ankommt (ingress), dann geht es nur darum herauszufinden, zu welchem VLAN es gehört - es werden noch keine Tags verändert. Dazu gibt es zwei Möglichkeiten: Entweder hat das Paket schon ein VLAN-Tag, dann ist die Sache klar. Oder es hat keines, dann gehört es zu dem VLAN, das bei diesem Port als PVID (oder „untagged VLAN“) eingestellt ist.

Jetzt weiß der Switch, zu welchem VLAN das Paket gehört, und er gibt es an allen Ports aus, die zu diesem VLAN gehören.

Hier gibt es nun zwei Möglichkeiten: Mit oder ohne Tag. Ohne Tag wird ein Paket nur ausgegeben, wenn es zu dem VLAN gehört, dass für diesen Port als untagged oder PVID eingestellt ist. Oft heißt das auch „egress untagged“. Das kann bei einem Port immer nur ein VLAN sein (und dasselbe für ein- und ausgehende Pakete), alles andere kann nicht funktionieren. In diesem Schritt werden nun bei Bedarf die Tags modifiziert.

In der Praxis gibt meist es zwei Fälle:

An einem Port hängt ein Endgerät (PC, FRITZ!Box, …). Hier konfiguriert man nur ein VLAN, und das dann ohne Tag.

Oder es geht von einem Port zu einem anderen Switch. Hier konfiguriert man alle erforderlichen VLANs, und zwar mit Tag. In manchen Situationen kann es auch sinnvoll sein, ein (nur ein!) VLAN zwischen zwei Switchen ohne Tag zu konfigurieren, ein Beispiel wäre ein Management-Netz, über das ein Controller die Switche automatisch findet - z. B. bei den Unifi-Geräten ist das so.

Bei Dir muss also nur bei der Verbindung zwischen den Switchen getagged werden. Diese Ports gehören zu mehreren VLANs. Alle anderen Ports gehören nur zu einem VLAN und sind ungetagged.

Wie gesagt sind auch die Anleitungen und die Konfiguration oft verwirrend. Paradebeispiel die Seite, die Du gepostet hast - ich habe eine ganze Weile gebraucht, um zu verstehen, was die meinen.

Ich bin jedenfalls gespannt, ob es klappt - viel Erfolg!

Herzliche Grüße

Jörg

9

Hallo Jörg,

es ist zum Mäusemelken - leider klappt es immer noch nicht:
habe gestern gemäß deinen Hinweisen im kleinen Switch im Keller die ID per PVID gesetzt, Port 1 & 2 grün (untagged). Hier (an Stelle einem screenshot) eine Tabelle mit VLAN-üblichen Buchstaben, die wie folgt in Relation zur Bezeichnung von Zyxel stehen:
– ~ grau (Non-Member), T ~ orange (Tag Egress Member), U ~ grün (Untag Egress Member)

VLAN/Port 1 2 3 4 5
1 - - U U U
10 U - - - T
20 - U - - T

Mögliche Fehlerquellen (incl. Denkfehler):

  1. Das eingangs gezeigte Diagramm suggeriert VLAN 10 Verwaltungsnetz und VLAN 20 Päd-Netz, ich hatte es in den screenshots anders rum: Macht aber nix, denn im Uplink Port 5 führen ja beide in den Switch nach oben und werden dort wieder sortiert. Muss also nur im oberen Switch die PVID an den Ports, von wo aus es zu den jeweiligen Netzen führt, richtig setzen.

  2. Die Zyxel-Nomenklatur (Tag/Untag Egress Member) finde ich verwirrend.
    Anfangs hatte ich Port 1 & 2 auf orange (Tag Egress Member) gesetzt, weil ich dachte, die sollten getaggt werden. Deinem Hinweis zufolge aber sollten sie auf grün (Untag Egress Member) stehen, was ich auch probiert habe (siehe Tabelle oben), ebenfalls ohne Erfolg. Andererseits steht das Egress nach meinem Verständnis für routerseitig. Hier also der alte Cisco-Router von Belwü, der sicherlich keine getaggten Pakete liefert (oder erwartet). So gesehen liegst Du mit deinem Untagged von Port 1 & 2 richtig.

  3. Die beiden Switches: das viel neuere Zyxel GS1200-5 und das ältere Allnet 4804w sind (aus einem mir noch unbekannten Grund) womöglich inkompatibel, was VLAN angeht (unwahrschelinlich, aber ich wollts hier mal aufführen). Es gibt zum Allnet außer dem Manual keine Firmware zu Download.

Werde heute Nachmittag systematischer vorgehen:
zunächst mal nur ein Netz (Verwaltung) virtuell nach oben führen, gucken, ob es oben auch ankommt (evtl. mit packet sniffer*), dann das andere Netz einzeln und erst dann beide.

__
* das mit dem Packet-Sniffer scheint unter Windows etwas tricky zu sein. Werde bei der Gelegenheit neben Wireshark auch Microsoft Network Monitor und das Windows-10-Bordwerkzeug pktmon.exe ausprobieren.

Grüße, sino

10

Hallo Sino,

wie Du sagst ist es natürlich egal, welches VLAN welches ist, man muss es nur konsistent machen.

Der kleine Switch sieht für mich so gut aus.

Hast Du denn auch den anderen Switsch umkonfiguriert:

Uplink-Port: Mitglied bei 1, 10 und 20
„Egress untagged VLAN 1“

Ein Port für VLAN 10: Mitglied nur bei VLAN 10 in der Tabelle, kein VLAN 1
An diesem Port dann „Egress untagged VLAN 10“

Analog ein Port für VLAN 20.

Beste Grüße

Jörg

11

Hallo Jörg,

das „einfache VLAN“ zeigte sich unerwartet widerspenstig.

Folgende Einstellungen (siehe Tabelle weiter oben) funktioniert nicht.

Habe im ersten Schritt zunächst nur das (einfachere) Verwaltungsnetz über VLAN 10 nach oben geleitet. Dabei stellte sich (wider Erwarten und entgegen dem Tipp)

folgende Konfiguration als die einzig funktionierende heraus:

Switch im Keller:
Etwas „counterintuitive“ war die Einstellungen Untag Egress Member für VLAN 1 für Port 1 & 2 (fettes U zur besseren Unterscheidung gegenüber Tabelle weiter oben).

VLAN/Port 1 2 3 4 5
1 U U U U U
10 U - - - T
20 - U - - T

…und hier als Screenshot:
grafik

Das mag vllt. eine Eigenheit bei Zyxel GS1200 Serie sein, dass alle Ports stets auch Mitglied von VLAN 1 sein müssen. Jedenfalls funktioniert es in dieser Konstellation nur so.

Der Switch oben
hingegen konnte intuitiv wie folgt konfiguriert werden (sreenshot)
grafik

und funktionierte auch so wie erwartet, hier die zugehörige PVID Konfiguration:
|Port|Egress|PVID|
|-|-|-|-
|3|Untagged|10|
|8|Untagged|10|
|16|Untagged|20|

für die beiden PCs in der Verwaltung (Port 3 & 8 in VLAN 10 und nur dort) und die externe (rote) WAN-Verbindung zur Firewall (Port 16 in VLAN 20).

Zu guter Letzt:

Diese VLAN-Konfiguration hat mich verblüffend viel Zeit gekostet. Nicht zuletzt deshalb, weil auf den Verwaltungs-PC der Netzstatus nicht immer korrekt anzeigt wurde. Viel Zeit verging, bis ich dahinter kam, dass unter Windows 10 unten in der Taskleiste zuweilen der „Globus“ (für nicht identifiziertes Netzwerk/Kein Internet) angezeigt wird, obwohl tatsächlich eine Verbindung besteht…(aaaarrghh)

Nochmal Danke an alle für Kommentare und Hinweise. Vllt. hilft dieser Thread jemanden bei der Einrichtung eines „einfachen VLAN“ mit Switches unterschiedlicher Hersteller.

Grüße, sino

12

Hallo ChristianWd,

Zur Bezeichnung: Wie Jörg schon bemerkt hat,

Bei der Zyxel GS1200-Serie wird ein „Uplink“ im WebIF im Menü unter Port/Advanced Settings eingestellt. Laut der Notiz unten sorgt dies auch dafür, dass die Ports (bis auf den Uplink) voneinander getrennt sind.

Screenshot_zyxel_gs1200-5_Port-Advanced-settings
Screenshot_zyxel_gs1200-5_Port-Advanced-settings725×198 14.1 KB

Grüße, sino

13

Hallo Sino,

zunächst einmal: Gut, dass es jetzt klappt!

Ich war neugierig und habe auch mal einen Blick in das Handbuch geworfen. Bei dem Switch wird VLAN 1 als „Managementnetz“ bezeichnet (eventuell kann man nur aus diesem heraus das Webinterface aufrufen), und tatsächlich sind bei den Beispielen aus der Anleitung alle Ports im VLAN 1 (also wie bei Dir). Funktionieren kann das (2 VLANs ohne Tag am selben Port) aus meiner Sicht nur, wenn man das VLAN 1 nicht verwendet :slight_smile:

Auch die Sache mit dem Uplink-Port ist merkwürdig. Es gibt sicher Szenarien, wo eine solche Konfiguration sinnvoll ist, aber so kann man z. B. nicht auf einen Drucker am selben Switch drucken.

Wie gesagt: VLANs sind eigentlich eine einfache Sache, die Hersteller machen es einem aber nicht leicht.

Beste Grüße

Jörg