7
1793VA als Router zwischen Switch und FB 6490 Cable
Hallo,
ich bin gerade dabei, mein Netzwerk umzustellen, aufzurüsten und im April vom jetzigen lokalen Kabel-Provider mit 72 mbps zur Telekom mit VDSL2 mit 250 mbps zu wechseln.
Dahingehend habe ich mir folgende Geräte besorgt:
- VDSL2-Routermodem: Lancom 1793VA
- Switch: Lancom GS-2326
- WLAN-Access Point: Lancom LW-500
Nun würde ich gerne vorab bereits das Routing, DHCP, SIP und Firewall-Geschichten mit dem neuen Router 1793VA vornehmen, insb. da dieser auch VLANs unterstützt, womit ich IoT-, Gastgeräte, usw. trennen kann. Da ich aber bis April noch den Kabelzugang nutze, bin ich auf die dafür vorhandene Fritz!Box 6490 Cable angewiesen (die selbst keine VLANs beherrscht). Meine Idee ist nun, den 1793VA einfach zwischen den Switch und die Fritz!Box zu hängen. Ab April würde die Fritz!Box dann wegfallen.
Dabei stellen sich mir zunächst folgende Fragen (wahrscheinlich werden weitere folgen):
1. Muss/sollte ich auf der Fritz!Box den Bridge-Modus für den LAN-Port aktivieren, an dem das 1793VA hängt?
2. Soll ich beim 1793VA einfach irgendeinen LAN-Port oder den WAN-Port (bezeichnet mit "VDSL/ADSL") als Verbindung zur Fritz!Box nutzen? - Es handelt sich bei mir ja nicht um PPPoE (was man bei FB-DSL-Modems wohl per Passthrough durchleifen könnte), sondern um einen Kabelzugang (also kein VDSL/ADSL).
3. Was muss ich sonst noch beachten? Bspw. würde ich gerne doppeltes NAT umgehen sowie andere Stolperfallen.
Vorab schon mal vielen Dank!
ich bin gerade dabei, mein Netzwerk umzustellen, aufzurüsten und im April vom jetzigen lokalen Kabel-Provider mit 72 mbps zur Telekom mit VDSL2 mit 250 mbps zu wechseln.
Dahingehend habe ich mir folgende Geräte besorgt:
- VDSL2-Routermodem: Lancom 1793VA
- Switch: Lancom GS-2326
- WLAN-Access Point: Lancom LW-500
Nun würde ich gerne vorab bereits das Routing, DHCP, SIP und Firewall-Geschichten mit dem neuen Router 1793VA vornehmen, insb. da dieser auch VLANs unterstützt, womit ich IoT-, Gastgeräte, usw. trennen kann. Da ich aber bis April noch den Kabelzugang nutze, bin ich auf die dafür vorhandene Fritz!Box 6490 Cable angewiesen (die selbst keine VLANs beherrscht). Meine Idee ist nun, den 1793VA einfach zwischen den Switch und die Fritz!Box zu hängen. Ab April würde die Fritz!Box dann wegfallen.
Dabei stellen sich mir zunächst folgende Fragen (wahrscheinlich werden weitere folgen):
1. Muss/sollte ich auf der Fritz!Box den Bridge-Modus für den LAN-Port aktivieren, an dem das 1793VA hängt?
2. Soll ich beim 1793VA einfach irgendeinen LAN-Port oder den WAN-Port (bezeichnet mit "VDSL/ADSL") als Verbindung zur Fritz!Box nutzen? - Es handelt sich bei mir ja nicht um PPPoE (was man bei FB-DSL-Modems wohl per Passthrough durchleifen könnte), sondern um einen Kabelzugang (also kein VDSL/ADSL).
3. Was muss ich sonst noch beachten? Bspw. würde ich gerne doppeltes NAT umgehen sowie andere Stolperfallen.
Vorab schon mal vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 648133
Url: https://administrator.de/contentid/648133
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
7 Kommentare
Neuester Kommentar
1.) Bridge Mode wird schon seit langem (angeblich) nicht mehr supportet von AVM. Musst du checken ansonsten benötigst du ein externes NUR Modem. Bei Kabel TV z.B. TC4400
2.) Kabel TV nutzt DHCP zur IP Adressvergabe auf den Clients. Der Port muss also schlicht und einfach nur als DHCP Client definiert sein. Welcher das ist ist egal.
3.) Alles was du sonst noch beachten musst bei Kaskaden steht , wie immer, hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Alles zum Thema VLANs mit Routern hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
2.) Kabel TV nutzt DHCP zur IP Adressvergabe auf den Clients. Der Port muss also schlicht und einfach nur als DHCP Client definiert sein. Welcher das ist ist egal.
3.) Alles was du sonst noch beachten musst bei Kaskaden steht , wie immer, hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Alles zum Thema VLANs mit Routern hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Zur Vermeidung von einem Doppel-NAT musst du schauen, ob deine Fritzbox das Hinzufügen von statischen Routen erlaubt. Bei freien Fritzboxen ist es kein Problem, bei Mietgeräten kommt es auf den Provider an.
Die Verbindung zwischen LANCOM und Fritzbox muss über einen der LAN-Ports erfolgen, die man in der Konfiguration zu einem WAN-Port umkonfigurieren kann. Die Gegenstelle entweder als DHCPOE konfigurieren und einfach anschließen oder als IPOE mit einer statischen IP-Konfiguration.
Die Verbindung zwischen LANCOM und Fritzbox muss über einen der LAN-Ports erfolgen, die man in der Konfiguration zu einem WAN-Port umkonfigurieren kann. Die Gegenstelle entweder als DHCPOE konfigurieren und einfach anschließen oder als IPOE mit einer statischen IP-Konfiguration.
1
Mahlzeit,
vorab würde ich dir empfehlen, dich ausgiebig mit deinem neuen Router zu befassen.
Lancom-Router sind Feature-Monster, aber über die Assistenten gut einzurichten.
Installiere dir Lanconfig!
Wenn du bisher keinen VDSL-Anschluss hast, brauchst du diesen auf dem Lancom auch nicht zu konfigurieren.
Mit der Firewall wirst du dich etwas länger beschäftigen dürfen. Dort fängt die Lernkurve recht weit oben an.
Welches SIP-Konto willst du konfigurieren, das von deinem Kabelanschluss oder das vom noch nicht vorhandenen VDSL?
Warum wartest du bis April?
Bestell deinen VDSL doch gleich und richte dir beide Anschlüsse auf deinem 1793Va ein. Der packt das problemlos.
Zu deinen Fragen:
1. Wie @aqui es schon schrieb, gibt es diesen nicht mehr auf den Kabel-Fritten. Du kannst aber Portweiterleitungen einrichten und mit einem Exposed Host leitest du alles an den 1793VA weiter.
2. Der VDSL/ADSL-Anschluss kann nicht für den Kabelanschluss verwendet werden. Dort kannst du nur mit einem ADSL/VDSL-Anschluss verbinden.
Nutze den Assistenten, um eine Verbindung zum Internet herzustellen. Verbinde die Fritte mit einem der Lanports des Lancoms.
3. Was ich oben bereits schrieb. Beschäftige dich intensiv mit deinen Lancom-Router. Es handelt sich hierbei um ein Profi-Gerät, das nicht von jedem eingerichtet werden kann bzw. sollte.
vorab würde ich dir empfehlen, dich ausgiebig mit deinem neuen Router zu befassen.
Lancom-Router sind Feature-Monster, aber über die Assistenten gut einzurichten.
Installiere dir Lanconfig!
Nun würde ich gerne vorab bereits das Routing, DHCP, SIP und Firewall-Geschichten mit dem neuen Router 1793VA vornehmen
Du kannst nur das konfigurieren, was da ist.Wenn du bisher keinen VDSL-Anschluss hast, brauchst du diesen auf dem Lancom auch nicht zu konfigurieren.
Mit der Firewall wirst du dich etwas länger beschäftigen dürfen. Dort fängt die Lernkurve recht weit oben an.
Welches SIP-Konto willst du konfigurieren, das von deinem Kabelanschluss oder das vom noch nicht vorhandenen VDSL?
Warum wartest du bis April?
Bestell deinen VDSL doch gleich und richte dir beide Anschlüsse auf deinem 1793Va ein. Der packt das problemlos.
Zu deinen Fragen:
1. Wie @aqui es schon schrieb, gibt es diesen nicht mehr auf den Kabel-Fritten. Du kannst aber Portweiterleitungen einrichten und mit einem Exposed Host leitest du alles an den 1793VA weiter.
2. Der VDSL/ADSL-Anschluss kann nicht für den Kabelanschluss verwendet werden. Dort kannst du nur mit einem ADSL/VDSL-Anschluss verbinden.
Nutze den Assistenten, um eine Verbindung zum Internet herzustellen. Verbinde die Fritte mit einem der Lanports des Lancoms.
3. Was ich oben bereits schrieb. Beschäftige dich intensiv mit deinen Lancom-Router. Es handelt sich hierbei um ein Profi-Gerät, das nicht von jedem eingerichtet werden kann bzw. sollte.
1
Danke.
Zu 1: Ich kann unter [Internet] -> [Zugangsart] -> [Bridge-Anschlüsse] die LAN-Ports 2-4 als Bridge-Anschluss konfigurieren. Das ist wohl nur mit Fritz!Boxen möglich, die direkt vom Provider gestellt werden und nicht mit von Händler vertriebenen (das hat jetzt allerdings nichts mit Vertriebenen zu tun ;) ).
Das TC4400 hatte ich da und lieferte bei mir schlechtere Werte als die Fritz!Box, weil mein kleiner lokaler Provider keinen Systempartnervertrag mit Technicolor hat, womit ihm der Zugriff auf die aktuellen modemspezifischen OIDs verwehrt blieb. Dazu geistern schlaumerische Besserwisser durch die Foren, die auch mir anderes weismachen wollten und mittels des Schlagworts "Endgerätefreiheit" bestimmte vertragliche Hürden seitens des Providers beiseite zu wischen meinen. Letztlich hat die BNA das aber für mich auch nachvollziehbar klargestellt. Mein Protokoll dazu findest du hier: https://www.unitymediaforum.de/threads/36248/page-273#post-447887
Zu 2: Alles klar - also wird einfach DHCP des Providernetzwerks zum Kabeleingang der Fritz!Box und dort dann mittels Bridge-Einstellung zum entsprechenden LAN-Port weiter zum daran angeschlossenen Router geroutet.
Zu 3: Kaskadierung würde ich gerne umgehen (also kein Doppel-NAT). Aber da muss ich mal schauen, ob ich das hinbekomme. Aktuell warte ich noch auf den PoE-Injektor für den WLAN-Access Point, bevor ich da rangehe, damit ich zusätzlich nicht noch mit dem Fritz!Box-WLAN hantieren muss.
Zu 1: Ich kann unter [Internet] -> [Zugangsart] -> [Bridge-Anschlüsse] die LAN-Ports 2-4 als Bridge-Anschluss konfigurieren. Das ist wohl nur mit Fritz!Boxen möglich, die direkt vom Provider gestellt werden und nicht mit von Händler vertriebenen (das hat jetzt allerdings nichts mit Vertriebenen zu tun ;) ).
Das TC4400 hatte ich da und lieferte bei mir schlechtere Werte als die Fritz!Box, weil mein kleiner lokaler Provider keinen Systempartnervertrag mit Technicolor hat, womit ihm der Zugriff auf die aktuellen modemspezifischen OIDs verwehrt blieb. Dazu geistern schlaumerische Besserwisser durch die Foren, die auch mir anderes weismachen wollten und mittels des Schlagworts "Endgerätefreiheit" bestimmte vertragliche Hürden seitens des Providers beiseite zu wischen meinen. Letztlich hat die BNA das aber für mich auch nachvollziehbar klargestellt. Mein Protokoll dazu findest du hier: https://www.unitymediaforum.de/threads/36248/page-273#post-447887
Zu 2: Alles klar - also wird einfach DHCP des Providernetzwerks zum Kabeleingang der Fritz!Box und dort dann mittels Bridge-Einstellung zum entsprechenden LAN-Port weiter zum daran angeschlossenen Router geroutet.
Zu 3: Kaskadierung würde ich gerne umgehen (also kein Doppel-NAT). Aber da muss ich mal schauen, ob ich das hinbekomme. Aktuell warte ich noch auf den PoE-Injektor für den WLAN-Access Point, bevor ich da rangehe, damit ich zusätzlich nicht noch mit dem Fritz!Box-WLAN hantieren muss.
Mahlzeit,
Bei mir in der 6490 (Mietgerät von Vodafone) ging es nicht.
Bin aber sehr froh, dass ich das TC4400 jetzt bei mir laufen haben. Parallel dazu habe ich noch einen ADSL von 1&1.
Alles hängt an einem Lancom 1906VA (der DSL direkt am ADSL-Port).
Warum orderst du den VDSL nicht sofort, stören dich die 2 Monate der doppelten Gebühr?
Zitat von @tardezyx:
Zu 1: Ich kann unter [Internet] -> [Zugangsart] -> [Bridge-Anschlüsse] die LAN-Ports 2-4 als Bridge-Anschluss konfigurieren. Das ist wohl nur mit Fritz!Boxen möglich, die direkt vom Provider gestellt werden
Zu 1: Ich kann unter [Internet] -> [Zugangsart] -> [Bridge-Anschlüsse] die LAN-Ports 2-4 als Bridge-Anschluss konfigurieren. Das ist wohl nur mit Fritz!Boxen möglich, die direkt vom Provider gestellt werden
Zu 3: Kaskadierung würde ich gerne umgehen (also kein Doppel-NAT). Aber da muss ich mal schauen, ob ich das hinbekomme. Aktuell warte ich noch auf den PoE-Injektor für den WLAN-Access Point, bevor ich da rangehe, damit ich zusätzlich nicht noch mit dem Fritz!Box-WLAN hantieren muss.
Dann kannst du doch den Bridgemode einstellen und hast kein doppeltes NAT.Bei mir in der 6490 (Mietgerät von Vodafone) ging es nicht.
Bin aber sehr froh, dass ich das TC4400 jetzt bei mir laufen haben. Parallel dazu habe ich noch einen ADSL von 1&1.
Alles hängt an einem Lancom 1906VA (der DSL direkt am ADSL-Port).
Warum orderst du den VDSL nicht sofort, stören dich die 2 Monate der doppelten Gebühr?
Aloha,
nach einem Reset konnte ich die Grundeinstellungen des Routers vornehmen (betraf im Grunde nur die Passwort- und IP-Vergabe). Dann habe ich ihn zwischen dem eingestellten Bridge-Port der FB und dem Layer2-Switch gehangen, was auf Anhieb funktionierte, Er wird in der LanConfig gefunden und somit kann ich dort alles von der Workstation aus einstellen. Ferner kann ich gleichzeitig auf die Fritz!Box und aufs Internet zugreifen. Der Router leitet aktuell auch die DHCP-Settings der Fritz!Box zu den Endgeräten durch, d.h. vergibt die dort eingestellten statischen IPs. FB-WLAN über FB-Mesh-Access-Point geht auch. Also es funktioniert erstmal alles wie gewohnt - nur dass da nun zusätzlich der 1793VA dazwischenhängt, aber noch ohne erkennbare (Zusatz-)Funktion.
Ich würde nun gerne das gesamte Routing der FB wegwerfen und auf den 1793VA "schieben" zzgl. VLAN-Trennung usw.
Ich habe bereits herausgefunden, dass man statische IPs mittels BootP zu "Stationen" (damit sind wohl die Endgeräte gemeint) einstellt und das dann mittels DHCP zugewiesen wird - also einfach wie in der FB mittels MAC-Adressen. Da habe ich aber gelesen, dass das "unsicher" wäre. Besser wäre eine Zuweisung mittels Port und MAC - also am Switch (da der Router ja nur den einen Port zum Switch kennt). Mein Lancom Layer-2-Switch (GS-2326) bietet aber dahingehend offenbar "nur" eine Port-Kontrolle, d.h. man kann bestimmte VLAN-, MAC- & IP-Kombinationen an einem Port erlauben, aber nicht an die Endgeräte zuweisen. Alternativ könnte ich noch auf DHCP verzichten und auf allen Endgeräten die IPs statisch einstellen und dann wohl am Switch per Port die VLAN-ID zuweisen. Der neue WLAN-Access Point (Lancom LW-500) sollte dann wohl eine ähnliche VLAN-Zuweisung bieten - mangels PoE-Injektors (kommt am Dienstag) ist der aber noch außen vor, d.h. die WLAN-Geräte kann ich erst nächste Woche umstellen.
Also wäre wohl das "Beste" vorgehen wie folgt:
1. VLAN-Trennung und Routing gedanklich festlegen
2. IPs und VLAN-IDs mittels MAC in BootP auf dem Router zuweisen und natürlich DHCP aktivieren
3. Routing zwischen den VLANs bzw. bestimmten IPs einrichten
4. zusätzlich eine Portprüfung (IP Source Guard) auf dem Switch einrichten (nur entsprechende VLAN-IDs, MACs und IPs am jeweiligen Port erlauben)
Zu 1. habe ich mir folgende VLANs überlegt (Geräte per LAN angeschlossen, wenn nicht anders angegeben):
- VLAN #1 (10.0.1.x/24): "Management" mit Modem, Router, Switch und WLAN-Access Point
- VLAN #2 (10.0.2.x/24): "Fertile" mit Workstation, Server, Laptop, WLAN-Drucker und WLAN-Scanner
- VLAN #3 (10.0.3.x/24): "Media" mit TVs und Medienstreamern
- VLAN #4 (10.0.4.x/24): "IoT" mit Haushaltsgeräten per LAN (Philips Hue Hub) und WLAN (hier aktuell: Backofen, Geschirrspüler)
- VLAN #5 (10.0.5.x/24): "Surveillance" mit Cam(s) (Outdoor per PoE-LAN, Indoor per WLAN und ggf. LAN)
- VLAN #6 (10.0.6.x/24): "Mobile" mit eigenen WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
- VLAN #7 (10.0.7.x/24): "Guests" mit fremden WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
Wäre das soweit erstmal korrekt oder gar nicht umsetzbar, da der Router als zentraler Gateway ja die IP 10.0.1.1 hätte und somit bereits von den anderen VLANs abgeschnitten wäre, womit er den Endgeräten die IPs per DHCP gar nicht (mehr) zuweisen/ändern kann?
Wie stellt man dann den Zugriff der Workstation (10.0.2.1) auf das Management-VLAN her (10.0.1.x) , damit ich weiterhin Vollzugriff auf die essentiellen Netzwerkgeräte und deren Einstellungen habe?
Vielen Dank nochmal!
nach einem Reset konnte ich die Grundeinstellungen des Routers vornehmen (betraf im Grunde nur die Passwort- und IP-Vergabe). Dann habe ich ihn zwischen dem eingestellten Bridge-Port der FB und dem Layer2-Switch gehangen, was auf Anhieb funktionierte, Er wird in der LanConfig gefunden und somit kann ich dort alles von der Workstation aus einstellen. Ferner kann ich gleichzeitig auf die Fritz!Box und aufs Internet zugreifen. Der Router leitet aktuell auch die DHCP-Settings der Fritz!Box zu den Endgeräten durch, d.h. vergibt die dort eingestellten statischen IPs. FB-WLAN über FB-Mesh-Access-Point geht auch. Also es funktioniert erstmal alles wie gewohnt - nur dass da nun zusätzlich der 1793VA dazwischenhängt, aber noch ohne erkennbare (Zusatz-)Funktion.
Ich würde nun gerne das gesamte Routing der FB wegwerfen und auf den 1793VA "schieben" zzgl. VLAN-Trennung usw.
Ich habe bereits herausgefunden, dass man statische IPs mittels BootP zu "Stationen" (damit sind wohl die Endgeräte gemeint) einstellt und das dann mittels DHCP zugewiesen wird - also einfach wie in der FB mittels MAC-Adressen. Da habe ich aber gelesen, dass das "unsicher" wäre. Besser wäre eine Zuweisung mittels Port und MAC - also am Switch (da der Router ja nur den einen Port zum Switch kennt). Mein Lancom Layer-2-Switch (GS-2326) bietet aber dahingehend offenbar "nur" eine Port-Kontrolle, d.h. man kann bestimmte VLAN-, MAC- & IP-Kombinationen an einem Port erlauben, aber nicht an die Endgeräte zuweisen. Alternativ könnte ich noch auf DHCP verzichten und auf allen Endgeräten die IPs statisch einstellen und dann wohl am Switch per Port die VLAN-ID zuweisen. Der neue WLAN-Access Point (Lancom LW-500) sollte dann wohl eine ähnliche VLAN-Zuweisung bieten - mangels PoE-Injektors (kommt am Dienstag) ist der aber noch außen vor, d.h. die WLAN-Geräte kann ich erst nächste Woche umstellen.
Also wäre wohl das "Beste" vorgehen wie folgt:
1. VLAN-Trennung und Routing gedanklich festlegen
2. IPs und VLAN-IDs mittels MAC in BootP auf dem Router zuweisen und natürlich DHCP aktivieren
3. Routing zwischen den VLANs bzw. bestimmten IPs einrichten
4. zusätzlich eine Portprüfung (IP Source Guard) auf dem Switch einrichten (nur entsprechende VLAN-IDs, MACs und IPs am jeweiligen Port erlauben)
Zu 1. habe ich mir folgende VLANs überlegt (Geräte per LAN angeschlossen, wenn nicht anders angegeben):
- VLAN #1 (10.0.1.x/24): "Management" mit Modem, Router, Switch und WLAN-Access Point
- VLAN #2 (10.0.2.x/24): "Fertile" mit Workstation, Server, Laptop, WLAN-Drucker und WLAN-Scanner
- VLAN #3 (10.0.3.x/24): "Media" mit TVs und Medienstreamern
- VLAN #4 (10.0.4.x/24): "IoT" mit Haushaltsgeräten per LAN (Philips Hue Hub) und WLAN (hier aktuell: Backofen, Geschirrspüler)
- VLAN #5 (10.0.5.x/24): "Surveillance" mit Cam(s) (Outdoor per PoE-LAN, Indoor per WLAN und ggf. LAN)
- VLAN #6 (10.0.6.x/24): "Mobile" mit eigenen WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
- VLAN #7 (10.0.7.x/24): "Guests" mit fremden WLAN-Laptop(s), -Tablet(s) und -Smartphone(s)
Wäre das soweit erstmal korrekt oder gar nicht umsetzbar, da der Router als zentraler Gateway ja die IP 10.0.1.1 hätte und somit bereits von den anderen VLANs abgeschnitten wäre, womit er den Endgeräten die IPs per DHCP gar nicht (mehr) zuweisen/ändern kann?
Wie stellt man dann den Zugriff der Workstation (10.0.2.1) auf das Management-VLAN her (10.0.1.x) , damit ich weiterhin Vollzugriff auf die essentiellen Netzwerkgeräte und deren Einstellungen habe?
Vielen Dank nochmal!
Wäre das soweit erstmal korrekt oder gar nicht umsetzbar
Das ist alles korrekt und entspricht ja einem stinknormalen Standard VLAN Setup wie es z.B. hier grundsätzlich beschrieben ist:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
womit er den Endgeräten die IPs per DHCP gar nicht (mehr) zuweisen/ändern kann?
Nein das ist Unsinn denn der Router kann in jedem VLAN als DHCP Server agieren. Eine Standardfunktion die jeder VLAN fähige Router / Firewall hat !Wie stellt man dann den Zugriff der Workstation (10.0.2.1) auf das Management-VLAN her (10.0.1.x)
Generell hast du mit dem Lancom einen Router. Sprich also, der routet per se erstmal alle deine VLANs frei untereinander ohne Beschränkung so das du aus jedem IP Subnetz problemlos Zugang zur 10.0.1.x IP hastJedes der Router Interfaces in den VLANs bietet ebenso einen Management Zugang.
Will man das reglemetieren geschieht das immer mit IP Access Listen.
Eine Security Policy ist dann hier imemr hilfreich in der du VORHER festlegst wer was darf. Sowas macht man aber logischerweise immer erst hinterher wenn man weiss das das VLAN Routing fehlerlos klappt um sich nicht mehrere Baustellen und Fallen parallel zu schaffen.
