MAC VLAN TP-LINK
Hallo zusammen,
ich bin echt am verzweifeln und bin über jede Hilfe dankbar.
Folgendes Szenario:
Ich habe auf einem TP-Link Switch VLAN´s erstellt und soweit funktioniert auch alles.
Dann wollte ich an einem Port das MAC VLAN einrichten und bekomme es einfach nicht hin.
An Port 3 ist der Client und an Port 24 der Router.
Kurz und übersichtlich:
802.1Q VLAN ---Profil erstellt---> VLAN ID 40 | Port 3 untagged + Port 24 tagged
Port Config -> Port 3 -> PVID 1 -> Acceptable Frame Types steht auf "Admit All"
MAC VLAN ---Profil erstellt---> MAC Adresse | VLAN ID 40
Mit dieser Konfiguration erhalten "ALLE" Geräte Zugriff zum LAN. Die MAC Adresse des Gerätes, was zu VLAN 40 gehört landet auch im LAN.
Sobald ich die PVID auf 40 umstelle erhalten "ALLE" Geräte Zugriff zum Gästenetz, auch die des Gerätes, welches normalen Traffic, sprich VLAN 1 erhalten soll. Logischerweise habe ich das auch so unter MAC VLAN hinterlegt.
Was mache ich falsch?
ich bin echt am verzweifeln und bin über jede Hilfe dankbar.
Folgendes Szenario:
Ich habe auf einem TP-Link Switch VLAN´s erstellt und soweit funktioniert auch alles.
Dann wollte ich an einem Port das MAC VLAN einrichten und bekomme es einfach nicht hin.
An Port 3 ist der Client und an Port 24 der Router.
Kurz und übersichtlich:
802.1Q VLAN ---Profil erstellt---> VLAN ID 40 | Port 3 untagged + Port 24 tagged
Port Config -> Port 3 -> PVID 1 -> Acceptable Frame Types steht auf "Admit All"
MAC VLAN ---Profil erstellt---> MAC Adresse | VLAN ID 40
Mit dieser Konfiguration erhalten "ALLE" Geräte Zugriff zum LAN. Die MAC Adresse des Gerätes, was zu VLAN 40 gehört landet auch im LAN.
Sobald ich die PVID auf 40 umstelle erhalten "ALLE" Geräte Zugriff zum Gästenetz, auch die des Gerätes, welches normalen Traffic, sprich VLAN 1 erhalten soll. Logischerweise habe ich das auch so unter MAC VLAN hinterlegt.
Was mache ich falsch?
Please also mark the comments that contributed to the solution of the article
Content-ID: 3530831628
Url: https://administrator.de/contentid/3530831628
Printed on: October 6, 2024 at 19:10 o'clock
9 Comments
Latest comment
Mac based VLANs werden in der Regel mit einem Radius Server und Port Security (802.1x / Mac Bypass) konfiguriert. Was sagt denn dein Radius Server auf die eingehenden Requests vom Switch?!
Guckst du auch hier:
Freeradius Management mit WebGUI
Beispiele bei Cisco, Ruckus und HP Switches:
Cisco SG 350x Grundkonfiguration
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Lesen und verstehen...
Guckst du auch hier:
Freeradius Management mit WebGUI
Beispiele bei Cisco, Ruckus und HP Switches:
Cisco SG 350x Grundkonfiguration
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Lesen und verstehen...
Danke für die 💐!
OK, sieht so aus als ob TP-Link da eine Sonderlocke hat und man auf dem Switch das was normalerweise der Radius Server macht statisch in der Konfig hinterlegen kann. Ist eher eine Hersteller proprietäre Ausnahme aber man lernt ja nie aus was die Chinesen sich da so hinbasteln... Wieder was gelernt.
Das Prozedere ist dann exakt so wie mit Radius Unterstützung.
Wenn du den Client dann in den ensprechend konfigurierten o.a. Port steckst der die VLAN basierete Zuweisung macht, dann sollte der Rechner automatisch in VLAN 10 sein und dort alle Endgeräte pingen können.
Das ist natürlich eine neckische Spielerei für Heimnetze wenn man einen einsamen Switch hat. In einem größen Netzwerk ist sowas eine Katastrophe weil man es auf jedem Switch manuell im gesamten Pfad managen muss. Sowas ist dann wenig bis gar nicht skalierbar.
Switches von Mikrotik z.B. die gleich einen kompletten onboard Radius Server mitbringen würden sowas mit einer zentralen Verwaltung deutlich handhabbarer machen. Oder eben einen zentralen Radius auf NAS oder Raspberry Pi.
Aber für 2 bis 3 Adressen und einem Switch ist das sicher dann auch grad noch handhabbar.
Die Frage ist also WAS du WIE "probiert" hast und wo genau es kneift? 🤔
Es wäre deutlich hilfreicher für eine Lösung wenn du mal die o.a. CLI Outputs (show mac-vlan all, show run etc.) und aktiven Mac Adressen posten würdest. Dafür sind "show" Kommandos ja da...
OK, sieht so aus als ob TP-Link da eine Sonderlocke hat und man auf dem Switch das was normalerweise der Radius Server macht statisch in der Konfig hinterlegen kann. Ist eher eine Hersteller proprietäre Ausnahme aber man lernt ja nie aus was die Chinesen sich da so hinbasteln... Wieder was gelernt.
Das Prozedere ist dann exakt so wie mit Radius Unterstützung.
- VLANs global im Switch anlegen z.B. 10 und 20
- LAN Port Mac Adresse des Rechners merken. Bei Winblows geht das mit ipconfig -all bei Linux mit ip a
- Diese Mac Adresse mit mac-vlan mac-address 00:19:56:8a:4c:71 vlan 10 description VLAN10 statisch dem VLAN zuweisen. Eine show mac-vlan vlan 10 sollte das dann verifizieren.
- Client Port (oder Port Range) der/die dynmaisch zugewiesen wird darf nicht Member eines VLANs sein bzw. steht default untagged im Default VLAN (PVID 1)
- Dann im CLI auf diesen Port gehen und mac-vlan dort konfigurieren. Eine show mac-vlan interface danach sollte denn den Ports als dynamischen VLAN Port zeigen.
- Fertisch
Wenn du den Client dann in den ensprechend konfigurierten o.a. Port steckst der die VLAN basierete Zuweisung macht, dann sollte der Rechner automatisch in VLAN 10 sein und dort alle Endgeräte pingen können.
Das ist natürlich eine neckische Spielerei für Heimnetze wenn man einen einsamen Switch hat. In einem größen Netzwerk ist sowas eine Katastrophe weil man es auf jedem Switch manuell im gesamten Pfad managen muss. Sowas ist dann wenig bis gar nicht skalierbar.
Switches von Mikrotik z.B. die gleich einen kompletten onboard Radius Server mitbringen würden sowas mit einer zentralen Verwaltung deutlich handhabbarer machen. Oder eben einen zentralen Radius auf NAS oder Raspberry Pi.
Aber für 2 bis 3 Adressen und einem Switch ist das sicher dann auch grad noch handhabbar.
Die Frage ist also WAS du WIE "probiert" hast und wo genau es kneift? 🤔
Es wäre deutlich hilfreicher für eine Lösung wenn du mal die o.a. CLI Outputs (show mac-vlan all, show run etc.) und aktiven Mac Adressen posten würdest. Dafür sind "show" Kommandos ja da...
Mit der CLI konnte ich mich bei TP-Link leider nicht anfreunden.
How come?? Eigentlich doch eine simple Lachnummer. Mit PuTTY eine Telnet oder SSH Verbindung öffnen und los gehts. Der Output der CLI show Kommandos wäre sehr hilfreich für ein zielführendes Troubleshooting um deinen Konfig Fehler zu finden. So erhalte ich an Port 3 aber "NUR" noch das VLAN 1.
Bedeutet ja dann das deine Mac Adresse nicht erkannt wird. Mit der aus dem Screenshot (00-00-00-00-00-01) kann es natürlich auch NICHT funktionieren! Ist aber vermutlich nur ein Dummy (hoffentlich)?!Ein show mac-vlan interface und show mac-vlan all wäre schon nicht schlecht.
Ich wollte schon immer mal ein RADIUS Server einrichten
Dann mal los. Ist eh die Standard konformere Lösung. Vielleicht erkennst du ja einen Fehler.
Ist schwierig in einem KlickiBunti GUI was keinen klaren Output liefert. Hilfreich wäre auch das Switch Log (show logg) was auch leider fehlt. Damit ist eher nur Kristallkugeln möglich. Vielleicht auch einfach nur ein Bug. Bei billigen China Krachern ja leider nicht unüblich. Neuste Firmware hast du draufgeflasht?
Das Elend siehst du ja jetzt selber oben und ist dir schon mehrfach gesagt worden! 🧐
Die von dir dort angegebene Mac Adresse ist völliger Quatsch! Das ist KEINE gültige Mac Adresse eines Endgerätes!!
Wenn du einen Winblows Rechner verwendest gibst du in der Eingabeaufforderung ipconfig -all ein. Wenn du einen Linux Rechner nutzt ist das ip a (oder das alte ifconfig, Der Mac zeigt es in den Systemeinstellungen - Netzwerk - Adapter - Hardware an)
DORT wird dir dann die zu deinem Gerät gehörige Mac Adresse (Hardware Adresse) angezeigt und diese Adresse gehört dort in deine Switch Konfig!
Am Switch natürlich mit : statt - als Trennungszeichen eingeben!
mac-vlan mac-address 00:50:2c:a5:f5:73 vlan 40 description WORK
Logisch, denn WIE sollte der Switch denn dein Endgerät eindeutig erkennen und die VLAN ID korrekt zuweisen können wenn nicht über die weltweit einzigartige Mac Adresse dieses Gerätes! Mit so einem Unsinn wie 00:00:00:00:00:01 geht das erwartungsgemäß in die Hose!
Eigentlich sollte man erwarten das du die Tips und Hilfen hier wirklich liest und auch entsprechend umsetzt! Ganz besonders als Netzwerk Administrator für den sowas banale Basics sind.
Die von dir dort angegebene Mac Adresse ist völliger Quatsch! Das ist KEINE gültige Mac Adresse eines Endgerätes!!
Wenn du einen Winblows Rechner verwendest gibst du in der Eingabeaufforderung ipconfig -all ein. Wenn du einen Linux Rechner nutzt ist das ip a (oder das alte ifconfig, Der Mac zeigt es in den Systemeinstellungen - Netzwerk - Adapter - Hardware an)
DORT wird dir dann die zu deinem Gerät gehörige Mac Adresse (Hardware Adresse) angezeigt und diese Adresse gehört dort in deine Switch Konfig!
Am Switch natürlich mit : statt - als Trennungszeichen eingeben!
mac-vlan mac-address 00:50:2c:a5:f5:73 vlan 40 description WORK
Logisch, denn WIE sollte der Switch denn dein Endgerät eindeutig erkennen und die VLAN ID korrekt zuweisen können wenn nicht über die weltweit einzigartige Mac Adresse dieses Gerätes! Mit so einem Unsinn wie 00:00:00:00:00:01 geht das erwartungsgemäß in die Hose!
Eigentlich sollte man erwarten das du die Tips und Hilfen hier wirklich liest und auch entsprechend umsetzt! Ganz besonders als Netzwerk Administrator für den sowas banale Basics sind.
Wenn es das denn nun war:
How can I mark a post as solved?
How can I mark a post as solved?