27.01.2015, aktualisiert am 18.02.2015

2376

Möglichkeiten um VLANs auf einem Mikro Tik anzulegen bzw. einem Port bzw. Interface zuzuweisen

Hallo,

habe ein paar grundlegende Fragen zum Thema anlegen von VLANs auf einem Mikro Tik (RB2011UiAS-2HnD-IN):

- Warum lässt sich ein VLAN nicht mehreren Ports / Interface auf einmal zuweisen, sondern es muss für jeden Port / Interface gesondert definiert werden?
- Worin unterscheidet sich der Weg ob ein VLAN über "Interfaces - Add New - VLAN" anlegt wird, oder über "Switch - VLAN - Add New"? Bzw. in welcher Situation wird welche Weg gebraucht?

Gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 261237

Url: https://administrator.de/contentid/261237

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

32 Kommentare

Neuester Kommentar

Hier gibts Beispiele:
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

Gruß jodel32

Warum lässt sich ein VLAN nicht mehreren Ports / Interface auf einmal zuweisen, sondern es muss für jeden Port / Interface gesondert definiert werden?

Das ist natürlich Blödsinn und stimmt technisch nicht. Woher hast du den Unsinn. Vergiss das mal schnell wieder.
Natürlich kannst du ein VLAN mehreren Ports zuweisen auf einem VLAN Switch wenn diese Port tagged ist und so auch die VLAN Information mitgibt für welches VLAN das gesendete oder empfangene Ethernet Paket ist !
Lies dir die entsprechenden Tutorials durch hier dann wird dir das schnell klar:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren

Worin unterscheidet sich der Weg ob ein VLAN über "Interfaces - Add New - VLAN" anlegt wird, oder über "Switch - VLAN - Add New"? Bzw. in welcher Situation wird welche Weg gebraucht?

Das ist aus VLAN Sicht vollkommen "Latte" und ist rein Konfig spezifisch auf den einzelnen Switch bezogen bzw. wie der Hersteller das in seinem Setup Interface löst. Es ist vollkommen egal ob du so oder so das VLAN anlegst. Hauptsache es wird angelegt !
Die Prozeduren auf einem VLAN Switch sind immer gleich:

VLAN mit ID anlegen
Ports diesen VLANs tagged oder untagged zuweisen
Fertisch....

Details wie man das auf dem Mikrotik macht kannst du hier nachlesen:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
Mikrotik mehrere VirtualAccessPoints mit gleicher SSID

Natürlich kannst du ein VLAN mehreren Ports zuweisen auf einem VLAN Switch wenn diese Port tagged ist und so auch die VLAN
Information mitgibt für welches VLAN das gesendete oder empfangene Ethernet Paket ist !

Klar, rein technisch ist das möglich. Bzw. warum muss der Port dazu tagged sein, wenn man ein VLAN mehreren Ports zuweisen möchte? Du meinst dann eher wenn man MEHRER VLANs EINEM PORT zuweisen möchte, oder?

Das Ganze war aber eher darauf bezogen, wie man auf einem Mikro Tik im Setup ein VLAN (z. B. VLAN 10) mehreren Ports zuweisen kann, ohne dazu 5x das VLAN 10 anlegen zu müssen und einzeln den Ports 1-5 zuweist.

Zitat von @teret4242:
Das Ganze war aber eher darauf bezogen, wie man auf einem Mikro Tik im Setup ein VLAN (z. B. VLAN 10) mehreren Ports zuweisen
kann, ohne dazu 5x das VLAN 10 anlegen zu müssen und einzeln den Ports 1-5 zuweist.

Einfach eine Bridge anlegen, dieser Bridge deine Ports zuweisen und das VLAN an das erzeugte Bridge-Interface hängen, feddich.

Gruß jodel32

Bzw. warum muss der Port dazu tagged sein, wenn man ein VLAN mehreren Ports zuweisen möchte?

Das ist doch logisch, dann anhand des VLAN Tags kann der Switch das Ethernet Paket eindeutig einer VLAN Resource zuweisen !
Bei einem untagged Paket ist das vollkommen unmöglich, denn da hat der Switch keinerlei Möglichkeit hat zu entscheiden in welches VLAN er diesen Traffic forwarden soll.
Stell dir jetzt vor du hättest so einen Port in 3 unterschiedlichen VLANs. Erkläre uns (und auch dem Switch) dann mal WIE du bei einem untagged Paket was am Port eingeht jetzt entscheiden willst ob dieses Paket in VLAN 1, 2 oder 3 geforwardet werden soll ??
Auf die Erklärung wären wir hier alle sicher gespannt...!
Das ist unmöglich !! Deshalt ist es bei Port based VLANs auch schlicht nicht möglich und auch nicht supportet !

Um es jetzt technisch genau zu machen gibt es aber solche Funktion. Die nennt sich dann Mac based VLANs !
Du ahnst vermutlich anhand des Namens wie es funktioniert ?!
Switches die sowas können, haben dann die von dir gewünschte Option das ein Port, der in diesem Modus rennt, auch untagged in mehreren VLANs sein kann.
Der Name sagt es ja:
Der Switch entscheidet das dann anhand der Mac Adresse des eingehenden Ethernet Paketes. Da diese eindeutig ist kann er den Traffic dann wieder dediziert einem VLAN zuordnen.
Die Information welche Mac in welches VLAN kommt konnte man früher umständlich mit einer ASCII Datei jedem Switch per TFTP betanken, macht aber kein Hersteller mehr. Heutzutage geht das automatisch mit 802.1x und über einem zentralen Radius Server der das für alle Switches zentral steuert. Siehe auch hier.
Der MT supportet aber keine Mac based VLANs (soweit mir bekannt...?!)

P.S.: Für den Fauxpas "zuweißen" in der Überschrift gibt es den Bearbeiten Button !
http://www.duden.de/rechtschreibung/zuweisen

Stell dir jetzt vor du hättest so einen Port in 3 unterschiedlichen VLANs. Erkläre uns (und auch dem Switch) dann mal
WIE du bei einem untagged Paket was am Port eingeht jetzt entscheiden willst ob dieses Paket in VLAN 1, 2 oder 3 geforwardet
werden soll ??

Da liegt ein Missverständnis vor aqui

Dass das so nicht funktionieren kann ist mir klar, aber das war auch gar nicht in Planung. Bei mir handelt es sich ausschließlich um portbased VLANs.

Ich versuch es mal etwas anders auszudrücken. So wie ich einem Switch auf der CLI sagen kann, füge den Port 1-5 in das VLAN 10 welches portbased ist hinzu, so hätte ich das gerne bei dem MT auch. Und nicht, dass ich jedem einzelnen Port sagen muss, dass er im portbased VLAN 10 ist.

Zitat von @114757:
Einfach eine Bridge anlegen, dieser Bridge deine Ports zuweisen und das VLAN an das erzeugte Bridge-Interface hängen,
feddich.

Ja, das wäre eine Möglichkeit. Bin mir aber irgendwie noch unsicher wie MT mit Bridges umgeht...
Bzw. wenn ich eine Bridge (Port 1-5) definier und der das VLAN xy zuweis, dann kann ich ja z. B. nicht mehr sagen, Port 1 bekommt die IP-Adresse "172.16.10.1" und Port 2 die IP-Adresse "172.16.10.2", oder?

Zitat von @teret4242:
Ja, das wäre eine Möglichkeit. Bin mir aber irgendwie noch unsicher wie MT mit Bridges umgeht...
Bzw. wenn ich eine Bridge (Port 1-5) definier und der das VLAN xy zuweis, dann kann ich ja z. B. nicht mehr sagen, Port 1 bekommt
die IP-Adresse "172.16.10.1" und Port 2 die IP-Adresse "172.16.10.2", oder?

hä ?? ein VLAN hat normalerweise ein Subnetz. Eine Bridge fasst die Ports zu einer Broadcast-Domain zusammen, und dieser kannst du mit einem DHCP-Server deine IPs zuweisen...

Sorry für das Missverständnis.

füge den Port 1-5 in das VLAN 10 welches portbased ist hinzu, so hätte ich das gerne bei dem MT auch. Und nicht, dass ich jedem einzelnen Port sagen muss, dass er im portbased VLAN 10 ist.

Na ja.... beim BMW macht man die Motorhaube anders auf als beim Mercedes. Der Wunsch ist ein bischen sinnfrei... Anderer Hersteller anderes CLI, logisch !

Zitat von @114757:
hä ?? ein VLAN hat normalerweise ein Subnetz. Eine Bridge fasst die Ports zu einer Broadcast-Domain zusammen, und dieser
kannst du mit einem DHCP-Server deine IPs zuweisen...

Eine Bridge ist dann quasi ein virtueller Switch auf dem physikalischen, bestehend aus der Anzahl der definierten Ports von der Bridge?

So kann man das sehen...

Zitat von @aqui:
Sorry für das Missverständnis.

Kein Problem.

Na ja.... beim BMW macht man die Motorhaube anders auf als beim Mercedes. Der Wunsch ist ein bischen sinnfrei... Anderer
Hersteller anderes CLI, logisch !

Naja, mir ist halt aufgefallen, dass wenn man z. B. für Port 1 das VLAN 10 (portbased) mit der Beschreibung " VLAN 10" definiert, dann kann man die gleiche Beschreibung für Port 2 nicht mehr verwenden und das stört mich etwas. Oder ist das ein Layer 8 Problem?

Zitat von @aqui:
So kann man das sehen...

Ok. Mal angenommen ich würde 2 Bridges verbinden wollen, wie müsste man dann vorgehen?

Zitat von @teret4242:
Oder ist das ein Layer 8 Problem?

yup, die Ports sind nun mal standardmässig voneinander getrennt, also muss du sie erst mit der Bridge zusammenfassen und dann das VLAN auf die Bridge setzen.
Wie @aqui schon schreibt anderer Hersteller andere Philosophie ...

Zitat von @teret4242:
Ok. Mal angenommen ich würde 2 Bridges verbinden wollen, wie müsste man dann vorgehen?

geht nicht.Eine Bridge kann beim MK nicht teil einer anderen Bridge sein, das hättest du aber mit ausprobieren auch selber herausgefunden ...
Du hast da ein Knoten im Hirn, zeig doch mal auf was du eigentlich vorhast ....

Zitat von @114757:
Du hast da ein Knoten im Hirn, zeig doch mal auf was du eigentlich vorhast ....

Im Prinzip will ich nur das VLAN 10 den Ports 1, 2 und 3 zuweisen und als VLAN-Beschreibung "VLAN 10" definieren.
Das geht aber nicht, weil man die Beschreibung nicht mehrmals verwenden kann. Aber warum? Das schränkt doch nicht die VLAN-Funktionalität ein...

Zitat von @teret4242:

> Zitat von @114757:
> Du hast da ein Knoten im Hirn, zeig doch mal auf was du eigentlich vorhast ....
Im Prinzip will ich nur das VLAN 10 den Ports 1, 2 und 3 zuweisen und als VLAN-Beschreibung "VLAN 10" definieren.
Das geht aber nicht, weil man die Beschreibung nicht mehrmals verwenden kann. Aber warum?

Das ist beim MK halt so. Machs wie oben beschrieben, dann läuft das und jaul nicht rum nur weil es dir persönlich nicht passt.

Zitat von @114757:
Das ist beim MK halt so. Machs wie oben beschrieben, dann läuft das und jaul nicht rum nur weil es dir persönlich nicht
passt.

Wenn ich weiß, dass der MT das nicht kann dann passt das so für mich. Nur hätte es ja sein können, dass es eine Möglichkeit gibt die mir aber nicht bekannt ist deshalb auch "Layer 8 Problem".

Zitat von @aqui:
So kann man das sehen...

Würde es in dem Fall dann einen Unterschied zu einem VLAN geben? Im Prinzip wären das ja dann auch zwei Kollisionsdomäne, oder?

Du arbeitest ja sonst immer mit einem Master Interface und den Slaves in einer Collision Domain bei VLANs.
Bridges benötigst du wenn du WLAN Interfaces usw. einbinden willst in die gleiche L2 Domain wie VLANs.
Das ist das Standard Setup beim MT.

Zitat von @aqui:
Du arbeitest ja sonst immer mit einem Master Interface und den Slaves in einer Collision Domain bei VLANs.

Meinst du damit das IP-Interface?

Bridges benötigst du wenn du WLAN Interfaces usw. einbinden willst in die gleiche L2 Domain wie VLANs.

Macht man das normal nicht über tagged VLAN?

Meinst du damit das IP-Interface?

Ja. Die IP weisst du ja einen VLAN Port zu und den wiederum hängst du in ein Master Slave Konstrukt an physischen Ports wenn du mehrere Ports auf dem MT als quasi Switch zusammenfassen willst.
Bei Einzelports entfällt das dann natürlich.

Macht man das normal nicht über tagged VLAN?

Na ja bei WLANs wäre "tagged" ja ein bischen sinnfrei !

Eigentlich braucht man die Bridge immer nur für WLAN Ports. Im LAN Bereich ist das recht selten, denn dort arbeitet man ja immer mit Master und Slave Ports...

Zitat von @aqui:
Ja. Die IP weisst du ja einen VLAN Port zu und den wiederum hängst du in ein Master Slave Konstrukt an physischen Ports wenn
du mehrere Ports auf dem MT als quasi Switch zusammenfassen willst.

Versteh ich nicht wirklich. Ich mein wenn ich eine IP-Adresse / -Interface einem VLAN zuweisen möchte, dann weist man das doch in der Regel dem kompletten VLAN zu und nicht nur einem physischen Port (außer wenn es sich evt. nur um einen physischen Port handelt der sich in dem VLAN befindet)?

Mir ist auch unklar was du mit "Master Slave Konstrukt" meinst...

Na ja bei WLANs wäre "tagged" ja ein bischen sinnfrei !

Eigentlich braucht man die Bridge immer nur für WLAN Ports. Im LAN Bereich ist das recht selten, denn dort arbeitet man ja
immer mit Master und Slave Ports...

Warum wäre das sinnfrei? Irgendwie muss man doch die verschiedenen SSIDs (sofern man das hat) auseinander halten können?
Auch hier kann ich dir leider nicht folgen, was mit "Master und Slave Port" gemeint ist...

LAN zuweisen möchte, dann weist man das doch in der Regel dem kompletten VLAN zu und nicht nur einem physischen Port

Richtig !
Dem VLAN selber musst du aber ja noch einem physischen Port oder mehrere zuweisen und hier arbeitest du dann mit Master / Slave wenn es mehrere Ports sein sollen.

Warum wäre das sinnfrei?

Schon mal tagged Frames auf einem WLAN gesehen ?? Welches Endgerät in einem WLAN sollte darauf antworten oder überhaupt antworten können ??
Tagged Frames in einem WLAN gibt es schlicht und einfach nicht ! Mal ganz abgesehen von dem Fakt das APs solche 802.1q Frames auch nicht in die Funkzelle forwarden...

Zitat von @aqui:
Dem VLAN selber musst du aber ja noch einem physischen Port oder mehrere zuweisen und hier arbeitest du dann mit Master / Slave
wenn es mehrere Ports sein sollen.

Das stimmt. Aber warum ist dann die Rede von "Master / Slave"? Dem VLAN kann man ja auch mehr als nur zwei physische Ports zuweisen.

Schon mal tagged Frames auf einem WLAN gesehen ?? Welches Endgerät in einem WLAN sollte darauf antworten oder überhaupt
antworten können ??
Tagged Frames in einem WLAN gibt es schlicht und einfach nicht ! Mal ganz abgesehen von dem Fakt das APs solche 802.1q Frames auch
nicht in die Funkzelle forwarden...

Klar, das Endgerät kann in der Regel mit einem tagged Frame nichts anfangen. Aber ist ja auch nicht notwendig. Die SSID selbst hängt ja normal in dem entsprechenden VLAN und wird über den Uplink Port des APs getagged?

Zitat von @teret4242:
Das stimmt. Aber warum ist dann die Rede von "Master / Slave"? Dem VLAN kann man ja auch mehr als nur zwei physische
Ports zuweisen.

Schau mal in ein Interface, dort findest du die Option Masterport. Wenn man also bspw. Port1-4 als Switch zusammenfassen möchte legt man auf Port1 die Eigenschaft Masterport auf None und bei Ports 2-4 auf Port1 fest. Das meinte @aqui damit.

Klar, das Endgerät kann in der Regel mit einem tagged Frame nichts anfangen. Aber ist ja auch nicht notwendig. Die SSID
selbst hängt ja normal in dem entsprechenden VLAN und wird über den Uplink Port des APs getagged?

Wenn du auf einem MK einem virtuellen AP einem VLAN zuordnen willst musst du diesen zusammen mit dem VLAN in eine Bridge stecken. Das gilt wenn du das WLAN des Mikrotik selber mit mehreren SSIDs nutzt.

Gruß jodel32

Zitat von @114757:
Schau mal in ein Interface, dort findest du die Option Masterport. Wenn man also bspw. Port1-4 als Switch zusammenfassen
möchte legt man auf Port1 die Eigenschaft Masterport auf None und bei Ports 2-4 auf Port1 fest. Das meinte @aqui
damit.

Ok...und was bewirkt diese Option?

Zitat von @teret4242:
Ok...und was bewirkt diese Option?

Na die Ports zu einer Switchgroup zusammenzufassen. Ohne sind die Ports ja alle voneinander isoliert, bzw. es wird zwischen ihnen geroutet.
Und jetzt frag dich was schneller ist, switchen oder routen

Das ist eigentlich eins der ersten Dinge die man bei einem Mikrotik lernt. Du solltest dir wirklich öfter das Manual zu Gemüte führen ...

Dem VLAN kann man ja auch mehr als nur zwei physische Ports zuweisen.

Richtig.
Du hast nur leider Master / Slave missverständlich auf die Goldwaage gelegt !!
Es kann natürlich auch Master /Slave /Slave /Slave /Slave.... usw. sein wenn du 2, 3, 4, 5 und mehr Ports im VLAN benötigst !

das Endgerät kann in der Regel mit einem tagged Frame nichts anfangen.

Nicht nur nichts anfangen, es dropped den Frame weil es für so ein Endgerät ein ungültiger Ethernet Frame ist mit ungültiger Länge.
Der AP ignoriert es schon am LAN Port als ungültig und verwirft es sofern keinen mSSIDs aktiv sind !!

Die SSID selbst hängt ja normal in dem entsprechenden VLAN und wird über den Uplink Port des APs getagged?

Richtig, aber eben nur wenn man mit mSSIDs arbeitet !
Dennoch kommt niemals ein .1q tagged Frame auf die Funkschnittstelle !

Zitat von @114757:
Na die Ports zu einer Switchgroup zusammenzufassen. Ohne sind die Ports ja alle voneinander isoliert, bzw. es wird zwischen ihnen
geroutet.

Das ist klar.

Aber was hat es mit der Option "Masterport" auf sich? Zwischen den Ports innerhalb einer Bridge wird doch auch so geswitch?

Zitat von @teret4242:
Das ist klar.

Aber was hat es mit der Option "Masterport" auf sich? Zwischen den Ports innerhalb einer Bridge wird
doch auch so geswitch?

Aber nicht auf Hardwareebene mit Wirespeed:
(erneut macht das Manual klüger )
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Port_Switchin ...
Kurz und knapp: Es ist schneller als Bridging.

Aber was hat es mit der Option "Masterport" auf sich?

Ohh man...muss man alles einzeln erklären ?

Sorry, aber das sagt der Name doch schon. Der Master ist quasi sowas wie ein Profil was auf die Slaves geclont wird !
Wie Kollege jodel32 schon sagt RTFM da wird alles erklärt....!

gelöst Frage Hardware Switche, Hubs

Mehr von teret4242

WLAN-Funkreichweite Access Point MikroTikteret4242 - 4 Kommentare

Kommunikation innerhalb des gleichen Subnetztes via Mikrotik filternteret4242 - 5 Kommentare

Portscanner zeigt offene Ports nicht anteret4242 - 3 Kommentare

Kommunikation zwischen Clients innerhalb eines WLANs verbietenteret4242 - 3 Kommentare

Heiß diskutiert