7
WLAN via VLAN
Hallo,
wir möchten in unserem Unternehmen gerne das Gäste-WLAN sowie das interne WLAN getrennt vom IP-Netz der kabelgebundenen Komponenten betreiben. Bisher wurde alles über dasselbe IP-Netz und den DC als DHCP-Server abgewickelt, aber zum einen gehen uns nun bald die IP-Adressen aus (trotz verkürzter Lease-Dauer) und aus Sicherheitsgründen sollen die Server nur bedingt aus dem WLAN ansprechbar sein.
Auf unserer Sophos XGS, die als Router fungiert, können dann, wenn das WLAN über einen eigenen Port abgewickelt wird, entsprechende Regeln konfiguriert werden. Ich habe nun einen weiteren Port an der Sophos mit unserem Switch verbunden und ein neues IP-Netz auf diesem Port erstellt. Beide Switches (beide in verschiedenen Gebäuden) sind via LWL miteinander verbunden und haben die Access Points auf ihren Ports.
Wie muss ich nun das VLAN und die Ports konfigurieren? Ich habe ein VLAN mit der ID 5 auf dem WLAN-Port der Sophos erstellt und diesen Port auf dem Switch als "tagged" markiert. Der Switch erhält auf diesem Port auch eine IP-Adresse aus dem neuen IP-Netz. Als ich aber die zwei Ports, auf denen die Switches miteinander verbunden sind auch als "tagged" markiert habe, ist unser komplettes Internet zusammengebrochen (ich vermute, weil der "Standardverkehr" kein Tag anhängt und das vom Switch nicht mehr zuordenbar ist.
Auf der angehängten Skizze ist das auch nochmals alles dargestellt.
Wie muss ich die Ports und die VLANs des internen und Gäste-WLANs konfigurieren, damit auch der restliche Verkehr im "normalen" IP-Netz problemlos abgewickelt wird?
Danke für eure Hilfe!
wir möchten in unserem Unternehmen gerne das Gäste-WLAN sowie das interne WLAN getrennt vom IP-Netz der kabelgebundenen Komponenten betreiben. Bisher wurde alles über dasselbe IP-Netz und den DC als DHCP-Server abgewickelt, aber zum einen gehen uns nun bald die IP-Adressen aus (trotz verkürzter Lease-Dauer) und aus Sicherheitsgründen sollen die Server nur bedingt aus dem WLAN ansprechbar sein.
Auf unserer Sophos XGS, die als Router fungiert, können dann, wenn das WLAN über einen eigenen Port abgewickelt wird, entsprechende Regeln konfiguriert werden. Ich habe nun einen weiteren Port an der Sophos mit unserem Switch verbunden und ein neues IP-Netz auf diesem Port erstellt. Beide Switches (beide in verschiedenen Gebäuden) sind via LWL miteinander verbunden und haben die Access Points auf ihren Ports.
Wie muss ich nun das VLAN und die Ports konfigurieren? Ich habe ein VLAN mit der ID 5 auf dem WLAN-Port der Sophos erstellt und diesen Port auf dem Switch als "tagged" markiert. Der Switch erhält auf diesem Port auch eine IP-Adresse aus dem neuen IP-Netz. Als ich aber die zwei Ports, auf denen die Switches miteinander verbunden sind auch als "tagged" markiert habe, ist unser komplettes Internet zusammengebrochen (ich vermute, weil der "Standardverkehr" kein Tag anhängt und das vom Switch nicht mehr zuordenbar ist.
Auf der angehängten Skizze ist das auch nochmals alles dargestellt.
Wie muss ich die Ports und die VLANs des internen und Gäste-WLANs konfigurieren, damit auch der restliche Verkehr im "normalen" IP-Netz problemlos abgewickelt wird?
Danke für eure Hilfe!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 668170
Url: https://administrator.de/contentid/668170
Printed on: September 17, 2024 at 11:09 o'clock
7 Comments
Latest comment
Hallo,
um VLANs über einen AP bereit zu stellen, brauchst du einen "Multi-SSID-fähigen" (MSSID) AP.
Können deine APs das?
Über die vorhandenen APs schweigst du dich ja aus.
Jürgen
um VLANs über einen AP bereit zu stellen, brauchst du einen "Multi-SSID-fähigen" (MSSID) AP.
Können deine APs das?
Über die vorhandenen APs schweigst du dich ja aus.
Jürgen
Hallo Jürgen,
ja, die Access Points können das, sie sind vom Typ NETGEAR WAX610. Bisher wurde alles über VLAN 1 abgewickelt. Primär geht es mir auch um die Konfiguration der Ports der Switches, damit der "normale" Verkehr nicht beeinträchtigt wird, und es zu keinem Absturz kommt.
ja, die Access Points können das, sie sind vom Typ NETGEAR WAX610. Bisher wurde alles über VLAN 1 abgewickelt. Primär geht es mir auch um die Konfiguration der Ports der Switches, damit der "normale" Verkehr nicht beeinträchtigt wird, und es zu keinem Absturz kommt.
Ports zwischen Router und Switch, zwischen den Switches selbst und auch zu den APs in den beiden VLANs tagged übertragen, alle anderen "AccessPorts" an dem Clients hängen, untagged mit der PVID am Port im jeweiligen VLAN Mitglied machen.
Management-VLAN1 für die Verwaltung der Switches und APs jeweils untagged. Fertig.
Gruß
Management-VLAN1 für die Verwaltung der Switches und APs jeweils untagged. Fertig.
Gruß
Ich habe es jetzt so, wie ich es verstanden habe, nochmals in der Skizze ergänzt ( u = untagged, t = tagged). VLAN 1 ist das Standard VLAN und 5 das WLAN-VLAN. Alle Ports sind standardmäßig Mitglieder von VLAN 1 (alle untagged). Welche Portkonfiguration muss dann zu den roten Fragezeichen?
VLAN1 ist immer untagged zwischen den Geräten.
Ich würde das VLAN1 nur fürs reine Management nehmen und fürs normale LAN zusätzlich zum Gäste VLAN ein separates VLAN aufspannen, das lässt sich besser Firewall technisch handeln.
Ich würde das VLAN1 nur fürs reine Management nehmen und fürs normale LAN zusätzlich zum Gäste VLAN ein separates VLAN aufspannen, das lässt sich besser Firewall technisch handeln.
Gut, dann sind alle fraglichen Konfigurationen als untagged zu setzen. Ich werde die Konfiguration vermutlich erst am Wochenende testen können, im laufenden Betrieb ist das immer schwierig... 
Sollten die Server dann Mitglied im internen VLAN sein oder auch auf der Management-Ebene?
Sollten die Server dann Mitglied im internen VLAN sein oder auch auf der Management-Ebene?Zitat von @Henrik2007:
Sollten die Server dann Mitglied im internen VLAN sein oder auch auf der Management-Ebene?
Sollten die Server dann Mitglied im internen VLAN sein oder auch auf der Management-Ebene?
Das kannst du handeln wie es zu euch am besten passt, wenn sie Firewall technisch von den Clients zusätzlich abgedichtet/beschränkt werden sollen ist ein separates Netz zu bevorzugen.