VLAN's op Access Point - Netwerken

vrijdag 5 april 2013 19:08

Acties:

0 Henk 'm!

Topicstarter

Ik zit met een probleem waar ik niet uit komt, ik heb niet heel veel ervaring met VLAN's dus ik hoop dat jullie mij wat kunnen helpen.

De volgende situatie heb ik:

Een HP V1910-24G switch met 2 netwerken.
1 netwerk heeft als range 192.168.5.X en de andere 172.16.1.X.
Het 172 netwerk gaat maar met 1 kabel in de switch, ik heb een VLAN aangemaakt (ID 100) en alle poorten op de switch op tagged gezet in die VLAN en de 172 poort in de standaard VLAN op not member gezet.

Wanneer ik nu in het AP voor het WIFI dat op 172 moet uitkomen vlan ID 100 instel krijg ik nog gewoon een 192 IP en als ik Isolation aan zet krijg ik helemaal geen IP meer.

Ik heb het idee dat ik mogelijk nog wat bij IPV4 routing moet instellen maar wat ik daar over op internet tegenkom is alleen instellingen als je de VLAN's onderling wil laten praten, ik wil dit niet. Het moeten volledig gescheiden netwerken zijn alleen de AP's zitten zelf in de 192 range (Ze geven 2 ssid's voor beide netwerken).

Wat ik mogelijk wel verkeerd heb gedaan bedenk ik me net is dat de 172 poort op de switch niet tagged moet zijn maar untagged, zou dat het probleem kunnen zijn?

vrijdag 5 april 2013 19:11

Acties:

0 Henk 'm!

CyBeR

💩

Als je AP zelf geen vlans doet moet je de poort idd untagged zetten.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 5 april 2013 20:02

Acties:

0 Henk 'm!

mats

Topicstarter

CyBeR schreef op vrijdag 05 april 2013 @ 19:11:
Als je AP zelf geen vlans doet moet je de poort idd untagged zetten.

Op de AP's kan ik wel en vlan instellen maar de 172 router die op de switch zit niet denk ik, en die poort staat nu op tagged dus die zal waarschijnlijk op untagged moeten of zie ik dat verkeerd?

Als ik die in VLAN 100 op untagged zet en de rest van de poorten op tagged, en op een tagged poort een apparaat zit waarop VLAN ID 100 is ingesteld. Zou het dan moeten werken of zijn er nog meer instellingen nodig?

vrijdag 5 april 2013 20:58

Acties:

0 Henk 'm!

Paul

Hoe je de switchpoorten waar de AP's aan hangen in moet stellen staat en valt met het type AP. Welke AP's heb je is dus de belangrijkste vraag.

Snel lesje VLAN's (op niet-Cisco...):
VLAN untagged op een poort / PVID
Als je PC / AP / printer / whatever niks met VLAN's doet is dit het VLAN waar hij mee communiceert.

Iets dieper: pakketjes afkomstig van dit VLAN hebben bij het op deze poort verlaten van de switch geen VLAN ID in zich. Andersom, pakketjes die op deze poort binnen komen op de switch worden in dit VLAN gepropt.

VLAN tagged op een poort
Pakketjes in dit VLAN behouden hun VLAN ID bij het verlaten van de switch.

VLAN niet op een poort
Pakketjes in dit VLAN kunnen op die poort uit worden gezonden / ontvangen. Als je GVRP (valt buiten de scope van deze uitleg

) gebruikt kan de poort wel lid worden van dit VLAN

VLAN deny op een poort
Zelfde als niet op de poort maar ook met VGRP blijft de poort verschoond van dit VLAN.

Het lijkt erop dat je voor het VLAN met subnet 172.16.1.0/24 een aparte router hebt? Op de poort waar deze aan hangt zet je VLAN 1 op 'none' en VLAN 100 op 'untagged', dan komt dat verkeer in ieder geval juist je VLAN op.

Hoe de configuratie van je accesspoints en de bijbehorende switchpoorten moet hangt helemaal af van het soort AP dat je hebt

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 5 april 2013 21:00

Acties:

0 Henk 'm!

CyBeR

💩

Je moet het VLAN taggen zo zien als dat je door één draadje, meerdere netwerkkabels hebt lopen (die wel hun bandbreedte delen.) Deze netwerkkabels hebben allemaal hun eigen nummertje. De aangesloten apparaten geven bij elk frame (packet, maar dan op ethernetniveau) aan bij welk nummertje 't hoort. (Afhankelijk van de apparatuur kan een frame zonder nummertje toegewezen worden aan een bepaalde default.)

Dus als jij wilt dat een apparaat in VLAN 100 terecht komt, kan dat op twee manieren:
• Je zet de poort untagged in vlan 100. Je sluit nu een apparaat aan zoals elk ander.
• Je zet de poort tagged in vlan 100. Nu moet je een apparaat aansluiten wat aangeeft bij welke vlans de frames horen, anders komt er niks aan.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 5 april 2013 22:16

Acties:

0 Henk 'm!

mats

Topicstarter

Thx Paul & CyBeR volgens mij is het me wel duidelijk dat ik aardig in de richting zit

. Het lijkt er op dat de AP's (allemaal van Engenius) wel op het VLAN zaten maar computers die connecten krijgen geen IP omdat de router in een tagged poort zit en dit moet untagged zijn.

zaterdag 6 april 2013 11:45

Acties:

0 Henk 'm!

Paul

Ah, EnGenius. Dan moet je alle VLANs op de poort waar je AP's aan zetten 'tagged' doorsturen. Als de switch niet toestaat dat er geen enkel VLAN untagged ingesteld staat dan moet je daar even een 3e, loos VLAN voor aanmaken.

Als ik het me goed herinner ken je bij EnGenius namelijk 2 keuzes:
- Geen VLAN's, management en SSID beiden in hetzelfde netwerk. Het ding kent / heeft maar één netwerk
- VLANs. Alles (SSID's en management) moet tagged.

Bij het instellen zet je de AP dus eerst op een poortje waarop het management VLAN untagged staat, stel je in dat je VLANs wilt gebruiken en waarop het management zit (en eventueel de rest al) en als je dan op OK klikt moet je of de instellingen van de switchpoort aanpassen of het AP op een andere (pre-configured) poort zetten.

Er lijkt echter meer aan de hand te zijn dan enkel een router in het verkeerde VLAN, want je krijgt nu op het 172-SSID een IP uit het 192-VLAN?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 6 april 2013 13:25

Acties:

0 Henk 'm!

CyBeR

💩

Dat is wel er van uitgaande dat je meer dan een SSID gebruikt die in verschillende vlans uit moeten komen. Dat haalde ik zelf niet uit het verhaal namelijk.

[ Voor 22% gewijzigd door CyBeR op 06-04-2013 13:26 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 6 april 2013 17:20

Acties:

0 Henk 'm!

mats

Topicstarter

Paul schreef op zaterdag 06 april 2013 @ 11:45:
Ah, EnGenius. Dan moet je alle VLANs op de poort waar je AP's aan zetten 'tagged' doorsturen. Als de switch niet toestaat dat er geen enkel VLAN untagged ingesteld staat dan moet je daar even een 3e, loos VLAN voor aanmaken.

Als ik het me goed herinner ken je bij EnGenius namelijk 2 keuzes:
- Geen VLAN's, management en SSID beiden in hetzelfde netwerk. Het ding kent / heeft maar één netwerk
- VLANs. Alles (SSID's en management) moet tagged.

Bij het instellen zet je de AP dus eerst op een poortje waarop het management VLAN untagged staat, stel je in dat je VLANs wilt gebruiken en waarop het management zit (en eventueel de rest al) en als je dan op OK klikt moet je of de instellingen van de switchpoort aanpassen of het AP op een andere (pre-configured) poort zetten.

Er lijkt echter meer aan de hand te zijn dan enkel een router in het verkeerde VLAN, want je krijgt nu op het 172-SSID een IP uit het 192-VLAN?

Dat is inderdaad zo wanneer is Isolation uit zet. De AP's zitten nu dan ook op een untagged poort in het 192-VLAN. Die poorten moet dus allemaal tagged zijn in beide vlan's en ik moet het management ook instellen op het 192-VLAN als ik het goed begrijp.

CyBeR schreef op zaterdag 06 april 2013 @ 13:25:
Dat is wel er van uitgaande dat je meer dan een SSID gebruikt die in verschillende vlans uit moeten komen. Dat haalde ik zelf niet uit het verhaal namelijk.

Dat is zo inderdaad.

maandag 8 april 2013 08:26

Acties:

0 Henk 'm!

Paul

mats schreef op zaterdag 06 april 2013 @ 17:20:
Dat is inderdaad zo wanneer is Isolation uit zet. De AP's zitten nu dan ook op een untagged poort in het 192-VLAN. Die poorten moet dus allemaal tagged zijn in beide vlan's en ik moet het management ook instellen op het 192-VLAN als ik het goed begrijp.

Yup, VLAN 192 en 172 beiden untagged op de poort van het AP en dan aan het AP vertellen waar zijn management zit en bij welke VLAN's de SSID's horen.

@CyBeR: Dat dacht ik hieruit te mogen concluderen:

mats schreef op vrijdag 05 april 2013 @ 19:08:
Het moeten volledig gescheiden netwerken zijn alleen de AP's zitten zelf in de 192 range (Ze geven 2 ssid's voor beide netwerken).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 8 april 2013 10:00

Acties:

0 Henk 'm!

mats

Topicstarter

Paul schreef op maandag 08 april 2013 @ 08:26:
[...]
Yup, VLAN 192 en 172 beiden untagged op de poort van het AP en dan aan het AP vertellen waar zijn management zit en bij welke VLAN's de SSID's horen.

@CyBeR: Dat dacht ik hieruit te mogen concluderen:

[...]

beide op untagged? of beide op tagged? Heb inmiddels beide geprobeerd maar wanneer ik VLAN instel op management kom ik er niet meer op en verbinden via wifi werkt ook nog niet.

edit: heb een computer op untagged gezet op het 172 vlan en die krijgt ook geen IP. Heb een nieuw vlan aangemaakt met alles untagged (zodat ook de server die dhcp doet daar inzit) en die computer alleen untagged daar ingezet, dan krijgt hij ook geen IP. Mis ik wat in de instellingen om DHCP door te geven?

Overigens als ik vast ip instel kan ik op dat vlan ook niks bereiken.

[ Voor 27% gewijzigd door mats op 08-04-2013 10:55 ]

maandag 8 april 2013 11:27

Acties:

0 Henk 'm!

Paul

mats schreef op maandag 08 april 2013 @ 10:00:
beide op untagged? of beide op tagged?

Oops, my bad. Beiden tagged.

Heb inmiddels beide geprobeerd maar wanneer ik VLAN instel op management kom ik er niet meer op

Hmm, management-IP instellen op de EnGenious, apply, daarna instellen dat het op VLAN 192 (of net welk ID je er voorhebt ingesteld) zit, omprikken naar een poort die 192 tagged aanbiedt en je zou er weer bij moeten kunnen?

Het management-VLAN is niet toevallig ID 1 hè? Dat kunnen die ex-3Coms namelijk niet tagged aanbieden

Daar hebben wij ons bij een klant (met dezelfde combi als jij hebt) ook in vergist. Dan moet je alles wat nu VLAN ID 1 heeft (inclusief de managementinterface van de switch!) een ander ID geven...

Heb een nieuw vlan aangemaakt met alles untagged (zodat ook de server die dhcp doet daar inzit) en die computer alleen untagged daar ingezet, dan krijgt hij ook geen IP. Mis ik wat in de instellingen om DHCP door te geven?

Zolang je DHCP-server in hetzelfde L2-domein zit (zelfde VLAN heeft) als je client hoef je voor DHCP niks in te stellen.

Als je echter met 2 PC's die beiden een fixed ip (in dezelfde subnet!) hebben elkaar niet kunt benaderen dan is er inderdaad iets niet goed gegaan...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 8 april 2013 11:39

Acties:

0 Henk 'm!

mats

Topicstarter

Paul schreef op maandag 08 april 2013 @ 11:27:
[...]
Oops, my bad. Beiden tagged.
[...]
Hmm, management-IP instellen op de EnGenious, apply, daarna instellen dat het op VLAN 192 (of net welk ID je er voorhebt ingesteld) zit, omprikken naar een poort die 192 tagged aanbiedt en je zou er weer bij moeten kunnen?

Het management-VLAN is niet toevallig ID 1 hè? Dat kunnen die ex-3Coms namelijk niet tagged aanbieden Daar hebben wij ons bij een klant (met dezelfde combi als jij hebt) ook in vergist. Dan moet je alles wat nu VLAN ID 1 heeft (inclusief de managementinterface van de switch!) een ander ID geven...
[...]
Zolang je DHCP-server in hetzelfde L2-domein zit (zelfde VLAN heeft) als je client hoef je voor DHCP niks in te stellen.

Als je echter met 2 PC's die beiden een fixed ip (in dezelfde subnet!) hebben elkaar niet kunt benaderen dan is er inderdaad iets niet goed gegaan...

Het gaat nu wel goed met 2 untagged poorten en een vaste PC. Foutje gemaakt ergens gok ik.
En ja heb nu alles nog op 1 zitten, kan die poorten wel op tagged instellen. Maar dat pakt hij dus niet op?

AP dat er achter zit werkt nu ook op 172 SSID alleen ik kan er niet meer op omdat de management het niet meer doet. Heb de poort ook van hybrid naar trunk ingesteld.

edit: Heb een nieuwe vlan aangemaakt en daar alle poorten van vlan 1 ingezet en het management IP daar op ingesteld + alle poorten uit vlan 1 verwijderd. Alleen ik heb totaal geen verkeer op het nieuwe vlan. Kan niks bereiken ook niet het management IP.

[ Voor 8% gewijzigd door mats op 08-04-2013 12:14 ]

maandag 8 april 2013 12:56

Acties:

0 Henk 'm!

CyBeR

💩

Paul schreef op maandag 08 april 2013 @ 08:26:
[...]

@CyBeR: Dat dacht ik hieruit te mogen concluderen:

ja dat moge duidelijk zijn idd.

All my posts are provided as-is. They come with NO WARRANTY at all.