Es gibt zwei Möglichkeiten, VLANs im bintec zu konfigurieren:
Ich habe mal zur praktischen Erläuterung des Vorgehens bei einer VLAN-Konfiguration wie unter Punkt 2 beschrieben was zusammengestellt:
Ausgangslage ist: Beim bintec sind alle Ports im Routing-Mode.
Zielkonfiguration: Die ersten drei Ports werden als Bridge mit VLAN 1 als Management VLAN und zwei zusätzlichen VLANs 20 und 30 konfiguriert, Port#1 ist Trunk-Port (VID 1/untagged, 20/tagged und 30/tagged), Port#2 Access-Port für VID 20/untagged, Port#3 Access-Port für VID 30/untagged. VLAN 1 hat Subnetz 192.168.251.0/24, VLAN 20 Subnetz 192.168.20.0/24, VLAN 30 Subnetz 192.168.30.0/24.
Zusätzlich habe ich zwei WLAN-Interfaces mit konfiguriert, eins für VLAN 20 und eins für VLAN 30.
- Video: bintec VLAN Konfiguration -
Im nächsten Video ist die Trennung der Subnetze der VLANs 20 und 30 und das partielle Zulassen von Netzwerk-Verkehr unter den IP-Netzen zu sehen zwischen :
.
Zum Schluss des Videos ist noch zu sehen, dass die vollständige Trennung der VLAN Subnetze bei bintec auch erreicht werden kann, indem die beiden Interfaces, im Beispiel br0-1 und br0-2, auf "nicht vertrauenswürdig" eingestellt werden. Dann können die beiden expliziten Blockierungen durch Firewallregeln entfallen.
- Video: bintec VLAN Firewall -
- Der Port befindet sich im Routing-Modus: Dann kann ein VLAN-Interface über "LAN->IP-Konfiguration" und Klick auf "Neu" angelegt werden. Bei "Basierend auf Ethernet-Schnittstelle" wird ein Port, z.B. Port#2, gewählt und bei "VLAN-ID" das gewünschte VLAN eingetragen, z.B. 10. Die IP-Adresse dieser "virtuellen Schnittstelle" kann man z.B. auf 192.168.10.1/24 setzen. Unter "Lokale Dienste->DHCP-Server" wird ein neuer Scope passend zum IP-Netzwerk der virtuelle Schnittstelle definiert, also z.B. 192.168.10.100-192.168.10.150. Dieser wird dem neuen virtuellen Interface en1-1-1 zugewiesen.
Wenn jetzt ein Client per DHCP mit dem VLAN-Tag 10 am Port#2 eine IP-Konfiguration anfordert, so bekommt er eine IP-Adresse aus dem Subnetz 192.168.10.0/24.
Pakete im VLAN#10 müssen eingehend getagged sein und werden vom bintec ausgehend ebenfalls getagged. Der Client muss also auch mit VLAN-getaggten Netzwerk-Paketen umgehen können - übliche PCs können das nicht! Ein angeschlossener Switch sollte das können ("Managed Switch"), benötigt aber natürlich ebenfalls eine entsprechende VLAN-Konfiguration.
Bei dieser Art der VLAN-Konfiguration verhält sich Port#2 also wie ein VLAN-Trunk: Getaggte Pakete werden eingehend erwartet und ausgehend gesendet.
- Der Port befindet sich in einer Bridge-Group (mit anderen LAN-/WLAN-Ports): In diesem Fall wird die VLAN-Konfiguration unter "LAN->VLAN" vorgenommen.
Ich denke, wie VLANs im "LAN->VLAN" Menü konfiguriert werden, ist sicher im Handbuch des bintec Routers beschrieben.
Um nach der VLAN-Konfiguration einem bestimmten VLAN ein eigenes Subnetz zuzuweisen, ist grundsätzlich wie unter 1. beschrieben vorzugehen. Bei "Basierend auf Ethernet-Schnittstelle" ist allerdings keine Ethernet-Schnittstelle, sondern die Bridge, in der sich der Port befindet und für die die VLAN-Konfiguration durchgeführt wurde, auszuwählen.
- die ein oder andere allgemeine Einführung in das Thema VLANs zu lesen und
- das Router-Handbuch zur konkreten Konfiguration anzuschauen - zugegebenermaßen gehört das bintec Handbuch nicht zu den Besten seiner Art
Ich habe mal zur praktischen Erläuterung des Vorgehens bei einer VLAN-Konfiguration wie unter Punkt 2 beschrieben was zusammengestellt:
Ausgangslage ist: Beim bintec sind alle Ports im Routing-Mode.
Zielkonfiguration: Die ersten drei Ports werden als Bridge mit VLAN 1 als Management VLAN und zwei zusätzlichen VLANs 20 und 30 konfiguriert, Port#1 ist Trunk-Port (VID 1/untagged, 20/tagged und 30/tagged), Port#2 Access-Port für VID 20/untagged, Port#3 Access-Port für VID 30/untagged. VLAN 1 hat Subnetz 192.168.251.0/24, VLAN 20 Subnetz 192.168.20.0/24, VLAN 30 Subnetz 192.168.30.0/24.
Zusätzlich habe ich zwei WLAN-Interfaces mit konfiguriert, eins für VLAN 20 und eins für VLAN 30.
- Video: bintec VLAN Konfiguration -
Im nächsten Video ist die Trennung der Subnetze der VLANs 20 und 30 und das partielle Zulassen von Netzwerk-Verkehr unter den IP-Netzen zu sehen zwischen :
- Einem spezifischen Client und einem spezifischen Server,
- Einem spezifischer Client und einem Netzwerk,
- Einem Netzwerk und einem spezifischen Server.
![:cool: :cool:](/proxy.php?image=https%3A%2F%2Fweb.archive.org%2Fweb%2F20210513002400im_%2Fhttps%3A%2F%2Fwww.router-forum.de%2Fstyles%2Fdefault%2Fxenforo%2Fclear.png&hash=1b76cd879a0f9034a290a3489aad36ef)
Zum Schluss des Videos ist noch zu sehen, dass die vollständige Trennung der VLAN Subnetze bei bintec auch erreicht werden kann, indem die beiden Interfaces, im Beispiel br0-1 und br0-2, auf "nicht vertrauenswürdig" eingestellt werden. Dann können die beiden expliziten Blockierungen durch Firewallregeln entfallen.
- Video: bintec VLAN Firewall -
Zuletzt bearbeitet: