Es gibt zwei Möglichkeiten, VLANs im bintec zu konfigurieren:
Ich habe mal zur praktischen Erläuterung des Vorgehens bei einer VLAN-Konfiguration wie unter Punkt 2 beschrieben was zusammengestellt:
Ausgangslage ist: Beim bintec sind alle Ports im Routing-Mode.
Zielkonfiguration: Die ersten drei Ports werden als Bridge mit VLAN 1 als Management VLAN und zwei zusätzlichen VLANs 20 und 30 konfiguriert, Port#1 ist Trunk-Port (VID 1/untagged, 20/tagged und 30/tagged), Port#2 Access-Port für VID 20/untagged, Port#3 Access-Port für VID 30/untagged. VLAN 1 hat Subnetz 192.168.251.0/24, VLAN 20 Subnetz 192.168.20.0/24, VLAN 30 Subnetz 192.168.30.0/24.
Zusätzlich habe ich zwei WLAN-Interfaces mit konfiguriert, eins für VLAN 20 und eins für VLAN 30.
- Video: bintec VLAN Konfiguration -
Im nächsten Video ist die Trennung der Subnetze der VLANs 20 und 30 und das partielle Zulassen von Netzwerk-Verkehr unter den IP-Netzen zu sehen zwischen :
.
Zum Schluss des Videos ist noch zu sehen, dass die vollständige Trennung der VLAN Subnetze bei bintec auch erreicht werden kann, indem die beiden Interfaces, im Beispiel br0-1 und br0-2, auf "nicht vertrauenswürdig" eingestellt werden. Dann können die beiden expliziten Blockierungen durch Firewallregeln entfallen.
- Video: bintec VLAN Firewall -
- Der Port befindet sich im Routing-Modus: Dann kann ein VLAN-Interface über "LAN->IP-Konfiguration" und Klick auf "Neu" angelegt werden. Bei "Basierend auf Ethernet-Schnittstelle" wird ein Port, z.B. Port#2, gewählt und bei "VLAN-ID" das gewünschte VLAN eingetragen, z.B. 10. Die IP-Adresse dieser "virtuellen Schnittstelle" kann man z.B. auf 192.168.10.1/24 setzen. Unter "Lokale Dienste->DHCP-Server" wird ein neuer Scope passend zum IP-Netzwerk der virtuelle Schnittstelle definiert, also z.B. 192.168.10.100-192.168.10.150. Dieser wird dem neuen virtuellen Interface en1-1-1 zugewiesen.
Wenn jetzt ein Client per DHCP mit dem VLAN-Tag 10 am Port#2 eine IP-Konfiguration anfordert, so bekommt er eine IP-Adresse aus dem Subnetz 192.168.10.0/24.
Pakete im VLAN#10 müssen eingehend getagged sein und werden vom bintec ausgehend ebenfalls getagged. Der Client muss also auch mit VLAN-getaggten Netzwerk-Paketen umgehen können - übliche PCs können das nicht! Ein angeschlossener Switch sollte das können ("Managed Switch"), benötigt aber natürlich ebenfalls eine entsprechende VLAN-Konfiguration.
Bei dieser Art der VLAN-Konfiguration verhält sich Port#2 also wie ein VLAN-Trunk: Getaggte Pakete werden eingehend erwartet und ausgehend gesendet.
- Der Port befindet sich in einer Bridge-Group (mit anderen LAN-/WLAN-Ports): In diesem Fall wird die VLAN-Konfiguration unter "LAN->VLAN" vorgenommen.
Ich denke, wie VLANs im "LAN->VLAN" Menü konfiguriert werden, ist sicher im Handbuch des bintec Routers beschrieben.
Um nach der VLAN-Konfiguration einem bestimmten VLAN ein eigenes Subnetz zuzuweisen, ist grundsätzlich wie unter 1. beschrieben vorzugehen. Bei "Basierend auf Ethernet-Schnittstelle" ist allerdings keine Ethernet-Schnittstelle, sondern die Bridge, in der sich der Port befindet und für die die VLAN-Konfiguration durchgeführt wurde, auszuwählen.
- die ein oder andere allgemeine Einführung in das Thema VLANs zu lesen und
- das Router-Handbuch zur konkreten Konfiguration anzuschauen - zugegebenermaßen gehört das bintec Handbuch nicht zu den Besten seiner Art
.
Ich habe mal zur praktischen Erläuterung des Vorgehens bei einer VLAN-Konfiguration wie unter Punkt 2 beschrieben was zusammengestellt:
Ausgangslage ist: Beim bintec sind alle Ports im Routing-Mode.
Zielkonfiguration: Die ersten drei Ports werden als Bridge mit VLAN 1 als Management VLAN und zwei zusätzlichen VLANs 20 und 30 konfiguriert, Port#1 ist Trunk-Port (VID 1/untagged, 20/tagged und 30/tagged), Port#2 Access-Port für VID 20/untagged, Port#3 Access-Port für VID 30/untagged. VLAN 1 hat Subnetz 192.168.251.0/24, VLAN 20 Subnetz 192.168.20.0/24, VLAN 30 Subnetz 192.168.30.0/24.
Zusätzlich habe ich zwei WLAN-Interfaces mit konfiguriert, eins für VLAN 20 und eins für VLAN 30.
- Video: bintec VLAN Konfiguration -
Im nächsten Video ist die Trennung der Subnetze der VLANs 20 und 30 und das partielle Zulassen von Netzwerk-Verkehr unter den IP-Netzen zu sehen zwischen :
- Einem spezifischen Client und einem spezifischen Server,
- Einem spezifischer Client und einem Netzwerk,
- Einem Netzwerk und einem spezifischen Server.
Zum Schluss des Videos ist noch zu sehen, dass die vollständige Trennung der VLAN Subnetze bei bintec auch erreicht werden kann, indem die beiden Interfaces, im Beispiel br0-1 und br0-2, auf "nicht vertrauenswürdig" eingestellt werden. Dann können die beiden expliziten Blockierungen durch Firewallregeln entfallen.
- Video: bintec VLAN Firewall -
Zuletzt bearbeitet:
