Hinter FRITZ!Box 6660 Cable managed Switches und Multi-SSID Access-Point einrichten

Question

Hallo liebe Community!&nbsp;Ich arbeite mich an folgender Netzwerkinfrastruktur ab:&nbsp;&nbsp;Ich möchte mit einem GS716Tv3 Switch hinter einer FritzBox eine VLAN-Struktur aufbauen. Ich möchte 4 VLANs etablieren: 100 (Endgeräte), 200 (Raspberry, NAS &amp; Co), 300 (IoT-Geräte) und das Default VLAN 1. Die Ports habe ich entdprechend mit der PVID versehen - alle untagged.&nbsp;Da sich beide Geräte in verschiedenen Stockwerken befinden, ist zwischen der Fritz Box und dem GS716Tv3 noch ein GS308E. Jeweils ein Port beider Switche ist getagged und Memeber aller VLANs. Über den Port verbinde ich die Switche. Der Anschlussport an die Fritz Box ist wieder untagged. Außerdem nutze ich LAN5 der FritzBox, um das IoT-VLAN mit dem Gastzuganz zu verbinden - auch mit einem untagged port.Mein Problem ist jetzt, dass die Switches nur miteinander reden können, wenn der tagged port die PVID 100 hat. Mit der PVID1 findet keine Kommunikation statt. Im Moment betreibe ich die Switches auch so, um Konnektivität zu haben. Die Kommunikation der VLANs 200 und 300 kommen aber nicht zustande.Nach meinem Verständnis müsste die PVID1 bei dem getagged Port doch egal sein? Schließlich verlässt das Datenpaket mit dem Tag der VLAN-ID, zu der der Eingangsport (PVID) gehört, über den das Datenpaket erstmals in den Switch eingetreten ist? Dann müsste - da der tagged port mitglied aller betreffenden VLANs ist - doch der Tag nicht verändert werden und das Datenpaket entsprechend korrekt getagged am anderen Switch ankommen?&nbsp;Zsätzlich betreibe ich einen AX4200 AP, der über den PoE Switch GS305EP mit dem GS716Tv3 verbunden ist. Dort kann ich auf den GS305EP zugreifen, wenn dieser einen getagged port hat, der die PVID des VLAN 1 als default hat. Der AP wiederum müsste nach meinem Verständnis auch an einem getagged port angeschlossenwerden, da das WiFi auch mit einer PVID versehen wird. Das klappt aber nicht. Hier muss ich den AP an einen untagged Port anschließen, damit icb Verbindung habe.&nbsp;Die Verwirrung bei mir ist komplett. Ich habe sicher irgendwo eine grundlegende Verständnishürde.&nbsp;Ich hänge mal ein Schema der Netzwerkinfrastruktur an, wie ich dachte, dass es richtig sein müsste (es aber offenbar nicht ist). Sieht jmd. das Problem?&nbsp;VlgThore&nbsp;(PS: Firmware ist die jeweils aktuellste)&nbsp;

schumaku · Answer

Hallo Thore
&nbsp;
Perfektes Design und tolle Dokumentation - Kompliment!
&nbsp;
SSID1 und VLAN 100 sowie SSID3 und VLAN 300 sehen funtionell aus, dass die SSID2 und da VLAN 200 sich noch rein lokal in deinem LAN befinden weisst Du ja bestimmt da ja wohl so beabsichtigt, denn der Fritz! macht ja nicht mehr her. Grundsätzliche Fehler sehe ich keine.
&nbsp;
Den einzigen Punkt den ich Dir auf die Schnelle einwerfen kann:&nbsp; Die Plus Switches GS308E und GS305EP (und die meisten einfachen Verwandten, welche nicht mit einem Managed Core aufgebaut sind und eine Konfiguations-Option für das Mangement-VLAN haben) wirst Du über getaggte Verbindungen für das Management nicht erreichen können. Der einfache IP Stack auf dem uC weiss selbst nichts davon, dass er auch auf Getaggte IP Pakete hören muss - das kann er schlicht nicht. Das ist der Komprmiss auf den wir uns mit diesen an sich Unmanaged-Switches mit Konfigurations-Möglichkeiten eingehen und wir als Anwender verstehen müssen, was leider immer wieder zu Verwirrungen führt - vielleicht auch hier bei Dir.
&nbsp;
Ich würde empfehelen - für die Einfachheit des Betriebes - ein VLAN durchgehend ungetaggt durchzuführen, inklusive dem WAX220 Management. Das hilft die GS305E und GS308EP aus allen Richtungen erreichen zu können.&nbsp;
&nbsp;
Hilft das so mal weiter?&nbsp;
&nbsp;
Grüsse aus der Schweiz
-Kurt

schumaku · Answer

Welches VLAN spielt keine Rolle - der Punkt ist dass nur Ungtaggte Frames welche direkt zum Switch gelangen kommen den Switch finden und ansprechen können.&nbsp;
&nbsp;
Hat auch mit Manged nichts zu tun, sondern mit der Implementation, und ob der Switch Core überhaupt für getaggte Netzwerke konfiguriert werden kann. Es gibt durchaus einige Plus Switches (aus dem hohlen Bauch z.B. die MS108EUP, die XS724EM, ...) welche einen Managed Core verfügen, und wo das Manageent VLAN konfiguriert wrden kann - aber auch hier ist dann die Erkennung und das Management auf das jeweilige einzige VLAN beschränkt.
&nbsp;
Wenn so implementiert wie ich es vorschlage, hat in der Tat nur ein VLAN die Möglichkeit, den Switch anzusprechen. Das schliesst aber andere VLANs über die man ungetaggte Frames auf die Switch Ports bringen kann nicht aus. Denn dem IP Stack auf den kleinen uC versteht keine VLAN Tags. Das ist auch ein gewisses Sicherheits-Risiko, welches es beim Einsatz zu berücksichtigen gilt.&nbsp;
&nbsp;
Alle Klarheiten beseitigt?

Thore81 · Answer

Danke für deine Antwort! Freut mich auch, dass das Schema nicht nur gut zu verstehen ist, sondern offenbar auch nicht gänzlich falsch 😅

Ich habe den Vorschlag mal umgesetzt, habe aber nach wie vor das Problem, dass immer nur 1 VLAN alle Switches findet. Ich nehme mal an, dass liegt an deinem Hinweis, dass die "kleinen" Switches gar keine "echten" managed Switche sind?

Das ist natürlich maximal ärgerlich, wenn das der Grund ist.

vielen Dank für den Hinweis!

vlg,

Thore

schumaku · Answer

Kaue noch etwas an der Aussage "das Problem, dass immer nur 1 VLAN alle Switches findet".
&nbsp;
Nur ein VLAN kann als Management VLAN genutzt werden. 
&nbsp;
Der Unterschied liegt in der Art, wie die Geräte mit einem Management-VLAN (hier 2x WAX220 und GS716Tv3)&nbsp;- wenn für ein Management VLAN konfiguriert - angesprochen werden können. 
&nbsp;
Anders sieht es mit den einfachen Plus Switches wie den GS308E oder GS305EP aus, ich erinnere nochmals daran dass diese Plus Switches unmanaged Geräte mit einfachten Konfigurationsmöglichkeiten sind. In Ermangelung eines Management-VLAN-Konfiguration kann - über jedes VLAN, welches direkt ungetaggte Frames zu den Plus Switches bringt sowohl den Switch finden und auch den IP Stack (letzteres selbstredend nur mit Adressen in einem "passenden" IP-Subetzwerk) für die Konfiguration erreichen.&nbsp;
&nbsp;
Die Risiken sind bei diesen einfachen Netzwerken allerdings vergleichbar. Ein "BöFei" kann sich recht einfach den physikalischen Zugriff auf das Netzwerk beschaffen - prädestiniert sind die Anschlusspunkte der WLAN APs, in vielen Fällen reichen aber auch offen erreichbare Anschlüsse für IP-Telefone -und- interne PCs aus. Nichts was den Angreifer jetzt daran hindert mal viele VLANs duchrzuspielen und auch Dein Management-VLAN (getaggt oder ungetaggt)&nbsp; zu benutzen. Das kleine VLAN Tag bietet da kaum mehr Widerstand.
&nbsp;
Hier unterscheiden sich einfache Heim-, KMU-Netzerke manchmal gar Business-Netzwerke nur wenig.
&nbsp;
Grüsse aus der Schweiz
-Kurt

Forum Discussion

Hinter FRITZ!Box 6660 Cable managed Switches und Multi-SSID Access-Point einrichten

4 Replies

Related Content

WAC104: Access Point einrichten

Nighthawk R8000 als Access-Point einrichten

New Gateway and Access Point

EX7700 as Access Point

Outdoor access point

NETGEAR Academy

ProSupport for Business