×
We are experiencing an outage of our ReadyCloud service and are working to resolve the issue..
×
Auf Grunde der gegenwärtigen Situation mit dem COVID-19 Coronavirus erwarten wir ein ungewohnt hohes Anrufaufkommen and aus diesem Grund erhöhte Warte- und Antwortzeiten. Wir bitten um Ihr Verständnis während wir durch diesen Prozess arbeiten
×
Geplante Wartung des Community-Systems, Mitte Juli - Beiträge / Antworten werden deaktiviert. Erfahren Sie mehr.
Das Thema wurde als gelöst markiert und wegen der Inaktivität geschlossen. Wir hoffen, Du wirst Dich die Community anschließen, indem Du einen neuen Beitrag in einem geöffnet Post hinzufügen bzw. einen neuen Post erstellen wirst.
Ich setze zur Zeit zwei Netgear ProSAFE GS108T-200GES Switche, welche ich in der Original-Konfiguration betreibe. Beide Switche sind via LAG zweier Ports miteinander verbunden. Da die beiden angeschlossenen Accesspoints mehrere WLANs/SSIDs aufspannen können, möchte ich jetzt gerne ein getrenntes Gäste-WLAN aufsetzen, welches nur Zugang zum Internet hat. Daher würde ich die betreffenden Komponenten in ein VLAN (z.B. VLAN ID 49) kapseln. Da über die APs ja auch noch das interne WLAN läuft, kann ich die Ports ja nicht nur in die VLAN ID 49 stecken. Soweit ich das gesehen habe, sind bei der Default-Konfiguration alle Ports Mitglied des VLAN 1. Außerdem bin ich mir unsicher, wie ich das LAG in die VLAN Gruppe aufnehme. Jeden Port einzeln oder das LAG als gesamtes? Für ein besseres Verständnis hänge ich mal ein Architekturschaubild mit an.
Für eine Hilfestellung bei der Konfiguration wäre ich sehr dankbar.
Hallo FrankHe. Vielen Dank für die Antwort. So ähnlich habe ich es mir fast gedacht. Aber ich habe noch ein paar Detailfragen. Also mein Anliegen mit dem Konstrukt war weniger, Clients vom Internet auszusperren, sondern die Nutzer des Gast-Netzes den Zugriff auf die internen Ressourcen zu verwehren. Wenn ich jetzt dein Beispiel aufgreife und sage VLAN 20 wäre das Gäste-WLAN, welches ich zusätzlich hinzufüge/konfiguriere und das VLAN 10 wäre das default VLAN, welches bereits existiert. Richtig? Das würde bedeuten, dass in meinem Fall alle Ports Mitglied von VLAN 10 sind und nur Accesspoints, das LAG und der Internet/IP-Fire Port Mitglied in VLAN 10 und VLAN 20 sind, oder hab ich da einen Denkfehler? Zweite Frage ist, meinst du bei "Trunk VLAN 10+20" nicht eher Port 7 statt Port 5?
die Zahlen die ich genommen habe waren fiktiv. Welchen Port du nimmst und wie du dein VLAN benennst bleibt dir überlassen.
Nur das VLAN1 solltest du meiden, da dies das Management VLAN ist.
Wichtig ist, dass du auf den AP's das Gästenetzwerk "trunken" kannst z.B. auf VLAN20 dann dürfen z.B. die Ports an denen deine internen Ressourcen hängen NICHT Mitglied des VLAN20 sein.
Hallo, sorry, für die verspätete Antwort. Urlaubszeit andere Projekte, das übliche. Vielen Dank für deine Antwort. Mir war schon klar, dass die Zahlen fiktiv sind. 😉 Eine Frage hätte ich noch zu deiner Aussage. Klar, die Ports, welche exklusiv nur interne Ressourcen bereit stellen, befinden sich nur im VLAN 10. Aber da die Accesspoints ein internes wie auch ein externes Netz bereit stellen, müssen diese dann Mitglied in VLAN10 UND VLAN20 sein, richtig? Das gibt auch kein Problem dann mit der Sicherheit der internen Ressourcen oder?
