[fli4l] Bräucht?==?utf-8?Q?e nochmal Hilfe zu VLAN-S?==?utf-8?Q?etup (spezifisch: mit Ubiquit?==?utf-8?Q?i Hardware)

K. Dreier usenetforum at gmx.net
Mi Jan 23 08:12:19 CET 2019 

Hallo Hans,

> Ich würde das VLAN 0 in der Grundeinstellung überall untagged
> lassen.

So habe ich das (im Moment) auch. In Unifi-Universum wählt man immer
zwingend ein Management-LAN aus, was in diesem Fall VLAN1 entspricht.
Wählt man das Port-Profil "all", dann ist jedes VLAN ausser 1 auf den
Port tagged und das VLAN1 untagged (nicht ganz dumm; quasi
idiotensicher, da man so im Standard immer überall das Mgmt-VLAN hat).
So habe ich all meine Trunk-Ports (also jener, der vom fli4l kommt und
all jene, die an andere Switches weiterreichen sowie deren dahingehende
Eingangs-Ports) konfiguriert.
Ich werde nun, wie hier empfohlen und auch schon an anderer Stelle
gelesen, ein neues Mgmt-VLAN einrichten (10) und dies auf allen Ports
taggen mitteles eine Portprofils. Faktisch kopiere ich also "all" zu
einem Profil "VLAN 10 ist Mgmt, Rest ist tagged"). Falls das so geht.
Ansonsten halt "VLAN1 wie üblich untagged, alles andere tagged".

Was mir daran nicht so gefällt: da mein eht1/NET2 die Range 192.168.1.x
hat und ich nun ein neues Mgmt-VLAN mit z.B. 10.1.10.x einrichte (n
soll), werden ja dann alle Geräte, die bisher im Netz 192.168.1.x lagen
nun neu eine IP aus 10.1.10.x erhalten. Damit ist meine ganze schöne
Struktur der Zuordnung von IPs via static DHCP futsch.

Kann man eigentlich das native fli4l-Netz auf ein 10.x.x.x legen? Dann
könnte ich mein neues Mgmt-VLAN im Bereich 192.168.1. aufsetzen und
hätte alle alten IP-Zuweisungen wie bisher.

> Alles andere erhöht nur die Komplexität - man läuft Gefahr,
> irgendwo die 
> Verbindung zu unterbrechen, weil VLAN 0 bei irgendeinem trunk-Port
> nicht 
> extra angegeben wurde.

Jup.

> Ich glaube, der Kern des Problems von Klaus waren nicht
> fehlende/falsche 
> VLAN-Definitionen, sondern die Tatsache, dass für die VLANs am
> fli4l 
> keine DHCP-Ranges definiert waren.

Das denke ich auch. Allerdings musste die Firewall auch definitiv
ergänzt werden bei INPUT und FORWARD. Jetzt muß ich noch testen,
inwieweit ich auch vom Mgmt-Netz auf meine VLANs zugreifen kann (und
nicht auch anders rum).

Gruß
Klaus

Mehr Informationen über die Mailingliste Fli4L