Ubiquiti UniFi Access Points, WLAN und VLAN

Verwendet man bei Ubiquiti UniFi Access Points bzw. bei via Controller konfigurierte (W)LAN-Netzwerke VLAN, so muss der genutzte Switch dies ebenfalls unterstützen. Wie das am Beispiel von einem ZyXEL GS1900 und einem D-Link DGS-1100 aussehen kann, wird in diesem Beitrag beschrieben.

Vorab kurz und knapp die aller-relevantesten VLAN-Grundlagen: Es gibt zwei Arten, Tagged und Untagged. Der Unterschied ist einfach:

  • Port-basiertes VLAN ist Untagged, grob ausgedrückt bedeutet es das der Port am Switch das LAN zum VLAN macht.
  • WLAN-Netze die einem VLAN zugewiesen sind, entsprechen einem Tagged VLAN.

Hat man nun ein oder mehrere WLAN-Netze mit unterschiedlichen VLAN-IDs konfiguriert, müssen die Ports am Switch diese Tagged VLAN-IDs kennen. In der Regel gilt das für alle Ports an denen Access Points, ggf. Uplinks (zu anderen Switchen) und letztlich die Firewall oder der Router angeschlossen sind.

Am Beispiel vom ZyXEL GS1900 sieht das z.B. so aus:

An den Ports 1 und 2 sind die Access Points angeschlossen, an Port 8 wiederum die Firewall. Im VLAN mit der ID 5 sind also nur diese drei Anschlüsse enthalten, alle anderen nicht.

Beim D-Link DGS1100 ein ähnliches Bild:

Hier ist an Port 1 die Firewall angeschlossen und an Port 5 der Access Points. Im VLAN mit der ID 2 sind also nur diese zwei Ports enthalten.

Die mit Tagged VLAN-konfigurierten Ports akzeptieren nicht nur den Datenverkehr vom eingestellten VLAN, sondern auch den von anderen VLANs und dem LAN.

Tagged und Untagged VLAN kann gemischt werden, dies ist immer dann notwendig, wenn z.B. an Switch-Port mit Untagged VLAN konfiguriert ist und wie in diesem Beispiel WLAN-Netzte, die Tagged sind, zusammen in einem logischen Netz sein sollen.

Quellen

ZyXEL Support Campus EMEA – GS1900: How to configure VLAN on Zyxel Switch

Thomas Krenn – wiki – VLAN Grundlagen

Update 10.12.2021

Wie man das “WLAN-VLAN” zulässt wurde ja bereits geklärt. Wie aber sieht es aus, wenn ein Switch mit Port-basierten (Untagged) VLAN unterteilt ist und dann zusätzlich noch das (Tagged) VLAN des WLANs hinzukommt? Die Antwort auf diese Frage folgt nun.

Angenommen man hat einen einen Switch, bei dem die Ports 1 – 4 für ein Netzwerk verwendet werden und die Ports 5 – 8 für ein Anderes. Mittels Port-basierten VLAN wurde der Switch sozusagen partitioniert und so in zwei Bereiche unterteilt. Beim ZyXEL GS1900 sieht das z.B. so aus:

Ab Werk befinden sich alle Ports im VLAN mit der ID 1:

Der Name und die ID sind nicht änderbar. Alle Ports sind dann dementsprechend konfiguriert:

Hat man, wie im vorigen Screenshot zu sehen, bereits die VLAN-IDs angelegt, kann man an dieser Stelle die gewünschten Ports auswählen und das Port-basierte VLAN (PVID) festlegen:

Damit die Ports 5 – 8 dann im VLAN 3 sind, muss unter “VLAN Port” noch eine entsprechende Zuordnung stattfinden, gemeint ist das die genannten Ports “Untagged” sind:

Somit ist der Switch in zwei Bereiche/Netze unterteilt. Das Tagged VLAN vom WLAN kann z.B. so konfiguriert sein:

So richtig funktioniert dieses Konstrukt allerdings noch nicht, da das “WLAN-VLAN” noch keine Verbindung über das kabelgebundene Netzwerk erhält. In der Ubiquiti-Welt findet der Access Point dennoch einen Weg, beispielsweise via Mesh über einen anderen Access Point, dies kann man im Controller sehr schön unter “Karte” (Topologie) sehen.

Damit nun das “WLAN-VLAN” funktioniert müssen die entsprechenden Ports aus dem port-basierten (Untagged) VLAN mit der ID 1 (default) ausgenommen werden:

Oder wie es unter

ZyXEL Support Campus EMEA – VLANs – Tagged VLANs vs. PVID (Setup Example Untagged/Tagged VLAN on a GS22XX-Switch)

so schön heißt:

"Please note that only one untagged membership per Port is allowed! This automatically means that we have to take away the default untagged membership in VLAN1."

Der Vollständigkeit halber und zur Info: Unmanaged Switche oder auch in den meisten SOHO-Routern integrierte Switche, z.B. in der FRITZ!Box, leiten einfach alle VLANs durch.

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.