Hallo,
ich habe eine sehr spezielle Fragestellung, zu der ich im Netz bislang trotz langem langem suchen (ich habe das Gefühl, das gesamte weltweite Internet dazu schon erfolglos gesehen zu haben) nichts gefunden habe, das mir das Problem klären konnte. Ich möchte ein WLAN-Netz aufbauen, dass in einer eigene VLAN abgeschottet ist, damit die Endgeräte (Gäste-Notebooks, SmartDevices etc.) kein Zugriff auf mein Produktivnetz erhalten. Folgende Konfiguration habe ich gemacht:
Sophos SG, Schnittstelle eth2, Ethernet-VLAN, VLAN-Tag 2021, IP 172.20.21.254/24
|
Port am HP-Switch zur Sophos -> VLAN1 untagged + VLAN 2021 tagged
Port am HP-Switch zum AccessPoint -> VLAN1 untagged+VLAN 2021 tagged
|
AccessPoint AP30 (IP erhält der AP vom meinem DHCP) -> VLAN Tag 1
|
Wifi "TestWifi" mit Bridge in VLAN 2021
Ist das grundsätzlich richtig eingerichtet. Es scheint zu laufen.
ABER:
1. VLAN werden doch eigentlich zur Netzsegmentierung eingesetzt. Ich kann aber von einem Notebook im TestWifi aus alles mögliche anpingen. M.E. sollte das doch nicht gehen, wozu segmentiere ich sonst überhaupt.
2. zwischen zwei Switchen muss ich die Verbindungen immer taggen (so habe ich es zumindest recherchiert, macht ja auch Sinn); ist die VLAN-Konfig am AP ein Tagged oder ein untagged? Kann ich dann überhaupt den AP VLANTag 1 geben und dem dazugehörigen Port am Switch untagged lassen?
3. ich würde die VLAN-Angabe beim AP als Management-ID sehen, da ich ja über den AP mehrere unterschiedlich getaggte Wifis laufen lassen kann
Sorry, wenn die Fragen nicht so ganz klar strukturiert sind, ich habe schon einen heißen Kopf vor lautem taggen und untaggen und pingen. hat jemand Erfahrung damit und kann mir ein paar Tipps geben?
This thread was automatically locked due to age.