Die VLAN-Konfiguration mit und ohne Nebula unterscheidet sich hauptsächlich in der Art und Weise, wie die Einstellungen vorgenommen werden sowie deren Komplexität, und auch darin, welche zusätzlichen Funktionen zur Verfügung stehen.
Konfiguration ohne Nebula
Bei der Konfiguration von VLANs ohne Nebula, erfolgt der Zugriff über das Web-GUI des Switches. Die VLANs werden unter Switches > VLAN > VLAN Setup > Static VLAN erstellt und bearbeitet. Für jeden Port muss die PVID (Port VLAN ID) manuell eingestellt werden, um den nicht getaggten Datenverkehr einem bestimmten VLAN zuzuordnen. Die Port-Mitgliedschaft in VLANs wird über die Einstellungen «Normal», «Fixed» und «Verboten» definiert.
Es gibt eine klare Unterscheidung zwischen getaggtem und ungetaggtem Verkehr, wobei ungetaggter Verkehr durch die PVID einem VLAN zugeordnet wird.
Mit der TX-Tagging Funktion wird ein Packet mit entsprechendem VLAN-TAG erwartet. Das ist dann erforderlich, wenn das VLAN nicht der PVID des Portes entspricht.
Für Geräte, die VLANs nicht unterstützen, wird die PVID genutzt, um diese einem bestimmten VLAN zuzuordnen. Ein Port kann nur eine ungetaggte Mitgliedschaft unterstützen, aber mehrere getaggte Mitgliedschaften.
Es ist wichtig nicht zu vergessen, die Konfiguration nach Änderungen zu speichern, da alle getätigten Einstellungen nach einem Neustart sonst verloren gehen.
Konfiguration mit Nebula
Bei der Konfiguration von VLANs mit Nebula erfolgt der Zugriff über die Nebula-Cloud-Plattform, in dem man sich zu «Konfigurieren» > «Switch ports» navigiert. Die Port-Typen «Trunk» und «Access» werden verwendet, um die VLAN-Mitgliedschaften zu definieren.
«Trunk» wird verwendet, wenn ein Port Verkehr für mehrere VLANs über eine Verbindung transportiert. Ein Trunk-Port ist üblicherweise mit einem Router, Switch oder Server verbunden. Bei einem Trunk-Port werden die «Allowed VLANs» angegeben, die über den Port gesendet werden dürfen. Die angegebenen VLANs werden automatisch in der VLAN-Tabelle des Switches erstellt. Die PVID muss mit der ungetaggten Mitgliedschaft übereinstimmen.
«Access» wird gewählt, wenn ein Port nur Verkehr für ein einzelnes VLAN transportiert. Ein Access-Port wird verwendet, wenn an einem Port nur ein einzelnes VLAN erlaubt ist.
Bei einem Access-Port gibt es die Optionen für Voice VLAN und Vendor ID-basiertes VLAN. Die PVID wird genutzt, um den Switch anzuweisen, VLAN-Tags zu nicht getaggten Frames hinzuzufügen, die an einem Port empfangen werden. Nebula erstellt die angegebenen VLANs automatisch im Hintergrund. Über einen mit Mgmt VLAN gekennzeichneten Port ist ein Zugriff auf das WEB GUI bzw. die Konfiguration des Switches möglich.
Zusammenfassend gewinnen wir die Erkenntnis, dass die VLAN-Konfiguration ohne Nebula tendenziell manueller und detaillierter ist und auf der direkten Konfiguration einzelner Ports und deren Tagging-Einstellungen beruht. Die Konfiguration mit Nebula hingegen ist intuitiver und vereinfacht die Einrichtung durch die Verwendung von Port-Typen wie «Trunk» und «Access». Nebula automatisiert auch einige Prozesse, wie das Erstellen von VLANs. Die Nebula-Oberfläche ist benutzerfreundlicher gestaltet und ermöglicht eine einfachere Verwaltung von VLANs, besonders in kleineren und einfacheren Netzwerken.
|
Buchen Sie jetzt Ihre individuelle und kostenlose Nebula-Onboarding-Web-Demo Gemeinsam mit Ihnen die ersten Schritte in Richtung Cloud-Netzwerkverwaltung durchgehen: Das Erstellen eines Nebula-Accounts, die optionale Installation der Nebula-Smartphone-App, das Registrieren und Konfigurieren eines Gerätes Punkt für Punkt. |
Zyxel Switch Management Control
Die «Management Control»-Einstellung bei Zyxel-Switches, insbesondere in Verbindung mit Nebula, dient dazu, die Mitgliedschaft von Ports im Management-VLAN zu definieren. Sie ist ein zusätzlicher Mechanismus neben der PVID (Port VLAN ID), um zu bestimmen, wie der Switch selbst verwaltet wird.
Zusätzlicher Mechanismus zur Port-Mitgliedschaft im Management-VLAN:
Die «Management Control»-Funktion bietet einen zweiten Weg, um zu bestimmen, welche Ports Mitglieder des Management-VLANs sind. Dies ist besonders wichtig, da die PVID allein nicht immer ausreicht, um die Management-Funktionalität des Switches sicherzustellen.
Verhinderung des Offline-Gehens des Switches:
Wenn die PVID des Uplink-Ports nicht korrekt mit dem Management-VLAN übereinstimmt, kann der Switch möglicherweise keine IP-Adresse vom Gateway beziehen und somit nicht mehr verwaltet werden.
Über Management Control wird bestimmt, ob der entsprechende Port für die Konfiguration des Switches genutzt werden kann oder nicht.
Standardmässige Mitgliedschaft aller Ports:
Standardmässig sind alle Ports Mitglieder des Management-VLANs. Dies bedeutet, dass auch wenn die PVID eines Uplink-Ports nicht mit dem Management-VLAN übereinstimmt, der Switch immer noch Zugriff auf das Management-Netzwerk hat.
Das Management VLAN muss über den Uplink Port Zugriff auf das Internet haben. Zusätzlich muss Management Control aktiviert sein. Wenn dies nicht der Fall ist, wird der Switch in Nebula als offline angezeigt.
Management Controll als Sicherheitsfunktion:
Die Management Control ist eine Sicherheitsfunktion, um den Zugriff auf das GUI einzuschränken.
Vermeidung des Verlusts der Management-Funktionalität:
Wenn der Uplink-Port aus der Management-VLAN-Kontrollliste entfernt wird, ist der Switch nicht mehr über Nebula verwaltbar. In diesem Fall ist eine Neukonfiguration und ein Reset des Switches erforderlich. Die «Management Control»-Einstellung ist also entscheidend, um sicherzustellen, dass der Switch über Nebula verwaltbar bleibt.
Zusammenfassend lässt sich sagen, dass die «Management Control»-Einstellung bei Zyxel-Switches als zusätzliche Sicherheitsmassnahme dient, um die Verwaltung des Switches zu gewährleisten, indem sie die Mitgliedschaft von Ports im Management-VLAN unabhängig von der PVID-Einstellung steuert.
in den Site Settings von Nebula kann «Smart guest/VLAN network» aktiviert werden, damit ein Gerät mit den zuletzt funktionierenden Einstellungen wieder versucht Online zu kommen.
PVID und VLAN-Konfiguration
Die PVID (Port VLAN ID) spielt eine entscheidende Rolle bei der Behandlung von ungetaggten Frames in einem VLAN-Netzwerk.
Zuweisung zu einem VLAN:
Die Hauptfunktion der PVID besteht darin, ungetaggte Frames, die an einem Port empfangen werden, einem bestimmten VLAN zuzuordnen. Wenn ein Frame ohne VLAN-Tag an einem Switch-Port ankommt, weist der Switch diesen Frame dem VLAN zu, welches durch die PVID des Ports definiert ist.
Behandlung von nicht VLAN-fähigen Geräten:
Grundsätzlich werden alle Packete über das VLAN der PVID verarbeitet, welche keinem speziellen VLAN zugewiesen sind.
Dadurch kann der Administrationsaufwand deutlich gesenkt werden, auch wenn ein Client VLAN unterstützen würde, was bei den meisten PCs der Fall ist. Diese verwenden dann per Default die VLAN ID 0, welche eine dynamische VLAN-Zuweisung zulässt.
Definition des nativen VLAN:
Die PVID kann als das native VLAN eines Ports betrachtet werden. Das bedeutet, dass der gesamte ungetaggte Verkehr, der über diesen Port läuft, so behandelt wird, als ob er zu diesem VLAN gehört.
Kontext in Trunk- und Access-Modi:
Im Trunk-Modus muss die PVID immer mit der ungetaggten Mitgliedschaft übereinstimmen. Das bedeutet, dass die PVID das VLAN angibt, dem ungetaggter Verkehr zugeordnet wird, während getaggter Verkehr basierend auf dem VLAN-Tag im Frame verarbeitet wird.
Im Access-Modus ist die PVID die einzige Möglichkeit, ein VLAN für einen Port zu konfigurieren, da in diesem Modus kein getaggter Verkehr erwartet wird. Der gesamte ungetaggte Verkehr wird dem durch die PVID definierten VLAN zugeordnet.
Veränderung des Datenverkehrs:
Die PVID bestimmt, wie der Switch ungetaggten Verkehr behandelt, indem er diesen in ein bestimmtes VLAN einfügt. Getaggter Verkehr hingegen wird basierend auf seiner VLAN-ID weitergeleitet.
Wichtige Unterscheidung:
Ein Port kann nur eine einzige ungetaggte Mitgliedschaft haben, was bedeutet, dass pro Port nur eine PVID möglich ist. Es können jedoch mehrere getaggte Mitgliedschaften pro Port konfiguriert werden.
Zusammengefasst bedeutet dies, dass die PVID die Funktion hat, ungetaggte Frames einem bestimmten VLAN zuzuordnen und somit eine grundlegende Rolle bei der VLAN-Konfiguration spielt, insbesondere im Zusammenspiel mit Geräten, die keine VLAN-Tags verarbeiten können. Sie bestimmt auch das Management-Netzwerk eines Switches und muss korrekt konfiguriert werden, um eine optimale Netzwerkfunktion zu gewährleisten.
