VLAN mit neuer Oberfläche nicht plausibel

None heisst, dass kein Vlan zugewiesen ist, und alles durch geht.

Wie meinst du das mit 2 Vlans auf einem Port ? Du hängst ja nur ein Gerät ran

Zitat von Swp2000

Wie mach ich das mit der neuen Ansicht

du legst AP-Gruppen an, denen du die VLANs/WLANs zuweist, die sie ausstrahlen:

Zitat von anton

du legst AP Gruppen an, denen du die Vlan´s/Wlan´s zuweist, die sie ausstrahlen

Ich glaube er meint nicht die Vlans für das WLAN, er möchte als Beispiel über den Port 5 das Vlan 3 untagged als default und Vlan 10 als tagged mitgeben. Das war früher ja easy machbar mit Portgruppen.
Ich würde es jetzt mit traffic restrictions machen. Das Primary auf Vlan 3 und dann die traffic restriction auf "allow" und nur das vlan 10 auswählen. Aber wenn es eine bessere möglichkeit gibt immer gerne.

Das kleine i beschreibt es ganz leicht:

PortProfile können noch benutzt werden, weiter unten „am Port“ ist dafür die Option

„Ethernet Port Profil“ zu aktivieren.

Aber im Profil editor siehts genauso aus wie der den „kurzen“ weg oben:

wie sebcodes schon sagte is das „Native“ das was du als Primera aussuchst.

ALLE anderen sind als Tagged mit auf dem Port.

ubiquiti-networks-forum.de/attachment/21239/

ES sei denn und aktivierst „Traffic Restriction"

Über Block kannst du einzelne VLAN oder ALLE von Port

entfernen. Mit Allow anderem gedacht nur gewünschte VLAN auf dem PORT mithaben.

Die Bezeichnungen sind Wirklich etwas krude aber wenn mann mal 5 min sacken lässt

eigentlich auch Logisch

Zitat von Swp2000

in der Classic Ansicht konnte man Switch-Port Profiles erstellen

Die gibt es auch jetzt noch, aber bei irgendeinem FW Update, ich glaube es war bei mir der Umzug von UDM-Pro 2.x auf 3.x wurde das ursprüngliche geändert und die alten Profile gingen verloren, das war damals aber auch in den releasenotes so angekündigt.

Du kannst dir aber dein "gewohntes" ALL-Profil wieder anlegen, die werden jetzt im Network unter Pofiles erstellt und verwaltet:

Als Name gibst du halt wieder "ALL" ein und stellst unten auf "Default" oder "None" sowie KEIN HAKEN bei Traffic Restriction.

Keine "Einschränkung".

Möchtest du jetzt einen Port auf ein bestimmtes "Netzwerk" beschränken dann kommt der Haken mit Traffic Restriction ins Spiel.

Haken setzen, 2 Felder erscheinen BLOCK und ALLOW (Blockieren/Erlauben)

Jetzt ist es m.M.nach etwas tricky aber man gewöhnt sich daran.

Klick auf BLOCK und drunter auf Select rechts auf den kleinen Pfeil.

Du siehst jetzt eine Liste mit deinen vorhandenen und angelegten "Netzwerken" (VLANs) und VLANs.

Jetzt wähl hier vorerst "BLOCK ALL" aus. All deine VLAN sind dann geblockt.

Jetzt klick auf die Fläche "ALLOW", du siehst wieder alle deine VLAN, such jenes aus welches du auf den Port legen willst, die anderen werden "blockiert".

Das erlaubte (was durch den Port durchgereicht werden soll) erschein in einem "Rahmenfeld" mit X könntest du es wieder entfernen.

Jetzt schau zurück und klick noch mal auf BLOCK, hier stehen jetzt nur mehr deine anderen blockierten VLANs eingetragen.

Mit Traffic Restriction aktiviert bestimmst du welche VLANs am Port zur Verfügung stehen sollen.

DAS hat aber alles nichts mit deinem WLAN Wunsch zu tun, ich komm weiter unten drauf zurück!

Also erstell dir ein Portprofil mit Namen ALL und stell Primary auf Default oder None und KEIN Haken vor Traffic Restriction und die anderen Option ob PoE aktiv sein soll, welcher Link Speed verwendet werden soll usw - mit APPLY CHANGES abschliessen, dein gewohntes Portprofil ALL steht dir wieder zur Verfügung:

Es ist so eine Art "Schnellvoreinstellung".

Du wählst jetzt am Switch deinen gewünschten Port aus und siehst vorerst seine derzeitigen Einstellungen, WICHTIG! Du musst unbedingt unter Advanced Umschalten auf MANUAL sonst kannst du drunter den Haken nicht setzen auf Ethernet Port Profil:

Jetzt ist es so wie du es von früher gewohnt warst, auch etwas gewöhnungsbedürftig ERST in dem Augenblick wo du den Haken setzt auf Ethernet Port Profil

und du ALL auswählst werden die vorherigen Einstellungen durch "ALL" "überschrieben".

Mit Apply Changes rechts unten bestätigen.

Wie schon erwähnt, das hat aber nichts mit dem zu tun was du eigentlich möchtest, nämlich deinen AP "zuteilen" welches "Netz" sie abstrahlen sollen.

Das definierst du (siehe auch Beitrag # 4 von Anton!) im WiFi Menü im jeweilig angelegten SSID "Netz".

Der AP soll grundsätzlich mal ALLE "Netzwerke" erhalten und zur Verfügung gestellt bekommen am Port wo de Angeschlossen ist, daher Port wo der AP dran hängt auf "Default" stellen und KEIN Haken auf Traffic Restriction oder wenn du das Profil ALL wieder angelegt hast auf Ethernetportprofil ALL.

Jetzt stellst du dann ein welche SSID der AP ausstrahlen soll (noch mal zur Verfügung am Port stehen im alle) und das erfolgt im jeweils angelegten WiFi "Netz".

Network > Settings > WiFi > Zeile mit gewünschten SSID WLAN Namen der vom AP ausgestrahlt werden soll auswählen durch Anklicken.

Unter Broadcasting APs stellst du jetzt jene APs ein die diese SSID ausstrahlen sollen, da steht vorerst ALL APs [Anzahl deiner vorhandenen APs]

Klick auf das weisse Plus im Quadrat, es wird zu einem Minus und die Liste der APs klappt auf und zeigt dir welche APs jetzt diese SSD ausstrahlen werden:

WARUM das Unifi so komisch mit den Gruppen gelöst hat weiß ich nicht, ich Frage mich auch öfter warum ich hier nicht ganz einfach den einzelnen AP auswählen kann?!? Gut, ist so, man muss Gruppen erstellen, die gewünschten AP in eine Gruppe stecken und dieser Gruppe von APs dann so das Ausstrahlen von WiFiName (gewählte SSID) zuteilen.

Die Gruppe ALL APs wurde automatisch angelegt mit einem der FW Updates, ich selber habe niemals so eine Gruppe bewusst erzeugt.

Und alle verfügbaren APs kommen vorerst in diese Gruppe ALL APs. Wie erwähnt, wenn nur bestimmte APs deines Netzwerkes eine bestimmte SSID Ausstrahlen sollen, dann diese APs in einer neuen Gruppe zusammenfassen.

Danach wieder WiFiName (Zeile mit SSID) auswählen und die "Gruppe" von APs zuteilen die diese SSID Ausstrahlen sollen.

Wenn sowieso alle deine APs diese SSID ausstrahlen sollen dann einfach auf ALL APs stehen lassen.

Also PORT wo der AP dran hängt am Switch im Normalfall NICHT beschränken, stell dem AP alle Netze grundsätzlich zur Verfügung.

So wie früher die Option "ALL".

Über die Menüs der einzelnen WiFi Namen (SSIDs) teilst du dann die APs über Gruppen zu welche diese SSID ausstrahlen sollen.

Im Menü vom Device-Menü des AP in seinem "Overview", kannst du dann kontrollieren ob dieser AP auch die von dir gewünschten SSIDs ausstrahlt,

ACHTUNG nicht erschrecken da steht jetzt nur "Multliple"! Du musst den Mauszeiger auf "Multiple" stellen damit im Mouseoverfenster die ausgetrahlten SSIDs angezeigt werden:

Hinweis:

Natürlich kann man auch schon den Port an welchem ein AP angeschlossen ist "beschränken" auf bestimmte LANs, dann kommt man erst gar nicht in die Verlegenheit das "falsche" / "nicht erwünschte SSIDs" abgestrahlt werden können von diesem AP da ihm diese erst gar nicht zur Verfügung gestellt werden am Port.

Ist doch eigentlich ziemlich einfach.

Das Ausklappfensterchen steuert das ungetaggte Netz auf dem Port. None heisst da ist kein Netzwerk ungetaggt drauf und alternativ kannst Du jedes existierende Netzwerk auswählen um es ungetaggt auf den Port zu packen.

Machst Du traffic Restrictions an, dann regelst Du die getaggten Netze auf diesem Port. Mit Block schliesst Du die ausgewählten Netze aus, Mit Allow schliesst Du die ausgewählten Netze ein.

Heisst also Wenn Du Oben Default (oder wie immer dein Standardnetz heisst) auswählst und keine Restrictions setzt (oder Allow und alle darein) dann hast Du das was früher All war und das ist auch nach wie vor die Voreinstellung.

Ich habe meinem Netzwerk VLANs hinzugefügt, bevor diese neue Verwaltung eingeführt wurde, also einem Port einfach ein VLAN zugewiesen und schon wurden Geräte die dort angeschlossen wurden eine Adresse im IP-Bereich dieses VLANs zugewiesen.

Ich habe jetzt mal im Controller nachgeschaut und dort dies gefunden:

Traffic Restriction wurde automatisch aktiviert, sämtliche VLANs werden blockiert, keine erlaubt. Ich nehme an da VLAN 60 (Media) jetzt das Primary Network auf diesem Port ist, Pakete die an ein Gerät an diesem Port adressiert sind durchgelassen werden, da diese jetzt untagged werden (VLAN Information entfernt) und damit kein VLAN als solches mehr darstellen. Verstehe ich das so richtig?

Auf jeden Fall funktioniert alles immer noch so wie es soll, also vor der Umstellung. Welche Vorteile bringt diese Neuerung?

Zitat von Carbonide

Welche Vorteile bringt diese Neuerung?

Im Prinzip keine, gehört leider in die Kategorie "etwas gut Funktionierendes ohne Not verändert". Ich fand es jedenfalls vorher wesentlich intuitiver.

Mag sein, dass es irgendwelches Feedback von Leuten gab, die es einfach von der Logik her umgedreht haben wollten, warum auch immer.

Zitat von Networker

Ich fand es jedenfalls vorher wesentlich intuitiver.

Jein, damals gab es nur Portprofile. Die Automatischen waren dann das Jeweilige VLAN als Natives und alles andere Getagged.

Manuele Profile muster erst angelegt und dann den Port zugewiesen werden (was ja auch noch geht) ggf noch mit POE / Speed / ...

Stettins...

Nun kann man Direkt ohne Umschweife am Port das native Vlan einstellen. Alle anderen sind mit dabei es sei denn

du entschiedet dich dafür Bestimmte zu Blocken oder bestimmte zu erlauben. Im Grunde geht alles wie vorher und

es DIR überlassen ob du eher VLAN Sperren willst oder eher erlauben.. Das ist Flexible finde ich.. auch wenn die Zwischenschritte

etwas doof waren (wo nur Block hatte) und die Namensgebung ist auch seltsam mit „Primär“ fürs Native und „Traffic Restriction“ für+

tagged Alan auf den Port...

Zitat von Swp2000

früher hatte: Natives LAN das Hauptlan gewählt, und als VLAN bzw. getaggtes das Gastnetzwerk. Im Anschluss habe ich jenem Port welches die APs beherbert dieses Profil zugewiesen, was für mich logisch ist. Alles hat funktioniert.Mit Umstellung + FW Update auf die 3.1.15 sieht das nun so aus (siehe Bild)

Zitat

Wie ich dem Bild entnehmen kann ist nur das Hauptlan aufgeführt, nichts anderes wird mitgegeben, da kein Traffic Restriction.

Nein, genau anders rum. Das Bild oben ist die Einstellungen für "ALL". Du hast es nur anders getauft.

Das Bild oben ist die alte Einstellung für das Portfprofil "ALL". Managed/Default/Hauptlan (unifi hat in der Vergangenheit die Namen öfter gewechselt) ist eingetragen und eben weil KEIN Haken auf Traffic Restriction (= KEINE Verkehsbeschränkung) gesetzt ist geht das "Hauptlan"/Default (zur Erinnerung das hat keine VLAN ID Nummer! Schau nach unter Networks oben der erste Eintrag unter Networks lautet Default da gibt es nicht mal die Möglichkeit eine VLAN ID einzutragen.

DARUNTER sind dann deine VLAN mit VLAN-ID Nummern und die Namen welche du ihnen gegeben hast.

Also weil KEIN HAKEN auf Traffic Restriction gesetzt ist gehen alle deine VLAN mit, die gehen mit dem "Haupt"-Lan mit = das "alte" ALL Profil.

Ich verstehe immer noch nicht warum du den Port des AP Verkehrsbeschränken möchtest? Das ergibt keinen Sinn.

Im AP kann ruhig alles "anstehen" (*) , das was er Ausstrahlen soll beschränkst du dann, wie erwähnt im Menü SSID > AP Gruppe zuteilen.

ABER wenn du es unbedingt so Umsetzen möchtest wie früher dann siehe Beitrag # 9 von Carbonide.

Sein Bild zeigt genau das was du eigentlich erreichen möchtest.

Entweder du beschränkst den Port nur auf ein einziges VLAN, dann dieses als "Primary" Eintragen, siehe Bild Carbonide, und du setzt den Haken auf Verkehrsbeschränkung und Blockst alles andere. Dieser Port "liefert" dann nur dieses VLAN.

In deinem Fall setz als primary dein LAN (U) ein und Haken auf Traffic Restriction und jetzt klick auf Block > drunter Select und wähl alle deine VLANs hier aus die NICHT auf den Port durch sollen.

Dann schalte um auf "Allow" > drunter Select > Klick das/die VLAN an die auch durch den Port bereitgestellt werden sollen.

Mit dem kleinen x im Rahmen mit den abgerundeten Ecken entfernst du wieder dieses VLAN aus dem gewählten Block oder Allow.

Anmerkung: Unter BLOCK der Eintrag in der Liste "Block All" ist verwirrend! Zumindest am Anfang für mich. Die meinen damit Block All VLAN!

Das ist wie der Befehl "Alle markieren" (alle VLAN markieren).

Kannst du schön ausprobieren:

Klick auf Block > Select wähl aus der Liste Block All - da steht vorerst jetzt noch "Block All". Jetzt klick auf Allow und dann wieder auf Block --> da steht jetzt nicht mehr "Block All" sondern hier sind jetzt alle deine VLAN zu sehen die geblockt werden! Einfach Ausprobieren.

Ich nehme an dass die Userwunsch war von Admins die grosse Systeme in Schulen/Hotels usw betreuen und die sich eine Auswahl gewünscht hatten um mit einem Klick (auf Block All) alle VLANs zu übernehmen und nicht mühsam dutzende Anklicken mussten.

DENN wenn alle VLAN unter Block stehen kannst du danach leicht eines herausnehmen:

IST Stand: Alle VLAN sind unterhalb von Block > Klick auf Allow > Select > wähl aus der Liste dein VLAN aus und Klick es an.

Es "wandert" jetzt automatisch von Block hinüber zu Allow!

JA früher war es intuitiver, jetzt ist es für grosse Systeme einfacher zu Administrieren.

*) ein Praxisbeispiel wo es n.m.M. nach Sinn macht den Port wo dieser AP angeschlossen ist zu beschränken wäre für mich zB wenn der AP im Gästezimmer montiert ist und der Gast das LAN Kabel vom AP herauszieht und an seinen Laptop ansteckt. Dann greift ja die Abstrahlung vom WLAN nicht mehr und am LAN Kabel stehen dann alle Netze zur Verfügung. Nicht aber wenn du den Port beschränkt hast.

Danke Euch beiden für die ausführlichen Erläuterungen und Einschätzungen. Von dieser Seite hatte ich das Ganze noch nicht betrachtet und es hilft, die Denke dahinter besser zu verstehen.

Zitat von Swp2000

Wie ich dem Bild entnehmen kann ist nur das Hauptlan aufgeführt, nichts anderes wird mitgegeben, da kein Traffic Restriction.

Wenn keine Traffic Beschränkung an ist, dann werden alle VLANs getaggt mitübertragen! Das ist das gleiche wie Traffic Beschränkung an mit Allow und allen Netzen ausgewählt. Entspricht quasi dem alten Profil All, wenn das native Netz das Default LAN ist!

Zitat von Carbonide

Traffic Restriction wurde automatisch aktiviert, sämtliche VLANs werden blockiert, keine erlaubt. Ich nehme an da VLAN 60 (Media) jetzt das Primary Network auf diesem Port ist, Pakete die an ein Gerät an diesem Port adressiert sind durchgelassen werden, da diese jetzt untagged werden (VLAN Information entfernt) und damit kein VLAN als solches mehr darstellen. Verstehe ich das so richtig?

Auf jeden Fall funktioniert alles immer noch so wie es soll, also vor der Umstellung. Welche Vorteile bringt diese Neuerung?

Der Port gehört zu VLAN 60 (Media). Es wird dieses VLAN nur ungetaggt übertragen. Es werden keine anderen VLANs getaggt übertragen.

Zitat von DoPe

Der Port gehört zu VLAN 60 (Media). Es wird dieses VLAN nur ungetaggt übertragen. Es werden keine anderen VLANs getaggt übertragen.

Warum muss man dann überhaupt noch ein Netzwerk als Primary angeben?

Und wenn ich mir das Ganze schon überlege: warum muss man Block und Allow angeben? Alles was nicht blockiert ist, ist erlaubt, und umgekehrt. Wird da nicht doppelt gemoppelt?

Zitat von Carbonide

Warum muss man dann überhaupt noch ein Netzwerk als Primary angeben?

...

Holen sich am Port angestöpselte Geräte ohne feste IP nicht darüber die richtige IP aus dem am Port zugewiesenen Primary-Netzwork?

Woher sollten sie es sonst kennen?

Weil normale Geräte wie PCs und Drucker nur untagged arbeiten (Ausnahmen bestätigen die Regel) musst Du dem Port natürlich einem LAN zuweisen, dass das Endgerät dann auch nutzen kann. Die getaggten Daten ignoriert das Endgerät im Normalfall.

Du gibst nicht Block UND Allowed an sondern Block ODER Allowed. Wenn Du ein Netz bei Allowed auswählst dann verschwindet es bei Block und umgekehrt. Warum es beides gibt? Nunja wenn Du 43 VLANs hast, dann ist es einfacher wenn Du nur 3 davon erlauben oder aber blocken möchtest. Sonst müsstest Du ggf. 40 Netze per Hand auswählen. Und auswählen kann man, damit nicht alle Netze überall vorhanden sind. Warum soll ich auch z.B. das Management Netz getaggt auf allen Ports die zu Endgeräten führen draufpacken. So verhindert man schon mal das jemand mit VLAN fähigem Treiber die IDs durchprobieren kann bis er im Management LAN ist wo er nix zu suchen hat.

Hab's jetzt verstanden. Ich dachte am Anfang sind beide Listen leer, aber ich habe nachgeschaut: wenn man Traffic Restriction zum ersten Mal aktiviert befinden sich sämtliche VLANs erst mal in der Allow Liste. Dann kann man sie hin und her verschieben.