16
Netzwerkaufbau und Routing mit HP ProCurve
Hallo zusammen,
ich habe hier parallel zum alten Netzwerk ein neues aufgebaut, aber habe jedoch alle 4-5 Tage mal zwischendrin Hänger, dass ich den Backbone neu starten muss, weil DNS Ausfälle hat bzw. kurzzeitig es Pingverluste gibt.
Zur Konstellation:
Altes Netz 192.168.0.0/23 ---- Watchguard XTM510 ---- Neues Netz 10.128.80.0/20 (Unterteilt in VLans).
Neues Netz soll redundant im Stern aufgebaut werden. Zurzeit sind alle Switche erstmal auf dem Backbone 1 gesteckt.
2 Backbones
5 Unterverteiler mit Glas angeschlossen.
Spanning-Tree (MSTP) ist auf allen Switchen im neuen Netz gleich konfiguriert.
VLANS sind auf alles Switchen im neuen Netz gleich konfiguriert.
Trunking ebenfalls entsprechend eingerichtet.
Auf der Watchguard habe ich die Gateways für alle Vlans eingerichtet. Nun vermute ich hier das Problem, das die Watchguard mit dem Routing überfordert ist und dann kurzzeitig die Verbindungen aussteigen. Lt. Trafficmonitor habe ich hier lasten bis zu 70 Mbit im User VLan.
Hier mal die Konfig vom Backbone 1:
hostname "Backbone01"
module 1 type j9728a
trunk 41-44 trk1 trunk
trunk 45 trk2 trunk
trunk A1 trk3 trunk
trunk B2 trk4 trunk
trunk B1 trk5 trunk
trunk 47 trk6 trunk
no telnet-server
ip default-gateway 10.128.80.254
ip dns domain-name "#########"
ip dns server-address priority 1 192.168.2.5
ip dns server-address priority 2 192.168.2.6
ip route 10.128.80.0 255.255.255.0 10.128.80.254
ip route 10.128.81.0 255.255.255.0 vlan 111
ip routing
interface 1
name "WATCHGUARD"
exit
interface 2
name "WLC1"
exit
interface 3
disable
name "WLC2"
exit
interface 4
disable
exit
interface 13
name "ACCESSPOINT"
exit
interface 14
name "ACCESSPOINT"
exit
interface 15
name "ap_it"
exit
interface 17
name "ap-it_2"
exit
interface 19
name "OOBM"
exit
interface 41
name "BACKBONE2"
exit
interface 42
name "BACKBONE2"
exit
interface 43
name "BACKBONE2"
exit
interface 44
name "BACKBONE2"
exit
interface 45
name "UV2"
exit
interface 47
name "UV5"
exit
interface A1
name "UV3"
exit
interface B1
name "UV1"
exit
interface B2
name "UV4"
exit
snmp-server community "public" unrestricted
oobm
ip address 10.128.80.230 255.255.255.0
ip default-gateway 10.128.80.254
exit
vlan 1
name "VLAN1"
no untagged 2-3,10,13-18,25-36
untagged 4-9,11-12,19-24,37-40,46,48,A2
tagged 1,Trk1-Trk6
ip address 10.128.80.240 255.255.255.0
exit
vlan 111
name "VLAN111"
untagged 2-3,13-15,17-18
tagged 1,Trk1-Trk6
ip address 10.128.81.240 255.255.255.0
exit
vlan 120
name "VLAN120"
untagged 36
tagged 1,Trk1-Trk6
ip address 10.128.84.240 255.255.255.0
exit
vlan 121
name "VLAN121"
tagged 1,Trk1-Trk6
ip address 10.128.85.240 255.255.255.0
exit
vlan 144
name "VLAN144"
untagged 10,16,25-35
tagged 1,13-15,17-18,Trk1-Trk6
ip address 10.128.86.240 255.255.255.0
ip helper-address 192.168.2.5
ip helper-address 192.168.2.6
exit
vlan 160
name "VLAN160"
tagged 1,13-18,Trk1-Trk6
ip address 10.128.88.240 255.255.255.0
ip helper-address 192.168.2.5
ip helper-address 192.168.2.6
exit
vlan 165
name "VLAN165"
tagged 1,13-18,Trk1-Trk6
ip address 10.128.93.240 255.255.255.0
ip helper-address 192.168.2.5
ip helper-address 192.168.2.6
exit
vlan 200
name "VLAN200"
tagged 1,4,17
no ip address
exit
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk3 priority 4
spanning-tree Trk4 priority 4
spanning-tree Trk5 priority 4
spanning-tree Trk6 priority 4
spanning-tree config-name "#########"
spanning-tree config-revision 1
spanning-tree instance 1 vlan 1 111 120 121
spanning-tree instance 1 priority 2
spanning-tree instance 1 Trk1 priority 4
spanning-tree instance 1 Trk2 priority 4
spanning-tree instance 1 Trk3 priority 4
spanning-tree instance 1 Trk4 priority 4
spanning-tree instance 1 Trk5 priority 4
spanning-tree instance 1 Trk6 priority 4
spanning-tree instance 2 vlan 144 160 165
spanning-tree instance 2 Trk1 priority 4
spanning-tree instance 2 Trk2 priority 4
spanning-tree instance 2 Trk3 priority 4
spanning-tree instance 2 Trk4 priority 4
spanning-tree instance 2 Trk5 priority 4
spanning-tree instance 2 Trk6 priority 4
spanning-tree priority 0
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Internet (IP) Service
IP Routing : Enabled
Default TTL : 64
Arp Age : 20
Domain Suffix : #############
DNS server : 192.168.2.5
| Proxy ARP
VLAN | IP Config IP Address Subnet Mask Std Local
-------------------- + ---------- --------------- --------------- ----------
VLAN1 | Manual 10.128.80.240 255.255.255.0 No No
VLAN111 | Manual 10.128.81.240 255.255.255.0 No No
VLAN120 | Manual 10.128.84.240 255.255.255.0 No No
VLAN121 | Manual 10.128.85.240 255.255.255.0 No No
VLAN144 | Manual 10.128.86.240 255.255.255.0 No No
VLAN160 | Manual 10.128.88.240 255.255.255.0 No No
VLAN165 | Manual 10.128.93.240 255.255.255.0 No No
VLAN200 | Disabled
Kann mir jemand weiterhelfen? Ich vermute, dass ich den Backbone selbst routen lassen muss, aber weiss nicht wie ich das einstellen soll, damit die Verbindung zwischen altem und neuen Netz mit den Vlans geht.
Danke schonmal!
ich habe hier parallel zum alten Netzwerk ein neues aufgebaut, aber habe jedoch alle 4-5 Tage mal zwischendrin Hänger, dass ich den Backbone neu starten muss, weil DNS Ausfälle hat bzw. kurzzeitig es Pingverluste gibt.
Zur Konstellation:
Altes Netz 192.168.0.0/23 ---- Watchguard XTM510 ---- Neues Netz 10.128.80.0/20 (Unterteilt in VLans).
Neues Netz soll redundant im Stern aufgebaut werden. Zurzeit sind alle Switche erstmal auf dem Backbone 1 gesteckt.
2 Backbones
5 Unterverteiler mit Glas angeschlossen.
Spanning-Tree (MSTP) ist auf allen Switchen im neuen Netz gleich konfiguriert.
VLANS sind auf alles Switchen im neuen Netz gleich konfiguriert.
Trunking ebenfalls entsprechend eingerichtet.
Auf der Watchguard habe ich die Gateways für alle Vlans eingerichtet. Nun vermute ich hier das Problem, das die Watchguard mit dem Routing überfordert ist und dann kurzzeitig die Verbindungen aussteigen. Lt. Trafficmonitor habe ich hier lasten bis zu 70 Mbit im User VLan.
Hier mal die Konfig vom Backbone 1:
hostname "Backbone01"
module 1 type j9728a
trunk 41-44 trk1 trunk
trunk 45 trk2 trunk
trunk A1 trk3 trunk
trunk B2 trk4 trunk
trunk B1 trk5 trunk
trunk 47 trk6 trunk
no telnet-server
ip default-gateway 10.128.80.254
ip dns domain-name "#########"
ip dns server-address priority 1 192.168.2.5
ip dns server-address priority 2 192.168.2.6
ip route 10.128.80.0 255.255.255.0 10.128.80.254
ip route 10.128.81.0 255.255.255.0 vlan 111
ip routing
interface 1
name "WATCHGUARD"
exit
interface 2
name "WLC1"
exit
interface 3
disable
name "WLC2"
exit
interface 4
disable
exit
interface 13
name "ACCESSPOINT"
exit
interface 14
name "ACCESSPOINT"
exit
interface 15
name "ap_it"
exit
interface 17
name "ap-it_2"
exit
interface 19
name "OOBM"
exit
interface 41
name "BACKBONE2"
exit
interface 42
name "BACKBONE2"
exit
interface 43
name "BACKBONE2"
exit
interface 44
name "BACKBONE2"
exit
interface 45
name "UV2"
exit
interface 47
name "UV5"
exit
interface A1
name "UV3"
exit
interface B1
name "UV1"
exit
interface B2
name "UV4"
exit
snmp-server community "public" unrestricted
oobm
ip address 10.128.80.230 255.255.255.0
ip default-gateway 10.128.80.254
exit
vlan 1
name "VLAN1"
no untagged 2-3,10,13-18,25-36
untagged 4-9,11-12,19-24,37-40,46,48,A2
tagged 1,Trk1-Trk6
ip address 10.128.80.240 255.255.255.0
exit
vlan 111
name "VLAN111"
untagged 2-3,13-15,17-18
tagged 1,Trk1-Trk6
ip address 10.128.81.240 255.255.255.0
exit
vlan 120
name "VLAN120"
untagged 36
tagged 1,Trk1-Trk6
ip address 10.128.84.240 255.255.255.0
exit
vlan 121
name "VLAN121"
tagged 1,Trk1-Trk6
ip address 10.128.85.240 255.255.255.0
exit
vlan 144
name "VLAN144"
untagged 10,16,25-35
tagged 1,13-15,17-18,Trk1-Trk6
ip address 10.128.86.240 255.255.255.0
ip helper-address 192.168.2.5
ip helper-address 192.168.2.6
exit
vlan 160
name "VLAN160"
tagged 1,13-18,Trk1-Trk6
ip address 10.128.88.240 255.255.255.0
ip helper-address 192.168.2.5
ip helper-address 192.168.2.6
exit
vlan 165
name "VLAN165"
tagged 1,13-18,Trk1-Trk6
ip address 10.128.93.240 255.255.255.0
ip helper-address 192.168.2.5
ip helper-address 192.168.2.6
exit
vlan 200
name "VLAN200"
tagged 1,4,17
no ip address
exit
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree Trk3 priority 4
spanning-tree Trk4 priority 4
spanning-tree Trk5 priority 4
spanning-tree Trk6 priority 4
spanning-tree config-name "#########"
spanning-tree config-revision 1
spanning-tree instance 1 vlan 1 111 120 121
spanning-tree instance 1 priority 2
spanning-tree instance 1 Trk1 priority 4
spanning-tree instance 1 Trk2 priority 4
spanning-tree instance 1 Trk3 priority 4
spanning-tree instance 1 Trk4 priority 4
spanning-tree instance 1 Trk5 priority 4
spanning-tree instance 1 Trk6 priority 4
spanning-tree instance 2 vlan 144 160 165
spanning-tree instance 2 Trk1 priority 4
spanning-tree instance 2 Trk2 priority 4
spanning-tree instance 2 Trk3 priority 4
spanning-tree instance 2 Trk4 priority 4
spanning-tree instance 2 Trk5 priority 4
spanning-tree instance 2 Trk6 priority 4
spanning-tree priority 0
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Internet (IP) Service
IP Routing : Enabled
Default TTL : 64
Arp Age : 20
Domain Suffix : #############
DNS server : 192.168.2.5
| Proxy ARP
VLAN | IP Config IP Address Subnet Mask Std Local
-------------------- + ---------- --------------- --------------- ----------
VLAN1 | Manual 10.128.80.240 255.255.255.0 No No
VLAN111 | Manual 10.128.81.240 255.255.255.0 No No
VLAN120 | Manual 10.128.84.240 255.255.255.0 No No
VLAN121 | Manual 10.128.85.240 255.255.255.0 No No
VLAN144 | Manual 10.128.86.240 255.255.255.0 No No
VLAN160 | Manual 10.128.88.240 255.255.255.0 No No
VLAN165 | Manual 10.128.93.240 255.255.255.0 No No
VLAN200 | Disabled
Kann mir jemand weiterhelfen? Ich vermute, dass ich den Backbone selbst routen lassen muss, aber weiss nicht wie ich das einstellen soll, damit die Verbindung zwischen altem und neuen Netz mit den Vlans geht.
Danke schonmal!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271725
Url: https://administrator.de/contentid/271725
Printed on: April 19, 2024 at 06:04 o'clock
16 Comments
Latest comment
Neues Netz soll redundant im Stern aufgebaut werden.
Wie sieht dein Design aus ? So...
Deine MSTP Konfig ist etwas komisch. Normalerweise nimmt man 2 Instances mit unterschiedlicher Priority auf verschiedenen Uplinks um ein Load Balancing über die redundanten Uplinks zu machen was bei dir nicht der Fall ist.
Spanning Tree Priority 0 ist verboten bzw. nicht definiert, das darf man niemals machen. Die Priority muss einen Wert modulo 4096 haben also den Root Switch solltest du zwingend auf einen Priority 8192 z.B. setzen und den Backup Root entsprechend etwas höher.
In der Regel sind die beiden redundaten Core Switches Root und Backup Root.
Es ist zu vermuten das dein MSTP da irgendwie aufgrund einer Fehlkonfiguration Amok läuft. Die Symptome sprechen jedenfalls klar dafür.
Du solltest also in jedem Fall das mal checken.
Außerdem wäre es sehr hilfreich mal in Switch Log (show logg) zu sehen ob dort ggf. Fehlermeldungen zu sehen sind.
Hilfreich auch ein show mstp um die MSTP Topologie zu überprüfen.
dass ich den Backbone selbst routen lassen muss
Keine Ahnung was du da genau mit meinst...hört sich irgendwie nach freiem Raten an... 
Normal nimmt man die beiden Core Switches mit einem virtuellen L3 Interface jeweils in das entsprechende VLAN.
Dann macht man ein VRRP oder VRRP-E zwischen diesen beiden Interfaces um die Gateway problematik mit 2 Gateway IPs zu lösen.
VRRP stellt eine virtuelle IP als Gateway zur Verfügung mit automatischem Failover.
Für dein "Altnetz" erzeugtst du auf der neuen Infrastruktur ebenfalls ein VLAN z.B. 999 mit Namen Altnetz.
Hier wieder 2 IP mit einer VRRP IP und dann hängst du das "Altnetz" in dieses VLAN und fertig ist der Lack.
So wird das alte in das neue Netz gerouet und alles ist gut.
Wenn du alles umgeschlatet hast auf die neue Infrastruktur, löschst du entsprechend das VLAN 999 wieder.
Das macht jeder Netzwerk Admin so und ist ein simpler Klassiker in der Migration.
Auch wenn man HP Billigswitches benutzt....
1
Hallo,
danke zunächste für deine Antwort.
Ich bin jetzt kein Netzwerkprofi, muss mich zum Teil an Anleitungen orientieren bzw. mir die Sachen zuerst zusammenlesen, bin aber in der Situation hier das Netzwerk aufbauen zu müssen. Ist keine Entschuldigung und keine Ausrede, aber ich komme gerade nicht weiter und benötige daher die Hilfe. Das ist für mich das erste Netzwerk was ich selber aufbaue und auch so richtig mit VLans und MSTP etc arbeite.
Zu deinen Fragen:
1. Ja - das Netzwerk SOLL so wie oben dargestellt aussehen, jedoch ist der BackupBackbone noch NICHT mit den Unterverteilern verbunden.
Backbone1 Spanning-Tree Config:
Backbone1# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 2-110,112-119,122-143,145-159,161-164,166-4094
Switch MAC Address : 1458d0-aa9ac0
Switch Priority : 0
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 9
Time Since Last Change : 2 hours
CST Root MAC Address : 1458d0-aa9ac0
CST Root Priority : 0
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 1458d0-aa9ac0
IST Regional Root Priority : 0
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
Loop Guard Ports :
TCN Guard Ports :
BPDU Protected Ports :
BPDU Filtered Ports :
PVST Protected Ports :
PVST Filtered Ports :
Root Inconsistent Ports :
Loop Inconsistent Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ---- ------------ + ------------- ---- --- ----
1 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
2 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
3 100/1000T | Auto 128 Disabled | 2 Yes No
4 100/1000T | Auto 128 Disabled | 2 Yes No
5 100/1000T | Auto 128 Disabled | 2 Yes No
6 100/1000T | Auto 128 Disabled | 2 Yes No
7 100/1000T | Auto 128 Disabled | 2 Yes No
8 100/1000T | Auto 128 Disabled | 2 Yes No
9 100/1000T | Auto 128 Disabled | 2 Yes No
10 100/1000T | Auto 128 Disabled | 2 Yes No
11 100/1000T | Auto 128 Disabled | 2 Yes No
12 100/1000T | Auto 128 Disabled | 2 Yes No
13 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
14 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
15 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
16 100/1000T | Auto 128 Disabled | 2 Yes No
17 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
18 100/1000T | Auto 128 Disabled | 2 Yes No
19 100/1000T | 200000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
20 100/1000T | Auto 128 Disabled | 2 Yes No
21 100/1000T | Auto 128 Disabled | 2 Yes No
22 100/1000T | Auto 128 Disabled | 2 Yes No
23 100/1000T | Auto 128 Disabled | 2 Yes No
24 100/1000T | Auto 128 Disabled | 2 Yes No
25 100/1000T | Auto 128 Disabled | 2 Yes No
26 100/1000T | Auto 128 Disabled | 2 Yes No
27 100/1000T | Auto 128 Disabled | 2 Yes No
28 100/1000T | Auto 128 Disabled | 2 Yes No
29 100/1000T | Auto 128 Disabled | 2 Yes No
30 100/1000T | Auto 128 Disabled | 2 Yes No
31 100/1000T | Auto 128 Disabled | 2 Yes No
32 100/1000T | Auto 128 Disabled | 2 Yes No
33 100/1000T | Auto 128 Disabled | 2 Yes No
34 100/1000T | Auto 128 Disabled | 2 Yes No
35 100/1000T | Auto 128 Disabled | 2 Yes No
36 100/1000T | Auto 128 Disabled | 2 Yes No
37 100/1000T | Auto 128 Disabled | 2 Yes No
38 100/1000T | Auto 128 Disabled | 2 Yes No
39 100/1000T | Auto 128 Disabled | 2 Yes No
40 100/1000T | Auto 128 Disabled | 2 Yes No
46 1000SX | Auto 128 Disabled | 2 Yes No
48 100/1000T | Auto 128 Disabled | 2 Yes No
A2 SFP+SR | Auto 128 Disabled | 2 Yes No
Trk1 | 20000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk2 | 20000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk3 | 2000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk4 | 2000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk5 | 2000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk6 | 20000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Und hier ist der LOG Auszug:
M=Major D=Debug E=Error
Event Log listing: Events Since Boot ----
I 01/12/90 22:24:31 00550 chassis: Expansion Module A inserted
I 01/12/90 22:24:37 00550 chassis: Expansion Module B inserted
I 01/12/90 22:24:43 00550 chassis: Stacking Module inserted
I 01/12/90 22:25:00 00061 system: -----------------------------------------
I 01/12/90 22:25:00 00063 system: Member 1 went down: 01/12/90 22:24:26
M 01/12/90 22:25:00 00064 system: Operator warm reload.
I 01/12/90 22:25:00 02759 chassis: Savepower LED timer is OFF.
I 01/12/90 22:25:00 02751 chassis: LEDs for Ports 1-48 configured ON.
I 01/12/90 22:25:00 02712 console: USB console cable disconnected
I 01/12/90 22:25:01 02682 OOBM: OOBM - Enabled globally.
I 01/12/90 22:25:01 00690 udpf: DHCP relay agent feature enabled
I 01/12/90 22:25:01 02637 srcip: TACACS admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: TACACS oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: RADIUS admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: RADIUS oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: SYSLOG admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: SYSLOG oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: TELNET admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: TELNET oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: TFTP admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: TFTP oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: SNTP admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: SNTP oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: SFLOW admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: SFLOW oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: RADIUS admin policy for IPv6 is 'outgoing
interface'
I 01/12/90 22:25:01 02638 srcip: RADIUS oper policy for IPv6 is 'outgoing
interface'
I 01/12/90 22:25:01 00056 stp: Spanning Tree Protocol enabled
I 01/12/90 22:25:01 02604 dhcpv6r: Inclusion of client link-layer address in
DHCPv6 relay message is disabled.
I 01/12/90 22:25:01 00433 ssh: Ssh server enabled
I 01/12/90 22:25:02 00417 cdp: CDP enabled
I 01/12/90 22:25:02 00688 lldp: LLDP - enabled
I 01/12/90 22:25:02 02633 SNTP: Client authentication is disabled.
I 01/12/90 22:25:02 02012 mtm: A non-multicast client: Non-Mcast client Op, is
registered with client ID: 1
I 01/12/90 22:25:02 04257 dhcp-server: Ping-check configured with retry count =
2, timeout = 1
I 01/12/90 22:25:02 04260 dhcp-server: Conflict-logging is disabled
I 01/12/90 22:25:02 00066 system: System Booted
I 01/12/90 22:25:03 02550 chassis: Requesting Co-processor OS image location in
flash.
I 01/12/90 22:25:03 02552 chassis: Loading of Co-processor OS image in progress.
I 01/12/90 22:25:04 02553 chassis: Loading of Co-processor OS image complete.
I 01/12/90 22:25:05 03802 chassis: System Self test started on 1-48
I 01/12/90 22:25:15 03803 chassis: System Self test completed on 1-48
I 01/12/90 22:25:15 02555 chassis: Co-processor Ready
I 01/12/90 22:25:15 02612 mgr: chassis subsystem saved the whole running config
to startup config.
I 01/12/90 22:25:15 02612 mgr: chassis subsystem saved the whole running config
to startup config.
I 01/12/90 22:25:21 00078 ports: trunk Trk2 is now active
I 01/12/90 22:25:21 00435 ports: port 45 is Blocked by STP
I 01/12/90 22:25:21 00078 ports: trunk Trk6 is now active
I 01/12/90 22:25:21 00435 ports: port 47 is Blocked by STP
I 01/12/90 22:25:21 00076 ports: port 45 in Trk2 is now on-line
I 01/12/90 22:25:21 00001 vlan: VLAN1 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN111 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN120 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN121 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN144 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN160 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN165 virtual LAN enabled
I 01/12/90 22:25:21 00435 ports: port 1 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 2 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 13 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 14 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 15 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 17 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 19 is Blocked by STP
I 01/12/90 22:25:21 00078 ports: trunk Trk1 is now active
I 01/12/90 22:25:21 00435 ports: port 41 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 42 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 43 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 44 is Blocked by STP
I 01/12/90 22:25:21 00839 stp: MSTI 1 Root changed from 8192: (this device) to
4096: 1458d0-adaf40
I 01/12/90 22:25:21 00839 stp: MSTI 2 Root changed from 32768: (this device) to
0: 1458d0-adaf40
I 01/12/90 22:25:21 00076 ports: port 41 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 42 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 43 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 44 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 47 in Trk6 is now on-line
I 01/12/90 22:25:22 00078 ports: trunk Trk3 is now active
I 01/12/90 22:25:22 00435 ports: port A1 is Blocked by STP
I 01/12/90 22:25:22 00078 ports: trunk Trk5 is now active
I 01/12/90 22:25:22 00435 ports: port B1 is Blocked by STP
I 01/12/90 22:25:23 00076 ports: port A1 in Trk3 is now on-line
I 01/12/90 22:25:23 00076 ports: port B1 in Trk5 is now on-line
I 01/12/90 22:25:23 00078 ports: trunk Trk4 is now active
I 01/12/90 22:25:23 00435 ports: port B2 is Blocked by STP
I 01/12/90 22:25:23 00076 ports: port B2 in Trk4 is now on-line
I 01/12/90 22:25:23 00076 ports: port 1 is now on-line
I 01/12/90 22:25:23 00076 ports: port 2 is now on-line
I 01/12/90 22:25:23 00076 ports: port 13 is now on-line
I 01/12/90 22:25:23 00076 ports: port 14 is now on-line
I 01/12/90 22:25:23 00076 ports: port 15 is now on-line
I 01/12/90 22:25:23 00076 ports: port 17 is now on-line
I 01/12/90 22:25:23 00076 ports: port 19 is now on-line
I 01/12/90 22:25:23 00001 vlan: VLAN200 virtual LAN enabled
I 01/12/90 23:23:36 03362 auth: User 'manager' logged in from 10.128.86.56 to
SSH session
I 01/12/90 23:23:37 00179 mgr: SME SSH from 10.128.86.56 - MANAGER Mode
I 01/12/90 23:31:07 03362 auth: User 'manager' logged in from 10.128.88.199 to
SSH session
I 01/12/90 23:31:08 00179 mgr: SME SSH from 10.128.88.199 - MANAGER Mode
I 01/13/90 00:30:50 03362 auth: User 'manager' logged in from 10.128.86.69 to
SSH session
I 01/13/90 00:30:52 00179 mgr: SME SSH from 10.128.86.69 - MANAGER Mode
I 01/13/90 00:33:18 03363 auth: User 'manager' logged out of SSH session from
10.128.86.69
I 01/13/90 00:55:56 03362 auth: User 'manager' logged in from 10.128.86.69 to
SSH session
I 01/13/90 00:55:57 00179 mgr: SME SSH from 10.128.86.69 - MANAGER Mode
Bottom of Log : Events Listed = 102 ----
Was ich bisher noch nicht ganz verstanden habe:
VRRP mit den zwei Backbones für Redundanz und nur eine Gatewayadresse - soweit bin ich mitgekommen.
Aber was ist mit den einzelnen Vlans? Ich brauche ja für jedes VLan einen Gateway?
Aktuell habe ich auf der Watchguard die Virtuellen Interfaces eingerichtet, welche alle auf einen Port zusammenlaufen:
VLan 1 - 10.128.80.254
VLan 111 - 10.128.81.254
VLan 120 - 10.128.84.254
VLan 144 - 10.128.86.254
VLan 160 - 10.128.88.254
VLan 165 - 10.128.93.254
Und die Netzadressen sind jeweils eben die:
VLAN1 |10.128.80.240 255.255.255.0
VLAN111 | 10.128.81.240 255.255.255.0
VLAN120 | 10.128.84.240 255.255.255.0
VLAN121 | 10.128.85.240 255.255.255.0
VLAN144 | 10.128.86.240 255.255.255.0
VLAN160 | 10.128.88.240 255.255.255.0
VLAN165 | 10.128.93.240 255.255.255.0
So - jetzt kommt ein Client mit der 10.128.86.x (Client)--> 10.128.86.254(Watchguard) --> anderes VLan oder Internet.
Und der richtige Weg wäre dann eben m.E. 10.128.86.x (Client) --> Gateway vom Vlan (nicht Watchguard)--> anderes VLan oder Internet.
IP-Routing ist zwar aktiv auf dem Backbones (aber nicht auf den Unterverteilern) - aber irgendwo habe ich hier einen Denkfehler. Normal sollte ja der Switch schon die Pakete entsprechend umleiten.
Ist dann die Netzadresse mein Gateway?
Bleibt default Gateway dann weiterhin die Firewall?
Wenn ich das alte Netz natürlich OHNE Watchguard dazwischen erreichen könnte, wäre das noch besser - hier wird wohl nur das Routing (?) angepasst werden müssen, damit die Pakete richtig weiterlaufen.
Im alten Netz gibt es aber keine VLans, kein MSTP etc.
Auch wenn das HP Billigswitche vllt sind, wir haben zum Teil die Infrastrktur gehabt und diese dann zu mischen wäre auch nicht clever gewesen, daher haben wir uns entschieden vorerst drauf zu bleiben.
Danke schonmal auf jeden Fall!
danke zunächste für deine Antwort.
Ich bin jetzt kein Netzwerkprofi, muss mich zum Teil an Anleitungen orientieren bzw. mir die Sachen zuerst zusammenlesen, bin aber in der Situation hier das Netzwerk aufbauen zu müssen. Ist keine Entschuldigung und keine Ausrede, aber ich komme gerade nicht weiter und benötige daher die Hilfe. Das ist für mich das erste Netzwerk was ich selber aufbaue und auch so richtig mit VLans und MSTP etc arbeite.
Zu deinen Fragen:
1. Ja - das Netzwerk SOLL so wie oben dargestellt aussehen, jedoch ist der BackupBackbone noch NICHT mit den Unterverteilern verbunden.
Backbone1 Spanning-Tree Config:
Backbone1# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 2-110,112-119,122-143,145-159,161-164,166-4094
Switch MAC Address : 1458d0-aa9ac0
Switch Priority : 0
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 9
Time Since Last Change : 2 hours
CST Root MAC Address : 1458d0-aa9ac0
CST Root Priority : 0
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 1458d0-aa9ac0
IST Regional Root Priority : 0
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
Loop Guard Ports :
TCN Guard Ports :
BPDU Protected Ports :
BPDU Filtered Ports :
PVST Protected Ports :
PVST Filtered Ports :
Root Inconsistent Ports :
Loop Inconsistent Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ---- ------------ + ------------- ---- --- ----
1 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
2 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
3 100/1000T | Auto 128 Disabled | 2 Yes No
4 100/1000T | Auto 128 Disabled | 2 Yes No
5 100/1000T | Auto 128 Disabled | 2 Yes No
6 100/1000T | Auto 128 Disabled | 2 Yes No
7 100/1000T | Auto 128 Disabled | 2 Yes No
8 100/1000T | Auto 128 Disabled | 2 Yes No
9 100/1000T | Auto 128 Disabled | 2 Yes No
10 100/1000T | Auto 128 Disabled | 2 Yes No
11 100/1000T | Auto 128 Disabled | 2 Yes No
12 100/1000T | Auto 128 Disabled | 2 Yes No
13 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
14 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
15 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
16 100/1000T | Auto 128 Disabled | 2 Yes No
17 100/1000T | 20000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
18 100/1000T | Auto 128 Disabled | 2 Yes No
19 100/1000T | 200000 128 Forwarding | 1458d0-aa9ac0 2 Yes Yes
20 100/1000T | Auto 128 Disabled | 2 Yes No
21 100/1000T | Auto 128 Disabled | 2 Yes No
22 100/1000T | Auto 128 Disabled | 2 Yes No
23 100/1000T | Auto 128 Disabled | 2 Yes No
24 100/1000T | Auto 128 Disabled | 2 Yes No
25 100/1000T | Auto 128 Disabled | 2 Yes No
26 100/1000T | Auto 128 Disabled | 2 Yes No
27 100/1000T | Auto 128 Disabled | 2 Yes No
28 100/1000T | Auto 128 Disabled | 2 Yes No
29 100/1000T | Auto 128 Disabled | 2 Yes No
30 100/1000T | Auto 128 Disabled | 2 Yes No
31 100/1000T | Auto 128 Disabled | 2 Yes No
32 100/1000T | Auto 128 Disabled | 2 Yes No
33 100/1000T | Auto 128 Disabled | 2 Yes No
34 100/1000T | Auto 128 Disabled | 2 Yes No
35 100/1000T | Auto 128 Disabled | 2 Yes No
36 100/1000T | Auto 128 Disabled | 2 Yes No
37 100/1000T | Auto 128 Disabled | 2 Yes No
38 100/1000T | Auto 128 Disabled | 2 Yes No
39 100/1000T | Auto 128 Disabled | 2 Yes No
40 100/1000T | Auto 128 Disabled | 2 Yes No
46 1000SX | Auto 128 Disabled | 2 Yes No
48 100/1000T | Auto 128 Disabled | 2 Yes No
A2 SFP+SR | Auto 128 Disabled | 2 Yes No
Trk1 | 20000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk2 | 20000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk3 | 2000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk4 | 2000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk5 | 2000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Trk6 | 20000 64 Forwarding | 1458d0-aa9ac0 2 Yes No
Und hier ist der LOG Auszug:
- show log
M=Major D=Debug E=Error
Event Log listing: Events Since Boot ----
I 01/12/90 22:24:31 00550 chassis: Expansion Module A inserted
I 01/12/90 22:24:37 00550 chassis: Expansion Module B inserted
I 01/12/90 22:24:43 00550 chassis: Stacking Module inserted
I 01/12/90 22:25:00 00061 system: -----------------------------------------
I 01/12/90 22:25:00 00063 system: Member 1 went down: 01/12/90 22:24:26
M 01/12/90 22:25:00 00064 system: Operator warm reload.
I 01/12/90 22:25:00 02759 chassis: Savepower LED timer is OFF.
I 01/12/90 22:25:00 02751 chassis: LEDs for Ports 1-48 configured ON.
I 01/12/90 22:25:00 02712 console: USB console cable disconnected
I 01/12/90 22:25:01 02682 OOBM: OOBM - Enabled globally.
I 01/12/90 22:25:01 00690 udpf: DHCP relay agent feature enabled
I 01/12/90 22:25:01 02637 srcip: TACACS admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: TACACS oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: RADIUS admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: RADIUS oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: SYSLOG admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: SYSLOG oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: TELNET admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: TELNET oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: TFTP admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: TFTP oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: SNTP admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: SNTP oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: SFLOW admin policy is 'outgoing interface'
I 01/12/90 22:25:01 02638 srcip: SFLOW oper policy is 'outgoing interface'
I 01/12/90 22:25:01 02637 srcip: RADIUS admin policy for IPv6 is 'outgoing
interface'
I 01/12/90 22:25:01 02638 srcip: RADIUS oper policy for IPv6 is 'outgoing
interface'
I 01/12/90 22:25:01 00056 stp: Spanning Tree Protocol enabled
I 01/12/90 22:25:01 02604 dhcpv6r: Inclusion of client link-layer address in
DHCPv6 relay message is disabled.
I 01/12/90 22:25:01 00433 ssh: Ssh server enabled
I 01/12/90 22:25:02 00417 cdp: CDP enabled
I 01/12/90 22:25:02 00688 lldp: LLDP - enabled
I 01/12/90 22:25:02 02633 SNTP: Client authentication is disabled.
I 01/12/90 22:25:02 02012 mtm: A non-multicast client: Non-Mcast client Op, is
registered with client ID: 1
I 01/12/90 22:25:02 04257 dhcp-server: Ping-check configured with retry count =
2, timeout = 1
I 01/12/90 22:25:02 04260 dhcp-server: Conflict-logging is disabled
I 01/12/90 22:25:02 00066 system: System Booted
I 01/12/90 22:25:03 02550 chassis: Requesting Co-processor OS image location in
flash.
I 01/12/90 22:25:03 02552 chassis: Loading of Co-processor OS image in progress.
I 01/12/90 22:25:04 02553 chassis: Loading of Co-processor OS image complete.
I 01/12/90 22:25:05 03802 chassis: System Self test started on 1-48
I 01/12/90 22:25:15 03803 chassis: System Self test completed on 1-48
I 01/12/90 22:25:15 02555 chassis: Co-processor Ready
I 01/12/90 22:25:15 02612 mgr: chassis subsystem saved the whole running config
to startup config.
I 01/12/90 22:25:15 02612 mgr: chassis subsystem saved the whole running config
to startup config.
I 01/12/90 22:25:21 00078 ports: trunk Trk2 is now active
I 01/12/90 22:25:21 00435 ports: port 45 is Blocked by STP
I 01/12/90 22:25:21 00078 ports: trunk Trk6 is now active
I 01/12/90 22:25:21 00435 ports: port 47 is Blocked by STP
I 01/12/90 22:25:21 00076 ports: port 45 in Trk2 is now on-line
I 01/12/90 22:25:21 00001 vlan: VLAN1 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN111 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN120 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN121 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN144 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN160 virtual LAN enabled
I 01/12/90 22:25:21 00001 vlan: VLAN165 virtual LAN enabled
I 01/12/90 22:25:21 00435 ports: port 1 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 2 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 13 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 14 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 15 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 17 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 19 is Blocked by STP
I 01/12/90 22:25:21 00078 ports: trunk Trk1 is now active
I 01/12/90 22:25:21 00435 ports: port 41 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 42 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 43 is Blocked by STP
I 01/12/90 22:25:21 00435 ports: port 44 is Blocked by STP
I 01/12/90 22:25:21 00839 stp: MSTI 1 Root changed from 8192: (this device) to
4096: 1458d0-adaf40
I 01/12/90 22:25:21 00839 stp: MSTI 2 Root changed from 32768: (this device) to
0: 1458d0-adaf40
I 01/12/90 22:25:21 00076 ports: port 41 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 42 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 43 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 44 in Trk1 is now on-line
I 01/12/90 22:25:21 00076 ports: port 47 in Trk6 is now on-line
I 01/12/90 22:25:22 00078 ports: trunk Trk3 is now active
I 01/12/90 22:25:22 00435 ports: port A1 is Blocked by STP
I 01/12/90 22:25:22 00078 ports: trunk Trk5 is now active
I 01/12/90 22:25:22 00435 ports: port B1 is Blocked by STP
I 01/12/90 22:25:23 00076 ports: port A1 in Trk3 is now on-line
I 01/12/90 22:25:23 00076 ports: port B1 in Trk5 is now on-line
I 01/12/90 22:25:23 00078 ports: trunk Trk4 is now active
I 01/12/90 22:25:23 00435 ports: port B2 is Blocked by STP
I 01/12/90 22:25:23 00076 ports: port B2 in Trk4 is now on-line
I 01/12/90 22:25:23 00076 ports: port 1 is now on-line
I 01/12/90 22:25:23 00076 ports: port 2 is now on-line
I 01/12/90 22:25:23 00076 ports: port 13 is now on-line
I 01/12/90 22:25:23 00076 ports: port 14 is now on-line
I 01/12/90 22:25:23 00076 ports: port 15 is now on-line
I 01/12/90 22:25:23 00076 ports: port 17 is now on-line
I 01/12/90 22:25:23 00076 ports: port 19 is now on-line
I 01/12/90 22:25:23 00001 vlan: VLAN200 virtual LAN enabled
I 01/12/90 23:23:36 03362 auth: User 'manager' logged in from 10.128.86.56 to
SSH session
I 01/12/90 23:23:37 00179 mgr: SME SSH from 10.128.86.56 - MANAGER Mode
I 01/12/90 23:31:07 03362 auth: User 'manager' logged in from 10.128.88.199 to
SSH session
I 01/12/90 23:31:08 00179 mgr: SME SSH from 10.128.88.199 - MANAGER Mode
I 01/13/90 00:30:50 03362 auth: User 'manager' logged in from 10.128.86.69 to
SSH session
I 01/13/90 00:30:52 00179 mgr: SME SSH from 10.128.86.69 - MANAGER Mode
I 01/13/90 00:33:18 03363 auth: User 'manager' logged out of SSH session from
10.128.86.69
I 01/13/90 00:55:56 03362 auth: User 'manager' logged in from 10.128.86.69 to
SSH session
I 01/13/90 00:55:57 00179 mgr: SME SSH from 10.128.86.69 - MANAGER Mode
Bottom of Log : Events Listed = 102 ----
Was ich bisher noch nicht ganz verstanden habe:
VRRP mit den zwei Backbones für Redundanz und nur eine Gatewayadresse - soweit bin ich mitgekommen.
Aber was ist mit den einzelnen Vlans? Ich brauche ja für jedes VLan einen Gateway?
Aktuell habe ich auf der Watchguard die Virtuellen Interfaces eingerichtet, welche alle auf einen Port zusammenlaufen:
VLan 1 - 10.128.80.254
VLan 111 - 10.128.81.254
VLan 120 - 10.128.84.254
VLan 144 - 10.128.86.254
VLan 160 - 10.128.88.254
VLan 165 - 10.128.93.254
Und die Netzadressen sind jeweils eben die:
VLAN1 |10.128.80.240 255.255.255.0
VLAN111 | 10.128.81.240 255.255.255.0
VLAN120 | 10.128.84.240 255.255.255.0
VLAN121 | 10.128.85.240 255.255.255.0
VLAN144 | 10.128.86.240 255.255.255.0
VLAN160 | 10.128.88.240 255.255.255.0
VLAN165 | 10.128.93.240 255.255.255.0
So - jetzt kommt ein Client mit der 10.128.86.x (Client)--> 10.128.86.254(Watchguard) --> anderes VLan oder Internet.
Und der richtige Weg wäre dann eben m.E. 10.128.86.x (Client) --> Gateway vom Vlan (nicht Watchguard)--> anderes VLan oder Internet.
IP-Routing ist zwar aktiv auf dem Backbones (aber nicht auf den Unterverteilern) - aber irgendwo habe ich hier einen Denkfehler. Normal sollte ja der Switch schon die Pakete entsprechend umleiten.
Ist dann die Netzadresse mein Gateway?
Bleibt default Gateway dann weiterhin die Firewall?
Wenn ich das alte Netz natürlich OHNE Watchguard dazwischen erreichen könnte, wäre das noch besser - hier wird wohl nur das Routing (?) angepasst werden müssen, damit die Pakete richtig weiterlaufen.
Im alten Netz gibt es aber keine VLans, kein MSTP etc.
Auch wenn das HP Billigswitche vllt sind, wir haben zum Teil die Infrastrktur gehabt und diese dann zu mischen wäre auch nicht clever gewesen, daher haben wir uns entschieden vorerst drauf zu bleiben.
Danke schonmal auf jeden Fall!
Ich bin jetzt kein Netzwerkprofi, muss mich zum Teil an Anleitungen orientieren bzw. mir die Sachen zuerst zusammenlesen, bin aber in der Situation hier das Netzwerk aufbauen zu müssen.
Mmmhhh...keinen sehr guten Voraussetzungen Hast du ggf. jemanden der dir helfen kann das umzusetzen ? Etwas detailiertere Kenntnisse zum MSTP Design sind da schon vonnöten... aber ich komme gerade nicht weiter und benötige daher die Hilfe.
Dann versuchen wir mal unser Glück mit dir 
und auch so richtig mit VLans und MSTP etc arbeite.
Dann solltest du unbedingt dieses Tutorial vorab lesen für die Grundlagen:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Den externen Router kannst du dabei ignorieren, denn das machen deine L3 Core Switches ja beide.
jedoch ist der BackupBackbone noch NICHT mit den Unterverteilern verbunden.
OK, bedeutet jetzt dann erstmal das due KEINE Redundanz hast aber alles sternförmig angeschlossen.Wichtig ist hier aber dennoch die MSTP Priority von 8192 auf dem Core Switch !! Nicht 0 !
CDP und LLDP solltest du NICHT parallel betreiben.
CDP ist mehr oder minder tot wie alle proprietären Link Layer Protokolle.
Belasse es also besser einzig und allen beim Standard LLDP mit global no cdp run !!
Ansonsten sehen deine Logs sauber aus ? Kannst du mit clear logg löschen, dann behälst du die bessere Übersicht bei neuen Messages.
Eine wichtige Frage noch:
Alle Switches hast du auf die aktuellste Firmware geflasht ??
Wenn nicht solltest du das unbedingt machen um älteren Firmware Bugs aus dem Wege zu gehen !
VRRP mit den zwei Backbones für Redundanz und nur eine Gatewayadresse - soweit bin ich mitgekommen.
Ja, das erzeugt eine virtuelle Gateway IP zwischen den beiden L3 Interfaces der Core Switches pro VLAN. Damit haben Endgeräte in den VLANs dann kein Gateway Problem mehr sollte ein Core mal ausfallen ! Der schaltet dann automatisch um auf den anderen so das die Clients das nicht mitbekommen.Aber was ist mit den einzelnen Vlans? Ich brauche ja für jedes VLan einen Gateway?
Ja, richtig ! Was dachtest du denn ??Du hast dich ja für HP Billigprodukte entschieden und keinen Fabric Switches, da wäre es einfacher (aber auch teurer)
Ein bischen tippen in der Konfig musst du also für dein gespartes Geld wenn du es redundant haben willst !
Aktuell habe ich auf der Watchguard die Virtuellen Interfaces eingerichtet, welche alle auf einen Port zusammenlaufen:
OK, das bedeutet die Watchguard kann mit Tagged Interfaces umgehen wie es im obigen VLAN Tutorial anhand der externen Router geschildert ist, richtig ?Das wäre dann das gleiche Szenario !
Die Watchguard ist aber erstmal nur mit einem Interface angeschlossen oder redundant mit zweien ?? Bei zweien musst du aufpassen wegen Spanning Tree !!!
Besser ist es die Watchguard dann mit einem Trunk (Link Aggregation) anzuschliessen aber das ist jetzt erstmal zweitrangig und Finetuning !
Kommt später !
VLan 1 - 10.128.80.254
VLan 111 - 10.128.81.254
VLan 120 - 10.128.84.254
VLan 144 - 10.128.86.254
VLan 160 - 10.128.88.254
VLan 165 - 10.128.93.254
Ist ja ein bischen doofes Adressdesign. Hättest du ja das VLAN der Übersichthalber besser ins die Netzwerkadresse reincodiert: VLan 111 - 10.128.81.254
VLan 120 - 10.128.84.254
VLan 144 - 10.128.86.254
VLan 160 - 10.128.88.254
VLan 165 - 10.128.93.254
VLan 1 - 10.128.1.254
VLan 111 - 10.128.111.254
VLan 120 - 10.128.120.254
VLan 144 - 10.128.144.254
VLan 160 - 10.128.160.254
VLan 165 - 10.128.165.254
Aber OK...ist ja nur kosmetisch..so wie obengehts natürlich auch.
Um jetzt richtig weiterzumachen MUSS man erstmal verstehen WAS genau die mit der Watchguard machen willst ???
- Soll die zwischen den VLANs routen und NICHT der Coreswitch ?
- Soll sie nur ins Internet Routen und ggf. Gast WLAN usw. sicher abtrennen ??
Und der richtige Weg wäre dann eben m.E. 10.128.86.x (Client) --> Gateway vom Vlan (nicht Watchguard)--> anderes VLan oder Internet.
Ja, wenn die Watchguard NICHT zentral zw. den VLANs routen soll.Zentrale Routing Instanz ist IMMER der Verbund deiner Core Switches in jedem VLAN, denn da hast du ja auch die Redundanz !
Macht die Watchguard nur den Internetzugang und Gastnetze bekommt sie KEINE virtuellen Interfaces in jedes VLAN logischerweise sondern wird isoliert in ein VLAN z.B. 777 gesetzt mit dem Namen "Internet". Cores haben dann das VLAN auch wieder mit VRRP usw.
Dann haben beide Cores einen statische Route ala
ip route 0.0.0.0 0.0.0.0 <ip_adresse_watchgard_vlan777>
und....
die Watchguard hat für alle Subnetze in den VLANs (außer 777 natürlich) einen statische Route auf die VRRP VIP in VLAN 777
Alternativ kannst du dynmaisch routen mit RIPv2 oder OSPF wenn du mehr als deine paar VLANs bekommen solltest.
DAS wäre der richtige Weg.
Aber wie gesagt dazu musst du genau klären was du mit der Watchguard machen willst ?!
IP-Routing ist zwar aktiv auf dem Backbones (aber nicht auf den Unterverteilern)
Das ist auch richtig so die bleiben rein, doofe Layer 2 Maschinen mit den VLANs.Ist dann die Netzadresse mein Gateway?
Natürlich nicht ! Hast du auch noch Defizite in der IP Adressierungs Schematik Bei der Netzwerk Adresse sind alle Hostbits auf 0. Diese Adresse darf NICHT vergeben werden genau wie die Broadcast Adresse !
Dein Gateway der Clients in den VLANs ist logischerweise die VVRP VIP.
Die statische Route der Cores zeigt auf die Watchguard.
Logisch...alles lokale wird so lokal geroutet alles was lokal unbekannt ist geht Richtung Watchguard.
Bleibt default Gateway dann weiterhin die Firewall?
Nein, niemals ! In deinem eigentlich sehr sinnvollen Design ist das Default Gateway aller Clients IMMER die VRRP VIP IP in den jeweiligen VLANs.Das Default Gateway (statische Default Route) ist die Watchguard IP in ihrem separaten VLAN.
Separates VLAN da man Internet Traffic niemals in seinen produktiv VLANs haben will, deshalb hat die Watchguard immer ein separates VLAN in dem gesamten Netz !
Wenn ich das alte Netz natürlich OHNE Watchguard dazwischen erreichen könnte, wäre das noch besser
Auch das ist kinderleicht !Bitte lese den Thread oben !!
hier wird wohl nur das Routing (?) angepasst werden müssen, damit die Pakete richtig weiterlaufen.
Ein popeliger Eintrag in der Konfig der in 5 Minuten gemacht ist,Im alten Netz gibt es aber keine VLans, kein MSTP etc.
Umso besser, was die ganze Geschichte noch einfacher macht !Du erzeugst ein weiteres VLAN 999 Name Altnetz z.B. auf dem Core Switch wieder VRRP IP usw.
Dann verbindest du ganz simpel mit einem Patchkabel das alte Netz auf einen VLAN 999 Port im neuen, fertig ist der Lack.
Alle Altnetz Clients zeigen mit ihrem Default Gateway auch hier auf die VRRP VIP VLAN 999 und gut iss. Deine L3 Core Switches routen das in die neuen VLANs
Nun wird auch dein altes Netzwerk in die neue Struktur geroutet und du kannst ganz sukzessive Schritt für Schritt das alte Netzwerk migrieren.
Das ist ein simples Standarsszenario was jeder Netzwerk Anfänger so macht...sorry !
Du betreibst beide Netzwerke für eine Zeitlang parallel ohne das du die User ärgern musst und wenn du alles migriert hast löschst du das VLAN 999 und alles ist neu...färdsch !
Kommt man eigentlich auch von selber drauf
Auch wenn das HP Billigswitche vllt sind
Nicht nur vielleicht sie sind es. Für simple, banale Netze wie deins reichen sie aber...keine Frage !und diese dann zu mischen wäre auch nicht clever gewesen,
Kann man aber in der Regel machen. Bei HP ist das nur immer unglücklich da diese ProCurve Billigteile ein sehr begrenztes Featureset haben und man in einem gemischen Netz etwas aufpassen muss gerade bei STP.Mit dir als blutigen Laien war es dann richtig dabei zu bleiben, denn das hätte dich dann restlos überfordert !
P.S.: Wieso hast du den Thread denn jetzt auf "gelöst" geklickt ???
Hast du alles schon gelöst oder was soll das ?
Mmmhhh...keinen sehr guten Voraussetzungen Hast du ggf. jemanden der dir helfen kann das umzusetzen ? Etwas detailiertere
Kenntnisse zum MSTP Design sind da schon vonnöten...
Selbst ist der Admin - learning bei doing... Hast du ggf. jemanden der dir helfen kann das umzusetzen ? Etwas detailiertereKenntnisse zum MSTP Design sind da schon vonnöten...
Eine wichtige Frage noch:
Alle Switches hast du auf die aktuellste Firmware geflasht ??
Backbones Ja, Unterverteiler noch nicht, nehme ich die Tage in Angriff.Alle Switches hast du auf die aktuellste Firmware geflasht ??
> Aktuell habe ich auf der Watchguard die Virtuellen Interfaces eingerichtet, welche alle auf einen Port zusammenlaufen:
OK, das bedeutet die Watchguard kann mit Tagged Interfaces umgehen wie es im obigen VLAN Tutorial anhand der externen Router
geschildert ist, richtig ?
Genau - ich habe heute mal gecheckt, das mein Traffic von der Watchguard komplett geroutet wird und nicht intern im Backbone.OK, das bedeutet die Watchguard kann mit Tagged Interfaces umgehen wie es im obigen VLAN Tutorial anhand der externen Router
geschildert ist, richtig ?
Die Watchguard ist aber erstmal nur mit einem Interface angeschlossen oder redundant mit zweien ?? Bei zweien musst du aufpassen
wegen Spanning Tree !!!
Ist nur mit einem Port angeschlossen, damit ich hier keine Schleife habe. STP habe ich mir hier noch nicht näher angeschaut.wegen Spanning Tree !!!
Besser ist es die Watchguard dann mit einem Trunk (Link Aggregation) anzuschliessen aber das ist jetzt erstmal zweitrangig und
Finetuning !
Kommt später !
Finetuning !
Kommt später !
Das war auch mein Plan, erstmal muss das Netz sauber laufen.
Um jetzt richtig weiterzumachen MUSS man erstmal verstehen WAS genau die mit der Watchguard machen willst ???
Watchguard:- Soll die zwischen den VLANs routen und NICHT der Coreswitch ?
- Soll sie nur ins Internet Routen und ggf. Gast WLAN usw. sicher abtrennen ??
Nur Internet, VPN Tunnel ins externe Rechenzentrum, VPN Zugänge Mitarbeiter und Nice-To-Have Filtern vom Traffic des GästeWlans.
> Ist dann die Netzadresse mein Gateway?
Natürlich nicht ! Hast du auch noch Defizite in der IP Adressierungs Schematik
Bei der Netzwerk Adresse sind alle Hostbits auf 0. Diese Adresse darf NICHT vergeben werden genau wie die Broadcast Adresse !
Dein Gateway der Clients in den VLANs ist logischerweise die VVRP VIP.
Die statische Route der Cores zeigt auf die Watchguard.
Logisch...alles lokale wird so lokal geroutet alles was lokal unbekannt ist geht Richtung Watchguard.
Natürlich nicht ! Hast du auch noch Defizite in der IP Adressierungs Schematik
Bei der Netzwerk Adresse sind alle Hostbits auf 0. Diese Adresse darf NICHT vergeben werden genau wie die Broadcast Adresse !
Dein Gateway der Clients in den VLANs ist logischerweise die VVRP VIP.
Die statische Route der Cores zeigt auf die Watchguard.
Logisch...alles lokale wird so lokal geroutet alles was lokal unbekannt ist geht Richtung Watchguard.
Was ich damit ausdrücken wollte war:
Jeder Switch hat im "setup" Menü einmal ein Defaultgatewayeintrag.
Zudem hat jedes Vlan eine Adresse - aber diese darf nicht als GW fungieren - wie ich gelernt hab, da ich aber keinen Eintrag gesehen habe, der ein Gateway für das jeweilige VLan vorgibt, war ich mir gerade unsicher. Letztendlich brauche ich ja eine IP worüber der Verkehr dann rausläuft, diese werde ich dann aber mit VRRP konfigurieren... Das Broadcast und Netzwerkadresse nicht vergeben werden darf, ist mir schon klar... ;)
Du erzeugst ein weiteres VLAN 999 Name Altnetz z.B. auf dem Core Switch wieder VRRP IP usw.
Dann verbindest du ganz simpel mit einem Patchkabel das alte Netz auf einen VLAN 999 Port im neuen, fertig ist der Lack.
Alle Altnetz Clients zeigen mit ihrem Default Gateway auch hier auf die VRRP VIP VLAN 999 und gut iss. Deine L3 Core Switches
routen das in die neuen VLANs
Super, bin begeistert!Dann verbindest du ganz simpel mit einem Patchkabel das alte Netz auf einen VLAN 999 Port im neuen, fertig ist der Lack.
Alle Altnetz Clients zeigen mit ihrem Default Gateway auch hier auf die VRRP VIP VLAN 999 und gut iss. Deine L3 Core Switches
routen das in die neuen VLANs
Das ist ein simples Standarsszenario was jeder Netzwerk Anfänger so macht...sorry !
Noch nie gemacht - aber nun mittendrin!P.S.: Wieso hast du den Thread denn jetzt auf "gelöst" geklickt ???
Hast du alles schon gelöst oder was soll das ?
Hast du alles schon gelöst oder was soll das ?
Wollte nur sagen, das mir deine Hilfe gefällt - wusste net, dass der Thread gleich als gelöst markiert wird ;) Sorry!
Werde mich dann mal morgen drüber machen, berichte wie ich weitergekommen bin!
Danke dir auf jeden Fall!
So, nun bin ich jetzt auf das Problem gestossen, das hier wohl keine Lizenzen für VRRP bestellt wurde. ich kann hier zwar Router RIP einstellen, aber kein Router VRRP...(zu meiner Verteidigung, ich bin frisch hier und darf alles ausbaden gerade...)
Bin begeistert.
Edit: Habe mich übrigends was das Spanning-tree angeht an diese Anleitung gerichtet:
#
http://www.ingentive.net/sites/default/files/procurve_best_practice_spa ...
Bin begeistert.
Edit: Habe mich übrigends was das Spanning-tree angeht an diese Anleitung gerichtet:
#
http://www.ingentive.net/sites/default/files/procurve_best_practice_spa ...
Tja das ist die Rache des Billigheimers HP !! Letztendlich kommen die so wieder an ihr Geld und deshalb sollte man die Finger davon lassen.
Die VRRP Lizenz brauchst du zwingend, denn sonst kannst du die Problematik der 2 Gateways für die Endgeräte nicht lösen.
Du kannst erstmal ohne weitermachen und dann eine physische IP des L3 Interfaces erstmal übergangsweise als Gateway konfigurieren um das zu umgehen und mit deinem Design weiterzumachen.
Gute HP Partner können eine temporäre Lizenz generieren mit der du 60 Tage arbeiten kannst.
Eine Beispiel Konfig für ein VLAN mit beiden Seiten sähe dann so aus:
Core 1
vlan 120
name "VLAN120"
tagged K1,L1
ip address 10.128.84.252 255.255.255.0
vrrp vrid 120
virtual-ip-address 10.128.84.254 255.255.255.0
enable
!
ip routing
ip route 0.0.0.0 0.0.0.0 <Watchguard_ip_vlan777>
Core 2
vlan 120
name "VLAN120"
tagged K1,L1
ip address 10.128.84.253 255.255.255.0
vrrp vrid 120
virtual-ip-address 10.128.84.254 255.255.255.0
backup
enable
!
ip routing
ip route 0.0.0.0 0.0.0.0 <Watchguard_ip_vlan777>
Für deine Endgeräte ist dann immer die 10.128.84.254 das Gateway in dem VLAN. Analog machst du das bei allen anderen VLANs und den beiden Transfer VLANs für das Altnetz (999) und das Internet (Watchguard 777))
Dann wie bereits besprochen oben Watchgaurd mit separatem "Internet" VLAN 777 dediziert anbinden !
Für das Gäste WLAN definierst du dann ein VLAN OHNE IP Adressen auf den Core Switches. Damit kann dieses VLAN dann nicht von den Core Switches geroutet werden (was ja auch fatal wäre) und stattdessen legst du es dann als tagged Link mit dem 777 VLAN oder separatem Port wenn du auf der WG noch einen über hast auf die FW.
Im Gäste WLAN ist dann die Watchguard IP das Gateway, damit diese die Gäste Pakete weiterreicht und filtert.
Ein Praxisbeispiel dazu findest du in diesem_Forum.
Und genau deswegen gibt es VRRP !
Beide Core Systeme teilen eine virtuelle Gateway IP die immer erreichbar ist und lösen dir das Problem das der L3 Traffic niemals unterbrochen werden kann
Als Workaround weil dein schlauer Einkäufer oder das unfähige Systemhaus vergessen hat für so ein klasssiches Design die VRRP Lizenz zu bestellen musst du jetzt erstmal so damit leben übergangsweise.
VRRP ist aber essenziell sonst macht deine Redundanz keinen Sinn.
Wie man sowas grundlegendes bei der Bestellung vergessen kann sagt sehr viel aus über die Kompetenz der Beteiligten bei der HW Planung. Das ist so als wenn du einen Neuwagen ohne Tank bestellst und bei solchem Autohaus würde man auch nie wieder kaufen....
OK, das kannst du aber ja fixen wenn du denen etwas Dampf unter dem .... machst für die Beschaffung der Lizenz. Solltest du auf kostenlose Nachbesserung drängen da das das Projekt gefährdet !!!
Die VRRP Lizenz brauchst du zwingend, denn sonst kannst du die Problematik der 2 Gateways für die Endgeräte nicht lösen.
Du kannst erstmal ohne weitermachen und dann eine physische IP des L3 Interfaces erstmal übergangsweise als Gateway konfigurieren um das zu umgehen und mit deinem Design weiterzumachen.
Gute HP Partner können eine temporäre Lizenz generieren mit der du 60 Tage arbeiten kannst.
Eine Beispiel Konfig für ein VLAN mit beiden Seiten sähe dann so aus:
Core 1
vlan 120
name "VLAN120"
tagged K1,L1
ip address 10.128.84.252 255.255.255.0
vrrp vrid 120
virtual-ip-address 10.128.84.254 255.255.255.0
enable
!
ip routing
ip route 0.0.0.0 0.0.0.0 <Watchguard_ip_vlan777>
Core 2
vlan 120
name "VLAN120"
tagged K1,L1
ip address 10.128.84.253 255.255.255.0
vrrp vrid 120
virtual-ip-address 10.128.84.254 255.255.255.0
backup
enable
!
ip routing
ip route 0.0.0.0 0.0.0.0 <Watchguard_ip_vlan777>
Für deine Endgeräte ist dann immer die 10.128.84.254 das Gateway in dem VLAN. Analog machst du das bei allen anderen VLANs und den beiden Transfer VLANs für das Altnetz (999) und das Internet (Watchguard 777))
Watchguard: Nur Internet, VPN Tunnel ins externe Rechenzentrum, VPN Zugänge Mitarbeiter und Nice-To-Have Filtern vom Traffic des GästeWlans.
OK, das klärt die Sache !Dann wie bereits besprochen oben Watchgaurd mit separatem "Internet" VLAN 777 dediziert anbinden !
Für das Gäste WLAN definierst du dann ein VLAN OHNE IP Adressen auf den Core Switches. Damit kann dieses VLAN dann nicht von den Core Switches geroutet werden (was ja auch fatal wäre) und stattdessen legst du es dann als tagged Link mit dem 777 VLAN oder separatem Port wenn du auf der WG noch einen über hast auf die FW.
Im Gäste WLAN ist dann die Watchguard IP das Gateway, damit diese die Gäste Pakete weiterreicht und filtert.
Ein Praxisbeispiel dazu findest du in diesem_Forum.
Zudem hat jedes Vlan eine Adresse - aber diese darf nicht als GW fungieren - wie ich gelernt hab, da ich aber keinen Eintrag gesehen habe, der ein Gateway für das jeweilige VLan vorgibt, war ich mir gerade unsicher.
Letztlich darf die Core VLAN IP schon als Gateway fungieren. Das Problem ist aber wenn der Core mal ausfallen sollte oder du ihn mal rebooten musst zur Wartung, dann bricht deine gesamte L3 Kommunikation zusammen, denn dann ist das Gateway weg obwohl du eigentlich mit Core 2 Redundanz hast.Und genau deswegen gibt es VRRP !
Beide Core Systeme teilen eine virtuelle Gateway IP die immer erreichbar ist und lösen dir das Problem das der L3 Traffic niemals unterbrochen werden kann
Als Workaround weil dein schlauer Einkäufer oder das unfähige Systemhaus vergessen hat für so ein klasssiches Design die VRRP Lizenz zu bestellen musst du jetzt erstmal so damit leben übergangsweise.
VRRP ist aber essenziell sonst macht deine Redundanz keinen Sinn.
Wie man sowas grundlegendes bei der Bestellung vergessen kann sagt sehr viel aus über die Kompetenz der Beteiligten bei der HW Planung. Das ist so als wenn du einen Neuwagen ohne Tank bestellst und bei solchem Autohaus würde man auch nie wieder kaufen....
OK, das kannst du aber ja fixen wenn du denen etwas Dampf unter dem .... machst für die Beschaffung der Lizenz. Solltest du auf kostenlose Nachbesserung drängen da das das Projekt gefährdet !!!
So - ich hab mich jetzt komplett festgefahren.
Ich konfiguriere das vorerst auf dem Backbone 2 um den Betrieb nicht komplett lahmzulegen
Watchguard hat jetzt ein seperates Interface mit 10.128.94.155
HP Switch hat ein VLAN 300 10.128.94.1/24
HP Switch hat ein VLan 400 (zum Test) 10.128.100.1/24
Route 0.0.0.0 0.0.0.0 10.128.94.155 static
Client hängt im Vlan 300:
Ping geht auf 10.128.94.1
Ping geht auf 10.128.94.155
Ping geht auf 8.8.8.8
Client hängt im Vlan 400:
Ping geht auf 10.128.94.1
Ping geht NICHT auf 10.128.94.1
Ping geht NICHT auf 8.8.8.8
Tracert auf 8.8.8.8
1 - 10.128.100.1
2 - * * * Zeitüberschreitung
...
Ping vom Switch-CLI auf die 8.8.8.8 geht.
IP Routing ist auf dem Switch aktiv.
Watchguard Interface ist auf Trusted Mode eingestellt, sodass die bisherigen Regeln auch gelten.
Watchguard:
Route 10.128.100.0/24 über GW 10.128.94.155 (egal ob ich den Eintrag setze oder nicht, ändert das nix)
So - bum aus die Maus, Nikolaus....weder ich noch mein Kollege wissen grad weiter.
Inter-Vlan Routing geht, sobald ich aber auf die Firewall möchte von einem anderen VLan aus, ist schluss
Edit:
Watchguard vlan 300 und vlan 400 angelegt und gegenseitig mit einer Regel Allow all berechtigt.
Switchport für tagged 300 und 400 konfiguriert.
Client vlan 400:
Ping auf 10.128.94.155 geht.
Tracert auf 8.8.8.8 zeigt mir allerdings:
1 - 10.128.100.1
2 - 10.128.100.155 (Vlan 400 Interface Watchguard)
3 - Zeitüberschreitung....
So wie ich hier sehe:
Client kommt aus einem anderen VLAN (400) wie die Watchguard (300) und blockt erstmal alles ab.
Ich lege Vlan 400 auf der Watchguard mit an, lasse den Traffic über den Switchport laufen und komme nun vom Vlan 400 ins Vlan 300 auf die WG (wohlgemerkt, das sonstige Intervlan Routing geht....)
Aber - nun schickt der Client aus dem Vlan 400 die Anfrage an den Vlan Gateway 10.128.100.1 und dieser leitet das NICHt an die 10.128.94.155 (VLAN 300 Interface WG) sondern an die 10.128.100.155 (VLAN 400 Interface der WG)....und irgendwie geht dadurch das Intervlarn Routing flöten...
argh....
Ich konfiguriere das vorerst auf dem Backbone 2 um den Betrieb nicht komplett lahmzulegen
Watchguard hat jetzt ein seperates Interface mit 10.128.94.155
HP Switch hat ein VLAN 300 10.128.94.1/24
HP Switch hat ein VLan 400 (zum Test) 10.128.100.1/24
Route 0.0.0.0 0.0.0.0 10.128.94.155 static
Client hängt im Vlan 300:
Ping geht auf 10.128.94.1
Ping geht auf 10.128.94.155
Ping geht auf 8.8.8.8
Client hängt im Vlan 400:
Ping geht auf 10.128.94.1
Ping geht NICHT auf 10.128.94.1
Ping geht NICHT auf 8.8.8.8
Tracert auf 8.8.8.8
1 - 10.128.100.1
2 - * * * Zeitüberschreitung
...
Ping vom Switch-CLI auf die 8.8.8.8 geht.
IP Routing ist auf dem Switch aktiv.
Watchguard Interface ist auf Trusted Mode eingestellt, sodass die bisherigen Regeln auch gelten.
Watchguard:
Route 10.128.100.0/24 über GW 10.128.94.155 (egal ob ich den Eintrag setze oder nicht, ändert das nix)
So - bum aus die Maus, Nikolaus....weder ich noch mein Kollege wissen grad weiter.
Inter-Vlan Routing geht, sobald ich aber auf die Firewall möchte von einem anderen VLan aus, ist schluss
Edit:
Watchguard vlan 300 und vlan 400 angelegt und gegenseitig mit einer Regel Allow all berechtigt.
Switchport für tagged 300 und 400 konfiguriert.
Client vlan 400:
Ping auf 10.128.94.155 geht.
Tracert auf 8.8.8.8 zeigt mir allerdings:
1 - 10.128.100.1
2 - 10.128.100.155 (Vlan 400 Interface Watchguard)
3 - Zeitüberschreitung....
So wie ich hier sehe:
Client kommt aus einem anderen VLAN (400) wie die Watchguard (300) und blockt erstmal alles ab.
Ich lege Vlan 400 auf der Watchguard mit an, lasse den Traffic über den Switchport laufen und komme nun vom Vlan 400 ins Vlan 300 auf die WG (wohlgemerkt, das sonstige Intervlan Routing geht....)
Aber - nun schickt der Client aus dem Vlan 400 die Anfrage an den Vlan Gateway 10.128.100.1 und dieser leitet das NICHt an die 10.128.94.155 (VLAN 300 Interface WG) sondern an die 10.128.100.155 (VLAN 400 Interface der WG)....und irgendwie geht dadurch das Intervlarn Routing flöten...
argh....
Mmmhhh...
Client hängt im Vlan 400:
Ping geht auf 10.128.94.1
Ping geht NICHT auf 10.128.94.1
Einmal gehts und einmal nicht....ja was denn nun ?
Alles was du da nicht explizit erlaubst ist verboten.
Vermutlich hast du hier schlicht und einfach folgende Sachen vergessen:
Wenn die HP Gurke das kann, verwende einen extended Ping vom CLI und gib als Absende IP die Switch IP vom VLAN 400 ein dann bleibst du vermutlich auch hängen !
Zeigt aber ganz klar das deine Firewall Regeln hier nicht stimmen !
Gib auf dem Switch ein show ip route ein, dann siehst du die Routing Tabelle auf dem Switch und der sagt dir dann genau WAS WOHIN geht.
Vermutlich hast du nun alte ungültige Routen nicht gelöscht !
Wenn du jetzt wieder die WG parallele hast hast du einen sog. Backdoor Router also 2 Router parallel. Eigentlich krank aber WER benutzt wird bestimmt einzig und allein die Gateway Konfiguration der Clients sofern keine dynmaischen Routing Protokolle im Speil sind !
Wie bereits gesagt ein show ip route schafft immer klarheit wer was wohin schickt !
Client hängt im Vlan 400:
Ping geht auf 10.128.94.1
Ping geht NICHT auf 10.128.94.1
Einmal gehts und einmal nicht....ja was denn nun ?
Ping geht NICHT auf 8.8.8.8
OK, das ist (vermutlich) klar und liegt nicht an deinem Switch und VLANs, denn vergiss bitte nicht die Watchguard ist eine Firewall !!Alles was du da nicht explizit erlaubst ist verboten.
Vermutlich hast du hier schlicht und einfach folgende Sachen vergessen:
- Statische Route in der Watchguard Zielnetz: 10.128.100.0 /24, Gateway: 10.128.94.1 Ansonsten geht die Rückantwort ins Nirwana
- Ist in der Watchguard der Zugriff aus dem 10.128.100.0er Netz erlaubt ? (Accessregel ?)
- Ist in der Watchguard eine NAT Regel für das 10.128.100er netz ins Internet aktiviert und erlaubt ?
Ping vom Switch-CLI auf die 8.8.8.8 geht.
Ist auch klar, denn der verwendet als Absender IP eine Adresse aus dem VLAN 300 Firewall VLAN und das hast du vermutlich in der FW erlaubt aber NICHT das 10.128.100.0er Netz ?!Wenn die HP Gurke das kann, verwende einen extended Ping vom CLI und gib als Absende IP die Switch IP vom VLAN 400 ein dann bleibst du vermutlich auch hängen !
Zeigt aber ganz klar das deine Firewall Regeln hier nicht stimmen !
nun schickt der Client aus dem Vlan 400 die Anfrage an den Vlan Gateway 10.128.100.1
Das ist auch richtig so und soll auch so sein !und dieser leitet das NICHt an die 10.128.94.155 (VLAN 300 Interface WG)
Sorry das ist Unsinn oder du hast in den statischen Routen Blödsinn eingegeben.Gib auf dem Switch ein show ip route ein, dann siehst du die Routing Tabelle auf dem Switch und der sagt dir dann genau WAS WOHIN geht.
Vermutlich hast du nun alte ungültige Routen nicht gelöscht !
Wenn du jetzt wieder die WG parallele hast hast du einen sog. Backdoor Router also 2 Router parallel. Eigentlich krank aber WER benutzt wird bestimmt einzig und allein die Gateway Konfiguration der Clients sofern keine dynmaischen Routing Protokolle im Speil sind !
Wie bereits gesagt ein show ip route schafft immer klarheit wer was wohin schickt !
Habs heute hinbekommen - zwar bisschen andere Variante aber es funktioniert so wie es soll.
Watchguard hat weiterhin alle VLANs und die Interfaces entsprechend mit der IP 10.128.x.240.
VLAN Gateways für Clients sind die 10.128.x.254 - also bleibts erstmal auf dem Switch.
Statische Routen auf dem Switch 0.0.0.0/0 auf jeweils die Interfaces von der Watchguard.
Rückrouten von der Watchguard eingerichtet.
Nat entsprechend konfiguriert.
Es geht scheinbar nicht anders. Ich komme zwar von einem VLAN wo keine Watchguard hängt zum Gateway - dieser schickt es aber ums verrecken nicht weiter - egal wie viel ich an der FW eingestellt hab.
Traceroute zeigt, das zwischen den VLANs der Switch routet und alles was er nicht kennt, geht sauber raus auf die Watchguard.
Es hat sich auch ebenfalls herausgestellt, das der Backbone1 irgendein Problem hat, die 0er Routen anzunehmen - habe alles dann auf dem Backbone 2 eingerichtet und die Konfig läuft erstmal.
Zu dem habe ich heute im HP Forum entdeckt, das die 2920 gar kein VRRP können, ausser diese laufen im Stack. Da Stackkarten und kabel bestellt wurden, werde ich dann den Backbone1 mal komplett resetten und im Stack-Verbindung betreiben, sollte mit Redundanz auch hinhauen. Andere Lösung bleibt mir nicht - hier hat es wenn schon, das Systemhaus verkackt, welcher den Auftrag bekommem hat, eine Redundante Lösung zu liefern.
Alles in allem war es gut, dass das Wochenende dazwischen war, hatte heute früh dann gleich viel mehr Überblick.
Morgen wird dann noch ein VLAN fürs alte Netz erstellt und dieses mit eingebunden.
Eine Frage habe ich noch offen:
Angenommen, die Unterverteiler können auch L3....macht es in irgendeiner ARt und Weise Sinn, hier IP-Routing zu aktivieren oder sollen das komplett die Backbones machen?
Watchguard hat weiterhin alle VLANs und die Interfaces entsprechend mit der IP 10.128.x.240.
VLAN Gateways für Clients sind die 10.128.x.254 - also bleibts erstmal auf dem Switch.
Statische Routen auf dem Switch 0.0.0.0/0 auf jeweils die Interfaces von der Watchguard.
Rückrouten von der Watchguard eingerichtet.
Nat entsprechend konfiguriert.
Es geht scheinbar nicht anders. Ich komme zwar von einem VLAN wo keine Watchguard hängt zum Gateway - dieser schickt es aber ums verrecken nicht weiter - egal wie viel ich an der FW eingestellt hab.
Traceroute zeigt, das zwischen den VLANs der Switch routet und alles was er nicht kennt, geht sauber raus auf die Watchguard.
Es hat sich auch ebenfalls herausgestellt, das der Backbone1 irgendein Problem hat, die 0er Routen anzunehmen - habe alles dann auf dem Backbone 2 eingerichtet und die Konfig läuft erstmal.
Zu dem habe ich heute im HP Forum entdeckt, das die 2920 gar kein VRRP können, ausser diese laufen im Stack. Da Stackkarten und kabel bestellt wurden, werde ich dann den Backbone1 mal komplett resetten und im Stack-Verbindung betreiben, sollte mit Redundanz auch hinhauen. Andere Lösung bleibt mir nicht - hier hat es wenn schon, das Systemhaus verkackt, welcher den Auftrag bekommem hat, eine Redundante Lösung zu liefern.
Alles in allem war es gut, dass das Wochenende dazwischen war, hatte heute früh dann gleich viel mehr Überblick.
Morgen wird dann noch ein VLAN fürs alte Netz erstellt und dieses mit eingebunden.
Eine Frage habe ich noch offen:
Angenommen, die Unterverteiler können auch L3....macht es in irgendeiner ARt und Weise Sinn, hier IP-Routing zu aktivieren oder sollen das komplett die Backbones machen?
Watchguard hat weiterhin alle VLANs und die Interfaces entsprechend mit der IP 10.128.x.240.
Das ist KEIN gutes IP Design und solltest du besser nochmal überdenken. Du hast jetzt parallel zur Watchguard den Switch als weiteren Router. Das ist eigentlich völliger Blödsinn und auch gefährlich, denn so hebelst du mit den beiden Routernb ggf. Sicherheitseinstellungen gleichzeitig aus. Von den Problemen mit parallelen L3 Pfadem mal gar nicht erst zu reden !Vergiss das besser schnell wieder ! Ein verantwortungsvoller Netzwerker macht niemals so ein Murksdesign was eher laienhaft ist !
Belasse das Routing komplett ALLEIN auf den Switches und binde die Watchguard mit einem separaten Transfer IP Segment an wie es oben besprochen ist. Das ist ein sauberes, anerkantes und wasserdichtes Design.
Von deinem Murks kann man dir nur dringenst abraten !
Es geht scheinbar nicht anders.
Doch ! Es geht anders und besser. Das Problem bist du und deine rudimentären Netzwerk Kentnisse die so ein grauenhaftes Konstrukt entstehen lassen. Das ist jetzt nicht böse gemeint trifft aber den wahren Grund.Mit entsprechend fundierten Kenntnissen würde man es niemals so lösen wie du sondern immer wie oben besprochen !
dieser schickt es aber ums verrecken nicht weiter - egal wie viel ich an der FW eingestellt hab.
Und genau DA ist das Problem ! Es ist einzig und allein eine Einstellung der Watchguard ! Hier fehlen entsprechend eine Route ala ip route 10.128.0.0 255.255.0.0 <ip_adresse_Switch> um z.B. ALLE 10.128er Subnetze von der Watchguard auf den Core Switch routen zu können.Die Watchguard muss weiterhin explizite Regeln haben um die 10.128er VLAN passieren zu lassen UND auch um diese zu NATen.
All das fehlt vermutlich oder ist fehlerhaft implementiert in der Konfig.
Der Schlüssel zum Erfolg liegt also klar an der Watchguard Konfig ! Hole dir da fachkundige Hilfe oder frage einen Kollegen. Wenn du das in den Griff bekommst funktioniert auch der Rest !
das der Backbone1 irgendein Problem hat, die 0er Routen anzunehmen
WAS bitte sind für dich "0er Routen" ???Nur soviel: Bei einer Route gibt man IMMER als Ziel ein Netzwerk an und das netzwerk wird so notiert das alle Hostbits auf 0 sind !
Eine IP Adresse 10.128.1.100 /24 liegt also im 10.128.1.0 Netzwerk !
Die gleiche IP sitzt in einem /26 bit (255.255.255.192) Netzwerk dann im 10.128.1.64 Netzwerk !
Oder mit einer 16 Bit Maske (255.255.0.0) im 10.128.0.0 Netzwerk !
Grundlagen erste Klasse Grundschule IP Routing...
hatte heute früh dann gleich viel mehr Überblick.
Na, da kommen uns nach deinen obigen Ausführungen aber doch erhebliche Zweifel ob dem wirklich so ist ??!!Morgen wird dann noch ein VLAN fürs alte Netz erstellt und dieses mit eingebunden.
Wenigstens ein richtiger Schritt....Eine Frage habe ich noch offen:
Das ist sehr schwer pauschal über ein Forum zu beantworten. Es kann Sinn machen bei bestimmten Konstellationen oder wenn man aus Sicherheit im Edge irgendwas L3 seitig abtrennen will.Aber das ist bei Standard Designs wie dem deinen eher eine sehr seltene Ausnahme. Es scheitert schon daran das du im Edge meist keine Gateway Redundanz hast (VRRP). Fällt der L3 Switch da aus ist aus....
Deshalb wird in 98% aller Fälle alles auf einen HA Core mit VRRP oder heutzutage auch einen gestackten Core zentralisiert.
Mit anderen Worten: Man macht es immer im Backbone !
Ich hatte die Rückrouten für die Subnetze/VLans drin, ich hatte NAT drin, ich hatte in meinen Regeln den Verkehr erlaubt.
Traceroute 8.8.8.8 --> 10.128.X.254 (VLAN GW) --> Ende...
0.0.0.0/0 auf Gateway der Watchguard war vorhanden.
Mit 0er Routen meine ich 0.0.0.0/0.
Traceroute 8.8.8.8 --> 10.128.X.254 (VLAN GW) --> Ende...
0.0.0.0/0 auf Gateway der Watchguard war vorhanden.
Mit 0er Routen meine ich 0.0.0.0/0.
Irgendwo hast du aber was vergessen. Das ist ein Millionen faches Standardszeario was de facto so funktioniert.
Irgendwas blockt dir die Watchguard also
Irgendwas blockt dir die Watchguard also
Werde den Sonntag "gemütlich" im Serverraum verbringen und mal mir das Ganze nochmal anschauen - hast eigtl. Recht, dass das ein Standardszenario ist und funktionieren sollte.
Ich werde auch die zwei Backbones mit Stack verbinden und als einen logischen Switch laufen lassen, anders bekomme ich nicht wirklcih eine Redundanz hin (VRRP nicht möglich hier) - wie du auch oben erwähnt hattest.
Unabhänging davon habe ich einige ganz dämliche Fragen - zu denen ich im Internet einfach keine passende Aussage auf mein Netzwerk zugeschnitten finde:
Wir reden in der Größenordnung von 2 Backbones und dann 8 Accessswitchen welche jeder direkt an die Backbones angeschlossen werden soll - ich mache mir Gedanken ob die Konstellation so sinnvoll ist...
1. Trunking/Trunk-Groups:
Ich habe jetzt folgend das alles eingerichtet:
Backbone 1 <--> TRK1 <--->Switch1
Backbone 2 <--> TRK1 <--->Switch1
Backbone 1 <-->Trk2 <--->Switch2
Backbone 2 <--->Trk2<---> Switch2
usw.
Backbones werden zu einem logischen gestackt.
Dh. ich habe für jeden Access-Switch eine Trunk-Gruppe und jede TrunkGruppe überträgt alle VLANs.
Bisher habe ich auch alle Vlans auf allen Switchen eingerichtet.
VLANs brauche ich zwar nicht alle überall, habe ich aber wegen MSTP mal gleich konfiguriert, damit ich da nicht durcheinander komme.
Macht man das so? Oder sollte ich die Trunks mit gleichen VLANs zusammenfassen?
2. MSTP
Ich habe Instanzen und Prioriäten und brauche mal das kurz und einfach erklärt. Habe mich nur an die BestPractice von dem o.g. Dokument gehalten.
Habe jetzt meine VLANs die erste Hälfte zur Instanz 1 genommen und die andere zur Instanz 2.
Wo liegt der Sinn der Instanzen und wie weit macht das Sinn für mich dieses zu definieren?
Daraus ergibt sich dann bei mehreren Instanzen die Prioriät...
Alle Anleitungen die ich gefunden habe sind immer mit 2-3 Switchen aufgebaut, Netzwerk war leider bisher kein Thema. Daher auch der Grund, warum ich nach der Arbeit da sitze und versuche mir die Infos aus dem Internet zu suchen - lässt imch keine Ruhe, wenn das nicht sauber läuft....
Ich werde auch die zwei Backbones mit Stack verbinden und als einen logischen Switch laufen lassen, anders bekomme ich nicht wirklcih eine Redundanz hin (VRRP nicht möglich hier) - wie du auch oben erwähnt hattest.
Unabhänging davon habe ich einige ganz dämliche Fragen - zu denen ich im Internet einfach keine passende Aussage auf mein Netzwerk zugeschnitten finde:
Wir reden in der Größenordnung von 2 Backbones und dann 8 Accessswitchen welche jeder direkt an die Backbones angeschlossen werden soll - ich mache mir Gedanken ob die Konstellation so sinnvoll ist...
1. Trunking/Trunk-Groups:
Ich habe jetzt folgend das alles eingerichtet:
Backbone 1 <--> TRK1 <--->Switch1
Backbone 2 <--> TRK1 <--->Switch1
Backbone 1 <-->Trk2 <--->Switch2
Backbone 2 <--->Trk2<---> Switch2
usw.
Backbones werden zu einem logischen gestackt.
Dh. ich habe für jeden Access-Switch eine Trunk-Gruppe und jede TrunkGruppe überträgt alle VLANs.
Bisher habe ich auch alle Vlans auf allen Switchen eingerichtet.
VLANs brauche ich zwar nicht alle überall, habe ich aber wegen MSTP mal gleich konfiguriert, damit ich da nicht durcheinander komme.
Macht man das so? Oder sollte ich die Trunks mit gleichen VLANs zusammenfassen?
2. MSTP
Ich habe Instanzen und Prioriäten und brauche mal das kurz und einfach erklärt. Habe mich nur an die BestPractice von dem o.g. Dokument gehalten.
Habe jetzt meine VLANs die erste Hälfte zur Instanz 1 genommen und die andere zur Instanz 2.
Wo liegt der Sinn der Instanzen und wie weit macht das Sinn für mich dieses zu definieren?
Daraus ergibt sich dann bei mehreren Instanzen die Prioriät...
Alle Anleitungen die ich gefunden habe sind immer mit 2-3 Switchen aufgebaut, Netzwerk war leider bisher kein Thema. Daher auch der Grund, warum ich nach der Arbeit da sitze und versuche mir die Infos aus dem Internet zu suchen - lässt imch keine Ruhe, wenn das nicht sauber läuft....
Ich werde auch die zwei Backbones mit Stack verbinden und als einen logischen Switch laufen lassen,
Das ist technisch auch die bessere Lösung als VRRP und 2 getrennte Systeme.Unabhänging davon habe ich einige ganz dämliche Fragen
Gibts ja nicht...nur dämliche Antworten... 1.)
Nur nochmal zum Rekapitulieren....
- Du formst aus den beiden Backbone Switches einen Stack. Die Backbones arbeiten dann quasi als ein logischer Switch.
- Jeder Access Switch hat einen einen Trunk aus 2 Links wovon jeweils einer auf Backbone 1 und Backbone 2 endet aus Redundanz.
2.)
Erstmal vorweg:
Wenn du dein Design nun so umsetzt wie in 1.= besprochen ist Spanning Tree völlig überflüssig, denn das brauchst du ja nicht mehr. Das ist auch ein weiterer Vorteil des Stacking im Core und das verwenden von LACP Trunks.
Durch die Trunks bist du STP los und verdoppelst gleichzeitig die Bandbreite bei gleichzeitiger Redundanz. Letztlich bedeutet das eine erhebliche Vereinfachung des Managements und Steigerung der Perfromance.
Ein Grund warum man so ein Design anstreben sollte.
Wenn du dennoch MSTP machen willst was eigentlich überflüssig ist, dann verhält sich das mit den Instanzen so:
Besser Switchhersteller machen ein Per VLAN Spanning Tree Verfahren (PVSTP oder PVSTP+ (Cisco)). Das bedeutet eine separate Spanning Tree Instanz pro VLAN.
Sinnvoll denn wenn der STP Prozess in einem VLAN mal ein Topo Change machen muss dann reisst es nicht gleich alles anderen VLANs mit wie es bei Single Spann Verfahren der Billigheimer der Fall wäre.
Sinnvoll also für die Stabilität des Netzwerkes insgesamt.
Billigheimer unter den Switchherstellern zu denen auch HP mit einem Großteil seiner produkte gehört haben sehr schwachbrüstige CPUs mit denen sowas nicht zu machen ist.
Um nun aber nicht in die Steinzeit mit Single Spann zurückzufallen gibt es den "Zwitter" MSTP. Dort kann man mehere VLANs in Instanzen bringen. Also Quasi eine Gruppe von single Spann Netzen, sprich eine Spanning Tree Instanz für diese Gruppe von VLANs.
Ein kastriertes limitiertes PVST wenn du so willst. Es bietet Nachteile skaliert aber bei schwacher CPU Leistung des Switches besser.
Eine sehr gute Lektüre die dir MSTP im Detail erklärt findest du hier:
http://blog.ine.com/2010/02/22/understanding-mstp/
Ich habe das Routing soeben hinbekommen - wie es sein soll.
Jetzt habe ich ein Gateway an der Watchguard und der gesamte Verkehr läuft hier drüber nach draussen.
Wie du es gesagt hast:
WG hat ein Interface und ist untagged mit dem Switch verbunden.
Default Route zeigt auf die WG.
Entsprechendes NAT sowie Rückrouten konfiguriert und fertig ist der Käsekuchen...
Man muss aufpassen, dass man die entsprechenden VLANs auf der Watchguard nicht konfiguriert hat, sonst beisst sich das irgendwie.....
Zumindest ein Erfolgserlebnis ... :D
Zum Thema Spanning-Tree: Ich halte es schon irgendwo für sinnvoll das zu benutzen - ist irgendwo eine Versicherung für mich gegen Netzwerkausfälle - falls man ja irgendwo eine Schleife hat....ohne würde es mir natürlich alles sehr viel einfacher machen...
Jetzt habe ich ein Gateway an der Watchguard und der gesamte Verkehr läuft hier drüber nach draussen.
Wie du es gesagt hast:
WG hat ein Interface und ist untagged mit dem Switch verbunden.
Default Route zeigt auf die WG.
Entsprechendes NAT sowie Rückrouten konfiguriert und fertig ist der Käsekuchen...
Man muss aufpassen, dass man die entsprechenden VLANs auf der Watchguard nicht konfiguriert hat, sonst beisst sich das irgendwie.....
Zumindest ein Erfolgserlebnis ... :D
Zum Thema Spanning-Tree: Ich halte es schon irgendwo für sinnvoll das zu benutzen - ist irgendwo eine Versicherung für mich gegen Netzwerkausfälle - falls man ja irgendwo eine Schleife hat....ohne würde es mir natürlich alles sehr viel einfacher machen...
Ich habe das Routing soeben hinbekommen - wie es sein soll.
Das hört sich sehr gut an !! So sollte es sein Zum Thema Spanning-Tree: Ich halte es schon irgendwo für sinnvoll das zu benutzen - ist irgendwo eine Versicherung für mich gegen Netzwerkausfälle
Ja, richtig. Wenn du etwas Redundanz in deinem Netzwerk hast solltest du das auch machen ansonsten besteht immer die Gefahr der Loops und damit dann Stillstand.
