hubsif
Goto Top

IP Routing im VLAN über 2 Switche - Procurve

Hallo,

habe eine möglicherweise einfache Frage:

Ich habe zwei HP Procurve 4100gl Switches, über LWL an beiden A21-Ports verbunden.

An Switch 1 hängt ein Server, IP 192.168.0.1 an Port E1.
Ausserdem ist ein VLAN eingerichtet:

VLAN 100, Name: System, IP: 192.168.0.20
Port E1 untagged (Server)
Port A21 tagged (LWL zu Switch2)


An Switch 2 hängt ein PC, IP 192.168.1.100/24, gw 192.168.1.30 an Port A1.
Ausserdem sind zwei VLANs eingerichtet:

VLAN 100, Name: System, IP: 192.168.0.30
Port A21 tagged (LWL zu Switch1)

VLAN 200, Name: Test, IP: 192.168.1.30
Port A1 untagged (PC)


Nun möchte ich mit dem PC den Server erreichen, was leider nicht funktioniert.
IP Routing ist bei beiden Switches aktiviert, die Routen für die Netze legt der Switch von selbst an.

Irgendetwas scheint aber zu fehlen, ich weiß nur nicht was!?

Wenn ich das ganze nur an einem Switch durchführe (also z.B. den Server an Port A2 von Switch2 hänge, und den Port untagged für VLAN 100 markiere), funktioniert es, nur über beide Switches hinweg nicht.

Was weiss ich nicht über VLANs, was ich noch einstellen müsste?

Vielen Dank!
hubsif.

Content-Key: 72077

Url: https://administrator.de/contentid/72077

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: admin911
admin911 27.10.2007 um 20:19:32 Uhr
Goto Top
'n Abend 'hubsif'

config klingt eigentlich plausibel.
öffne terminal fenster beim 0.20
pingen auf 0.30 geht wahrscheinlich.
geht pingen auf 1.30? wenn nein geht das routen schon mal nicht.
Grüße, Peter
Mitglied: admin911
admin911 27.10.2007 um 21:47:44 Uhr
Goto Top
Jetzt muß ich mir doch glatt selbst antworten.....
Ich glaube in der config stimmt doch was nicht..
der 0.20 muß mit ins 2te VLAN, da bin ich zeimlich sicher.
Also das VLAN200 auch auf dem 0.20 erstellen und auf beiden Seiten den Trunk Port in beide VLANs aufnehmen. Der trunk Port ist der mit dem du die Switches verbindest.
Alternativ: Du verbindest die beiden Switche mit 2 Leitungen. Die eine verbindet VLAN100 und die andere VLAN 200. Dann brauchst du kein tagging (IEEE 802.1Q). Und es entsteht auch kein Flaschenhals. (Falls man einige Dutzend Rechner in jedem VLAN hat.)
So ich hoffe ich habe kein Mist geschrieben, hab' grade keine 2 Switches in der Tasche...
Grüße, Peter
Mitglied: aqui
aqui 02.11.2007 um 13:25:56 Uhr
Goto Top
@admin911

Nein, das wäre nicht richtig ! Generell ist dein Vorschlag nicht falsch aber dann hast du ja nichts anderes als eine Layer 2 Verbindung auch von VLAN 200 zum ersten Switch was hubsif sicher nicht will...vermutlich ?!

So wie angegeben ist seine Konfiguration OK. VLAN 200 wird lokal geroutet in VLAN 100 an Switch 2 und geht dann via tagged Link zum Server an Switch 1. Eigentlich alles ok.

Der vermutliche Grund ist wahrscheinlich, wie so immer, der falsche Gateway Eintrag von Server und Client PC !!!
Der Server muss mit seinem Gateway auf die 192.168.0.30 an Switch 2 zeigen ! Die .0.20 als Gateway geht NICHT da das VLAN 200 am Switch 1 nicht anliegt und hier nicht geroutet werden kann !!! ( Admin911 , da würde dann deine Konfig wieder greifen face-wink )
Der Client PC an Switch 2 in VLAN 200 muss mit dem Gateway auf die 192.168.1.30 zeigen !!

Mit den Einstellungen der Endgeräte sollte alles problemlos laufen !! Ein Feedback von hubsif wär deshalb mal interessant.....
Mitglied: hubsif
hubsif 02.11.2007 um 14:01:38 Uhr
Goto Top
Hallo,

Erstmal danke für die Kommentare.

@aqui: Das stimmt. Das eigentliche Ziel war, VLAN 200 _nicht_ auf Switch 2 haben zu müssen. Bisher konnte ich noch keine neuen Tests durchführen, da ich das bisherige Netzwerk nicht lahmlegen konnte ;).
Ich könnte mir aber wirklich vorstellen, dass das Problem bei der IP-Konfiguration/Gateways auf dem Server lag. Dort gab es keine Route zum 192.168.1.0/24-Netzwerk, das habe ich nicht beachtet.

Ich werde es mal testen, eine Route a la: Dest 192.168.1.0 GW 192.168.0.30 einzufügen. Vermute fast, dass es dann klappt.

Melde mich wieder, wenn ich's testen konnte!
Danke einstweilen!

Grüße
hubsif.
Mitglied: aqui
aqui 02.11.2007 um 20:56:51 Uhr
Goto Top
Hallo Hubsif

Du schreibst... Dort gab es keine Route zum 192.168.1.0/24-Netzwerk...

Das ist Unsinn !!! Das brauch der Server NICHT ! Wozu auch, denn der Switch 2 routet ja !
Der Server benötigt NUR einen Standardgateway Eintrag auf die 192.168.0.30 (IP Adresse Switch 2) und sonst nichts !!

Der zentrale Switch der routet fuer dich zwischen VLAN 100 und VLAN 200 ist ja der Switch 2. Die IP Adressen dieses Switches gelten fuer alle Endgeraete in VLAN 100 und 200 als Gateway IP Adressen !!!
Ein Packet vom Server zum PC wird also dann normal Layer 2 geswitched in VLAN 100 ueber den LWL Link zur IP Adresse von VLAN 100 an Swutch 2. Diese IP solltest du auch vom Server problemlos pingen koennen an Switch 2 !?
Der Switch 2 routet es dann lokal in sein VLAN 200 zum PC. Zurueck nimmt das Packet den gleichen Weg rueckwaerts.
In solchen Szenarien muss man aber niemals statische Routen auf Endgeräte konfigurieren, das bleibt Fakt.
Denn routen sollen ja deine Switches bzw. das Netz und nicht die PCs oder Server face-wink

Schreib mal obs so geklappt hat....
Mitglied: hubsif
hubsif 03.11.2007 um 19:06:52 Uhr
Goto Top
Hallo aqui,

also 1.: Es hat geklappt, Problem war das Routing.

2.: Problematik Standard-Gateway/statische Route:
Die Sache ist, dass der Server auch eine Internet-Verbindung braucht, deshalb steht der Default-Gateway auf den Firewall/Proxy/Router-PC (Das hatte ich aufgrund der Vereinfachung weggelassen). Nachdem der auch an Switch1 hängt, würde es für mich keinen Sinn machen, die Default-Route auf Switch2 zu legen. Ausserdem müsste ich dann in Switch2 eine Default-Route zum Firewall-PC legen, was wohl etwas umständlich ist. Da liege ich doch richtig, oder?

Fazit: Nach Anlegen der genannten statischen Route ins 192.168.1.0/24-Netz hat es funktioniert. Es sollen noch mehr VLANs dazu kommen, deren Rechner ebenfalls auf den Server zugreifen werden, weshalb ich wohl für jedes VLAN eine statische Route anlege. Der Firewall-PC hat die IP 192.168.0.2 in VLAN 100 (System) und ist mit dem Internet verbunden. Nachdem die Internet-Verbindung von den Clients aus direkt über den Firewall-PC erfolgen soll, werde ich wohl auf diesem auch genannte Routen anlegen müssen. Ich könnte zwar auch entsprechende Routen z.B. in Switch1 anlegen, dann würde wahrscheinlich aber jeder PC auf die anderen Netze zugreifen können, was nicht erwünscht ist.

Falls es für dieses Szenario eine bessere Lösung gibt, bin ich für Vorschläge dankbar. Bis dahin werde ich es wohl erst einmal so einrichten.

Vielen Dank für die Hilfe!
hubsif.

P.S.: Hm, dann kommt der Client aber noch nicht ins Internet, brauch ich wohl doch eine Default-Route auf dem Switch die auf den Firewall-PC zeigt...

P.S.2: Zur besseren Übersicht nochmal eine Zusammenfassung:

Client-PC (an Switch2):
IP 192.168.1.100/24, Gateway 192.168.1.30 (später über DHCP erhalten), in VLAN 200

Switch2:
VLAN 200: IP 192.168.1.30/24
VLAN 100: IP 192.168.0.30/24, verbunden über tagged-Port mit Switch1
statische Default-Route mit Gateway 192.168.0.2
Routing an

Switch1:
VLAN 100: IP 192.168.0.20/24, verbunden über tagged-Port mit Switch2
Routing an

Server:
IP 192.168.0.1/24, Gateway 192.168.0.2, in VLAN 100
statische Route: Ziel 192.168.1.0/24 Gateway 192.168.0.30

Firewall-PC:
IP 192.168.0.2/24, Gateway von DSL-Provider, in VLAN 100
statische Route: Ziel 192.168.1.0/24 Gateway 192.168.0.30

Szenario ist für mehrere Clients und Client-VLANs (vergleichbar VLAN 200) zu replizieren.
Mitglied: aqui
aqui 05.11.2007 um 15:56:35 Uhr
Goto Top
Ja, in jedem Falle ist dein Switch 2 deine zentrale Routing Instanz im Netz gerade im Hinblick auch auf die zukünftigen VLANs die du planst.
Auf ihn gehört dann natürlich auch die default Route an das Internet Gateway !!!
Bedenke immer das deine Infrastruktur routen sollte in solchen Szenarien und niemals die Endgeräte und das betrifft auch alle deine Server, denn die sollen nicht miT Packet Routing belastet werden sondern sie sollen serven... !!!

Damit siehst du dann auch das sonst in deiner Zusammenfassung alles richtig ist, nur der Server hat eine falsche Konfig !! Richtig müsste diese lauten:

IP 192.168.0.1/24, Gateway 192.168.0.30, in VLAN 100

Die statische Route MUSS mit dem Kommando route delete... unbedingt vom Server entfernt werden !!!
Dadurch das du an Switch 2 statische Default-Route mit Gateway 192.168.0.2 richtig konfiguriert hast hat der Server auch wieder Internet Zugang !!! So ist das gesamte Routing switchbasierend und sauber !
Wichtig:
Dein Internet Router kennt natürlich nur das .0er Netz aber nicht die weiteren .1er (VLAN 200) und .x weitere VLANs. Damit er diese wieder zuordnen kann musst du dem Internet Router natürlich noch eine statische Route auf den Switch 2 konfigurieren, damit er die VLANs intern wieder über Switch 2 routen kann. Der Internet Firewall Router muss also sowas im Routing Setup haben wie:
Zielnetz 192.168.1.0, Maske 255.255.255.0, Gateway: 192.168.0.30 (Switch 2)
Diesen Eintrag musst du für jedes weitere VLAN machen was du an Switch 2 einrichtest sofern die Clients Internet Zugang bekommen sollen und nicht über einen lokalen Proxy arbeiten !

Das was du da umsetzt ist ein klassisches Layer 3 VLAN Routing Szenario in geswitchten Netzen und die logische Konsequenz ist dann natürlich das auch auf deinen Switches alle relevanten Routen konfiguriert werden !!! Auf diesem Wege solltest du in jedem Falle weitermachen, denn das ist ein klassisches Verfahren Netze zu segmentieren und performant zu halten !!