Frage zum VLAN einrichten mit einem HP Switch

Ich habe eine WatchGuard im Betrieb und habe bei dieser 3 VLAN's auf dem Physikalichen Port 4 konfiguriert. An dem besagten Port hängt ein HP Procurve 1700 24 und dieser hat die gleichen VLAN ID's. Port 2 gehört zu VLAN ID 2 usw. Nur bekomme ich keine IP an den Ports am HP Switch was mache ich falsch?

WatchGuard: Port 4 -> VLAN ID 2: 192.168.101.1/24; VLAN ID 3: 192.168.102.1/24; VLAN ID 4: 192.168.103.1/24; Eingestellt als Tagget.

HP Procurve 1700 24
VLAN ID 2 auf Port 2
VLAN ID 3 auf Port 3
VLAN ID 4 auf Port 4
VLAN ID 1 auf den restlichen Ports

Was mache ich Falsch?

Please also mark the comments that contributed to the solution of the article

Content-Key: 209053

Url: https://administrator.de/contentid/209053

Printed on: April 18, 2024 at 05:04 o'clock

11 Comments

Latest comment

Hallo,

du solltest auf dem HP-Switch an dem Deine Watchguard hängt, den Port auf Tagging umstellen und alle VLANs auf diesen Port legen.

Gruß

Anton

Dieses Tutorial sollte dir helfen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Es hat auch ein Konfig Beispiel für die HP Gurke !

Aber wenn alle auf einem Port sind können diese doch mit einander kommunizieren. Ich wollte es so haben das die VLAN's sich nicht sehen und und ich an der Watchguard dann einzelne Ports freigebe.

Nein, sie können nur kommunizieren wenn der Switch auch ein Layer 3 Switch ist !! Der HP 1700 ist aber nur ein billiger Layer 2 only Switch:
http://h10010.www1.hp.com/wwpc/de/de/sm/WF06b/12883-12883-4172267-41722 ...

VLANs sind in sich geschlossene und getrennte Layer 2 Broadcast Domains auf einem Switch. Stelle dir ein Layer 2 Switch mit 3 VLANs so vor wie 3 einzeln getrennte Switches die nur in einem Gehäuse vereint sind.
Wenn du alle VLANs auf einem Port hast bedeutet das lediglich das diese an diesem Port mit einem IEEE 802.1q VLAN Tag ausgesendet bzw. übertragen werden ! Kommunikation ist damit nicht möglich logischerweise, ist ja auch nicht der Sinn des ganzen, denn man will ja VLANs vollkommen getrennt halten um Netze eben zu segmentieren und skalierbar und performant zu machen. Vermutlich auch deine Intention die ja auch sehr sinnvoll ist ?!

Bei einem Layer 2 only Switch wie es die billige Procurve Gurke oben ist ist logischerweise keinerlei Kommunikation zwischen den VLANs möglich, denn der Switch ist KEIN Layer 3 (Routing) Switch, kann also nicht zw. den VLANs routen !
Du solltest dir besser nochmal etwas Grundlagen zum Thema VLAN anlesen um diese Zusammenhänge zu verstehen. Es hört sich so an als on das Thema VLAN für dich ein Buch mit 7 Siegeln ist ?!
Zu empfehlen als Lektüre ist die Beschreibung hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
und hier
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Damit hast du dann genug Wissen um dein Szenario hoffentlich zu verstehen.
Mit dem 1700er Switch brauchst du de facto einen externen Router oder einen Server der zw. den VLANs routen kann.
Die folgenden Tutorials beschreiben so eine einfache Lösung des ganzen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und mit einem Server und entspr. NICs
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren

Ich wollte einfach nur 4 VLAN's erstellen habe dafür einen Physikalichen Port an der Watchguard darauf sind die VLAN's konfiguriert mit der einstellung tagged.
An dem Switch stehen alle auf Alle und der der mit der Watchgaurd verbunden ist port 23 auf tagged. Das ganze ist nur eine Testumgebung, endgülltig sollen die Switche dran die momentan auch im einsatz sind. HP Procurve 1810-24/ V1810-48. Bei den Switch habe ich auch die Möglichkeit die Port auf Tagged/Untagged/Exklusive zu stellen.

Ich hab nun nur noch eine Farge erst mal ist mein Vorhaben überhaupt möglich? Das ich die VLAN's auf den beiden Switchen versteile und der Verkehr über die Watchguard über Regeln gemacht wird.

OK, dann ist das falsch rübergekommen ! Klar wenn die Watchguard alle VLANs auf tagged hat dann klappt das natürlich problemlos !
Wichtig natürlich das der Switch auch alle VLANs auf tagged an dem Port hat, außer VLAN 1 das ist das native VLAN das ist immer untagged an einem tagged Port.
Die HP Konfig auf einem 24 Port Switch sieht dann so aus am Port 23:
HP_Switch#
time timezone 60
time daylight-time-rule Middle-Europe-and-Portugal
spanning-tree protocol-version rstp
spanning-tree force-version rstp-operation
exit
interface 23
name "VLAN Tagged Link zur Watchguard"
interface 24
name "VLAN Tagged Link zu Switch 2"
exit
vlan 1
name "DEFAULT_VLAN"
untagged 1-9
ip address 172.16.1.254 255.255.255.0
exit
vlan 2
name "VLAN-2"
untagged 10-11
tagged 23-24
exit
vlan 3
name "VLAN-3"
untagged 12-13
tagged 23-24
exit
vlan 4
name "VLAN-4"
untagged 14-15
tagged 23-24
exit
Fertisch !
...eigentlich kinderleicht.
Zu deine Frage der Machbarkeit: Ja, das ist ein ganz klassisches Design um gesichert zwischen den VLANs mit einer Firewall zu kommunizieren !
Wenn du dir das [ obige_Tutorial] einmal wirklich durchgelesen hättest dann hättest du im Kapitel "Praxisbeispiel" exakt ! dein Design und Vorhaben wiedergefunden.
Aber wie immer leider vermutlich nichtmal einen Blick riskiert...

Schade, denn das hätte die eigentlich überflüssige Frage hier sofort beantwortet.
Bei der Switcheinrichtung ist zu beachten:

VLANs mit den VLAN IDs identisch auf beiden Switches einrichten.
Uplinks zwischen den Switches tagged für alle VLANs außer VLAN 1 einstellen. So sind alle VLANs transparent zw. beiden Switches.
Endgeräte Ports zu den entsprechenden VLAN untagged auf beiden Switches zuweisen.
Uplink zur Watchguard entsprechend genau so einrichten wie die Uplinks zwischen den Switches. (Punkt 2)

Wie gesagt...steht alles haarklein so im Tutorial beschrieben das auch Laien das verstehen, inklusive einer HP Switch Konfig zum Abtippen. Lesen musst du aber schon selber....
Ein klassisches Allerweltsdesign was tausendfach so im Einsatz ist !
Du machst allso alles richtig !

Ich habe schon rein geschaut. Bloß ich mache wohl den Fehler das ich es mit der Weboberfläsche vom HP-Switch lösen wollte. Diese Konfiguration muss ich per Telenet einspielen und so etwas habe ich noch nie gemacht. So fern ich mich nicht verlesen habe steht in dem Tuto nicht drin wie das mit Telnet geht.

Ich hab noch eine andere Kurze Frage wenn ich an der WatchGuard an Port 4 ein VLAN auf untagged setze und daran einen einfach 8 Port Switch von HP setze. Sind dann alle dem 8 Port Switch im VLAN?

Ja, Weboberfläche ist meistens ziemlicher Bullshit auf Switches..besonders HP. Da macht man mehr falsch als richtig als Laie. CLI ist immer dein Freund ! Da siehst du immer sofort was de facto auf der Maschine konfiguriert ist !
Per Telnet musst du nichts "einspielen" !! Du kannst das ganz einfach online eintippen und mit "show" Kommandos sichtbar machen !
"show run" zeigt dir z.B. die komplette aktuelle Switchkonfig !
Mit einem ? kannst du z.B. sehen was für Kommandos du hast. Ein "show ?" zeigt dir z.B. alle Show Kommandos.
Zu deiner Frage: Ja, wenn das ein dummer Switch ist oder der Switchport untagged ist dann ist logischerweise jeder Switchport in dem untagged VLAN was am Watchguard Port ist.
Klassisches VLAN....bitte mal die einfachen Grundlagen lesen dazu...!

Sorry was meinst du mit Online eintippen mit Show? Und ich dachte der 1700 hat kein CLI?

Also wenn ich richtig gegooglt habe kann ich die Switche 1700 und 1810 nicht per Telnet/CLi oder sonst was konfigurieren.

Typisch wieder HP Billigswitch...no comment ! Zum Glück gibts ja noch andere die das besser können....
OK, wenn dem so ist bleibt dir nur Klicki Bunti und eben kein CLI

German Question Network Management Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment