7
HP Switch, VLAN Verhalten komisch
Moin Zusammen,
Ich habe ein etwas älteren Switch (HP Switch 3500yl-48G (J8693A)) aber er tut's noch...
Ich habe das Default VLAN (1), IoT VLAN (10), WLAN VLAN(11), WLAN Gäste VLAN(12), nun ein neues VIDEO VLAN (16)
Das VLAN habe ich auf meine opnSense angelegt inkl. DHCPv4, mit IP 172.16.16.254, auf dem Switch habe ich das VLAN 16 mit Manual IP (172.16.16.1, 255.255.255.0) angelegt.
Ports 1-48 für Default VLAN stehen auf "Untagged", die Ports 13-18 habe ich VLAN16 auf "tagged" gesetzt, alle anderen stehen auf "untagged", nun habe ich das Problem, dass die Endgeräte IPs aus dem Default VLAN 1 bekommen und nicht aus dem VLAN 16...
Stelle ich auf den Ports 13-18 das Default VLAN 1 auf "No", erreiche ich die Geräte nicht mehr..
Habe ich etwas vergessen? oder übersehen?
Grüße,
Daniel
Ich habe ein etwas älteren Switch (HP Switch 3500yl-48G (J8693A)) aber er tut's noch...
Ich habe das Default VLAN (1), IoT VLAN (10), WLAN VLAN(11), WLAN Gäste VLAN(12), nun ein neues VIDEO VLAN (16)
Das VLAN habe ich auf meine opnSense angelegt inkl. DHCPv4, mit IP 172.16.16.254, auf dem Switch habe ich das VLAN 16 mit Manual IP (172.16.16.1, 255.255.255.0) angelegt.
Ports 1-48 für Default VLAN stehen auf "Untagged", die Ports 13-18 habe ich VLAN16 auf "tagged" gesetzt, alle anderen stehen auf "untagged", nun habe ich das Problem, dass die Endgeräte IPs aus dem Default VLAN 1 bekommen und nicht aus dem VLAN 16...
Stelle ich auf den Ports 13-18 das Default VLAN 1 auf "No", erreiche ich die Geräte nicht mehr..
Habe ich etwas vergessen? oder übersehen?
Grüße,
Daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6585930008
Url: https://administrator.de/contentid/6585930008
Printed on: May 24, 2024 at 03:05 o'clock
7 Comments
Latest comment
Guten Morgen!
Kannst du bitte einmal die Switch-Konfiguration (zumindest den VLAN-Teil) posten (show running-config oder im Webinterface runterladen)?
Und noch sagen, an welchem Port die OPNsense angesteckt ist.
Dann tun wir uns leichter!
Danke!
Stefan
Kannst du bitte einmal die Switch-Konfiguration (zumindest den VLAN-Teil) posten (show running-config oder im Webinterface runterladen)?
Und noch sagen, an welchem Port die OPNsense angesteckt ist.
Dann tun wir uns leichter!
Danke!
Stefan
Na klaro, Sorry in der Tat vergessen!
Gruß,
Daniel
Running configuration:
; J8693A Configuration Editor; Created on release #K.16.02.0026
; Ver #10:08.03.81.30.02.34.59.2c.6b.ff.f7.fc.7f.ff.3f.ef:26
hostname "HP-Switch-3500yl-48G"
module 1 type j86yya
module 2 type j86xxa
ip default-gateway 172.16.1.254
....
....
....
interface 43
name "Firewall OPNsense"
exit
vlan 1
name "DEFAULT_VLAN"
untagged 1-48
ip address 172.16.1.1 255.255.255.0
exit
vlan 10
name "IoT"
tagged 2-3,9,43
ip address 172.16.10.1 255.255.255.0
exit
vlan 11
name "WLAN Gäste-VLAN"
tagged 4-6,9,43
ip address 172.16.11.1 255.255.255.0
exit
vlan 12
name "WLAN-INTERN"
tagged 4-6,9,43
ip address 172.16.12.1 255.255.255.0
exit
vlan 13
name "VPN-VLAN-RZ1"
tagged 10-12,9,43
ip address 172.16.13.1 255.255.255.0
exit
vlan 14
name "VPN-VLAN-RZ2"
tagged 10-12,9,43
ip address 172.16.14.1 255.255.255.0
exit
vlan 15
name "VPN-VLAN-BACKUP-RZ"
tagged 10-12,9,43
ip address 172.16.15.1 255.255.255.0
exit
vlan 16
name "VIDEO-VLAN"
tagged 2,8,13-20,43
ip address 172.16.16.1 255.255.255.0
exit
spanning-tree
no tftp server
no autorunGruß,
Daniel
Das ist ganz normal, da alle Ports bei dir untagged im VLAN 1 sind. Alle anderen VLAN sind tagged, sprich die Geräte an diesen Ports müssen VLAN-fähig sein.
Nimmst du jetzt das untagged VLAN 1 vom Port herunter, hängen nicht VLAN-fähige Geräte oder VLAN-fähige Geräte ohne korrekte Konfiguration einfach in der Luft, weil der Switch mit den Paketen nichts anfangen kann und verwirft. Dafür musst du dann ein anderes VLAN für den entsprechenden Port auf untagged definieren.
Deine Konfiguration und dein Konfigurationswunsch zeigt, dass du, wie viele andere auch, Verständnisprobleme mit tagged und untagged im VLAN-Umfeld hast. So wie du es aktuell betreibst, ist bei dir der Einsatz von VLANs unnötig, weil alles im selben VLAN liegt. Die anderen existieren, werden aber vermutlich nicht genutzt.
Nimmst du jetzt das untagged VLAN 1 vom Port herunter, hängen nicht VLAN-fähige Geräte oder VLAN-fähige Geräte ohne korrekte Konfiguration einfach in der Luft, weil der Switch mit den Paketen nichts anfangen kann und verwirft. Dafür musst du dann ein anderes VLAN für den entsprechenden Port auf untagged definieren.
Deine Konfiguration und dein Konfigurationswunsch zeigt, dass du, wie viele andere auch, Verständnisprobleme mit tagged und untagged im VLAN-Umfeld hast. So wie du es aktuell betreibst, ist bei dir der Einsatz von VLANs unnötig, weil alles im selben VLAN liegt. Die anderen existieren, werden aber vermutlich nicht genutzt.
Servus,
die Konfiguration wirkt in der Tat etwas seltsam, außer an allen anderen Ports stecken Geräte, die mit VLANs klar kommen.
Also z.B. APs im VLAN 1 zur Verwaltung und 11 und 12 für die beiden SSIDs.
Für die Kameras müsstest du die Ports auf untagged VLAN 16 setzen:
Stefan
die Konfiguration wirkt in der Tat etwas seltsam, außer an allen anderen Ports stecken Geräte, die mit VLANs klar kommen.
Also z.B. APs im VLAN 1 zur Verwaltung und 11 und 12 für die beiden SSIDs.
Für die Kameras müsstest du die Ports auf untagged VLAN 16 setzen:
configure
; OPNsense tagged
vlan 16 tagged 43
; Ports der Kameras untagged
vlan 16 untagged 10-20
; speichern
wr memStefan
Ergänzung:
"wr mem" vielleicht erst machen, wenn alles nach deinen Wünschen läuft. Ansonsten einfach Switch neu starten, dann hast du die alte Konfiguration wieder.
Zu VLANs und dem Kommentar von tikayevent:
Du siehst ja an den vergebenen IP-Adressen der Endgeräte (wenn DHCP aktiv ist), über welches VLAN die Verbindung besteht. Wenn alles aus 172.16.1.x kommt, dann hängt alles im VLAN 1 und dann machen VLANS wie schon gesagt keinen Sinn.
Die VLANs sind schnell eingerichtet und auch die Geräte schnell in die VLANs gesteckt. Spannender sind dann die Firewall-Regeln, dort musst du dann festlegen, welche Verbindungen erlaubt bzw. verboten sind.
Stefan
"wr mem" vielleicht erst machen, wenn alles nach deinen Wünschen läuft. Ansonsten einfach Switch neu starten, dann hast du die alte Konfiguration wieder.
Zu VLANs und dem Kommentar von tikayevent:
Du siehst ja an den vergebenen IP-Adressen der Endgeräte (wenn DHCP aktiv ist), über welches VLAN die Verbindung besteht. Wenn alles aus 172.16.1.x kommt, dann hängt alles im VLAN 1 und dann machen VLANS wie schon gesagt keinen Sinn.
Die VLANs sind schnell eingerichtet und auch die Geräte schnell in die VLANs gesteckt. Spannender sind dann die Firewall-Regeln, dort musst du dann festlegen, welche Verbindungen erlaubt bzw. verboten sind.
Stefan
Ich habe das Default VLAN (1), IoT VLAN (10), WLAN VLAN(11), WLAN Gäste VLAN(12), nun ein neues VIDEO VLAN (16)
Hast Du je geprüft, ob die Geräte der anderen VLANs wirklich eine VLAN-Zuweisung bekommen? Das würde bei Dir nämlich nur funktionieren, wenn die am Switch angeschlossenen Geräte bereits selbst ein VLAN-Tag mitsenden. Dies tun die Geräte im Video-VLAN offenbar nicht, deshalb hast Du dasProblem, dass die Endgeräte IPs aus dem Default VLAN 1 bekommen und nicht aus dem VLAN 16...
Normal bezieht ein am Switchport angeschlossenes Gerät das dort definierte untagged-VLAN. Dieses kannst Du durch setzen der PVID für jeden Switchport konfigurieren. Du kannst also die Video-VLAN-Ports auf untagged setzen, musst aber die PVID 16 mitgeben.Zur Sense brauchst Du dann natürlich noch einen Trunkport, der (auch) das VLAN 16 (hier dann: ) tagged übergibt.
Kollege @stefaan hat beides oben schon für Dich in Kommandos umgesetzt, denke ich.
Alles was man zum Thema wissen muss, findest Du hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Viele Grüße, commodity
1
Endgeräte verstehen kein Tagging sofern man es ihnen nicht explizit beibringt was aber im Normalbetrieb natürlich Unsinn ist.
Genau da liegt dein Fehler das du die VLAN Logik insbesondere bei Endgeräte (untagged Access) Ports und deren statischer Zuweisung zu einem VLAN (sog. "Port based VLANs) vermutlich nicht richtig verstanden hast?!
Endgeräte Ports weisst man immer als Access Ports einem statischen VLAN zu (Untagged).
Tagging benutzt man ausschliesslich nur bei Switch zu Switch Verbindungen und Geräten denen man eine VLAN Information mitgeben muss. Endgeräte wie PCs, Drucker usw. sind das natürlich NICHT, denn die verstehen, wie bereits gesagt, kein Tagging. Ein simple VLAN Binsenweisheit!
Ein weiterer unglücklicher Punkt ist das du ein Layer 2 VLAN Konzept, wo das VLAN Routing immer extern ist und der Switch nur im L2 Mode arbeitet, mit einem Layer 3 VLAN Konzept wo der VLAN Switch selber routet (L3 VLAN Switch) vermischst.
Beispiele zu solchen Setups siehst du hier (Layer2) und hier für die Layer 3 Variante.
Generell sollte man immer entweder das eine oder das andere machen. Mischen geht natürlich auch und ist in einigen Fällen auch sinnvoll, aber in dem Fall muss man genau darauf achten WER das betreffende VLAN routet. Das kann logischerweise immer nur entweder der Switch (sofern er L3 fähig ist) oder der externe Router/Firewall bei L2.
Sollte sowas nicht zwingend erforderlich sein, sollte man immer bei einem durchgängigen Konzept bleiben!
Ein Blick in die VLAN Schnellschulung kann deinem VLAN Verständnis sicher auch nicht schaden bzw. ist dringend angebracht. Lesen und verstehen...
Mit dem Rüstzeug machst du dich dann noch einmal an ein diesmal dann hoffentlich richtiges Design anstatt der Frickelei mit falschem Tagging wie oben!!
Genau da liegt dein Fehler das du die VLAN Logik insbesondere bei Endgeräte (untagged Access) Ports und deren statischer Zuweisung zu einem VLAN (sog. "Port based VLANs) vermutlich nicht richtig verstanden hast?!
Endgeräte Ports weisst man immer als Access Ports einem statischen VLAN zu (Untagged).
Tagging benutzt man ausschliesslich nur bei Switch zu Switch Verbindungen und Geräten denen man eine VLAN Information mitgeben muss. Endgeräte wie PCs, Drucker usw. sind das natürlich NICHT, denn die verstehen, wie bereits gesagt, kein Tagging. Ein simple VLAN Binsenweisheit!
Ein weiterer unglücklicher Punkt ist das du ein Layer 2 VLAN Konzept, wo das VLAN Routing immer extern ist und der Switch nur im L2 Mode arbeitet, mit einem Layer 3 VLAN Konzept wo der VLAN Switch selber routet (L3 VLAN Switch) vermischst.
Beispiele zu solchen Setups siehst du hier (Layer2) und hier für die Layer 3 Variante.
Generell sollte man immer entweder das eine oder das andere machen. Mischen geht natürlich auch und ist in einigen Fällen auch sinnvoll, aber in dem Fall muss man genau darauf achten WER das betreffende VLAN routet. Das kann logischerweise immer nur entweder der Switch (sofern er L3 fähig ist) oder der externe Router/Firewall bei L2.
Sollte sowas nicht zwingend erforderlich sein, sollte man immer bei einem durchgängigen Konzept bleiben!
Ein Blick in die VLAN Schnellschulung kann deinem VLAN Verständnis sicher auch nicht schaden bzw. ist dringend angebracht. Lesen und verstehen...
Mit dem Rüstzeug machst du dich dann noch einmal an ein diesmal dann hoffentlich richtiges Design anstatt der Frickelei mit falschem Tagging wie oben!!
1