8
Mehrere Switche per Trunk verbinden - korrekte VLAN-Config
Hallo Zusammen,
ich habe in einer Firma ein Netzwerk mit einem L3-Switch (H3C S5800) und dahinter diverse L2-Swtiche von HP.
Diese sind mit LWL bzw. Kupfer miteinander verbunden und laufen auch Prima.
Nun haben wir VLANs ausgerollt, und damit auch entsprechende DHCP-Ranges etc. auch hier funktioniert soweit alles technisch.
ABER...
seit der Umstellung sind die Web-Interfaces und auch die CLI der L2-Switche nicht mehr erreichbar, anpingen lassen sich die Geräte allerdings.
Und auch an den Switches angeschlossene PCs laufen problemlos.
Die Trunks sind auf beiden Seiten (L2 + L3) identisch konfiguriert (VLAN1 untagged, alle anderen tagged).
Wenn die Ports an den L2-Switchen nicht weiter konfiguriert sind (also PVID 1), dann bekommen Sie auch eine IP aus dieser Range.
Nun habe ich etwas rumprobiert und die Web-Interfaces und CLI wieder erreichbar gemacht, indem ich die Trunks "über Kreuz" konfiguriert habe.
Also, L3 (wie gehabt) und den L2 ( 115 (Server-VLAN) untagged, und das 1 tagged) dann komme ich wieder überall rein, aber die Ports auf den L2, die nicht konfiguriert sind, erhalten nun eine IP aus dem ServerVLAN.
Ich habe schon diverse Einstellungen getestet, und komme einfach nicht drauf, warum die L2 nicht erreichbar sind, wenn die Trunks "korrekt" konfiguriert sind.
Hat jemand eine Idee?
Wenn weitere Informationen benötigt werden, dann sagt Bescheid.
Danke und LG
Tobi
ich habe in einer Firma ein Netzwerk mit einem L3-Switch (H3C S5800) und dahinter diverse L2-Swtiche von HP.
Diese sind mit LWL bzw. Kupfer miteinander verbunden und laufen auch Prima.
Nun haben wir VLANs ausgerollt, und damit auch entsprechende DHCP-Ranges etc. auch hier funktioniert soweit alles technisch.
ABER...
seit der Umstellung sind die Web-Interfaces und auch die CLI der L2-Switche nicht mehr erreichbar, anpingen lassen sich die Geräte allerdings.
Und auch an den Switches angeschlossene PCs laufen problemlos.
Die Trunks sind auf beiden Seiten (L2 + L3) identisch konfiguriert (VLAN1 untagged, alle anderen tagged).
Wenn die Ports an den L2-Switchen nicht weiter konfiguriert sind (also PVID 1), dann bekommen Sie auch eine IP aus dieser Range.
Nun habe ich etwas rumprobiert und die Web-Interfaces und CLI wieder erreichbar gemacht, indem ich die Trunks "über Kreuz" konfiguriert habe.
Also, L3 (wie gehabt) und den L2 ( 115 (Server-VLAN) untagged, und das 1 tagged) dann komme ich wieder überall rein, aber die Ports auf den L2, die nicht konfiguriert sind, erhalten nun eine IP aus dem ServerVLAN.
Ich habe schon diverse Einstellungen getestet, und komme einfach nicht drauf, warum die L2 nicht erreichbar sind, wenn die Trunks "korrekt" konfiguriert sind.
Hat jemand eine Idee?
Wenn weitere Informationen benötigt werden, dann sagt Bescheid.
Danke und LG
Tobi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 321297
Url: https://administrator.de/contentid/321297
Printed on: April 23, 2024 at 07:04 o'clock
8 Comments
Latest comment
Hallo 
VLAN-Trunks sind doch i.d.R. immer tagged oder nicht?
Dann würde es mich auch nicht wundern, dass es nicht funktioniert.
liebe Grüße
Yannosch
VLAN-Trunks sind doch i.d.R. immer tagged oder nicht?
Dann würde es mich auch nicht wundern, dass es nicht funktioniert.
liebe Grüße
Yannosch
indem ich die Trunks "über Kreuz" konfiguriert habe.
Uuuhhhh da mag man gar nicht weiterlesen. Das hört sich nach gruseliger Trial and Error Bastelei an von jemanden der nicht wirklich weiss was VLANs sind.Also beschreiben wir mal ein "Normalszenario"
- Alle VLANs sprich die VLAN IDs sind auf den Switches L2 und L3 eingerichtet und die Endgeräte Ports zugewiesen (Untagged)
- Alle Uplinks der L2 Switches auf den L3 Core Switch sind immer Tagged für alle VLANs. Ausnahme VLAN 1 das ist auf allen Tagged Uplinks untagged
- Management IPs (CLI und Web GUi) liegen immer per Default im VLAN 1 der Switches wenn sie nicht umkonfiguriert werden in ein anderes VLAN bzw. VLAN ID !
- Der L3 Coreswitch hat eine IP Adresse in jedem VLAN. Diese IP ist damit die zentrale Gateway IP für die alle Endgeräte in dem jeweiligen VLAN.
- Ggf. hat der L3 Coreswitch eine Default Route auf den Internet Router oder Internet Firewall
Soviel mal zur Basiskonfig !
Damit sind dann alle VLANs über ihren VLAN Tag im Access und Core erreichbar.
Ein Management PC im VLAN 1 muss alle Switches per Ping und CLI (Telnet, SSH) erreichen können.
Wenn er pingen kann ist die IP Connectivity generell gegeben. Gehen dann bestimmte Dinge wie GUI nicht liegt das zu 98% daran das diese Dienste nicht aktiviert sind auf dem Switch.
Ist der Zugang aus anderen VLAN IP Segmenten auf die Management IP im VLAN 1 nicht möglich, dann liegt das zu 98% an falscher Gateway Adressierung oder Routing. Traceroute und Pathping sind dann hier wie immer die Freunde des Netzwerkers.
Ein Wort zu VLAN 1 !
Nicht immer setzen Hersteller das Default VLAN so um das dieses untagged an einem Tagged Uplink anliegt. Der IEEE 802.1q VLAN Standard schreibt hier explizit NICHT vor wie das zu handhaben ist.
Hier muss man natürlich aufpassen in heterogenen Umgebungen das das gegeben ist sonst scheitert natürlich die VLAN 1 Kommunikation, das ist logisch.
Wenn ein Ende es forwardet das andere aber nicht bzw. untagged Pakete an Tagged Trunks einfach verwirft ist klar das das so endet.
Deine gruseligen "Basteleien" oben lassen etwas darauf schliessen das das ggf. so sein könnte ?!
Die üblen HP Switches sind ja ein Sammelsurium aus aufgekauften H3C Switches und den Billigteilen von Accton (ProCurve). Hier solltest du auf alle Fälle sicher klären wie diese Switches untagged Traffic an tagged Uplinks behandeln.
Bei ProCurve ist es so das VLAN 1 immer als Native VLAN untagged anliegt wenn nicht anderst konfiguriert.
Cisco macht es ebenso.
Ob das bei den gruseligen Huawei H2C Switches auch so ist musst du nachlesen oder mit dem Wireshark mal sniffern.
Soviel mal zu den einfachen Grundlagen von VLAN Konfigs.
VLAN-Trunks sind doch i.d.R. immer tagged oder nicht?
Jein. So pauschal kann man das leider nicht sagen. Jedenfalls nicht was das native VLAN Handling anbetrifft.Das Gros der Hersteller schickt das Native VLAN untagged raus an diesen Ports bzw. forwardet untagged empfangene Pakete ins Native VLAN.
Einige Hersteller machen das ber nicht. Die droppen ohne entsprechende Konfig untagged Frames an diesen Ports.
Etwas VLAN Grundlagen und Praxis findet man in diesem Tutorials:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Danke aqui für die Erläuterung!
Ja, zugegeben, das ist mein erstes VLAN-Projekt
Ja, habe ich.
Jain, wenn ich das so mache, ist wie gesagt die CLI und Web-GUI der L2 nicht mehr erreichbar.
Ich denke hier liegt der Hund begraben, das "ServerVLAN" in dessen IP-Range auch die Switche liegen, ist aus der Historie heraus das VLAN 115 in dieser Firma. Es gibt also das 115 VLAN mit 192.168.115.xxx IP-Adressen, und das VLAN1, in dem die Switche standardmäßig liegen sollten, die aber auch eine 115.xxx IP haben. Durch die Routen des L3 kommt es daher ggf. zu dem Problem?
Ist der Fall, die DefaultRoute zeigt auf die Firewall bzw. den InternetBreakOut.
Wie gesagt ich vermute, dass das Problem ist, dass das ursprüngliche Netz mit 192.168.115.xxx aufgebaut war auf dem DefaultVLAN.
Alle Server und Switche sind auf ihren IPs geblieben gehören jetzt aber zum VLAN 115 (ServerVLAN). Das VLAN1 verteilt per DHCP-Relay nun 192.168.1.xxx IP-Adressen, entsprechende Routen hat der L3 automatisch angelegt.
Ich müsste nun also auf allen L2 das MgmtVLAN auf 115 umstellen, damit es klappt, korrekt?
Zitat von @aqui:
indem ich die Trunks "über Kreuz" konfiguriert habe.
Uuuhhhh da mag man gar nicht weiterlesen. Das hört sich nach gruseliger Trial and Error Bastelei an von jemanden der nicht wirklich weiss was VLANs sind.Ja, zugegeben, das ist mein erstes VLAN-Projekt
Also beschreiben wir mal ein "Normalszenario"
- Alle VLANs sprich die VLAN IDs sind auf den Switches L2 und L3 eingerichtet und die Endgeräte Ports zugewiesen (Untagged)
Ja, habe ich.
* Alle Uplinks der L2 Switches auf den L3 Core Switch sind immer Tagged für alle VLANs. Ausnahme VLAN 1 das ist auf allen Tagged Uplinks untagged
Jain, wenn ich das so mache, ist wie gesagt die CLI und Web-GUI der L2 nicht mehr erreichbar.
* Management IPs (CLI und Web GUi) liegen immer per Default im VLAN 1 der Switches wenn sie nicht umkonfiguriert werden in ein anderes VLAN bzw. VLAN ID !
Ich denke hier liegt der Hund begraben, das "ServerVLAN" in dessen IP-Range auch die Switche liegen, ist aus der Historie heraus das VLAN 115 in dieser Firma. Es gibt also das 115 VLAN mit 192.168.115.xxx IP-Adressen, und das VLAN1, in dem die Switche standardmäßig liegen sollten, die aber auch eine 115.xxx IP haben. Durch die Routen des L3 kommt es daher ggf. zu dem Problem?
* Der L3 Coreswitch hat eine IP Adresse in jedem VLAN. Diese IP ist damit die zentrale Gateway IP für die alle Endgeräte in dem jeweiligen VLAN.
- Ggf. hat der L3 Coreswitch eine Default Route auf den Internet Router oder Internet Firewall
Ist der Fall, die DefaultRoute zeigt auf die Firewall bzw. den InternetBreakOut.
Wie gesagt ich vermute, dass das Problem ist, dass das ursprüngliche Netz mit 192.168.115.xxx aufgebaut war auf dem DefaultVLAN.
Alle Server und Switche sind auf ihren IPs geblieben gehören jetzt aber zum VLAN 115 (ServerVLAN). Das VLAN1 verteilt per DHCP-Relay nun 192.168.1.xxx IP-Adressen, entsprechende Routen hat der L3 automatisch angelegt.
Ich müsste nun also auf allen L2 das MgmtVLAN auf 115 umstellen, damit es klappt, korrekt?
Ja, genau das ist richtig !
Das musst du natürlich klären.
Ansonsten zeigt das das definitiv bei dir etwas Grundlegendes schiefläuft in der Konfig !
Normal ist das wie bereits gesagt ja nicht möglich. Die Management Adresse der Switches liegt im Default immer im Default VLAN 1
Du musst also zwangsweise auf den Layer 2 Switches die Management IP in das VLAN 115 legen, das ist ein explizites Kommando im Setup des Switches !
Hast du das beachtet ?
Wenn das nicht entsprechend konfiguriert ist dann ist die Switch IP natürlich weiterhin in VLAN 1
Auch nicht alle Hersteller bzw. Switches supporten ein Umkonfigurieren des management Zugangs in ein anderes VLAN ! Checke das also im Handbuch !
Das ist ganz sicher der Fehler in deinem Design !
Generell ist das kein gutes Design, denn das Infrastruktur Management sollte generell immer getrennt sein von anderen Produktivnetzen bzw. VLANs.
Aber so oder so wenn du das Management der L2 Switches entsprechend auf das VLAN 115 umkonfigurierst (und sofern das vom Featureset der Switches möglich ist) löst dein Problem sofort !
Jain, wenn ich das so mache, ist wie gesagt die CLI und Web-GUI der L2 nicht mehr erreichbar.
Das kann wie gesagt niemals sein und ist unmöglich. Ausnahme wie gesagt die HP Komponenten behandeln das native VLAN unterschiedlich wie es oben angedeutet ist.Das musst du natürlich klären.
Ansonsten zeigt das das definitiv bei dir etwas Grundlegendes schiefläuft in der Konfig !
das "ServerVLAN" in dessen IP-Range auch die Switche liegen, ist aus der Historie heraus das VLAN 115 in dieser Firma.
Das wird es sein !Normal ist das wie bereits gesagt ja nicht möglich. Die Management Adresse der Switches liegt im Default immer im Default VLAN 1
Du musst also zwangsweise auf den Layer 2 Switches die Management IP in das VLAN 115 legen, das ist ein explizites Kommando im Setup des Switches !
Hast du das beachtet ?
Wenn das nicht entsprechend konfiguriert ist dann ist die Switch IP natürlich weiterhin in VLAN 1
Auch nicht alle Hersteller bzw. Switches supporten ein Umkonfigurieren des management Zugangs in ein anderes VLAN ! Checke das also im Handbuch !
Das ist ganz sicher der Fehler in deinem Design !
Generell ist das kein gutes Design, denn das Infrastruktur Management sollte generell immer getrennt sein von anderen Produktivnetzen bzw. VLANs.
Aber so oder so wenn du das Management der L2 Switches entsprechend auf das VLAN 115 umkonfigurierst (und sofern das vom Featureset der Switches möglich ist) löst dein Problem sofort !
Das wird es sein !
Normal ist das wie bereits gesagt ja nicht möglich. Die Management Adresse der Switches liegt im Default immer im Default VLAN 1
Du musst also zwangsweise auf den Layer 2 Switches die Management IP in das VLAN 115 legen, das ist ein explizites Kommando im Setup des Switches !
Hast du das beachtet ?
Wenn das nicht entsprechend konfiguriert ist dann ist die Switch IP natürlich weiterhin in VLAN 1
Auch nicht alle Hersteller bzw. Switches supporten ein Umkonfigurieren des management Zugangs in ein anderes VLAN ! Checke das also im Handbuch !
Das ist ganz sicher der Fehler in deinem Design !
Generell ist das kein gutes Design, denn das Infrastruktur Management sollte generell immer getrennt sein von anderen Produktivnetzen bzw. VLANs.
Aber so oder so wenn du das Management der L2 Switches entsprechend auf das VLAN 115 umkonfigurierst (und sofern das vom Featureset der Switches möglich ist) löst dein Problem sofort !
Normal ist das wie bereits gesagt ja nicht möglich. Die Management Adresse der Switches liegt im Default immer im Default VLAN 1
Du musst also zwangsweise auf den Layer 2 Switches die Management IP in das VLAN 115 legen, das ist ein explizites Kommando im Setup des Switches !
Hast du das beachtet ?
Wenn das nicht entsprechend konfiguriert ist dann ist die Switch IP natürlich weiterhin in VLAN 1
Auch nicht alle Hersteller bzw. Switches supporten ein Umkonfigurieren des management Zugangs in ein anderes VLAN ! Checke das also im Handbuch !
Das ist ganz sicher der Fehler in deinem Design !
Generell ist das kein gutes Design, denn das Infrastruktur Management sollte generell immer getrennt sein von anderen Produktivnetzen bzw. VLANs.
Aber so oder so wenn du das Management der L2 Switches entsprechend auf das VLAN 115 umkonfigurierst (und sofern das vom Featureset der Switches möglich ist) löst dein Problem sofort !
Danke nochmal, ich werde glaube ich dann eher die L2-Switche auf das VLAN1 packen und entsprechende IPs dafür eintragen. Der L3 hat ja eh nen Interface für alle VLANs. Damit sollte ich dann das Problem gelöst haben.
Ich teste das mal und melde mich mit dem Ergebnis.
Welches Modell hast du als L2 Switches ??
Da kann man mal checken ob man das Management VLAN per Konfig definieren kann. Das würde dein Problem auch fixen.
Da kann man mal checken ob man das Management VLAN per Konfig definieren kann. Das würde dein Problem auch fixen.
Zitat von @aqui:
Welches Modell hast du als L2 Switches ??
Da kann man mal checken ob man das Management VLAN per Konfig definieren kann. Das würde dein Problem auch fixen.
Welches Modell hast du als L2 Switches ??
Da kann man mal checken ob man das Management VLAN per Konfig definieren kann. Das würde dein Problem auch fixen.
wir haben HP 1820-48G bzw. HP 1820-48G PoE+ als L2 im Einsatz
und einen H3C 5800 als L3
Igitt... HP ! 
Die 1820er sind billigste Access Switches unterster Kategorie. Nichtmal das Verschieben der Management IP in ein dediziertes VLAN supporten die:
ftp://ftp.hp.com/pub/networking/software/1800-MgtCfgGde-Oct2006-59914726.pdf
Mit einem Cisco SG-200 wär das nicht passiert. Auch diverse China TP-Links supporten sowas. Das ist dann die HP Strafe...
Da hilft dir nur ein Adress Redesign was du eh vorhattest.
Die 1820er sind billigste Access Switches unterster Kategorie. Nichtmal das Verschieben der Management IP in ein dediziertes VLAN supporten die:
ftp://ftp.hp.com/pub/networking/software/1800-MgtCfgGde-Oct2006-59914726.pdf
Mit einem Cisco SG-200 wär das nicht passiert. Auch diverse China TP-Links supporten sowas. Das ist dann die HP Strafe...
Da hilft dir nur ein Adress Redesign was du eh vorhattest.
