85807
Goto Top

Easy VLAN Frage......Zyxel Switch....

Hallo Admins

Ich hätte nur eine klitze kleine VLAN Frage. Hab irgendwo einen Denkfehler beim Config. Jedenfalls läuft es so wie ich es will nicht richtig.


Also n Switch mit 2 VLANs: VID 100 und 200
VID 1 ist ja standardmäßig eingestellt.

Bürorechner liegen alle in VID 100, Maschinenrechner liegen alle im 200er VID.

Hab jetzt ein WartungsLaptop angeschlossen der jetzt in beiden VIDs sein soll.
So unter VLAN -> Static VLAN hab ich in beiden VID den Port 16 "Fixed" dort wo der Laptop auch angeschlossen ist.
Soweit sogut. Das funktioniert jetzt auch. Ich kann mit dem Laptop in beide VLANs.
Nur das Problem danach ist, dass ich nicht auf den Switch mehr zugreifen kann.
Von Büro Rechner aus kann ich auf die IP vom Switch zugreifen.
Bin dann in Port VLAN gegangen und hab dort gesehen, dass der Port 16 noch im VID 1 hängt.
Testweise auf VID 100 geändert und ich komme auf den Switch.
Jetzt kann ich aber natürlich nicht mehr auf VID 200 zugreifen.
Was mache ich falsch.
Wie kann ich in beide VIDs und trotzdem auf den Switch ;)

lg
Chris

Content-Key: 144307

Url: https://administrator.de/contentid/144307

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 07.06.2010, aktualisiert am 18.10.2012 um 18:42:25 Uhr
Goto Top
Ja, das ist ein klitzekleiner Denkfehler !
Bei Port basierenden VLANs, kann ein untagged Endgeräte Port niemals Mitgleid zweier VLANs sein, das ist technisch nicht möglich.
Ausnahme ist ein Tagged Port, logisch, denn dort wird das VLAN Tagging ja im Paket mitgeschickt, was ein untagged Endgerät aber nur bedingt supportet ?!
Zwischen den VLANs kannst du also nur routen. Ob dein Switch ein Layer 3 (Routing) Switch ist oder nicht bzw. WAS denn routet zw. deinen VLANs teilst du uns ja leider nicht mit... face-sad
Die IP Adresse eines solchen Switches ist in der Regel im VLAN 1 dem default VLAN. VLAN 1 Traffic ist aber immer gemäß IEEE 802.1q Standard untagged an einem tagged Port. Da du wenig zu deine Client Konfig sagst nutzt du dort vermutlich Tagging aber hast keine Routing (oder kein Interface) in oder zum VLAN 1 so das eine Switchverbindung dann in die Hose geht logischerweise.
Das ist aber nur geraten da du dich dazu leider nicht detailiert äußerst... face-sad
Fazit: Ist als zwangsläufig dann so das das so passiert bei dir !
Weitere Infos findest du zu dem Thema hier:
http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
(Letzteres ist die Lösung bei der ein Endgerät auch Mitglied beider bzw. aller 3 VLANs (auch dem untagged VLAN 1 !) sein kann aber dafür muss die NIC dann auch 802.1q Tagging supporten !!)
Mitglied: 85807
85807 07.06.2010 um 14:24:17 Uhr
Goto Top
Hallo aqui

Der Swtich ist ein Zyxel ES-2024 und der einzige Switch im Netzwerk deswegen ging ich davon aus dass tagging nicht notwendig ist. Das ist doch nur notwendig wenn merhere Switches mit VIDs existieren, soweit ich das richtig verstanden habe.
Und nein, Tx Tagging ist deaktiviert. Liegt da der Fehler begraben?


Also das taggen hat auch nichts genützt.
Mitglied: aqui
aqui 07.06.2010, aktualisiert am 18.10.2012 um 18:42:26 Uhr
Goto Top
Nein, das stimmt nicht unbedingt, denn wenn du dir wie empfohlen das letzte Tutorial nur mal ansatzweise zu Gemüte geführt hättest, dann hättest du erkannt das man so auch Server oder EinzelPC in separaten VLANs mit einer (tagging fähigen) Netzwerkkarte betreiben kann !!
In der Regel werden aber tagged Interfaces meist nur für Switch to Switch Uplinks und Server Uplinks verwendet, das ist richtig !

Nur ums für dein Szenario oben nochmal klar zu machen: Einen untagged Endgeräte Port kannst du bei Port basierten VLANs niemals in 2 VLANs legen. Das ist technisch auf einem billigen Zyxel Switch wie dem deinen nicht möglich !! Wie sollte das denn auch funktionieren ?? Der Port kann ja nicht wissen wenn dort ein Ethernet Paket von deinem PC ankommt in WELCHES der VLANs 100 oder 200 er es forwarden soll. Ein entsprechende Information wird dem Switch ja vom Endgerät gar nicht geliefert....das vergiss also schnell...geht nicht !
Wenns Tagged ist wird dem Switch die Information mit dem VLAN Tag im Ethernet Paket bekannt gemacht und er weiss dann wohin damit !
Wie gesagt Taggen am Switchport macht NUR Sinn wenn deine PC NIC ebenfalls .1q Tagging supportet. Beide Seiten müssen sich ja verstehen !
Lies dazu bitte genau das o.a._Tutorial nochmal durch !!! Dort ist alles erklärt ! Nur dann im tagged Mode ist ein Betrieb des Endgerätes in 2 oder mehr VLANs möglich !
Wenn deine PC Netzwerk Karte kein Tagging supportet, ist ein Umstellen auf Tagging am Switchport logischerweise ja auch Blödsinn und bringt nix. Untagged Endgeräte können 802.1q tagged (also VLAN ID tagged) Ethernetpakete NICHT lesen und auch andersrum !!
Fazit: Entweder den PC tagged in beide VLANs 100 und 200 wenn denn die PC Karte tagged Betrieb supportet. Ansonsten musst du dich untagged für ein VLAN entscheiden 1, 100 oder 200 und musst zwischen den 3 VLANs routen (1, 100 und 200).
Viele Switches supporten auch die Management IP Adresse wahlfrei in eins oder alle konfigurierten VLANs zu hängen. Ob das beim Zyxel möglich ist musst du über das Handbuch klären. Dann muss aber logischerweise die Management IP des Switches identisch sein und im IP Netz des jeweiligen VLANs liegen, sonst klappt das natürlich nicht, da wieder der Router fehlt !
Das sind de facto die Optionen die du hast !!
Mitglied: 85807
85807 10.06.2010 um 11:03:45 Uhr
Goto Top
Hallo aqui.

Bin leider noch nicht dazu gekommen alle deine Beiträge bis zum Ende durchzulesen. Ich versuch nämilch grad den CCNA und CCNP gleichzeitig zu machen ;)
Aber ich denke mir du bist da ziemlich gut drauf und kannst mir verraten unter welchem Thema ich gute Anleitungen/Erkärungen finde bezüglich VLAN Firewalling. Sprich mit einem Router die VLANs der Switche zu managen. Irgendwie wird im CCNA nur mittels VTP bzw GVRP ein managment debatiert. Und wie du bereits festgestellt hast, die Switche die hier meistens in Verwendung sind sind nicht die besten und unterstützen kein VTP ;(
Angeblich soll das mit Zonen gehen.....?

lg
Mitglied: aqui
aqui 10.06.2010 um 12:30:43 Uhr
Goto Top
Oha...noch ein weiterer Cisco Knecht auf dem Haufen all der anderen... Als angehender CCxyz solltest du solcherlei banale VLAN Grundlagen aber aus dem Ärmel schütteln können und nicht ein Forum bemühen !!
VTP ist Cisco proprietär....nur mal so als Info ! Das kann kein anderer Hersteller oder Endgerät am Markt ! Hast du eine heterogene Infrastruktur oder kein Cisco (Linksys gehört auch dazu) vergiss VTP lieber ganz schnell !
Mitglied: 85807
85807 10.06.2010 um 15:42:01 Uhr
Goto Top
Zitat von @aqui:
Oha...noch ein weiterer Cisco Knecht auf dem Haufen all der anderen... Als angehender CCxyz solltest du solcherlei banale VLAN
Grundlagen aber aus dem Ärmel schütteln können und nicht ein Forum bemühen !!
VTP ist Cisco proprietär....nur mal so als Info ! Das kann kein anderer Hersteller oder Endgerät am Markt ! Hast du eine
heterogene Infrastruktur oder kein Cisco (Linksys gehört auch dazu) vergiss VTP lieber ganz schnell !




Ich glaub du bist mit deinem Wissen schon so weit, dass du darauf vergisst, dass es noch Leute gibt, die erst seit 2 Wochen den CCNA Stoff lernen und noch nicht deinen Wissensstand haben.
Also bitte etwas herunter mit dem Niveau ;)
Und bitte mal so erklären das es auch nicht Zertifizierte Hasen verstehen können ;) Danke

Nein wir benutzten keine Cisco Geräte. ich kann mich auch irren, aber ich hab das bis jetzt niergendwo gelesen dass es nur Cisco Geräte können. Und ich glaube mal auf der Zyxel HP nach VTP-fähigen Geräten gesucht zu haben. Ich kann mich aber auch irren face-sad

Wir kaben eine homogene infrastruktur. Alles von Zyxel ;)
Mitglied: aqui
aqui 11.06.2010 um 19:22:32 Uhr
Goto Top
Nein VTP ist de facto proprietär ! Cisco hat dort ein Software Patent drauf...da haben andere Hersteller keine Chance !
Und auch wenn... VTP funktioniert, wie du als angehender CCxy ja sicher selber weisst, nur in einem PVSTP+ (Per VLAN Spanning Tree +) Umfeld. Also auch einen proprietären Spanning Tree Protokoll von Cisco.
Nur sehr sehr wenige Hersteller supporten auch PVSTP+ die meisten nicht....und schon gar nicht so ein Taiwan Billigheimer wie Zyxel !!
In der Beziehung ist also der VTP Einsatz mit anderen Komponenten als Cisco mehr oder weniger utopisch !! Deshalb liest du auch darüber nix.
Die freie, nicht Cisco geknechtete, Netzwerk Welt benutzt für das proprietäre VTP den freien IEEE Standard GVRP:
http://en.wikipedia.org/wiki/GARP_VLAN_Registration_Protocol#Multiple_V ...
http://www.datenschutz-praxis.de/lexikon/g/gvrp.html
Der macht das gleiche wie VTP aber ohne Fesseln an einen Hersteller !
Mitglied: 85807
85807 15.06.2010 um 19:42:39 Uhr
Goto Top
P.s.: Die Lösung bzw. der richtige Tip kam per P.M. Ich danke erstmal im Vorraus.
Man muss am Switch unter Basic Settings - Ip Setup - Management IP Adresse - jedem VLAN eine eine Management IP zuweißen!
Ein Satz - große Wirkung! Besser als 100 Seiten Wikipedia ;)


So dann werd ich dich mal testen ob Du mir auch bei der nächsten Frage weiterhelfen kannst. Glaub ich muss dafür kein extra Thread öffnen.


Ich hab ein großes Netzwerk mit ca. 15-20 Taiwanischen billig Zyxel Swichtes ;) Einer Zywall USG 200 ca. natürlich einge Hosts.
Die Swichtes sind größtenteils alles ES-1528er.

Jetzt soll das Netzwerk sohingehend konfiguriert werden, dass jeder Switch in seinem eigenen VLAN hängt und das man über den Router
den Traffic regelt.

Also


Switch - Switch - Switch - Swicht - Router - Internet
Vid 10 - Vid 20 - Vid 30 - Vid 40 -


Jetzt soll zb nur Vid 20 und 40 ins Internet können und Vid 30 mit Vid 10 sowie vid 20 mit vid 40 kommunizieren können.
Wie mache ich das nun das ich nicht auf jedem der 20 Switches alle VLANs erstellen muss, oder bleibt mir das nicht erspart?

Kannst du dass so erklären dass ich es auch gleich mal nachvollziehen kann! ???


lg
Christian
Mitglied: sk
sk 16.06.2010 um 11:27:41 Uhr
Goto Top
Zitat von @85807:
Switch - Switch - Switch - Swicht - Router - Internet
Vid 10 - Vid 20 - Vid 30 - Vid 40 -
Die Switches hängen wirklich in einer Kaskade?
Jeder Switch verfügt (nur) über ein eigenes VLAN? Seltsame Konstruktion...

Zitat von @85807:
Jetzt soll zb nur Vid 20 und 40 ins Internet können und Vid 30 mit Vid 10 sowie vid 20 mit vid 40 kommunizieren können.
Kann man alles auf der Zywall regeln. Dafür benötigt sie natürlich in jedem der Netze ein Interface (physisch/untaggt oder VLAN/taggt) . Außerdem müssen alle VLANs verschiedene IP-Netze verwenden. Ist letzteres gegeben?

Die Swichtes sind größtenteils alles ES-1528er.
...
Wie mache ich das nun das ich nicht auf jedem der 20 Switches alle VLANs erstellen muss, oder bleibt mir das nicht erspart?
Also wenn alles echte ZyXEL-Switches mit dem Betriebssystem "ZyNOS" wären, dann könntest Du das auf 2 Wegen vermeiden: mit GVRP oder mit "VLAN-Trunking". Letzteres ist quasi ein VLAN-Passthrough: Traffic mit unbekannten VLAN-IDs kann auf Wunsch an sog. Trunkports weitergereicht werden (ansonsten verwendet Zyxel den Begriff "Trunking" nur im Zusammenhang mit Link-Aggregation).
Die webmanaged Switches der Serie 15xx stammen jedoch nicht wirklich von ZyXEL, sondern sind zugekauft und umgelabelt. So wie es viele andere Hersteller am unteren Ende Ihres Portfolios ebenfalls machen.
Ich kenne die 1500er nicht, aber weder im Datenblatt noch im Handbuch finden sich Hinweise auf die vorgenannten Möglichkeiten. Demzufolge wirst Du wohl um ein Anlegen aller VLANs und Tagging derselben auf den Uplink-Ports aller gequerten Switches nicht herumkommen.
Selbst innerhalb des Produktportfolios der vermeintlichen Billigheimer kann man also noch "am falschen Ende sparen"...

Gruß
sk