Jul 05, 2012, updated at 20:25:11 (UTC)

4351

Layer 3 und Layer 2 Switch in Netzwerk

Hallo zusammen,

ich habe ein Netzwerk mit einem Layer 3 (HP 3500yl) und einem Layer 2 (HP2510G) Switch.

Der 3500yl übernimmt das Routing.

Ich habe mehrer VLANS eingerichtet, siehe Config unten.

In den ARP-Tabellen auf dem (2510G) wird lediglich 10.77.20.3 (unsere Server) eingetragen. Aber die Clients nicht.
Woran liegt dies?

Ist die Konfiguration auf dem 2510G richtig, dass ich hier dem VLAN die Adresse xx.xx.xx.253 gebe, obwohl auf dem Layer 3 Swicht (3500yl) das Vlan mit xx.xx.xx.254 konfiguriert ist. Oder mussen die VLAN einstellung auf beiden Switch identisch sein.

Auf den Clients, auch die am 2510 hängen haben als Standardgateway xx.xx.xx.254.

Hier die Konfigurationen:

2510G

Running configuration:

; J9279A Configuration Editor; Created on release #Y.11.35

hostname "HP-2510G"
time timezone 60
time daylight-time-rule Western-Europe
ip default-gateway 10.77.10.254
sntp server 10.77.20.3
timesync sntp
sntp unicast
sntp 60
snmp-server community "public" Unrestricted
vlan 1
   name "DEFAULT_VLAN"
   untagged 14-16,18,21-22,24
   ip address 10.77.0.44 255.255.255.0
   no untagged 1-13,17,19-20,23
   exit
vlan 10
   name "Network_defa"
   ip address 10.77.10.253 255.255.255.0
   tagged 23
   exit
vlan 20
   name "Server"
   untagged 1
   ip address 10.77.20.253 255.255.255.0
   tagged 23
   exit
vlan 30
   name "Office"
   untagged 2-12,19-20
   ip address 10.77.30.253 255.255.255.0
   tagged 23
   exit
vlan 60
   name "Printer"
   untagged 13
   ip address 10.77.60.253 255.255.255.0
   tagged 23
   exit
vlan 80
   name "Zeit"
   ip address 10.77.80.253 255.255.255.0
   tagged 23
   exit
vlan 200
   name "alt"
   untagged 17
   ip address 192.168.2.253 255.255.255.0
   tagged 23
   exit
primary-vlan 10
password manager

3500yl

HP-3500yl# sh run

Running configuration:

; J9310A Configuration Editor; Created on release #K.15.07.0008
; Ver #02:1b.2f:36

hostname "HP-3500yl"
time timezone 60
time daylight-time-rule Western-Europe
module 1 type J93xxA
interface 1
   no power-over-ethernet
exit
interface 2
   no power-over-ethernet
exit
interface 3
   power-over-ethernet critical
exit
interface 4
   no power-over-ethernet
exit
interface 5
   no power-over-ethernet
exit
interface 6
   no power-over-ethernet
exit
interface 7
   no power-over-ethernet
exit
interface 8
   no power-over-ethernet
exit
interface 9
   no power-over-ethernet
exit
interface 10
   no power-over-ethernet
exit
interface 11
   no power-over-ethernet
exit
interface 12
   no power-over-ethernet
exit
interface 13
   no power-over-ethernet
exit
interface 14
   no power-over-ethernet
exit
interface 15
   no power-over-ethernet
exit
interface 16
   no power-over-ethernet
exit
interface 17
   no power-over-ethernet
exit
interface 18
   no power-over-ethernet
exit
interface 19
   no power-over-ethernet
exit
interface 20
   no power-over-ethernet
exit
interface 21
   no power-over-ethernet
exit
interface 22
   no power-over-ethernet
exit
interface 23
   no power-over-ethernet
exit
interface 24
   no power-over-ethernet
exit
ip routing
vlan 1
   name "DEFAULT_VLAN"
   untagged 4,6,8-9,12-16,18,20-22,24
   ip address 10.77.0.43 255.255.255.0
   no untagged 1-3,5,7,10-11,17,19,23
   exit
vlan 10
   name "Network_defa"
   untagged 2-3,7,10,19
   ip helper-address 10.77.20.3
   ip address 10.77.10.254 255.255.255.0
   tagged 23
   exit
vlan 20
   name "Server"
   untagged 1
   ip address 10.77.20.254 255.255.255.0
   tagged 3,23
   exit
vlan 30
   name "Office"
   untagged 5
   ip helper-address 10.77.20.3
   ip address 10.77.30.254 255.255.255.0
   tagged 3,23
   exit
vlan 50
   name "Machines"
   ip helper-address 10.77.20.3
   ip address 10.77.50.254 255.255.255.0
   tagged 23
   exit
vlan 60
   name "Printer"
   ip helper-address 10.77.20.3
   ip address 10.77.60.254 255.255.255.0
   tagged 3,23
   exit
vlan 70
   name "MGMT"
   ip address 10.77.70.254 255.255.255.0
   tagged 23
   exit
vlan 100
   name "Gast"
   ip helper-address 10.77.20.3
   ip address 10.77.100.254 255.255.255.0
   tagged 3
   exit
vlan 200
   name "alt"
   untagged 11,17
   ip address 192.168.2.1 255.255.255.0
   tagged 23
   exit
vlan 40
   name "CNC"
   ip address 10.77.40.254 255.255.255.0
   exit
vlan 80
   name "Zeit"
   ip address 10.77.80.254 255.255.255.0
   exit
power-over-ethernet pre-std-detect
timesync sntp
sntp broadcast
sntp 60
sntp server priority 1 10.77.20.3
ip route 0.0.0.0 0.0.0.0 10.77.10.10
interface 1
   lacp key 500
   exit
interface 2
   lacp key 500
   exit
snmp-server community "public" unrestricted
primary-vlan 10
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

Besten Dank schon mal

Beste Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 187567

Url: https://administrator.de/contentid/187567

Printed on: April 19, 2024 at 05:04 o'clock

10 Comments

Latest comment

Hi Haurg,

Ist ja irre, diese Konfiguration. Funktioniert denn irgend etwas?
Mit einem L3 und einem L3 Switch ein so komplexes Netzwerk zu bauen und mit so dramatisch unterschiedlichen IP Adressen zu versehen, gehört zu den kreativsten Aufgaben für Admins, die keine Nachfolger wollen.
Aber die Config ist entweder ncht vollständig oder sie taugt nicht zum Arbeiten.
und eine SNMP Community public unrestricted einzurichten ist das größte Sicherheitsmanko, dass es gibt. Mittels SNMP kann man locker Ports abschalten und VLANs umschalten.

Warum braucht ein L2 Switch diese vielen IP-Adressen in der Config? 1 IP und eine Route darauf reichen.
Warum gibt es für VLAN 1 und 20 Ports, aber keine uplink?
Warum sind alle VLAN als tagged am uplink23, aber VLAN1 nicht? Das default VLAN soll doch nicht als produktiv-VLAN sondern als Konfigurations-VLAN genutzt werden.

zum L3: Ja der braucht pro Netz eine Adresse als Default Gateway.
Wie werden denn die neuen Adressen vergeben? DHCP oder manuell. Ich vermute letzteres.
Warum sollten unterschiedliche Arten von getaggten Links existieren? VLAN trennt ja. Oder der Admin traut dem Frieden nicht.

Also positiv:
Veränderung in Richtung einses strukturierten Netzwerks. Dass man mit IP-Adressen um sich schmeisst ist Geschmackssache, aber nicht verwerflich. Und es ist natürlich leichter zu verstehen, dass das 3. Octett die VLAN-Nummer beschreibt.

Ich vermute aber anhand der Konfiguration, dass nicht nur 2 Switche existieren. Etwas mehr info wäre durchaus angebracht.

Gruß
Netman

Hallo Netman,

danke für deine Antwort.
Der 2510G ist ein Layer 2 Switch.
Es existieren lediglich diese 2 Switches.

1) Ich richte doch auf meinem Layer 2 Switch die selben Vlans wie auf meinem Layer 3 Switch ein (Also selbe ID)

2) Die vielen Vlans, da es verschieden Computergruppen sind. Sollte man diese nicht mit einem Subnetz von einander trennen, oder alle in ein VLAN schmeißen

3) Der Port 23 ist die Verbindung zwischen den zwei Switches

4) Was verstehst du unter strukturiertem Netz?

5) Die Adressen werden per DHCP vergeben

Über deine Hilfe bin ich sehr erfreut.

Besten Dank

schöne Grüße

Zitat von @haurg1:
vlan 1
name "DEFAULT_VLAN"
untagged 4,6,8-9,12-16,18,20-22,24
ip address 10.77.0.43 255.255.255.0
no untagged 1-3,5,7,10-11,17,19,23
exit

Es sind viele VLANs vorbereitet, aber meist läuft es über VLAN1 und dann getaggt und ungetaggt?.
Printer laufen getaggt an Port 3?

Mir fehlt der Sinn.
Üblicherweise verwendet man getaggte Ports als Uplink. Dort werden dann alle VLANs eingetragen und übertragen.

Also muss Port 23 mit allen VLANs getaggt konfiguriert werden. Ein default-VLAN ist für den Fall vorzusehen, dass man eine unkonfigurierte Erweiterung anschließen will. Hier verwendet man ungetaggte Pakete, damit man diese Erweiterung (Switch) erreichen und konfigurieren kann.

Endgeräte werden zu 99 % an ungetaggte Ports angeschlossen. Dafür sind ja auch die VLANs vorbereitet.
Es gibt auch Endgeräte an getaggten Ports: Das sind entweder Server mit speziellen Funktionen oder IP-Phones, die sich den Switchport mit einem PC teilen. Dort sind zwei VLANs konfiguriert. PC VLAN ungetaggt und VoIp VLAN getaggt.

Wenns nur einen Uplink gibt, soll auch nur der Port an beiden Switches getaggt sein. Alles andere ist ungetaggt.

zu DHCP: Ja, die Helperkonfiguration am L3-Switch habe ich gsehen.
Warum aber ein L2-Switch pro Netz eine IP braucht oder brauchen könnte, ist mir schleierhaft.

Gruß
Netman

Hallo Netman,

danke nochmals für deine Hilfestellung und Auskunft.

Es sind viele VLANs vorbereitet, aber meist läuft es über VLAN1 und dann getaggt und ungetaggt?.
Printer laufen getaggt an Port 3?

Alle Ports im VLAN1 sind noch ungenutzt und deshalbt nirgends zugewiesen.
An Port 3 hängt ein WLan-Gerät, welches selbst das Vlan 30 und 100 hundert hat, deswegen getaggt.

zu DHCP: Ja, die Helperkonfiguration am L3-Switch habe ich gsehen.
Warum aber ein L2-Switch pro Netz eine IP braucht oder brauchen könnte, ist mir schleierhaft.

Soll am Layer2-Switch keine IP-Addressen für das Vlan vergeben werden? Also einfach nur das VLan einrichten und den Ports zuweisen?
Wie erreiche ich dann diesen Switch zu Konfigurationszwecken, außer über das Konsolenkabel? Standard ip default-gateway?

Besten Dank. Du bist mir echt eine Bereicherung.

Gruß haurg

Wie erreiche ich dann diesen Switch zu Konfigurationszwecken, außer über das Konsolenkabel?

übers default VLAN oder das Management VLAN. Und dann wird über den L3-Switch ganz normal geroutet.
Irgendwo ist ja auch ein Adressbereich für die Infrastruktur vorgesehen. Da gehört auch der WLAN-AP mit den zwei VLANs rein.

Hallo,

Irgendwo ist ja auch ein Adressbereich für die Infrastruktur vorgesehen.

1) Ja, das Vlan 10 Network, kann ich meine Netzwerkomponenten auch alle in das default Lan legen

Da gehört auch der WLAN-AP mit den zwei VLANs rein.

2) Ja, der ist auch im Vlan 10 Network, und den Port tagged, oder?

3) Nochmal zu meiner Frage des Layer 2 Switch. Lege ich hier lediglich das Vlan an, vergebe aber dafür keine IP-Adressen

Danke nochmals für deine großartige Unterstützung.

Der L2 Switch braucht eine IP zum Konfigurieren (L3-Eigenschaft). Die VLANS sind alle L2 und werden natürlich eingerichtet.

So, eine abschließende Frage habe ich noch.
Also, dann wäre so eine Konfiguration als Beispiel für das VLan 30 korrekt:

3500yl

vlan 30 
name "Office" 
untagged 5 
ip helper-address 10.77.20.3 
ip address 10.77.30.254 255.255.255.0 
tagged 3,23 
exit 

2510G

vlan 30
name "Office" 
untagged 2-12,19-20 
ip address 10.77.30.253 255.255.255.0 
tagged 23 
exit 

Bei den Clients trage ich aber dennoch als Standardgateway den Layer 3 Switch ( xx.xx.xx.254) ein, auch wenn sie am Layer 2 Switch angeschlossen sind. Oder kann ich die IP-Adresse am Layer 2 Switch weglassen?

Besten Dank
und Schönes Wochenende

Die Clients bekommen doch das Stabdard-Gateway vom DHCP und der nimmt den L3-Switch. Sonst geht es ja nicht. Die multiple Adresse des L" Switches ist überflüssig.
Aber so sieht es schon gut aus.
Testen kann ich nicht.

Gruß
Netman

Hab jetzt nicht alles gelesen, aber die IP-Adressen kommen auf die VLAN-Interfaces im L3 switch (L3 = IPadressen, Routing etc).

Der L2 Switch kriegt höchstens eine IP zum Managen damit man auf den Swich adm. draufkommt, da müssen die VLAN Interfaces garkeine IP bekommen, ausser das Management-VLAN Interface.

German solved Question Routers, Routing Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment