chulio
Goto Top

SG300-10 Layer 2 VLAN Problem

Liebe administrator.de community,

Eigentlich hatte ich ein lauffähiges Heimnetzwerk, aber man will ja aufrüsten.
Also hab ich mir zwei SG300-10 zugelegt, um meine 2xGS108Ev3 & 1xGS108xy (unmanaged) zu ersetzen.
Und jetzt krieg ich die "gleiche" Konfiguration nicht komplett zum Laufen ...
...da ich zu wenig davon verstehe und nach weit über 12 Stunden Verzweiflung keine Lösung gefunden habe...

Kann mir jemand weiterhelfen ?

Setup & Problem
1) pfsense 2.3.4 als Router / Firewall mit 4 NICs ( a.WAN, b.LAN, c.VLAN3&4, d.VLAN5)
-> WAN läuft
-> VLAN5 direkt an PC angeschlossen, läuft

2) SG300-10 "Zentrale" (Layer 2 Modus)
"Eingänge"
-> an LAN pfsense (untagged)
-> an VLAN3,4 pfsense (beide tagged)
"Ausgänge"
- SG300-10 "Zimmer 1", siehe 3a) -> TOTAL DISASTER
- Port9: LAN untagged als "Access"
- Port10: VLAN3,4 beide tagged als "Generic"
- diverse Ports mit NAS etc -> OK läuft
- GS108Ev3 "Zimmer 2" siehe 3b) - VLAN3,4 beide tagged als "Generic"
- Port5: LAN tagged, VLAN3 tagged "Generic"
-> OK läuft alles (siehe 3b)

3a) SG300-10 (Layer 2 Modus) kaskadiert am ersten SG300-10 ("Zentrale") im "Zimmer 1"
"Eingänge" vom ersten SG300-10
- Port9: LAN untagged "Access"
- Port10 VLAN3,4 beide tagged "Generic"
"Ausgänge" -> TOTAL DISASTER
- diverse Ports mit LAN untagged, VLAN3 untagged, VLAN4 untagged oder LAN & VLAN3 (beide tagged, "Generic")
- alle untagged LAN Ports laufen
- auch diejenigen welche als "tagged" LAN fungieren, aber das "tagged" VLAN3 geht nicht !!!
- auch untagged VLAN3 oder VLAN4 gehen auch nicht

{ 3b) GS108Ev3 kaskadiert am ersten SG300-10 ("Zentrale") im "Zimmer 2" -> OK läuft alles (nur zur Info, falls hilfreich?)
"Eingang" vom ersten SG300-10
- Port1: nur ein Kabel mit LAN tagged, VLAN3 tagged
"Ausgänge"
- Port2: LAN untagged -> OK läuft
- Port3: VLAN3 untagged -> OK läuft. }

Also irgendwas scheine ich da ziemlich schief eingestellt zu haben bei den beiden SG300-10, dass die VLAN tags nicht weitergereicht werden ?
Bei den "idiotischen" GS108Ev3 in Kaskade ging das problemlos, musste nie booten ... aber die beiden SG300-10 haben einfach sauviele Einstellungskombinationen face-smile

Hat jemand Lust mir den nächsten "Lernschritt" beizubringen bzw was fehlt in meiner Beschreibunt ?

Herzlichen Dank im Voraus !

chulio.

Content-Key: 328378

Url: https://administrator.de/contentid/328378

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: chulio
chulio 27.05.2017 um 09:15:58 Uhr
Goto Top
Ok, ich hab jetzt rumgeferkelt und es funktioniert mit einer schlechten Lösung...

Hab auf dem "Zentrale" SG300-10 Switch nun
- Port9 und Port10, beide mit 1T,3T,4T als "Generic"

Und auf dem "Zimmer 1" SG300-10 Switch
- Port9 und Port10, beide mit 1U,3T,4T als "Generic"

und alle Clients von LAN, VLAN3 & 4 funktionieren nun,
... aber eben schlechte Lösung.

Ich hab was von LAG / LACP gelesen, geht das mit untagged / tagged (V)LANs zwischen zwei SG300-10 ?
Oder gibts ne saubere Lösung ?

ps: STP ist offenbar werksmässig eingeschaltet.

Vielen Dank und Gruss chulio.
Mitglied: aqui
Lösung aqui 27.05.2017 aktualisiert um 16:31:49 Uhr
Goto Top
Eigentlich ist es kinderleicht...
Wichtig ist das die beiden Ports mit denen du die beiden SG-300er Switches verbindest immer als Trunks definiert werden !!
sw1

Und das MUSS der Port Überblick anzeigen:
sw2

Der Port 8 auf beiden Switches würde hier also beide SG-300er Switches verbinden.
Ist ja auch vollkommen logisch, denn so sendet der Switch zu jedem VLAN die entsprechende VLAN ID mit so das der empfangene Switch sofort erkennen kann welchem VLAN er dieses Paket zuordnen muss.
Der tiefere Sinn und Zweck eines Trunk Ports wie jeder Netzwerker weiss !

Das gleiche gilt übrigens auch für den Port der an der pfSense angeschlossen ist und die VLANs 3 und 4 bedient ! Auch hier logischerweise wieder der Trunk Mode denn anhand der VLAN Tags 3 und 4 kann die pfSense erkennen welchem IP Interface es die Pakete wieder zuordnen muss.
Ein sehr simples und logisches System wenn man mal in Ruhe drüber nachdenkt. Viel falsch kann man da eigenlich niemals machen.

Du solltest ferner immer strategisch vorgehen beim Aufbau und nicht planlos wie du. Macht Sinn um Verzweiflung und Frustration gleich im Ansatz zu vermeiden !!!
Richte also erstmal deine beiden, oder mit der Netgear Gurke, 3 VLAN Switches ein:
  • Definiere die VLANs und IDs
  • Bestimme den Port der beide Switches verbindet
  • Setze diesen Port in den Trunk Mode und weise ihm tagged die VLANs zu.
  • Weise den Endgeräten in den VLANs untagged Ports zu.
Das wäre der Grundaufbau.
Um den sicher zu testen stöpselst du jeweils 2 Testlaptops oder PCs in die VLANs und pingst die mal untereinander.
Das MUSS dann fehlerfrei auch Switch übergrifend funktionieren !!
Ist dem so, dann kannst du davon ausgehen das deine Switchkonfig und Basis Infrastruktur sauber und korrekt funktioniert !! Fehler hier kannst du dann gleich sicher ausschliessen bevor du an Firewall und Router gehst.

Die gruselige NetGear 108er Gurke bekommt man aber auch fehlerfrei ebenso an einem SG300 Trunk Port (tagged VLAN 3 und 4) mit diesen VLANs zum laufen.
WICHTIG bei diesem Switch das man den in den VLAN, 802.1q Mode konfiguriert und NICHT in den Port basierten VLAN Mode der proprietär ist.
Das ist leider bei NetGear sehr verwirrend und gruselig aber wenn man das etwas kranke GUI mal durchschaut hat funktioniert das auch fehlerfrei.
Mit den PVIDs muss man dann noch bei der Endgeräte Portzuweisung aufpassen das das sauber funktioniert
Das hiesige VLAN Tutorial erklärt dir das wie immer alles im Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hast du das wenigstens mal gelesen dazu ?? Hätte vermutlich diesen Thread obsolet gemacht ?!
Ich hab was von LAG / LACP gelesen, geht das mit untagged / tagged (V)LANs zwischen zwei SG300-10
Ja, das ist eine Link Aggregation, also das Zusammenfassen mehrerer Links zu einem mit größerer Bandbreite.
Wenn du also das beispiel von oben nimmst mit dem Port 8 kannst du den Port 7 noch dazunehmen, identisch konfigurieren und diese beiden als 2Gig LAG definieren:
sw3

Das funktioniert natürlich sowohl mit Untagged als auch mit Tagged Links. Die LAG Funktion ist vollkommen unabhängig davon ! Wichtig ist nur das beide Ports vollkommen identisch konfiguriert sind.
Am besten löscht man dazu allle Port spezifischen Konfigs, bringt dann beide (oder mehr) Ports in den LAG Mode und konfiguriert DANACH dann über die Port Bezeichnung "ch1" diesen LAG.
Setzt man die Parameter tagged, untagged usw. auf die Portbezeichnung "ch1" dann wird das automatisch immer gleich für BEIDE Ports bzw. alle Ports des LAGs gemacht und bewahrt einen so vor Frickelei oder einem Konfig Mismatch auf den LAG Member Ports face-wink
Ein paar grundlegende Infos zu LAGs findest du auch hier:
Netzwerk Management Server mit Raspberry Pi
Wobei man zur Bandrbreitenerhöhung natürlich sowohl Endgeräte wie Server, NAS etc. mit LAGs anbinden kann als auch Switches.

All das ist mit wenigen Mausklicks in max. 30 Minuten erledigt. Warum du an so einer simplen und banalen Sache 12 Stunden verzweifelst ist absolut nicht nachzuvollziehen ?!
Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 27.05.2017 um 11:47:10 Uhr
Goto Top
Moin chulio,

schaut den mal den Thread an:
VLAN Installation von aqui

Da sind auch erstmal grundlegende Dinge der Thematik beschrieben.

"LAGs" sind quasi Bündelung von Links und umfassen meist mehrere Ports. Diese dienen der Bandbreiten Vergrößerung zwischen, z.b. zweier Switchen. Hier ist die Konfig auf beiden Seiten der Strecke identisch.

"VLANs" gibt es als Tagged und unTagged variante.
unTagged landet alles was auf den Port gesteckt wird in dem unTagged VLAN.
Tagged VLANs auf einem Port, können nur über einen eingehenden VLAN Tagg weiter routen.

Desweiteren gibt es hier im Forum wahnsinnig viele Tutorials gerade für den Cisco Geschichten. Nutze bitte die Suche.


Gruß
Spirit
Mitglied: chulio
chulio 27.05.2017 um 19:51:36 Uhr
Goto Top
Lieber aqui,

Just perfect ! Auch ein ich hat es Dank Deiner Anleitung nun geschafft, LAG dynamisch (LACP) auf beiden Ports9,10 face-smile

Tausend Dank !!!
Auch Spirit für die Erklärung zu LAG (ich hatte via Port begonnen, shame on me).

Tatsächlich hatte ich Deine Anleitung mit pfSense und VLANs verwendet bei meiner Installation von pfSense, GS108Ev3 und DD-WRT / Tomato APs. Diese ist wirklich komplett, auch konnte ich dadurch Netzwerkdiagramme inkl Tabellen mit VLANs machen.
Ich denke die Verwirrung kam durch meine Unwissenheit und die (so erscheint es nun) "zu simplifizierte" Beschreibungs- und Einstellweise von VLANs 802.1q bei den Netgear Switches ... vermutlich ein Grund ?, weshalb vieles nicht richtig funktioniert oder komischen lags / Unterbrüchen bei Dauerbelastung führt (zB verschwindet beim GS108Ev3 der Admin-Interface-Zugriff, wenn nur ein "Eingangsport" mit Trunk von VLAN1 und VLANx verwendet wird, was übrigens auch von Netgear bestätigt wurde https://community.netgear.com/t5/Smart-Plus-Click-Switches/GS108Ev3-Cann ... ). Auf jeden Fall hatte mich dies insgesamt sehr verwirrt dann aufm Cisco Switch.
Die Cisco Switches bieten wesentlich mehr Möglichkeiten an, für einen Anfänger wie mich erschlagend.

Genau, ich hatte ein funktionierendes Test-Setup, allerdings mit einem SG300-10 und einem GS108Ev3 ... aber ich war zu voreilig und hatte bereits den "Zimmer 1" SG300-10 verkabelt, bevor ich dann den "Zentralen" SG300-10 verkabelt hatte... nächstes Mal also auf Nummer sicher gehen hehe, Danke ! War ein laaanger Tag.

Nur noch ne letzte Frage: Via pfsense hatte ich QOS ausgiebig ausprobiert, was mir bei einer 1Gbit/s Fiber-Internet Leitung nichts gebracht hatte. Nun frage ich mich, inwiefern es Sinn macht, dass ich für Gaming (VLAN5) und VOIP (uraltes Gigaset auf VLAN4) überhaupt etwas von QOS erwarten kann (pfsense oder Cisco Switches) ?
Ich hatte auf Foren gelesen, dass bei Fiber 1GBit/s QOS nichts bringt... komischerweise hatte ich beim alten Anbieter (250Mbit/s) via Faser-zu HF Umwandler auf Kabel zu-Ethernet bessere Ping Zeiten beim VLAN5 als jetzt mit "purer" Faser-zu-Ethernet.

Herzlichen Dank nochmals !

Gruss chulio.
Mitglied: aqui
aqui 28.05.2017 aktualisiert um 11:00:40 Uhr
Goto Top
Auch ein ich hat es Dank Deiner Anleitung nun geschafft
Tadaaaa !! Klasse wenns nun rennt wie es soll face-wink
"zu simplifizierte" Beschreibungs- und Einstellweise von VLANs 802.1q bei den Netgear Switches ... vermutlich ein Grund ?,
Deshalb heisste es ja auch ganz klar hier: "Finger weg von NetGear Switches wenn man VLANs macht" !
Leider ein immer wiederkehrendes Drama, denn deren PVID basierte Konfig ist für Laien nicht einfach nachzuvollziehen und 70% scheitern daran. Deshalb weisst das Tutorial auch entsprechend eindrücklich darauf hin.
Cisco und ander machen Anfängern das leben leichter mit Aut PVIDs.
Dazu gibts noch einen guten Thread hier:
Warum gibt es PVID bei VLANs?
Wenn so versaute Admins dann auf einen einfach zu managen Cisco wechseln denken sie vermutlich zu kompliziert und dann nimmt das Unglück seinen Lauf face-sad
Auch wenn sie mehr Möglichkeiten haben, sollte man diese am Anfang ignorieren und nur DAS nutzen was man wirklich braucht.
Finetuning immer erst hinterher ! face-wink
Nur noch ne letzte Frage:
was mir bei einer 1Gbit/s Fiber-Internet Leitung nichts gebracht hatte.
He he he...da brauchst du vermutlich auch keinerlei QoS bei solch traumhaften Bedingungen !!! Da erschlägst du alles mit Bandbreite face-big-smile
Wozu 100 kBit/s (Voice) priorisieren wenn man 1000 Mbit/s hat die vermutlich nur zu 10% ausgelastet sind...
und VOIP (uraltes Gigaset auf VLAN4) überhaupt etwas von QOS erwarten kann
Dazu solltest du uns zuallererst mal mitteilen WELCHE Art von QoS deine Endgeräte denn machen bzw. DU in deinem Netzwerk anstrebst ???
  • Layer 2 QoS = 802.1p
  • Layer 3 QoS = DSCP
Da du dazu keinerlei Angaben machst können wir hier jetzt nur im freien Fall raten oder müssen die Kristallkugel rauskramen...wenn dir das reicht ist ja gut ?!
Ansonsten das hier mal lesen und verstehen, das erklärt alles:
Kaufberatung - Switches mit VoIP-Priorisierung
Redundante Core Switches