jayyyh
Goto Top

Trunk für 2xCisco Switch. Wo liegt der Fehler?

Hi zusammen
ich habe hier 2 x SG 300-10 Switches von Cisco. Möchte im Thema Vlan fit werden und bin derweil am Testen. Steh aber noch in den Kinderschuhen, was das Thema angeht.
Folgendes Konfiguration:

Switch 1:
Port 4 - access mode VLAN 101UP untagged
Port 5 - access mode VLAN 202UP untagged
Port 10 - Trunk VLAN 1UP, 101T, 202T

Rechner 1 :
192.168.101.248,
255.255.255.0
kein def-Gateway
an Port 4 von Switch 1 - also VLAN 101 untagged

Rechner 2 :
192.168.101.249,
255.255.255.0
kein def-Gateway
an Port 5 von Switch 1 - also VLAN 202 untagged

Switch 2 ist identisch dem ersten konfiguriert.
Der Port 10 ist jeweils gelinkt und soll als Trunk dienen.

Rechner 3 :
192.168.101.250,
255.255.255.0
kein def-Gateway
an Port 4 von Switch 2 - also VLAN 101 untagged

Mehr Geräte gibt es in diesem Setup nicht.
Ich schaffe es nicht, VLAN 101 und 202 auf den 4. bzw 5. Port des 2. switches zu bringen.
Ich komm grad nicht weiter, ohne mich im Kreis zu drehen.

So wie ich das momentan verstehe, braucht es die tagged VLAN IDs zwischen den Switches (Port 10) und eben die untagged Ports für die Endgeräte.
Aber wieso nur, kann ich Rechner 1 oder 2 auf Port 4 bzw 5 des 2. Switches nicht pingen?
Firewalls sind alle aus.

Konfiguriert mit der Web GUI.

Ich bitte um etwas Aufklärung.
Vielen Dank schonmal.

Content-Key: 322829

Url: https://administrator.de/contentid/322829

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: em-pie
em-pie 04.12.2016 um 08:11:54 Uhr
Goto Top
Moin,

Die erste Frage:
Welches Gerät soll denn die Clients anpingen?
Denn durch das nicht eingetragene Gateway klappt das nur, wenn die Sender und Empfänger im selben VLAN befinden

Zweite Frage:
Wer routet die Daten (sofern gewünscht) zwischen den VLANs?
Hier muss es ein Device geben, welches mit einer IP in jedem VLAN hängt. Das kann aber beispielsweise einer der SG300er sein, welche Layer3 sind und somit Routen können.

Gruß
em-pie
Mitglied: JayyyH
JayyyH 04.12.2016 um 09:08:01 Uhr
Goto Top
Hi
Danke für die Antwort.
Ich fürchte mir fehlt hier generelles Wissen diesbezüglich.

Mein Ziel ist bislang nur die Erreichbarkeit aller angeschlossenen Rechner über die 2 switche hinweg.
Nach meinem Verständnis brauch ich dafür keinen router?!
Alles Rechner befinden sich in der selben Ip Range / Subnetz.
Wie bekomm ich denn Vlan 101 und 202 auf den 2. switch?
Vielen Dank
Mitglied: em-pie
em-pie 04.12.2016 um 10:28:25 Uhr
Goto Top
Das heisst, du willst von Rechner 1 zu Rechner 3 pingen, richtig?
Das sollte dann auch ohne GW klappen.


@aqui hat hier seinerzeit mal ein gutes Tutorial verfasst:

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Da geht es um noch mehr als VLAN, aber für dich dürfte der VLAN Bereich zunächst ausreichend sein. Schaue dir den Kapiteleinstieg an und schaue dann mal bei dem SG200 rein.

Hier wird zwar nur ein SG beschrieben, aber der zweite wird dann gleich eingerichtet.

Wenn es dann hakt, Poster hier mal deine Config (am besten via SSH anmelden und ein sh run ausführen) für und wir sehen weiter
Mitglied: sk
sk 04.12.2016 um 14:45:53 Uhr
Goto Top
Bei Deiner dargestellten Konfiguration sollten Rechner 1 und 3 untereinander kommunizieren können. Rechner 2 hingegen steht allein in einem anderen VLAN und kann 1 und 3 nicht erreichen.
Mitglied: JayyyH
JayyyH 04.12.2016 um 14:52:41 Uhr
Goto Top
Ja das ist richtig. Mir gehts im Moment nur darum dass ich überhaupt irgendwas pingen kann, nach switch 2.
Rechner 2 erstmal ausser Acht gelassen.
Ich verstehe nicht, wieso das nicht geht.
Mitglied: ashnod
ashnod 04.12.2016 um 15:03:30 Uhr
Goto Top
Zitat von @JayyyH:
Ich bitte um etwas Aufklärung.

Schönen 2 Advent face-wink

Das erste was mal auffällig ist ...

Du hast 3 Rechner die alle im gleichen Subnetz liegen.

Welchen Sinn macht eine Aufteilung in 2 VLANs für das gleiche Subnetz?

VG

Ashnod
Mitglied: ashnod
ashnod 04.12.2016 um 15:14:06 Uhr
Goto Top
Mitglied: JayyyH
JayyyH 04.12.2016 um 17:22:12 Uhr
Goto Top
Auch euch einen schönen 2.Advent.
Das Problem das ich bislang habe ist folgendes:
Ich möchte zuhause IP Kameras und die dazugehörige Synology Diskstation vom Rest des Netzwerkes trennen. Die Diskstation hat 2 Lan Adapter und unterstützt VLAN Tags. Als Gateway dient eine Fritzbox 7490 mit 4 Gigabit Lan Outputs. Es gibt nur die Fritzbox als Router in meinem Setup. Zudem habe ich eben noch die beiden Cisco SG300-10 zur Verfügung. Ich kann jedem der 4 Lan Anschlüsse der Fritzbox nicht unterschiedliche Ip Adressen / Subnetze geben. Nur statische Routen kann ich vergeben. Dazu bräuchte ich aber noch einen Router hinter der FB. Deshalb ist momentan die Überlegung eine Separation mittels VLAN, trotz gleichem Subnetz zu realisieren.
Wie gesagt, kann es gut sein, dass mir dazu Basiswissen fehlt. VLAN ist Neuland für mich.
Aber die Konfiguration über das GUI der Ciscos denke ich habe ich verstanden.
Nur scheint da halt irgendwie der Wurm drin zu sein.
Unterscheidet sich denn die Konfig über das GUI von der Konfiguration via Telnet? (Auch das hab ich nich nie gemacht).
Bin aber lernfähig;)
Mitglied: em-pie
em-pie 04.12.2016 aktualisiert um 19:27:31 Uhr
Goto Top
Du brauchst ja auch keinen Router, denn du hast bereits zwei mit den SG300ern

Für einen weiteren Test:
kannst denn der Switch 1 den Switch 2 anpingen?
Und hast du die Switche (bis auf die IP-Adressen) nahezu identisch konfiguriert?

---
€dit: wichtig wäre es, wenn du uns mal deine aktuelle Config (per SSH, s.o.) hier zur Verfügung stellst, von beiden Switchen, dann können wir hier weitere Analysen betreiben.
---

Zudem:
Folgendes wird ggf. etwas umfänglich, wäre aber ein (aus meiner Sicht) optimaler Zustand, für eine saubere und funktionsähige Konfiguration!


Du machst folgendes:

Die Basis:

VLAN 178: Kommunikation zwischen SG300-10 und der Fritzbox.
  • Netz 192.168.178.0/ 24
  • IP Fritzbox: 192.168.178.1
  • IP SG300-10: 192.168.178.254
  • Default GW aller hier befindlichen Endgeräte: 192.168.178.1

VLAN 101: Kommunikation für PCs & Co
  • Netz: 192.168.101.0/24
  • IP SG300-10: 192.168.101.254
  • Default GW aller hier befindlichen Endgeräte: 192.168.101.254

VLAN 102: Kommunikation für Kameras
  • Netz: 192.168.102.0/24
  • IP SG300-10: 192.168.102.254
  • Default GW aller hier befindlichen Endgeräte: 192.168.102.254

VLAN 103: Kommunikation für die DiskStation
  • Netz: 192.168.103.0/24
  • IP SG300-10: 192.168.103.254
  • Default GW aller hier befindlichen Endgeräte: 192.168.103.254

VLAN 100: Kommunikation für Management-Systeme (Switche)
  • Netz: 192.168.100.0/24
  • IP SG300-10: 192.168.100.254
  • Default GW aller hier befindlichen Endgeräte: 192.168.100.254
  • das wird dein Management-VLAN für die Switche (musst du so einstellen)

VLAN 1: für Gäste oder anders
  • Netz: 192.168.1.0/24
  • IP SG300-10: 192.168.1.254
  • Default GW aller hier befindlichen Endgeräte: 192.168.1.254


DNS für alle kann/ sollte sein: 192.168.178.1 (da die Fritzbox vermutlich auch der einzige DNS-Server ist).

Auf der Fritzbox setzt du statische Routen, welche die Netze 192.168.100.0/24, 192.168.101.0/24, 192.168.102.0/24, 192.168.103.0/24, 192.168.1.0/24 auf die IP 192.168.178.254 "verweisen". Hierdurch weiss die Fritzbox, dass alle Pakete, die für eine IP für das Netz 192.168.x.0/ 24 beinhalten, diese zunächst an den SG300 weiter zureichen, damit der sich darum kümmern kann.

Auf einem der beiden SG300er (welcher die IP 192.168.x.254 hat) setzt du lediglich eine statische Route für das "Netz" 0.0.0.0/24 auf die IP 192.168.178.1. Damit weiss dann der SG300, dass alle Pakete, die nicht zu den VLANs 1, 100-103, 178, gehören, zur Fritzbox gesendet werden müssen. Diese kümmert sich dann darum, die Daten in die "große weite Welt" zu senden.

Ansonsten muss halt der Port (in deinem Fall glaube ich 10), der beiden Switche miteinander verbindet auf TRUNK und für alle VLANs auf tagged gesetzt werden. Außer VLAN 1, das auf untagged, weil das ein Default VLAN ist.
und alle Ports, die einem VLAN zugehören (auch der Port mit der Fritzbox) werden auf ACCESS und untagged gesetzt.

Wenn das realisiert wurde, solltest du erstmal Zugriff von jedem Gerät in jedes VLAN haben

Die Erweiterung

Damit aber die Zugriffe VLAN übergreifend nicht erfolgen können, müsstest du noch mit AcessLists arbeiten (hier bin ich aber raus, da es mir hier derzeit noch an ausreichend Erfahrung fehlt). Hilfe könnte dir aber der Link geben

Soll in jedem VLAN noch ein DHCP-Server verfügbar sein, einfach auf DEM SG300 den DHCP-Server aktivieren (der ist zumindest bei "meinem" SG300-52P vorhanden). Ansonsten nen seperaten DHCP-Server über Raspberry Pi oder die Synology einbinden und ggf. eine IP aus dem Netz der Synology oder des Managements geben, vorausgesetzt, der DHCP-Server kann mit mehreren DHCP-Scopes umgehen. Dann musst du aber auch auf dem SG300 noch das DHCP-Relay aktivieren (Stichwort: Ip-Address-helper
Mitglied: JayyyH
JayyyH 04.12.2016 um 22:39:16 Uhr
Goto Top
Danke für den ausführlichen Bericht.
Ich werde mir das die Tage einmal ansehen. Liest sich aber gut.

Zur Info...
Ich habe soeben die beiden switche auf die factory defaults gesetzt und danach lediglich ip und VLAN Einstellungen getätigt.
Und schon funktioniert auch der Ping zu Rechner 3.

Da war wohl was nicht richtig.

Hab auf jeden Fall schonmal die Ciscos in den Router modus gebracht face-smile
(wusste auch garnicht dass die das können)
Mitglied: JayyyH
JayyyH 04.12.2016 um 22:54:02 Uhr
Goto Top
Noch eine Verständnisfrage:
wieso macht es keinen Sinn, gleiche Subnetze durch VLANs abzutrennen?

Und wieso programmiert man diese Switches per CLI anstelle der GUI?
Braucht das nicht viel länger?

Dank euch!
Mitglied: aqui
aqui 04.12.2016 um 23:23:40 Uhr
Goto Top
wieso macht es keinen Sinn, gleiche Subnetze durch VLANs abzutrennen?
Das kann Sinn machen wenn man ein Netzwerk vollständig isolieren will von allen anderen und dieses Netzwerk auch niemals mit den anderen VLANs kommuniziert.
Dann macht das Sinn und kann man machen.

Will man Kommunikation oder auch nur eingeschränkte Kommunikation ((Accesslisten) mit anderen VLANs ist das technisch durch die IP Adressgleichheit technisch unmöglich !
Routing was dafür erforderlich ist, ist damit ausgeschlossen !
Und wieso programmiert man diese Switches per CLI anstelle der GUI?
Klassische Antwort eines Netzwerkers darauf: "Real networkers do CLI !"
Wenn du Klicki Bunti Knecht bist dann nutzt du eben das GUI.
Ein CLI gewohnter Netzwerker ist doppelt so schnell wie du mit dem GUI.
Geschmackssache wie immer im Leben. Professionelle Netzwerker nutzen aber immer das CLI. Allein schon weil Diagnosemöglichkeiten erheblich besser und schneller gehen.
Mitglied: JayyyH
JayyyH 04.12.2016 um 23:35:41 Uhr
Goto Top
danke
Mitglied: ashnod
ashnod 05.12.2016 um 08:38:15 Uhr
Goto Top
Moin ...

Denke einfach dann klappt das am besten ....

Stell dir vor du hast 10 Netzwerke und nur ein Kabel ... ohne zusätzliche Technik wärst du an der Stelle verloren.

Hier kommt ein Anwendungsfall für VLANs zum tragen. Der erste Switch bündelt die Netzwerke und sendet alle Netze über ein Kabel zum zweiten Switch. Der an dieser Stelle alle Netze wieder getrennt ausgeben kann.

Wenn du nun deine IP-Kameras nicht im Netz der Rechner haben möchtest, dann trennst du diese durch Vlans.
Für deine Synology Diskstation kannst du dir aussuchen ob die einfach in beiden Netzen liegen soll oder ob du für diese auch ein VLAN erstellst.
Mit dem eigenen Netz hast du etwas mehr Möglichkeiten die Zugriffe aus den anderen Netzen zu regeln, ist aber eher optional.
Keinen Sinn macht es Rechner die miteiander kommunizieren sollen und im selben Subnetz liegen durch VLANs zu trennen.

VG
Ashnod
Mitglied: JayyyH
JayyyH 05.12.2016 um 14:26:32 Uhr
Goto Top
Hi zusammen
habe die Konfig nur mehr oder weniger so gemacht:


Die Basis:

VLAN 178: Kommunikation zwischen SG300-10 und der Fritzbox.
Netz 192.168.178.0/ 24
IP Fritzbox: 192.168.178.1
IP SG300-10: 192.168.178.254
Default GW aller hier befindlichen Endgeräte: 192.168.178.1

VLAN 101: Kommunikation für PCs & Co
Netz: 192.168.101.0/24
IP SG300-10: 192.168.101.254
Default GW aller hier befindlichen Endgeräte: 192.168.101.254

VLAN 102: Kommunikation für Kameras
Netz: 192.168.102.0/24
IP SG300-10: 192.168.102.254
Default GW aller hier befindlichen Endgeräte: 192.168.102.254

VLAN 103: Kommunikation für die DiskStation
Netz: 192.168.103.0/24
IP SG300-10: 192.168.103.254
Default GW aller hier befindlichen Endgeräte: 192.168.103.254

VLAN 100: Kommunikation für Management-Systeme (Switche)
Netz: 192.168.100.0/24
IP SG300-10: 192.168.100.254
Default GW aller hier befindlichen Endgeräte: 192.168.100.254
das wird dein Management-VLAN für die Switche (musst du so einstellen)

VLAN 1: für Gäste oder anders
Netz: 192.168.1.0/24
IP SG300-10: 192.168.1.254
Default GW aller hier befindlichen Endgeräte: 192.168.1.254


Momentan habe ich das Problemchen, dass Geräte, die in den Switches stecken keine Internetverbindung kriegen.
Was ist da wo einzustellen? Hab mit ACL bisschen rumgespielt aber ich blicke da noch nicht durch.

Ferner kann ich keine Route in das Netz 0.0.0.0. auf die 192.168.178.1 anlegen.

Destination address for route is illegal...sacht mir der switch dann.

Ich bitte um Hilfestellung.
Mitglied: ashnod
ashnod 05.12.2016 um 14:37:56 Uhr
Goto Top
Boah ... du machst dir das aber auch schwer ;)

In deinem VLAN178 macht hoffentlich weitgehend die Fritzbox Ihre Arbeit .... das sollte sie auch weiterhin ..

Was gar nicht geht ist dein VLAN1 und dein VLAN100 die solltest du auf jedenfall tauschen.

VLAN1 bleibt Standard für das Management der Switche ...dami werden die ausgeliefert und daran ändert man nix ....

Wie sieht es sonst mit DHCP Einstellungen etc. aus?

VG

Ashnod
Mitglied: em-pie
em-pie 05.12.2016 aktualisiert um 14:45:30 Uhr
Goto Top
Zitat von @JayyyH:

Hi zusammen
habe die Konfig nur mehr oder weniger so gemacht:
was heißt mehr oder weniger?
Schicke uns doch einfach mal die config.
  • Putty herunterladen und starten
  • IP des switches auswählen
  • Verbindung öffnen
  • anmelden (gleichen Daten wie auf der GUI)
  • sh run eintippen
  • alles markieren und kopieren
  • hier einfügen

(ginge vermutlich auch anders, aber so sollte es auch klappen.)


[...]


Momentan habe ich das Problemchen, dass Geräte, die in den Switches stecken keine Internetverbindung kriegen.
Was ist da wo einzustellen? Hab mit ACL bisschen rumgespielt aber ich blicke da noch nicht durch.
Lass die ACLs erstmal weg, wenn alles sauber läuft, dann kannst du hier "rumspielen".

Ferner kann ich keine Route in das Netz 0.0.0.0. auf die 192.168.178.1 anlegen.

Destination address for route is illegal...sacht mir der switch dann.
Was hast du eingetragen?
schau mal hier:
http://thewichitacomputerguy.com/blog/how-set-default-gateway-layer-3-l ...

Bei dir:
Destination IP Prefix: 0.0.0.0
Prefix Length: 0
Route Type: Default
Next Hop...: 192.168.178.1
Route Owner: Default
Metric: 1
Administrative Distance: 1
Outgoing Interface: VLAN 178
Mitglied: JayyyH
JayyyH 05.12.2016 um 21:58:25 Uhr
Goto Top
Hi
hier die Konfig von Switch 1

config-file-header
switch13f438
v1.4.1.3 / R800_NIK_1_4_194_194
CLI v1.0
set system mode router

file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
vlan database
vlan 100-102,178
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
bonjour interface range vlan 1
hostname switch13f438
username cisco password encrypted 508c7228895ca5ee0dc37dcb9b7d281d5baeb568 privi lege 15
ip telnet server
!
interface vlan 1
ip address 192.168.1.254 255.255.255.0
no ip address dhcp
!
interface vlan 100
name G‰ste
ip address 192.168.100.254 255.255.255.0
!
interface vlan 101
name Kameras
ip address 192.168.101.254 255.255.255.0
!
interface vlan 102
name Pcs
ip address 192.168.102.254 255.255.255.0
!
interface vlan 178
name Fritzbox
ip address 192.168.178.254 255.255.255.0
!
interface gigabitethernet1
switchport mode access
!
interface gigabitethernet2
switchport mode access
switchport access vlan 100
!
interface gigabitethernet3
switchport mode access
switchport access vlan 100
!
interface gigabitethernet4
switchport mode access
switchport access vlan 101
!
interface gigabitethernet5
switchport mode access
switchport access vlan 101
!
interface gigabitethernet6
switchport mode access
switchport access vlan 102
!
interface gigabitethernet7
switchport mode access
switchport access vlan 102
!
interface gigabitethernet8
switchport mode access
!
interface gigabitethernet9
switchport mode access
switchport access vlan 178
!
interface gigabitethernet10
switchport trunk allowed vlan add 100-102,178
!
exit
ip default-gateway 192.168.178.1
Mitglied: JayyyH
JayyyH 05.12.2016 um 21:58:47 Uhr
Goto Top
und hier von switch 2

config-file-header
switch53404e
v1.4.5.02 / R800_NIK_1_4_194_194
CLI v1.0
set system mode router

file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
vlan database
vlan 100-102,178
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
bonjour interface range vlan 1
hostname switch53404e
username cisco password encrypted 508c7228895ca5ee0dc37dcb9b7d281d5baeb568 privi lege 15
ip telnet server
!
interface vlan 1
ip address 192.168.1.253 255.255.255.0
no ip address dhcp
!
interface vlan 100
name G‰ste
ip address 192.168.100.253 255.255.255.0
!
interface vlan 101
name Kameras
ip address 192.168.101.253 255.255.255.0
!
interface vlan 102
name Pcs
ip address 192.168.102.253 255.255.255.0
!
interface vlan 178
name Fritzbox
ip address 192.168.178.253 255.255.255.0
!
interface gigabitethernet1
switchport mode access
!
interface gigabitethernet2
switchport mode access
switchport access vlan 100
!
interface gigabitethernet3
switchport mode access
switchport access vlan 100
!
interface gigabitethernet4
switchport mode access
switchport access vlan 101
!
interface gigabitethernet5
switchport mode access
switchport access vlan 101
!
interface gigabitethernet6
switchport mode access
switchport access vlan 102
!
interface gigabitethernet7
switchport mode access
switchport access vlan 102
!
interface gigabitethernet8
switchport mode access
!
interface gigabitethernet9
switchport mode access
switchport access vlan 178
!
interface gigabitethernet10
switchport trunk allowed vlan add 100-102,178
!
exit
Mitglied: JayyyH
JayyyH 05.12.2016 um 22:03:48 Uhr
Goto Top
Boah ... du machst dir das aber auch schwer ;)


Du, ich mach das lieber 10mal. Dann kapier ich wenigstens, was ich da tue face-smile
Mitglied: JayyyH
JayyyH 05.12.2016 um 22:27:06 Uhr
Goto Top
Noch ne Verständisfrage:
Momentan sind die switches ja gleich konfiguriert, zum Testen.
Ich möchte später, dass switch 2 das komplette 101er VLAN der Kameras und Diskstation übernimmt.
Heisst...das 101er Interface kann ich von switch 1 löschen und nur das 101er Interface bei switch 2 eintragen.
Richtig, oder?

Ne entsprechende Route von der FB auf switch 2 folgt dem natürlich.
Mitglied: ashnod
ashnod 06.12.2016 um 08:53:33 Uhr
Goto Top
Moin ...


Ich will mich nicht einmischen, führe das mal weiter mit Hilfe von @em-pie .

Nur ein paar kleine Anmerkungen: Für deine Konfiguration reicht im Prinzip ein einziger Switch der alles andere steuert.

Den zweiten Switch kannst du im Prinzip auf die Werkseinstellungen zurücksetzen und an einen Port mit VLAN 101 untagged anschließen.
Genauso gut könntest du einen 08/15 Switch benutzen der gar keine Funktionalität hat, dieser verteilt an alle angeschlossenen Geräte dein VLAN 101 ohne das der Switch oder die Geräte überhaupt Kenntnis davon haben das es ein VLAN101 gibt.

Ich versuche das immer so easy wie möglich zu halten. Du mußt daran denken das die Geschichte. wenn es weder dein Dauerhobby noch deine große Leidenschaft werden soll, jahrelang ohne Änderungen funktionieren wird. Wenn du aber nach langer Zeit da ran gehst wirst du dich immer fragen "Warum hab ich das eigentlich so gemacht". Dokumentation hilft zwar, aber je umfangreicher die wird um so mehr musst du dich wieder reindenken.

VG
Ashnod
Mitglied: em-pie
em-pie 06.12.2016 aktualisiert um 09:24:37 Uhr
Goto Top
Das sieht so auf den ersten Blick ganz gut aus. Wobei du auf dem zweiten Switch die IPs 192.168.x.253 weglassen kannst, da der ja nicht routen muss. Lediglich die derzeit 192.168.1.253 solltest du belassen, da dies die IP zum managen ist.

Du müsstest nun in der Lage sein, switchübergreifend alle Geräte anpingen zu können, sofern die eine händisch vergebene IP (nebst GW) in dem jeweiligen Segment haben.

Wenn ich das richtig gesehen habe, solltest du aktuell auch aus jedem VLAN heraus die Fritzbox ansprechen können ,sofern du dort (also in der FB) die Routen eingetragen hast. Wenn das fehlt, weiss die FB nicht, wohin sie die Daten zurückschicken soll.


Zitat von @JayyyH:

Noch ne Verständisfrage:
Momentan sind die switches ja gleich konfiguriert, zum Testen.
Ich möchte später, dass switch 2 das komplette 101er VLAN der Kameras und Diskstation übernimmt.
Heisst...das 101er Interface kann ich von switch 1 löschen und nur das 101er Interface bei switch 2 eintragen.
Richtig, oder?

Ne entsprechende Route von der FB auf switch 2 folgt dem natürlich.

Würde ich nicht machen. Lasse EINEN SG300 das Routing übernehmen und drösel das nicht auf zwei Router auf (lohnt für dein kleines Setting nicht). Zumal du jedes mal über die Fritzbox gehen musst, willst du mit einem PC/ Tablet, whatever auf die Kameras zugreifen. Kostet ünnötig Zeit/ Ressourcen.
Mitglied: JayyyH
JayyyH 06.12.2016 um 11:27:18 Uhr
Goto Top
Also o sieht es momentan aus:


In der Fritzbox sind die Folgenden Routen eingetragen:


Der Switch zeigt mir die Routen an.
routing fritzbox
netzwerk verdrahtung
Mitglied: JayyyH
JayyyH 06.12.2016 um 11:30:22 Uhr
Goto Top
Wenn ich das richtig gesehen habe, solltest du aktuell auch aus jedem VLAN heraus die Fritzbox ansprechen können ,sofern du dort (also in der FB) die Routen eingetragen hast. Wenn das fehlt, weiss die FB nicht, wohin sie die Daten zurückschicken soll.


hmm..VLAN Ping untereinander klappt (also im jeweiligen VLAN). Zur Fritzbox komm ich momentan nur über VLAN 178.
Soll das nicht auch so?? Wie soll ich bsp von VLAN 101 auf die Fritzbox kommen?
Brauch n Kaffeeface-smile
Mitglied: em-pie
em-pie 06.12.2016 aktualisiert um 11:48:09 Uhr
Goto Top
joa, klassisches Setting. Demnach läuft das jetzt alles bei dir!?

--
€dit: lt. der Zeichnung hat deine Fritzbox eine falsche IP. Ist das ein Tippfehler oder grundsätzlich falsch gemacht worden?
--

Hinweis: SW = Switch


Was ich oben vergessen hatte: die Verbindung zwischen SW01 und SW02 sollte/ muss auf P10 jeweils noch das VLAN1 als untagged haben, denn dann kämest du vom PC (VLAN 102) am SW01 auch an die ManagementIP (VLAN1) des SW02 dran, ohne direkt mit dem Port 1 des SW02 verbunden zu sein.

Kämen Geräte aus dem VLAN 101 denn jetzt ins Internet oder zumindest bis zur Fritzbox?
Ping die mal an und gebe hier Rückmeldung.
Und am Besten auch mal neben dem
 ping 192.168.178.1 

auch ein
 tracert -d 192.168.178.1 
Dann siehst du, welchen Weg die Pakete gehen und wo es ggf. hängen bleibt.


@ashnod
Joa, man hätte anstelle des zweiten SG300 auch einfach einen "blöden" L2 Switch nehmen können (respektive den SW02 zurücksetzen und L3 deakivieren) und P10 am SW01 auf untagged für VLAN 101 setzen können. Da die Info über den expliziten Switch für die Kameras aber recht spät kam, wollte ich jetzt nicht "wegrudern" und ihm weiterhin die Flexibilität lassen, später mal noch was anderes außer einer Kamera an den SW02 anschließen zu können.
Mitglied: JayyyH
JayyyH 06.12.2016 aktualisiert um 11:57:29 Uhr
Goto Top
oh sorry, Tippfehler....
Die IP ist natürlich 192.168.178.1

Hmm..nee läuft noch nicht.

Hab grad mal Port 1-5 der switche auf die VLANS 1, 100, 101, 102, 178 um zu sehen wo ich zur FB komm.

Auf beiden switches komm ich NUR von Port 4 (VLAN 102) zur FB.
Port 10 als Trunk mit VLAN 1 untagged ist klar und auch so eingerichtet.

Idee??
erstmal Reboot
Mitglied: JayyyH
JayyyH 06.12.2016 um 12:10:39 Uhr
Goto Top
routen

Ping geht immer noch nur an VLAN 102 nach nem Reboot der FB.

Traceroute gibt dann das raus.

traceroute to 192.168.178.1 (192.168.178.1), 64 hops max, 52 byte packets
1 *traceroute: sendto: Host is down
traceroute: wrote 192.168.178.1 52 chars, ret=-1
*traceroute: sendto: Host is down
traceroute: wrote 192.168.178.1 52 chars, ret=-1
*
traceroute: sendto: Host is down
2 traceroute: wrote 192.168.178.1 52 chars, ret=-1
*traceroute: sendto: Host is down
traceroute: wrote 192.168.178.1 52 chars, ret=-1
    • *
Mitglied: JayyyH
JayyyH 06.12.2016 um 12:12:32 Uhr
Goto Top
Ich will mich nicht einmischen, führe das mal weiter mit Hilfe von @em-pie .


Doch doch face-smile Bin für Hilfe dankbar. Immerhin verbringt jeder freiwillig Zeit im Netz und Forum.
Mitglied: em-pie
em-pie 06.12.2016 aktualisiert um 12:21:33 Uhr
Goto Top
oh man....

was 'ne Geburt hier....

  • Von wo hast du das traceroute ausgeführt?
  • Was für ein Gerät steckt am VLAN 102?
  • Ist es ein PC (windows), dann führe von dort mal bitte die obigen Befehle aus.
  • ist dort die Firewall (am PC) richtig konfiguriert? nicht das dort alle anderen IPs geblockt werden (zum Testen mal abschalten).
  • Ist auch immer das richtige Gateway eingetragen (192.168.x.254)
  • Klappt ein ping von der Fritzbox auf eine IP in ein VLAN <>102?
  • passt die IP-Adresse deines Testgerätes auch immer zum VLAN? eine IP mit 192.168.102.x wird niemals erfolgreich vlan-übergreifend kommunizieren können, wenn sich das GErät dann im VLAN <>102 befindet

Und bitte jetzt mal nach und nach obige Fragen beantworten.
Mitglied: JayyyH
JayyyH 06.12.2016 um 13:00:41 Uhr
Goto Top
* Von wo hast du das traceroute ausgeführt?

Mac Book Terminal

* Was für ein Gerät steckt am VLAN 102?

MacBook mit den Ip Adresse:

192.168.1.5
255.255.255.0
GW 192.168.1.254
DNS 192.168.178.1

192.168.100.5
255.255.255.0
GW 192.168.100.254
DNS 192.168.178.1

192.168.101.5
255.255.255.0
GW 192.168.101.254
DNS 192.168.178.1

192.168.102.5
255.255.255.0
GW 192.168.102.254
DNS 192.168.178.1

192.168.178.5
255.255.255.0
GW 192.168.178.1
DNS 192.168.178.1

Sonst steckt nichts am VLAN102. Es steckt nur das MB auf Port 4 des 1.switches. Der ist mit Port 10 (Trunk) mit switch 2 verbunden (Port 10 Trunk). Im 2. switch steckt auf Port 9 (VLAN 178) die Fritzbox.
Mehr steckt da nicht drin.


* ist dort die Firewall (am PC) richtig konfiguriert? nicht das dort alle anderen IPs geblockt werden (zum Testen mal abschalten).

Firewall ist aus.

* Ist auch immer das richtige Gateway eingetragen (192.168.x.254)

Sollte sein.

* Klappt ein ping von der Fritzbox auf eine IP in ein VLAN <>102?

Hab nen anderen Windows Laptop in die Fritzbox gesteckt. Der LAN Adapter des Laptops ist gleich konfiguriert (mehrer Netzwerke) wie das MacBook. IP 192.168.x.24 mit den entsprechenden Gateways.
Kann auch nur das Macbook über Port 4 (VLAN 102) auf switch 1 und 2 pingen.
Mehr geht nicht.

* passt die IP-Adresse deines Testgerätes auch immer zum VLAN? eine IP mit 192.168.102.x wird niemals erfolgreich vlan-übergreifend kommunizieren können, wenn sich das GErät dann im VLAN <>102 befindet

siehe IP Einstellungen.


oh man....

was 'ne Geburt hier....

Ja! Hab mir das auch anders vorgestellt. Sorry!
Mitglied: em-pie
Lösung em-pie 06.12.2016 um 13:14:40 Uhr
Goto Top
Lese ich das richtig?
Du hast am MAcBook (und auch am Windows-Laptop) alle IP-Adressen gleichzeitig an der NIC konfiguriert?

D.h. während das MAcBook am VLAN 102 hängt, hat die NIC die IP 192.168.178.24, 192.168.100.24, 192.168.101.24 und 192.168.102.24?

Wenn dem so ist, könnte exakt das dein Problem sein.

Während ein Device an einem Port hängt, immer nur EINE IP-Adresse einrichten....
Mitglied: ashnod
ashnod 06.12.2016 um 13:15:23 Uhr
Goto Top
Zitat von @JayyyH:
Ja! Hab mir das auch anders vorgestellt. Sorry!

Oki, bevor das neverending wird schau mal hier https://www.linuxmuster.net/wiki/dokumentation:addons:subnetting:l3switc ...

das entspricht weitgehend der von @em-pie vorgeschlagenen Variante.

Damit solltest du zu deinem gewünschten Ergebnis kommen.

wenn du es dir beim nächsten mal mit dem einrichten von VLAN's über mehrere Geräte einfacher machen möchtest, hilft diesr Artikel

http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=1e5d78dedfad44a693e ...

Aber erstmal eines nach dem anderen face-wink

VG
Ashnod
Mitglied: JayyyH
JayyyH 06.12.2016 um 13:34:27 Uhr
Goto Top
ich probier das eben.

PS hatte einen Fehler meinerseits gefunden. Port 9 des ersten switches (wo die FB dran hängt) war als accessPort VLAN 102 eingerichtet.
Das' natürlich Käse.

Habs jetzt auf 178. Jetzt komme ich halt nur über VLAN 178 zur FB.

Ich probier grad mal...
Mitglied: JayyyH
JayyyH 06.12.2016 um 13:41:33 Uhr
Goto Top
Wenn dem so ist, könnte exakt das dein Problem sein.

Gott hab ihn seelig!!!
Das wars!!! Genau das war das Problem!

Wieder was gelernt! Hatte ich immer so gemacht (zum Testen) und ausserhalb von VLANs (noch nie mit was zu tun gehabt) nie Stress mit gehabt.

Danke für den entscheidenden Tipp!!!!!
Jetzt krieg ich also alles zur FB hin gepingt und auch in Internet.

Ist ja an sich garnicht so schwer einzurichten...wenn man sich selber nicht so n Ei legt!
Mitglied: JayyyH
JayyyH 06.12.2016 um 13:48:27 Uhr
Goto Top
Wie krieg ich jetzt noch hin, dass ich switch 1 nur über VLAN 1 managen kann?
Ich finde in der GUI keine Punkt, der Management VLAN ID oder so ähnlich heisst.
Momentan kann ich switch 1 über jedes Subnetz managen.
Mitglied: em-pie
em-pie 06.12.2016 um 13:53:11 Uhr
Goto Top
ou man...

Naja... Ente gut, alles gut oder so ähnlich....

Und jetzt die configs einmal irgendwo abspeichern und dann kannst du beginnen, dich mit der DHCP-Thematik zu befassen.
schaue mal, ob der SG300 'nen DHCP-Server an Board hat, welcher dann zumindest für die PCs und die Gäste IPs verteilt. REst kann statisch bleiben...

Wenn das klappt, dann kannst du dich mit den ACLs beschäftigen....

Bei Fragen hierzu aber am besten mal im Forum hier suchen; speziell nach Anleitungen von aqui, welcher hier "unmengen" guter Anleitungen erstellt hat, auch zum Thema ACL
Mitglied: em-pie
em-pie 06.12.2016 um 13:54:11 Uhr
Goto Top
das liegt daran, dass du noch keine ACLs hast und der Switch momentan munter zwischen allen VLANs routet...
Mitglied: JayyyH
JayyyH 06.12.2016 um 14:00:00 Uhr
Goto Top
Super! Dank dir ertsmal!

Puhhhh....wattn Akt!

Und auch danke an den Rest von euch!
Mitglied: em-pie
em-pie 06.12.2016 um 14:18:13 Uhr
Goto Top
Mitglied: JayyyH
JayyyH 06.12.2016 um 14:25:49 Uhr
Goto Top
noch was...
Zuvor hat die FB ja eine Port Weiterleitung zu dem entsprechendem Port für die Kamera gemacht.
Switch 1 macht ja nun das komplette Routing fürs 101er VLAN der Kameras. Wo bitte stell ich denn da Portforwarding ein?
Ich google hier schon aber so richtig schlau bin ich noch nicht.
Mitglied: em-pie
em-pie 06.12.2016 um 14:35:40 Uhr
Goto Top
So'n "Quatsch" habe ich schon lange nicht mehr an einem Consumergerät (wie die Fritzbox) gemacht.
Schau mal hier: https://www.tobias-hartmann.net/2013/05/howto-portforwarding-fritzbox-72 ...

Wenn du direkt 192.168.101.123 einträgst, dann sollte das ausreichend sein.


Am Switch musst/ kannst du nichts eintragen
Der Switch arbeitet maximal auf Layer 3, also IP-Ebene
Ports sind aber Sache von Layer 4, also einem höherliegenden Layer:
https://de.wikipedia.org/wiki/OSI-Modell
Mitglied: JayyyH
JayyyH 06.12.2016 um 14:51:53 Uhr
Goto Top
yo..alles gut. Läuft.
War mir nicht sicher ob da das Gateway rein muss...von wegen.
Kommt eine Anrage auf dem Port X an, so leite sie weiter an das Gatway (switch), der sich um das Netzwerk x kümmert weiter.
Muss aber die IP der Kamera rein.

Danke