lenseman
Goto Top

Vlan und Redundanzkonzept mit Brocade VSRP

Hallo zusammen,

folgende IST Situation:
1 x Firewall an der hängt
3 x HP 5130 an denen hängt
1 x Brocade ICX 6450 an dem hängt
1 x D-LInk DXS-1210 10GbE Switch

Firewall stellt Internetverbing + Layer 2 Direktanbingungen von weiteren Standorten her. Am Brocade hängen die Server (teilweise an einem D-Link 10GbE Switch). Die HPs sind für Rechner.

In Zukunft sollen alle Standortanbindungen über den Brocade laufen und die Firewall nur noch die Internetverbindung für alle herstellen. Des Weiteren sollen VLANs aufgebaut werden. Folgender Plan (IP Adressen lasse ich mal weg): (siehe Schaubild)
Vlan 100 an Port 1/1/1 für die Default Route zur Firewall
Vlan 200 an Port 1/1/2 für L2 Anbindung Firma A in Hamburg
Vlan 300 an Port 1/1/3 für L2 Anbindung Firma B in München
Vlan 400 an Port 1/1/4 usw

Vlan 20 - Server an Brocade Port 1/1/13 - 1/1/24
Vlan 30/50 WLAN (Aruba)
Vlan 40 - PCs und Drucker
Vlan 60 - Buchhaltung
Vlan 90 - Management


Für die Redundanz wurde ein zweiter Brocade angeschafft, aber, intelligenterweise, nicht die entsprechenden Lizenzen für VRRP. :/ Jetzt meine Fragen:

1.) Macht das ganze grundsätzlich erst mal so Sinn?
2.) Lässt sich das Redundanzkonzept mit VSRP zufriedenstellend realisieren? Und wie genau funktioniert das? Lege ich für jedes VLAN ein VRID an?
3.) Müssen die beiden Brocade direkt miteinander verbunden sein?

Vielen Dank und Gruß!

Len
screensh_vsrp

Content-Key: 304887

Url: https://administrator.de/contentid/304887

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: clSchak
clSchak 19.05.2016 aktualisiert um 16:12:45 Uhr
Goto Top
Hi

Stack die Geräte einfach - über die 10Gb Ports, weniger Aufwand und kostet keine Lizenz extra face-wink. Auf beiden dann einfach das Routerimage drauf und *fertig*. Damit hast auch 2 Endgeräte die das gleiche machen sparst dir aber die gesamte Config was VSRP angeht, bei einer FW ohnehin eher mit Kanonen auf Spatzen schießen.

Bedenke aber, dass STP 802.1W von Brocade nicht kompatibel mit deinen HP Geräten ist! Das "spuckt dir direkt in's Essen".

Wenn du das trotz alledem über VSRP machen willst, musst du den Routern mitteilen wer "Chef" von dem jeweiligen Interface ist und auf den anderen dann das Backup einrichten

z.B.
----- Router #1 -----
interface ve 70
 ip address 192.168.70.29 255.255.255.0
 ip helper-address 1 192.168.8.2
 ip ospf area 0.0.0.0
 ip vrrp-extended vrid 1
  backup priority 80
  advertise backup
  ip-address 192.168.70.30
  enable
!
------ Router #2 ------
interface ve 70
 ip address 192.168.70.29 255.255.255.0
 ip directed-broadcast
 ip helper-address 1 192.168.8.2
 ip ospf area 0.0.0.0
 disable
 ip vrrp-extended vrid 1
  backup
  advertise backup
  ip-address 192.168.70.30
  enable
!

viel mehr ist das eigentlich nicht, aber für das Advanced Routing brauchst die Lizenz damit das funktioniert face-wink.

Gruß
@clSchak

Edit/add:
Die ICX6450 sind aber nicht für Standortvernetzung ôÔ Das sind keine MPLS Router, dafür brauchst andere Geräte oder wie hast du das geplant? Im Regelfall macht man das, wenn kein MPLS vorhanden ist, über einen Side2Side VPN Verbindung die über die Firewalls hergestellt wird.
Mitglied: Lenseman
Lenseman 19.05.2016 um 16:40:12 Uhr
Goto Top
Hi clSchak,

danke für die schnelle Antwort. Vielleicht ist das tatsächlich die beste Lösung. HIer laufen halt alle Netze schön redundant auf jeweils zwei Ports zusammen, da wäre ein entsprechendes Konzept schon reizvoll. VPN wird nicht benötigt, da es Glasfaser Direktverbinfungen in unser Netzwerk sind.

VSRP klappt übrigens mit der Default Route schon mal sehr gut, soweit sind wir hier schon. Ist dann für den ganzen Router ein wenig Konfigurationsaufwand.

Eine zweite Firewall ist vorhanenden, standby im Schrank. face-wink

VG
Len
Mitglied: aqui
aqui 19.05.2016 aktualisiert um 20:08:33 Uhr
Goto Top
Für die Redundanz wurde ein zweiter Brocade angeschafft,
Auch wieder ein 64er ??
Die Dinger supporten Horizontal Stacking !
Das sinnvollste ist du stackst beide 64er in einen Stack so das sie quasi als ein Switch agieren.
Damit hast du alle Redundanzen erschlagen und musst dir um VSRP, STP, VRRP keine Sorgen mehr machen. Schon gar nicht um fehlende Lizenzen. Stacking ist inkludiert.
Das wäre in deinem Design die allereinfachste Lösung !
Kollege clSchak hats dir ja schon beschrieben und dem kann man nur absolut zustimmen. VSRP ist proprietär und nicht mehr strategisch bei Brocade im Zeitalter von Stacking.
Fazit: Gehe den Stacking Weg und alles wird gut.
Die Brocades machen keinen Vendor Check bei den Optiken, du kannst also preiswerte 10G Optiken vom freien Markt nehmen für 50 Euro Strassenpreis.
Stehen die Switches mit einer Entfernung von nicht mehr als 10m beeinander oder im Rack kannst du auch preiswerte 10G Twinax Kabel (DAC Kabel) nehmen fürs Stacking !

Die Konfig vom Kollegen clSchak oben hat übrigens einen gravierenden Fehler, denn beide Interface Adressen sind identisch !
Vermutlich ein Cut and Paste Fehler, denn das wäre fatal würde man das so machen.
Einer hat dann natürlich die .29 und der andere die .28 wenn die VRRP VIP die .30 hat face-wink
Abgesehen davon ist es kosmetisch immer besser Router nach ganz oben oder nach ganz unten im IP Adressbereich zu legen um Dopplungen zu vermeiden mit Hostadressen.
IP Directed Broadcasts sollte man besser auch deaktiviert lassen...das ist aber Ansichtssache. face-wink
Mitglied: clSchak
clSchak 20.05.2016 um 11:50:17 Uhr
Goto Top
OT
@aqui
dann funktioniert unser WOL allerdings nicht korrekt, die aktuelle Appliance zur Softwareverteilung kann leider keine direkt VLAN Adressierung :/ - naja das lustige an der Sache ist dann aber auch, bei manchen VLAN's geht es auch ohne die Einstellung -aber das ist ein anderes Thema face-smile

und ja, Copy&Paste Fehler, hatte beide Putty Fenster offen face-smile 28+29 sind es :> - und der Rest ist Ansichtsache ja, habe das "damals" so übernommen und bin der Linie "treu" geblieben, alle Router-Gateways auf x.x.x.30 zu legen face-smile
/OT

@to
JA du kannst freie Module z.B. Finisar nehmen, das funktioniert anstandslos, wir verwenden nur im SAN & Core Bereich originale Optiken bzw. TWINAX Kabel von Brocade. Wenn du keine Port-Lizenz erworben hast sind im Regelfall nur Port x/2/1 + x/2/3 aktiv und die anderen beiden laufen nur im 1Gb Betrieb.

Was du evtl. noch machen könntest wäre, wenn die beiden Geräte in einem Rack hängen, eine ESP für redundante Stromversorgung anzuschaffen da die Switche ja nur Netzteil haben.

Gruß
@clSchak
Mitglied: Lenseman
Lenseman 20.05.2016 um 11:54:13 Uhr
Goto Top
Jo, ist auch wieder ein 64er. Und das Stacking hat mich überzeugt.

SFP+ 1 und 3 sind die default stacking Ports. Das heisst wahrscheinlich, es geht nur mit 10G, richtig? Die Kabel haben wir hier, aber leider nicht die erweiterte Lizenz für 2 und 4 und uns gehen die Ports aus. mal schaun was uns einfällt. Zu Not könnte man ein System an die HPs hängen, schön ist natürlich anders...

Danke soweit für eure Hilfe!

Len
Mitglied: aqui
aqui 20.05.2016 aktualisiert um 13:02:43 Uhr
Goto Top
Nein, es geht auch Stacking mit 1G. Ob das Sinn macht den gesamten Backplane Traffic des Stacks dann durch ein 1G Nadelöhr zu zwängen kannst du dir selber beantworten.
Zum Testen ja, im Produktivbetrieb macht Stacking mit 1G sehr wenig Sinn und sollte man lassen.
Die SFP+ Ports des 64ers sind immer Dual Mode, können also 1G und 10G Optiken aufnehmen wie es gemeinhin für SFP+ Ports ja üblicher Standard ist !
Die Kabel haben wir hier, aber leider nicht die erweiterte Lizenz für 2 und 4
Das ist kein Problem. Ruf den zuständigen Brocade IP Techniker an in deiner Region der kann dir eine zeitlich begrenzte Lizenz generieren (2 Monate) mit der du starten kannst. Hast dann 2 Monate Zeit deine nachzuinstallieren.
Du brauchst die erweiterte Lizenz auch nicht wenn du 2 Ports je Switch lizensiert hast.
Wenn der 2te natürlich gar keine hat bleibt dir nur die Temp. Lizenz erstmal wenns schnell gehen soll oder 1G. Letzteres solltest du aber gut überlegen.
Zu Not könnte man ein System an die HPs hängen
Igitt....
schön ist natürlich anders...
So ist es... face-wink
Mitglied: Lenseman
Lenseman 22.05.2016, aktualisiert am 23.05.2016 um 10:23:06 Uhr
Goto Top
Zitat von @clSchak:
Bedenke aber, dass STP 802.1W von Brocade nicht kompatibel mit deinen HP Geräten ist! Das "spuckt dir direkt in's Essen".

Das hatte ich Anfangs total überlesen. Was genau bedeutet das? Nur einfaches Single STP? Wird das ein Problem bzw. wo sind die Nachteile? Keine Lastenverteilung?

Danke für die Info.

Len

edit: das sagt HP:
"Spanning tree protocols include STP, RSTP, PVST and MSTP"

edit2:
Also Twinax SFP+ von Delock mag er scheinbar nicht. Der Stack steht soweit, allerdings lässt sich der 24P nicht erreichen und übernimmt auch nicht beim Failover. Den Stack haben wir über ihn initiiert. Über CLI kommen wir natürlich drauf, aber die Interface sind nicht erreichbar, auch nicht, wenn er der Master ist. Bisher ist das ganze nur im "Labor" aufgebaut, also nur die beiden Switche über 10G verbunden. Habt ihr einen Tipp?
bildschirmfoto 2016-05-23 um 09.24.59
Mitglied: aqui
aqui 23.05.2016 aktualisiert um 11:16:05 Uhr
Goto Top
Also Twinax SFP+ von Delock mag er scheinbar nicht.
Du musst aufpassen. Es gibt sog. aktive und auch passive DAC Kabel. Brocade supportet nur aktive DAC Kabel.
Der Unterschied liegt darin das die Kabel dann in den Steckern noch Leitungsverstärker haben die den Signalpegel anheben.
Ein show media zeigt dir ob er die Kabel erkannt hat !
Bei der ersten Bildung des Stacks musst du auf folgendes Achten:
  • Images müssen identisch sein in Version und Funktion !! R = Route Image S=Switch only Image. Versionsnummern und Patchlevel müssen übereinstimmen
  • Konfig muss default sein (erase startup)
  • Dann zusammenstecken und stacking enable eingeben
  • Unbedingt hitless Failover aktivieren
Gib dem Vorgang eine Weile, das dauert etwas bis der Stack aktiv ist.
Details findest du im Stacking Guide zu dem Produkt !

Du hast auch einen Fehler gemacht... Du musst ein Daisy Chaining machen beim Stacken !
Port 2/1 geht auf 2/3 usw. Nie gleiche Ports zusammenstacken in einer Stack Group.
Sieh immer in den Stacking Guide da ist das alles beschrieben !!
Mitglied: Lenseman
Lenseman 23.05.2016 um 12:19:38 Uhr
Goto Top
Hi aqui,
danke für die schnelle Antwort. Die laufen beide mit dem Router-Image unter 8.0.30d.
Was das Löschen angeht...reden wir da von dem Master oder dem Member Gerät? Den Master hatte ich nämlich nicht gelöscht, da wollte ich mir die Arbeit sparen, alles noch mal neu anlegen zu müssen.
Mitglied: aqui
aqui 23.05.2016 aktualisiert um 12:58:00 Uhr
Goto Top
Beide sollten jungfräulich sein bevor man den Stack bildet. Wenn du den Master vor dem Stacking bestimmst geht es aber auch ohne, der "zwingt" dem Client dann die Konfig auf und resettet ihn zum Default.

Sind deine Interfaces denn jetzt erreichbar ??
Denk dran das du jetzt immer die korrekte Unit ID mitgeben musst um das richtige Interface zu erreichen !
Ein show int brief zeigt dir die aktuellen Interfaces im Stack und deren Zustand an !
Mitglied: clSchak
clSchak 23.05.2016 um 13:28:28 Uhr
Goto Top
Hi

Master wird im Regelfall der Switch der als erstes "stack enable" gemacht hat - bei dem bereits zusammengesteckten Konstrukt, kann man aber nachher verschieben, bei 2 Geräten eher irrelevant. Hitless-Failover ist dafür, dass der automatisch den Master verschiebt wenn der dir mal abgeraucht ist.

Und das STP, Brocade macht PVST 802.1W und das mag HP mal gar nicht face-smile da kannst dann "bewundern" wie schnell so ein HP Switch auf 100% Last geht und dann aussteigt :>. Wir haben "damals" an allen Ports wo ein HP Switche dran hingen das STP deaktiviert (auf beiden Seiten) und es dann auf allen anderen Ports aktiviert gelassen, dann kommt sich das nicht in die Quere.

Gruß
@clSchak
Mitglied: Lenseman
Lenseman 23.05.2016 aktualisiert um 14:45:03 Uhr
Goto Top
Zitat von @aqui:
Denk dran das du jetzt immer die korrekte Unit ID mitgeben musst um das richtige Interface zu erreichen !
ich habe natürlich die IDs nicht richtig vergeben. Ich mache noch ein paar Tests, aber es sieht ganz gut aus. Danke dir.

@clSchak
hitless-failover hatte ich direkt aktiviert. Verhindert, glaube ich, doch auch den Neustart, oder?
Aus reinem interesse werde ich mir das mit den 100% mal anschauen. face-smile Sieht so aus, als ob ich da mit den HPs vor ein paar Monaten einen Fehler gemacht habe...

edit:
ich stelle schon mal fest, STP ist träge.
Mitglied: aqui
aqui 23.05.2016 um 16:50:14 Uhr
Goto Top
Master wird im Regelfall der Switch der als erstes "stack enable" gemacht hat -
Nein, nicht ganz... Der mit der niedrigsten Mac Adresse im Stack wird es...sollte wenigstens.
Wir haben "damals" an allen Ports wo ein HP Switche dran hingen das STP deaktiviert
Oder den Brocade auf Global Span stellen, oder beide auf MSTP face-wink
ich habe natürlich die IDs nicht richtig vergeben.
Das musst du auch nicht, das kaspern die Switches dann selber aus. Besser ist dann wenn du zum Schluß einen feste "stack mac" definiert.
Dazu solltest du immer die des Masters nehmen die du mit sh stacking sehen kannst !
Muss zwingen aber auch nicht sein.
ich stelle schon mal fest, STP ist träge.
Klar...normal nimmt man ja auch RSTP ! Das Brocade Kommando dafür lautet spanning-tree 8021
Mitglied: Lenseman
Lenseman 24.05.2016 aktualisiert um 17:02:16 Uhr
Goto Top
Ich habe jetzt ein paar Tests mit dem D-Link gemacht, stellvertretend für die HPs: wenn ich an den Verbindungen STP abschalte, dann bastel ich mit der zweiten Anbindung einen Loop, egal ob einfach angebunden oder link-aggregiert. Oder muss ich mich von der redundanten Anbindung verabschieden?

Vg,
Len

edit:
Mit LACP bin ich einen Schritt weiter - zumindest wird schon mal nicht alles geblockt.
edit:
jo, läuft jetzt. RSTP konnte ich übrigens nur mit 802-1w aktivieren.
Mitglied: aqui
aqui 24.05.2016, aktualisiert am 25.05.2016 um 09:15:08 Uhr
Goto Top
wenn ich an den Verbindungen STP abschalte, dann bastel ich mit der zweiten Anbindung einen Loop
Das darfst du auch nicht !!!
Immer STP bzw. besser noch RSTP anschalten und zwar auf Brocade Seite und auch D-Link Seite !
ACHTUNG: Den Brocade musst du vorher zwingend auf Global Spann bzw. Single Span SSTP umkonfigurieren, da er per Default PVSTP macht !
http://www.brocade.com/content/html/en/configuration-guide/FI_08030_L2/ ...
Bitte nutze beidseitig zwingend RSTP. spann-tree 8021w beim Brocade. RSTP hat ein sub Second Failover, sprich schlatet also unterbrechungsfrei auf die redundanten Links bzw. hilft so sicher Loops zu vermeiden im Netz.
Eine sinnvolle Priorisierung der Root und Backup Root Switche solltest du dann auch immer machen (modulo 4096).
so, läuft jetzt. RSTP konnte ich übrigens nur mit 802-1w aktivieren.
Ist auch genau richtig. Das alte rstp Kommando schaltet einen alten, nicht mehr benutzen Draft, vom RSTP ein !
Syntaktisch leider etwas unglücklich, denn Laien würden vermutlich immer denken rstp wäre richtig, was bei Brocade Syntax leider ein Irrtum ist.

Dann Link Aggreagtion auf dem Brocade und D-Link.
Zusammenstecken
Sollte klappen ?!
show lacp bzw. show lag oder show link-aggregate (je nach Firmware) zeigt dir an ob der Trunk aktiv ist.
Dort muss auf Brocade Seite ein (Oper) wie Operational im Output stehen !
Mitglied: Lenseman
Lenseman 25.05.2016 aktualisiert um 09:07:00 Uhr
Goto Top
Ich habe es nur an den Verbindungs-Ports abgeschaltet, so wie es clSchak empfohlen hat oder habe ich da etwas missverstanden? Den D-Link habe ich Testweise genommen, da die HPs im Einsatz sind und ich da erst am Wochenende dran kann. Dynamisches lacp funktioniert darüber jetzt sehr gut.

Len
Mitglied: aqui
aqui 25.05.2016 um 09:09:28 Uhr
Goto Top
Besser ist dann aber du migrierst auf Single RSTP oder MSTP. Ohne oder nur mit Teil RSTP sollte man in einem redundanten Netz nicht arbeiten.
Mit dem D-Link kannst du das ja gut simulieren, denn der kann auch nur Single RSTP wie die HP Gurken.
Mitglied: Lenseman
Lenseman 29.05.2016 aktualisiert um 11:32:42 Uhr
Goto Top
Mit dem Brocade macht es langsam richtig Spaß! An die HPs muss ich mich noch gewöhnen. Beim Stacking gestern musste ich die häufiger neustarten als einen Windows Server bei Neuinstallation face-wink. Aber, soweit hat alles geklappt und Redundanz und VLAN steht. Danke soweit!!

Ein neues Problem hat sich ergeben. Die Firewall (Securepoint v11) droppt alle eingehenden Verbindungen weg, die ich an Server weiterreiche. Das externe Interface ist eth0. Das (alte) interne Netz hing vorher an eth1 und konnte mit einfachen Regeln erreicht werden, zB. "Internet -> Mailserver (Dienst: SMTP) Dest.Nat".

Mit dem Brocade an eth1 funktioniert das nicht mehr, wobei ich eth1 und eth2 gebridged habe, um beide Brocade anschließen zu können, aber das nur nebenbei. Von eth0 aus der Firewall heraus kann ich alle VLANs bzw. die entsprechenden Server pingen! Im Log steht sowas wie
"DROPPED: ext.IP:Port -> eth0 -> bridge (eth1/eth2) -> interner Server".
Ich habe schon vieles in den Regeln versucht, aber ich bekomme es einfach nicht hin.

Len

edit:
aus dem Netz ins Internet funktioniert alles wunderbar. Ich habe für alle VLANs auf der FW statische Backroutes angelegt. Das Router Uplink Interface ist 10.0.0.1. Die Backroutes haben die Form Quelle: "/" Gateway: "10.0.0.1" Ziel: "entspr. VLAN"
Mitglied: aqui
aqui 30.05.2016 um 10:57:11 Uhr
Goto Top
Mit dem Brocade macht es langsam richtig Spaß!
So sollte es sein face-wink
An die HPs muss ich mich noch gewöhnen.
Besser nicht...macht wenig Sinn !
Die Firewall (Securepoint v11) droppt alle eingehenden Verbindungen weg
Da sind dann wohl neue Regeln fällig. Ist ja auch vollkommen normal wenn man das FW Interface wechselt ?!
wobei ich eth1 und eth2 gebridged habe,
Gebridged auf der Firewall meinst du ??
Ist das innerhalb eines Netzes (VLAN) passiert ? Wenn ja hast du hier Spanning Tree beachtet, denn einen Bridge erzeugt einen Loop.
Ggf. hilft es eine kleinen Topologie Zeichnung hier zu posten damit man dein Design etwas besser versteht.
Das Router Uplink Interface ist 10.0.0.1
Das des Internet Routers bzw. der Internet Firewall ???
Die Backroutes haben die Form Quelle: "/" Gateway: "10.0.0.1" Ziel: "entspr. VLAN"
Das wäre falsch !!!
Wenn denn die 10.0.0.1 das Firewall oder Router Interface ist, oder deine Beschreibung ist etwas missverständlich.
Die Firewall / Router muss ja diese VLAN Netze kennen, also macht man sie dort mit einer lokalen Statischen Route bekannt und sagt ihr an welches Segment sie es schicken muss.
In der Regel wenn das netzwerk sauber designt ist hat man immer ein Transfernetz das den ISP Traffic isoliert von allen Produktivnetzen auf den L3 Switch bringt.
Dort lautet dann die Syntax für die statischen Routen:
Ziel: VLAN-Netz, Maske: VLAN Netzmaske, Gateway: IP Adresse Switch Transfer Netz
Oder war das damit gemeint..?
Mitglied: Lenseman
Lenseman 30.05.2016, aktualisiert am 31.05.2016 um 10:02:34 Uhr
Goto Top
Das Brocade Interface ist 10.0.0.1/24 und mit der Firewall an eth1/eth2 10.0.0.254 verbunden. Die beiden Interfaces sind auf der FW gebridged.
Ich habe für jedes VLAN eine statische Route auf der FW angelegt mit Gateway 10.0.0.1 Ziel VLAN, und eine Route in das Transfernetz, Gateway 10.0.0.254 Ziel 10.0.0.0/24. Ohne Bridge funktioniert es jetzt. Mit kann ich zur Zeit nicht testen.

Len

edit:
kleine Grafik angehängt.
bildschirmfoto 2016-05-31 um 09.59.17
Mitglied: aqui
aqui 31.05.2016 aktualisiert um 13:27:53 Uhr
Goto Top
Das Brocade Interface ist 10.0.0.1/24
Was genau meinst du damit ?? Das ist etwas kryptisch face-sad
Ist das die IP Adresse auf dem OOB (Management) Interface ?? Oder ist das ein VE Interface also ein L3 Interface in einem VLAN ??

Die Zeichnung hilft leider sehr wenig, denn sie...
  • sagt nicht aus WIE eth 1/1/1 und eth 2/1/1 definiert sind im Switch ?? Ist das ein LAG (Link Aggregation) ?? oder 2 simple Ports in VLAN 20. Bei letzterem droht die Gefahr eines Loops
  • sagt NICHT was du mit "Brocade Interface" meinst ?? Ist das das VE Interface in VLAN 20 ??
  • Mna kann in einem Swicth keinen Route pro VLAN anlegen das ist Unsinn und technisch unmöglich. Die Routing Tabelle gilt für ALLE VLANs ! Ausnahme du arbeitest hier mit VRFs was ja nicht der Fall ist !

Vermutung:
Die Ports eth 1/1/1 und eth 2/1/1 sind untagged in VLAN 20 und bridges in der Firewall, damit hast du dir einen Loop kreiert im Netz !!
Das ist aber jetzt nur geraten.... Es fehlen leider die Details der Konfig ?!
Mitglied: Lenseman
Lenseman 31.05.2016 um 16:58:59 Uhr
Goto Top
Du bist nah dran. Die Ports sind nicht im VLAN 20, sondern in einem eigenen VLAN 100.
Also vlan 100, untagged Ports 1/1/1 und 2/1/1 mit dem L3 Interface ve100, IP 10.0.0.1/24. Beide Ports sind mit der Firewall verbunden, kein LAG, aber STP auf den Routern und der FW aktiviert. Keine gute Idee?

VLAN 20 ist nur ein Beispiel für irgendein VLAN, damit du die Backroutes nachvollziehen kannst, die ich auf der Firewall angelegt habe. Ich musste ihr doch irgendwie die Netze "beibringen". Selbstverständlich habe ich diese statischen Routen NICHT auf dem Switch angelegt. Es existiert also für jedes VLAN (als Ziel) eine statische Route auf der Firewall mit ve100 als Gateway.

Wäre ein Trunk und das Anlegen der VLANs auf der FW sinnvoller?

Len
Mitglied: aqui
aqui 01.06.2016 um 09:42:54 Uhr
Goto Top
Die Ports sind nicht im VLAN 20, sondern in einem eigenen VLAN 100.
OK, damit generierst du dann aber einen Loop im VLAN 100 und das Netz kollabiert. Bzw. wenn du STP aktiviert hast geht einer der Ports in den Blocking Mode und nur einer ist aktiv.
Sehr unproduktiv face-sad
Es wäre besser Link Aggregation zu machen auf den Ports und auch auf der Firewall !
kein LAG, aber STP auf den Routern und der FW aktiviert. Keine gute Idee?
Wie befürchtet...
STP sorgt dafür das einer der Ports in Blocking geht. Damit sind dann die 2 Links eh sinnfrei. Einer wartet dann nur das der andere kaputt geht was (fast) nie passiert. LAG wäre hier sinnvoller, denn der gibt dir Redundant und die doppelte Bandbreite.
Wäre ein Trunk und das Anlegen der VLANs auf der FW sinnvoller?
Nööö...VLANs nicht, wozu ?? Aber ein Trunk sollte zwingend sein im VLAN 100 aus den o.a. Gründen !
Mitglied: Lenseman
Lenseman 01.06.2016 um 11:55:22 Uhr
Goto Top
Ich habe bei der FW keine Möglichkeit gefunden eine LAG anzulegen, sonst hätte ich das gemacht. Ich halte noch mal Rücksprache mit dem Firewall-Experten.

STP sorgt dafür das einer der Ports in Blocking geht. Damit sind dann die 2 Links eh sinnfrei. Einer wartet dann nur das der andere kaputt geht was (fast) nie passiert.
Deswegen hatte ich das gemacht, um den Ausfall des "aktiven" Routers abzusichern und damit der "standby" Router direkt online gehen kann.

Das wollte ich dich auch noch Fragen: welchen Sinn hat eigentlich eine 10G Verbindung zwischen den Brocades im Stack, wenn einer der beiden Router immer im "standby" ist?

Len
Mitglied: clSchak
clSchak 01.06.2016 um 15:52:46 Uhr
Goto Top
Hi

wieso im Standby? Das ist ein Stack also ein "logisches" Gerät, du kannst z.B. bei Trunks jeweils ein Port auf Switch A und ein Port auf Switch B anschliessen, dann hast eine Absicherung falls dir ein Gerät aussteigt.

In der Stack Anzeige "Active" und "Standby" wird nur dargestellt wer gerade das sagen hat. Im Fehlerfall geht der im Standby als Activer Master ins rennen wenn der primäre ausfällt. Du kannst beide Geräte zu 100% nutzen.

Gruß
@clSchak
Mitglied: Lenseman
Lenseman 01.06.2016 um 17:52:07 Uhr
Goto Top
Ach, ja klar...blöde Frage. Sorry. Danke trotzdem für die Antwort.

Die Firewall kann scheinbar tatsächlich kein LAG. face-sad

Len
Mitglied: aqui
aqui 01.06.2016 um 19:26:41 Uhr
Goto Top
Das wollte ich dich auch noch Fragen: welchen Sinn hat eigentlich eine 10G Verbindung zwischen den Brocades im Stack,
Auf diesem Stack Link rennt ein spezielles Stacking Protokoll was Token basierend ist und kein Blocking macht.
Die Firewall kann scheinbar tatsächlich kein LAG
Schwach... Das kann heutzutage jede beliebige Open Source Firewall ja schon !
Dann musst du wohl oder übel mit der STP Krücke leben face-sad
Mitglied: Lenseman
Lenseman 15.06.2016 um 09:57:08 Uhr
Goto Top
So, mittlerweile bin ich bei den ACLs angekommen und es ergeben sich neue Fragen:
ich würde gerne ein Gastnetz VLAN 50 einrichten, das vom DHCP Server mit der IP 10.20.1.207 IP Adressen bekommt und ansonsten nur ins Internet darf. Muss ich jedes Netzwerk einzeln verbieten und am Ende ein "permit ip any any" setzen?
Also zB. so:
access-list 101 permit udp 10.50.1.0 0.0.0.255 host 10.20.1.207 eq 67
access-list 101 permit udp 10.50.1.0 0.0.0.255 host 10.20.1.207 eq 68 
access-list 101 deny ip 10.50.1.0 0.0.0.255 10.20.1.0 0.0.0.255
access-list 101 deny ip 10.50.1.0 0.0.0.255 10.30.1.0 0.0.0.255
access-list 101 deny ip 10.50.1.0 0.0.0.255 10.40.1.0 0.0.0.255
access-list 1010 ip permit any any

Passt das so oder gibt es einen besseren Weg? Und gibt es eine Möglichkeit nachträglich Einträge in eine bestehende acl einzufügen? Hier jetzt zB. noch einen weiteren Port am Server nachträglich zu erlauben, d.h. ein Eintrag an Stelle drei hinzuzufügen, ohne alles neu schreiben zu müssen.

Zitat von @aqui:
Die Brocades machen keinen Vendor Check bei den Optiken, du kannst also preiswerte 10G Optiken vom freien Markt nehmen für 50 Euro Strassenpreis.
Keiner unserer Lieferanten kann uns aktive DAC Kabel für nur ansatzweise diesen Preis besorgen. Hast du zufällig einen Hersteller, den ich da als "Stichwort" weitergeben könnte?

Besten Dank!
Len
Mitglied: aqui
aqui 15.06.2016 aktualisiert um 20:03:09 Uhr
Goto Top
ich würde gerne ein Gastnetz VLAN 50 einrichten, das vom DHCP Server mit der IP 10.20.1.207 IP Adressen bekommt
Kein Problem ! face-wink vlan 50 name Gastnetz in der Konfig.
Muss ich jedes Netzwerk einzeln verbieten und am Ende ein "permit ip any any" setzen?
Nein !
Wenn deine internen Netze alle 10.50er Netz sind reicht eine Summary Rule:
access-list 101 deny ip 10.50.1.0 0.0.0.255 10.0.0.0 0.31.255.255

Das blockt dann alle 10er Netz bis 10.31.0.0 (255.224.0.0 Maske)
Die .50.0 ist etwas unglücklich gewählt für eine optimirte CIDR Filterregel , denn es kann das 40er Netz nicht abdecken.

Pfiffiger wäre es du legst das Gastnetz auf die 10.64.0.0, dann kannst du mit einem einzigen Filter arbeiten
10er CIDR Suffix, 255.192.0.0 invers dann 0.63.255.255 face-wink
Der filtert dann alles bis zur 10.63.x.x
access-list 101 deny ip 10.50.1.0 0.0.0.255 10.0.0.0 0.63.255.255


Für die DHCP Versorgung vom Server vergiss die IP Helper Adresse nicht auf dem VE 50 Layer3 Interface des Switches !! Ohne diesen UDP Forwarder landen die DHCP Requests nicht auf deinem zentralen DHCP Server. Der sollte natürlich dann auch einen Scope für das Segment haben...klar.
Die Helper IP zeigt zur DHCP Server IP.

Nochwas wichtiges !! Die beiden Filter Statements für DHCP:
access-list 101 permit udp 10.50.1.0 0.0.0.255 host 10.20.1.207 eq 67
access-list 101 permit udp 10.50.1.0 0.0.0.255 host 10.20.1.207 eq 68

Sind vollkommen wirkungslos !!
Denk mal etwas nach... face-wink
Ein Client der keine IP hat und eine haben will vom Server kann ja niemals eine 10.50.er Absender IP haben ! Wie auch, denn er will ja erst eine IP haben !!!
So ein Client sendet ein Paket logischerweise mit einer Absender IP 0.0.0.0 und einer Ziel IP von 255.255.255.255 (All Net Broadcast), denn DHCP basiert auf Broadcast.
Nimm einen Wireshark zur Hand, dann siehst du es !
Der IP lose Client kann ja niemals wissen das sich sein DHCP Server hinter einer dedizierten IP verbirgt. Folglich kann er also nur Broadcasten !!
Deine Access Liste musst du also entsprechend anpassen bzw. dahingehend korrigieren das DHCP Requests passieren können.