Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Routing

Frage Netzwerke Router & Routing

Mitglied: edvmaedchenfueralles

edvmaedchenfueralles (Level 1) - Jetzt verbinden

23.02.2012, aktualisiert 19:13 Uhr, 15372 Aufrufe, 9 Kommentare, 1 Danke

Hallo zusammen,
ich habe bei uns 2 VLANs (1 selbst eingerichtetes und das standard VLAN).

5218850597e23c4e1467815307f1aa20 - Klicke auf das Bild, um es zu vergrößern

So weit so gut.
Nun möchte ich unter den VLANs routen können und natürlich auch mit beiden Netzen ins Internet!
Wie das grundsätzlich funktioniert ist mir einigermaßen klar.
Die Fragen die sich mir stellen sind:
- aktiviere ich das Routing bei einen der beiden (Backbone)L3-Switches in der Mitte?
- aktiviere ich es beim L3-Switch vor der Firewall?
- funktoniert das in dieser Form sowieso nicht, da alle anderen Switches auf den routing-L3 Switch angeschlossen sein müssen und an diesem auch die Firewall hängen muss?
Sprich: L2-Switch --------------- L3 Switch mit aktivierten routing ------------------- Firewall ---------------------Internet


Ich hoffe, ich hab das einigermaßen verständlich erklärt!

Danke im Voraus!
Mitglied: Edi.Pfisterer
23.02.2012 um 19:06 Uhr
Hallo!
Nachdem unsere Netzwerk-Experten (aqui, dog) akutell schon Feierabend zu haben scheinen, melde ich mich mal zu Wort...

- aktiviere ich das Routing bei einen der beiden (Backbone)L3-Switches in der Mitte?
- aktiviere ich es beim L3-Switch vor der Firewall?
- funktoniert das in dieser Form sowieso nicht, da alle anderen Switches auf den routing-L3 Switch angeschlossen sein müssen und an diesem auch die Firewall hängen muss?

Es reicht, das Routing auf einem der 3 zu aktivieren.
Dein Aufbau funktioniert in dieser Form in jedem Fall!

Entscheidend ist dann, dass alle anderen Geräte im Netz die entsprechenden Interfaces des L3 als Gateway eingetragen haben, und dass alle Switches/Router TAGGED miteinander verbunden sind.

Wichtig ist noch, dass du nicht vergisst, die Retourrouten auf Deiner Firewall einzutragen.

Eine Übersicht, wie die Gateways ausschauen könnten, findest Du zB hier

gutes Gelingen,
lg
Edi
Bitte warten ..
Mitglied: clSchak
23.02.2012 um 19:06 Uhr
Hi

als erstes solltest du den Uplink von den beiden(!) Layer 3 Switchen auf den einen Layer legen, dann STP aktivieren (also vorher ansonsten bekommst ein Ausfall wegen loop , der einzelne Layer 3 Switch bekommt dann das Routing aktiviert:

- IP Adresse in VLAN_A
- IP Adresse in VLAN_B
- IP Adresse in VLAN_C (VLAN was zur Firewall geht)

Dann erstellst du für jedes VLAN ein Routing Interface und gibt's dem Layer 3 Switch selbst als Standardgateway die Firewall, so weis diese, dass alle Pakete die nicht zu einem VLAN gehören ins Netz sollen. An den Layer 2 Switchen musst lediglich die Uplinks Tagged setzen und den rest untagged in dem entsprechenden VLAN.

Mal ein paar Bsp. Config (CLI ähnlich wie Cisco, in meinem Fall Brocade)
01.
02.
enable 
03.
04.
configure terminal 
05.
06.
hostname Layer 3 Router 
07.
ip address 192.168.1.1/24 
08.
ip route 0.0.0.0 192.168.10.100 (die IP der Firewall) 
09.
sntp server <ip Adresse deines DC> 
10.
11.
router ospf 
12.
exit 
13.
14.
interface etherenet 1/1/1 
15.
port-name uplink zu Switch 1 
16.
dual mode 
17.
exit 
18.
19.
interface etherenet 1/1/2 
20.
port-name uplink zu Switch 2 
21.
dual mode 
22.
exit 
23.
24.
interface ethernet 1/1/3 
25.
port-name uplink zur Firweall 
26.
exit 
27.
28.
vlan 10 name Gruppe 1 
29.
tagged ethernet 1/1/1 to 1/1/2 
30.
spanningtree 802.11w 
31.
trust dscp (wenn z.B. VoIP Prio haben soll) 
32.
router-interface ve10 
33.
exit 
34.
35.
interface ve10 
36.
ip address 192.168.10.10/24 
37.
ip opsf area 0.0.0.0 
38.
exit 
39.
40.
vlan 20 name Gruppe 1 
41.
tagged ethernet 1/1/1 to 1/1/2 
42.
spanningtree 802.1w 
43.
trust dscp (wenn z.B. VoIP Prio haben soll) 
44.
router-interface ve20 
45.
exit 
46.
47.
interface ve20 
48.
ip address 192.168.20.10/24 
49.
ip ospf area 0.0.0.0 
50.
exit 
51.
52.
vlan 100 name zur Firewall 
53.
untagged ethernet 1/1/3 (Port 2 des Switches als Uplink zur Firewall) 
54.
spanningtree 802.1w 
55.
trust dscp (wenn z.B. VoIP Prio haben soll) 
56.
router-interface ve100 
57.
exit 
58.
59.
interface ve100 
60.
ip address 192.168.100.10/24 
61.
ip ospf area 0.0.0.0 
62.
exit 
63.
64.
write mem
an den beiden Layer 3 Switchen dann

01.
02.
enable 
03.
04.
configure terminal 
05.
06.
hostname Layer Switch #1 
07.
ip address 192.168.1.2/24 
08.
ip default-gateway 192.168.1.1 
09.
sntp server <ip Adresse deines DC> 
10.
11.
interface ethenet 1/1/1 
12.
port-name uplink zum Router 
13.
dual-mode 
14.
exit 
15.
16.
interface ethenet 1/1/2 
17.
port-name uplink zum anderen Switch 
18.
dual-mode 
19.
exit 
20.
21.
vlan 10 name Gruppe 1 
22.
tagged ethernet 1/1/1 to 1/1/2 (und die anderen Tagged Ports falls notwendig) 
23.
spanningtree 802.11w 
24.
trust dscp (wenn z.B. VoIP Prio haben soll) 
25.
exit 
26.
27.
vlan 20 name Gruppe 1 
28.
tagged ethernet 1/1/1 to 1/1/2 (und die anderen Tagged Ports falls notwendig) 
29.
spanningtree 802.1w 
30.
trust dscp (wenn z.B. VoIP Prio haben soll) 
31.
exit 
32.
33.
write mem 
34.
!
Natürlich ein wenig anpassen, aber im ganzen sollte das so gehen - und dann am Client entsprechend die IP des Routerinterfaces in dem VLAN eintragen als Default_Gateway.

Ein weiterer Punkt währe noch, wenn die beiden Layer 3 Switche, es könenn kannst, zwecks Ausfallsicherheit auch VRRP oder ähnliches aktivieren, damit hättest du einen ausfallsicheres Routing - das können meistens allerdings nur Enterprise Geräte und zu deinen Geräten hast so nix geschrieben.

Edit/add: und bevor kritiker schreien, ja ich habe das "management vlan" in der config im default_vlan gelassen, aber das kann auch von vlan_1 auf ein anderes schieben also egal
Bitte warten ..
Mitglied: aqui
24.02.2012 um 09:39 Uhr
Irgendwie ist der Thread hier durch die Lappen gegangen
Nein, das L3 Routing zwischen den VLANs machst du natürlich auf deinen beiden Core Switches und nirgendwo anders. Allein schon aus Redundanzgründen ist das zwingen. Mit dem L3 Switch zum Internet hättest du einen single Point of Failure.
Ein klassisches Design sieht so aus:

cbd02541153fdaf4376026b03fd512a5-switchnetz - Klicke auf das Bild, um es zu vergrößern

Was ja bis auf die redundanten Leitungen genau deinem entspricht.
Stell dir den Server hier als deinen Internet L3 Switch vor.
Den solltest du übrigens auf dringenst mit "2 Beinen" so an die Core Switches anbinden um einen Leitungs Redundanz zu haben.
Idealerweise nimmt man den Internet Anschluss in ein weiteres separates VLAN auf dem Core um diesen Traffic vollkommen vom Produktivtraffic in den beiden VLANs zu trennen.
Zudem hast du damit immer die Möglichkeit über Accesslisten dediziert den Internet Traffic in beide VLANs zu filtern.
Letztlich ist so einen Trennung also besser um nicht den Internetzugang direkt in einem der VLANs zu haben.
Was du nun machst ist auf den beiden Core Systemen je eine IP Adresse in dem VLAN eingeben und dann solltest du noch zwingend VRRP oder HSRP auf den Core Switches laufen lassen um das Gateway Problem zu lösen.
Clients hätten ja sonst immer nur eine IP des einen oder anderen Core Switches als Gateway. Fällt das aus ist "Schicht im Schacht".
VRRP oder HSRP verhindert das indem es eine virtuelle IP schafft zwischen beiden Core Switches. Fällt einer aus hat das keinerlei Auswirkung auf die Clients und es kann weiter zwischen beiden VLANs gearbeitet werden.
Das ist ein klassisches Allerweltsdesign im Switching Umfeld !
Zu guter letzt definierst du auf beiden Core Switches noch eine default Route auf den Internet L3 Switch und gut ist !
Das ist ein wasserdichets Design was du so umsetzen solltest.
Die Konfig vom Kollegen clshak ist schon OK bis auf das fehlende VRRP was du unbedingt hinzufügen solltest sofern deinen Switches das supporten (hoffentlich).
Deshalb jetzt mal die vereinfachte Konfig auch in Brocade Nomenklatur.
Vereinfacht sähe ein korrekte Core Switch Konfig dann so aus: (Ethernet Port zw. den beiden Cores ist Port 1, Default Gateway ist dann immer die VRRP .254er IP Adresse in den VLANs)
Core 1

vlan 1 name VLAN-1
tagged ethernet 1
spanningtree 802.11w
router-interface ve1
exit
!
interface ve1
ip address 192.168.1.253/24
ip vrrp-extended vrid 1
backup priority 50
ip-address 192.168.1.254
enable
!
vlan 2 name VLAN-2
tagged ethernet 1
spanningtree 802.1w
router-interface ve 2
exit
!
interface ve2
ip address 172.20.1.253/24
ip vrrp-extended vrid 2
backup priority 50
ip-address 172.20.1.254
enable
!


Core 2

vlan 1 name VLAN-1
tagged ethernet 1
spanningtree 802.11w
router-interface ve1
exit
!
interface ve1
ip address 192.168.1.252/24
ip vrrp-extended vrid 1
backup
ip-address 192.168.1.254
enable
!
vlan 2 name VLAN-2
tagged ethernet 1
spanningtree 802.1w
router-interface ve 2
exit
!
interface ve2
ip address 172.20.1.252/24
ip vrrp-extended vrid 2
backup
ip-address 172.20.1.254
enable
!
Bitte warten ..
Mitglied: Edi.Pfisterer
24.02.2012 um 10:03 Uhr
Nein, das L3 Routing zwischen den VLANs machst du natürlich auf deinen beiden Core Switches und nirgendwo anders. Allein schon aus
Redundanzgründen ist das zwingen. Mit dem L3 Switch zum Internet hättest du einen single Point of Failure.

Wie (eigentlich immer) hast Du recht, ich bin allerdings davon ausgegangen, dass der Kollege die 3 L3 so eingezeichnet hat, weil sie baulich voneniander getrennt sind, und er nur 1 Uplink zwischen den 2 L3 zur Verfügung hat...

lg

[edith: upps, hab mir seine Grafik nicht genau genug angesehen.... er hat offensichtlich mehrere Uplinks zwischen den beiden L3...
damit hat sich mein erster Beitrag in Luft aufzulösen... ]
Bitte warten ..
Mitglied: edvmaedchenfueralles
24.02.2012 um 10:16 Uhr
Danke euch für die aufschlussreichen Hinweise!
Da wurde jetzt wieder einiges Licht ins Dunkel gebracht!!!

Ein Frage zwecks Doku (Kennzeichnung) der VLANs hätte ich aber noch:
Wie Dokumentiert bzw. Kennzeichnet ihr die VLANs?
Ich habe einen Plan erstellt, wo genau eingezeichnet ist, welches Gerät an welchem Switch und welchem Port hängt. Hab da jetzt auch das VLAN (in anderer Farbe) eingezeichnet.

Aber wie mach ich das am besten beim Switch-Schrank?
- Verschieden-farbige Patchkabel pro VLAN (rot = VLAN 1; grün = VLAN 2; ...)?
- Patchkabel beschriften, zu welchem VLAN sie gehören?
Was mir noch eingefallen wäre:
- Ein Bild des Switch aufhängen und bei den Ports einzeichnen, zu welchem VLAN sie gehören?

Wenn ein Switch ausfällt und dieser schnell getauscht werden muss, dann muss ich so einfach wie möglich sehen, welches Kabel an welches Port muss!
Zwecks "Ausfallsicherheit", hab ich von jeder verwendeten Switch-Type ein Ersatzgerät vor Ort und von jedem Switch die Config gesichert. Im Falle eines Ausfalls, würde ich also einen entsprechenden Switch hernehmen, die Config drüberspielen und Austauschen.

Wie macht ihr das?

Lg
Bitte warten ..
Mitglied: aqui
24.02.2012 um 11:13 Uhr
Du hast dir die "klassischen" Szenarien Szenarien schon ganz richtig selbst erschlossen.
Bei wenig VLANs wie bei dir macht es Sinn farbige Kabel zu verwenden und einen Portplan in den Patchschrank zu hängen wo die VLAN Ports entsprechend farbig gemacht sind. Dazu reichen auch einfache farbige 4Ecke in Portanzahl.
Sinnvollerweise verteilt man die VLAN Ports in zusammenhängenden Blöcken und verteilt sie nicht wild über alle Switchports, das erleichtert immer eine Groborientierung.
In der Regel ist es egal in welchen konkreten Port die Kabel kommen wenn denn nur die VLAN Zuordnungen stimmen. Ausnahmen sind dann nur wenn du mit PoE oder Port QoS arbeitest, dann macht es Sinn zusätzlich noch ein Beschriftungsfähnchen am Kabel anzubringen..
Dein Ausfallszenario ist soweit auch OK. Viele Switches supporten ein sog. Config Boot beim Einschalten wenn sie unkonfiguriert sind und booten dann eine für sie passende Konfig Datei per TFTP. Damit könntest du so ein Ausfallszenario dann völlig automatisieren, so das auch, salopp gesagt, der Wachmann einen Switch tauschen kann.
Das muss aber deine HW auch supporten sonst eben Cut and Paste mit der Konfig Datei.
Es gibt da viele Wege... Die obigen sind aber schon der richtige Weg und du solltest dir aussuchen was in dein Umfeld am besten passt.
Bitte warten ..
Mitglied: edvmaedchenfueralles
27.02.2012 um 09:09 Uhr
Danke für die Infos!
Werde es mal mit farbigen Kabel und einen Portplan versuchen.
Danke auch für den Hinweis bzgl. Config Boot!
Bitte warten ..
Mitglied: edvmaedchenfueralles
27.02.2012 um 23:59 Uhr
Hallo! Hab da doch noch eine Frage:
Zwecks Spanning Tree:
Wir haben ein MS-Cluster im Einsatz. Lt. Vorgabe von HP (oder MS) sollte in diesem Fall Spanning Tree deaktiviert werden.
Wenn ich aber einen Switch redundant anschließen möchte, sollte ich Spanning Tree doch aktivieren.
Was denn nu? Bin etwas verwirrt.

Danke im voraus!
Bitte warten ..
Mitglied: edvmaedchenfueralles
28.02.2012 um 08:32 Uhr
Kann mir da bitte jemand helfen?

Lg
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VLAN Routing - L3 oder Firewall? (17)

Frage von pataya zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst HP VLAN routing (5)

Frage von homermg zum Thema Router & Routing ...

RedHat, CentOS, Fedora
LAG Bonding mit VLAN Routing Centos7 (20)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema RedHat, CentOS, Fedora ...

Router & Routing
VLAN Routing Design (6)

Frage von tvprog1 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...