VLAN Routing Problem
Hallo zusammen,
ich habae folgendes Problem bei der EInrichtung von VLAN's.
Ich habe einen Layer-3-Switch von HP (HP 2920-48G) und habe auf diesem bereits die VLAN's eingerichtet.
Bsp.: VLAN 99
ip address 10.180.99.254
ip helper-address 10.180.191.5
untagged 1
IP's sollen durch einen DHCP-Server an die VLAN's übergeben werden-
Nun wollte ich das ganze Testen.
Bsp.: VLAN 99 - IP: 10.180.99.254 SM: 255.255.255.0
VLAN 01 - IP: 10.180.191.7 SM: 255.255.255.0
Im VLAN 01 (PVID) befindet sich aktuell der DHCP Server.
Im VLAN 99 hängt ein Rechner (ein Port als untagged). Dieser bekommt jedoch keine IP-Adresse.
Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger.
Das Problem ist, dass der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch.
Bsp: DHCP Discover Source Address: 10.180.99.254 (IP des VLAN 99) an Destination Adress: 10.180.191.5 (IP-Adrese des DHCP-Servers)
DHCP Offer Source Address: 10.180.191.5 an Destination Adress: 10.180.99.254
Nur kann der DHCP-Server das VLAN ja nicht kennen. Anstelle der IP vom VLAN müsste doch die IP des Switches (10.180.191.7) auftauschen oder nicht?
Was muss ich konfigurieren damit dies funktioniert? oder muss ich zwingend einen Layer-2-Switch an der Layer-3-Switch anschließen?
Auszug aus der Config:
Running configuration:
; J9728A Configuration Editor; Created on release #WB.15.12.0010
; Ver #04:01.ff.35.0d:c2
hostname "HP-2920-48G"
module 1 type j9728a
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1
untagged 2-48,A1-A2,B1-B2
ip address 10.180.191.7 255.255.255.0
exit
vlan 10
ip address 10.180.10.254 255.255.255.0
exit
vlan 50
ip address 10.180.50.254 255.255.255.0
exit
vlan 99
untagged 1
ip address 10.180.99.254 255.255.255.0
ip helper-address 10.180.191.5
exit
vlan 100
ip address 10.180.100.254 255.255.255.0
exit
vlan 191
no ip address
exit
vlan 1012
no ip address
exit
vlan 1112
no ip address
exit
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Besten Dank
ich habae folgendes Problem bei der EInrichtung von VLAN's.
Ich habe einen Layer-3-Switch von HP (HP 2920-48G) und habe auf diesem bereits die VLAN's eingerichtet.
Bsp.: VLAN 99
ip address 10.180.99.254
ip helper-address 10.180.191.5
untagged 1
IP's sollen durch einen DHCP-Server an die VLAN's übergeben werden-
Nun wollte ich das ganze Testen.
Bsp.: VLAN 99 - IP: 10.180.99.254 SM: 255.255.255.0
VLAN 01 - IP: 10.180.191.7 SM: 255.255.255.0
Im VLAN 01 (PVID) befindet sich aktuell der DHCP Server.
Im VLAN 99 hängt ein Rechner (ein Port als untagged). Dieser bekommt jedoch keine IP-Adresse.
Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger.
Das Problem ist, dass der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch.
Bsp: DHCP Discover Source Address: 10.180.99.254 (IP des VLAN 99) an Destination Adress: 10.180.191.5 (IP-Adrese des DHCP-Servers)
DHCP Offer Source Address: 10.180.191.5 an Destination Adress: 10.180.99.254
Nur kann der DHCP-Server das VLAN ja nicht kennen. Anstelle der IP vom VLAN müsste doch die IP des Switches (10.180.191.7) auftauschen oder nicht?
Was muss ich konfigurieren damit dies funktioniert? oder muss ich zwingend einen Layer-2-Switch an der Layer-3-Switch anschließen?
Auszug aus der Config:
Running configuration:
; J9728A Configuration Editor; Created on release #WB.15.12.0010
; Ver #04:01.ff.35.0d:c2
hostname "HP-2920-48G"
module 1 type j9728a
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1
untagged 2-48,A1-A2,B1-B2
ip address 10.180.191.7 255.255.255.0
exit
vlan 10
ip address 10.180.10.254 255.255.255.0
exit
vlan 50
ip address 10.180.50.254 255.255.255.0
exit
vlan 99
untagged 1
ip address 10.180.99.254 255.255.255.0
ip helper-address 10.180.191.5
exit
vlan 100
ip address 10.180.100.254 255.255.255.0
exit
vlan 191
no ip address
exit
vlan 1012
no ip address
exit
vlan 1112
no ip address
exit
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
Besten Dank
Please also mark the comments that contributed to the solution of the article
Content-Key: 220630
Url: https://administrator.de/contentid/220630
Printed on: May 8, 2024 at 06:05 o'clock
10 Comments
Latest comment
Grundsätzlich sieht dein Konfig richtig aus und die Vorgehensweise ist auch OK.
Es gibt allerdings 2 Ungereimtheiten:
1.) "Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger."
Was meinst du genau damit ?? Als ITler weisst du ja das es solche Aussagen wie "mehr oder weniger" nicht gibt. Was also bitte ist "mehr oder weniger" ??
2.) "...der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch."
Das ist ein klares Indiz dafür das grundsätzlich etwas in der Switch Konfig generell nicht stimmt ! Der Konfig Auszug oben zeigt das aber nicht, dort sieht soweit alles korrekt aus.
Niemals darf der DHCP Server in VLAN 1 UDP Broadcasts aus dem VLAN 99 direkt sehen (also die DHCP Repquest).
Das kann aus 2 Gründen niemals sein:
a.) VLANs sind vollkommen physisch getrennt auf dem Switch ! Niemals kannst du Frames aus dem VLAN 1 im VLAN 99 und umgekehrt sehen z.B. mit einem Wireshark.
b.) Ein Router (und das ist dein L3 Switch ja) forwardet niemals per se UDP Broadcasts, die bleiben immer erhalten einzig nur innerhalb des VLANs !
Bie dir umgeht das das Kommando "ip helper-address 10.180.191.5" wobei die 10.180.191.5 ja die IP des DHCP Servers in VLAN 1 ist.
Die helper Adresse bewirkt das der Switch eingehende UDP Broadcasts auf dem VLAN 99 Segment erkennt und statt sie zu ignorieren ersetzt er mit der Helper Adresse die originale Absender IP mit seiner eigenen VLAN IP als Absenderadresse und der in der helper Adresse angegebenen IP als Zieladresse.
Damit wird diese Broadcast dann an den DHCP Server geschickt.
Der "sieht" anhand der Absender IP (VLAN 99 Switch IP) das das ein Request aus dem VLAN 99 ist.
Nun sieht er in seinen Scope und du hast ihm hoffentlich auch einen eingetragen für das 10.180.99.0 /24 er IP Segment und benatwortet den Request mit einem Offer aus diesem Segment an den Switch.
Der hat die original Adresse im Cache und forwardet diesen Frame dann wieder ans anfragende Endgerät in VLAN 99 et voila...schon hat der seine IP Adresse.
So funktioniert das millionenfach weltweit und sollte es auch bei dir tun.
Wichtig ist eben das du auch den entspr. Scope im DHCP Server konfiguriert hast und das der Pakte aus anderen Netzen zulässt (lokale Firewall)
Nimm dir einen Wireshark Sniffer und dann solltest du das auch genau so sehen !
Niemals darf dir der Wireshark Paktet aus dem VLAN 99 am VLAN 1 Port zeigen. Das würde bedeutetn das beide VLANs nicht getrennt sind was sie aber sein müssten.
Oder du hast das oben fehlerhaft beschrieben ?!
Es gibt allerdings 2 Ungereimtheiten:
1.) "Der DHCP Discover und DHCO Offer funktionieren mehr oder weniger."
Was meinst du genau damit ?? Als ITler weisst du ja das es solche Aussagen wie "mehr oder weniger" nicht gibt. Was also bitte ist "mehr oder weniger" ??
2.) "...der DHCP Server die Anfrage direkt aus dem VLAN Bereich bekommt und nicht vom Switch."
Das ist ein klares Indiz dafür das grundsätzlich etwas in der Switch Konfig generell nicht stimmt ! Der Konfig Auszug oben zeigt das aber nicht, dort sieht soweit alles korrekt aus.
Niemals darf der DHCP Server in VLAN 1 UDP Broadcasts aus dem VLAN 99 direkt sehen (also die DHCP Repquest).
Das kann aus 2 Gründen niemals sein:
a.) VLANs sind vollkommen physisch getrennt auf dem Switch ! Niemals kannst du Frames aus dem VLAN 1 im VLAN 99 und umgekehrt sehen z.B. mit einem Wireshark.
b.) Ein Router (und das ist dein L3 Switch ja) forwardet niemals per se UDP Broadcasts, die bleiben immer erhalten einzig nur innerhalb des VLANs !
Bie dir umgeht das das Kommando "ip helper-address 10.180.191.5" wobei die 10.180.191.5 ja die IP des DHCP Servers in VLAN 1 ist.
Die helper Adresse bewirkt das der Switch eingehende UDP Broadcasts auf dem VLAN 99 Segment erkennt und statt sie zu ignorieren ersetzt er mit der Helper Adresse die originale Absender IP mit seiner eigenen VLAN IP als Absenderadresse und der in der helper Adresse angegebenen IP als Zieladresse.
Damit wird diese Broadcast dann an den DHCP Server geschickt.
Der "sieht" anhand der Absender IP (VLAN 99 Switch IP) das das ein Request aus dem VLAN 99 ist.
Nun sieht er in seinen Scope und du hast ihm hoffentlich auch einen eingetragen für das 10.180.99.0 /24 er IP Segment und benatwortet den Request mit einem Offer aus diesem Segment an den Switch.
Der hat die original Adresse im Cache und forwardet diesen Frame dann wieder ans anfragende Endgerät in VLAN 99 et voila...schon hat der seine IP Adresse.
So funktioniert das millionenfach weltweit und sollte es auch bei dir tun.
Wichtig ist eben das du auch den entspr. Scope im DHCP Server konfiguriert hast und das der Pakte aus anderen Netzen zulässt (lokale Firewall)
Nimm dir einen Wireshark Sniffer und dann solltest du das auch genau so sehen !
Niemals darf dir der Wireshark Paktet aus dem VLAN 99 am VLAN 1 Port zeigen. Das würde bedeutetn das beide VLANs nicht getrennt sind was sie aber sein müssten.
Oder du hast das oben fehlerhaft beschrieben ?!
..."jedoch sieht WireShark direkt die IP 10.180.99.254"
WO bitte sehr misst du denn mit dem Wireshark ??
Nur das das klar ist: Wenn du einen Mirroroport im VLAN 99 hast ist es ja sonnenklar und logisch das du den siehst, denn das ist ein UDP Broadcast.
Taucht also auch ohne Mirroroport am Switch auf allen VLAN 99 Ports auf, da das ein Broadcast Frame ist und der Switch sowas fluten muss im VLAN 99 an alle Ports in dem VLAN.
Aber auch nur da !!
Niemals darf der Switch diese DHCP Broadcasts des Clients im VLAN 99 im VLAN 1 forwarden bzw. sind sie dort sichtbar !
Sinnvoll wäre also mal am DHCP Server selber zu sniffern ob dort die DHCP Offer Pakete die der Switch abgewandelt hat durch seine ip helper Adresse dort auch ankommen ??
Genau dort müssen die VLAN 99 Client Requests mit der VLAN 99 IP des Switches als Absender ankommen !
"...für mich sieht die Konfig jedoch richtig aus."
Niemand hat hier je die Konfg in Frage gestellt das die fehlerhaft ist. Die Konfig ist auch so banal das man da nicht viel falsch machen kann. (...sofern Billigheimer HP keinen Bug in seiner Firmware hat ?!)
Nur mal so die grundsätzlichen Dinge:
WO bitte sehr misst du denn mit dem Wireshark ??
Nur das das klar ist: Wenn du einen Mirroroport im VLAN 99 hast ist es ja sonnenklar und logisch das du den siehst, denn das ist ein UDP Broadcast.
Taucht also auch ohne Mirroroport am Switch auf allen VLAN 99 Ports auf, da das ein Broadcast Frame ist und der Switch sowas fluten muss im VLAN 99 an alle Ports in dem VLAN.
Aber auch nur da !!
Niemals darf der Switch diese DHCP Broadcasts des Clients im VLAN 99 im VLAN 1 forwarden bzw. sind sie dort sichtbar !
Sinnvoll wäre also mal am DHCP Server selber zu sniffern ob dort die DHCP Offer Pakete die der Switch abgewandelt hat durch seine ip helper Adresse dort auch ankommen ??
Genau dort müssen die VLAN 99 Client Requests mit der VLAN 99 IP des Switches als Absender ankommen !
"...für mich sieht die Konfig jedoch richtig aus."
Niemand hat hier je die Konfg in Frage gestellt das die fehlerhaft ist. Die Konfig ist auch so banal das man da nicht viel falsch machen kann. (...sofern Billigheimer HP keinen Bug in seiner Firmware hat ?!)
Nur mal so die grundsätzlichen Dinge:
- Switch hat aktuellste Firmware geflasht ?
- Endgeräte haben alle die HP VLAN IP Adressen als Gateway eingetragen ?
- HP Switch hat default Route auf den Internet Router ?
OK, L3 und L2 Switch ist erstmal alles OK und sieht soweit gut aus.
DHCP Server:
Hier gibt es wieder eine Unklarheit ! Du schreibst das dort als "Router" am DHCP Server die VLAN 99 IP eingetragen ist.
Das meinst du sicherlich nicht im Ernst, oder ist falsch ausgedrückt oder ?
Fakt ist das es SO und nicht anders eingestellt sein muss:
Client in VLAN 99: (bzw. bekommt er vom DHCP Server)
IP Adresse: 10.180.99.254
Maske: 255.255.255.0
Gateway: 10.180.99.254
DHCP Server:
IP Adresse: 10.180.191.5
Maske: 255.255.255.0
Gateway: 10.180.191.100
ACHTUNG: In diesem Gateway (Router) an der IP 10.180.191.100 muss eine statische Route ins VLAN 99 fest eingetragen sein, sonst kann der DHCP Server das VLAN 99 nicht erreichen !
An diesem Router mit der IP 10.180.191.100 muss also in der statischen Route Konfig sowas stehen wie:
Zielnetz: 10.180.99.0 Maske: 255.255.255.0 Gateway: 10.180.191.7
Damit das wirklich wasserdicht ist, sollte der L3 Switch besser immer eine Default Route ip route 0.0.0.0 0.0.0.0 10.180.191.100 (bei dir) bekommen.
Das ist zwingend erforderlich, damit das Routing sauber funktioniert zwischen VLAN 1 und VLAN 99 !
Testen solltest du das indem du dem Client in VLAN 99 einmal eine temporäre statische IP aus dem VLAN 99 gibts und dann damit den DHCP Server anpingst.
Das MUSS fehlerfrei funktionieren !!
Erst wenn das der Fall ist kannst du den Client dann wieder auf "dynamische IP" sprich DHCP umstellen und wieder testen.
Nach deinem Sniffer Trace zu urteilen sieht es auch so aus also ob der Switch genau das was er tun sollte auch richtig macht ! (und das obwohls ein HP ist !) Das was du schreibst das der DHCP den Request mit der 10.180.191.7 bekommen soll ist natürlich Unsinn.
Lies dir besser nochmal die Funktion einer Helper IP genau durch: http://en.wikipedia.org/wiki/UDP_Helper_Address
Der Switch ersetzt die Absender IP immer mit der Interface IP des VLANs aus dem der Broadcast kommt also bei dir die 10.180.99.254 eben dem VLAN 99.
Ist ja auch logisch da der DHCP Server so ganz genau weiss aus welchem IP Subnetz dieser Request kommt und so den Scope richtig zuordnen kann. Würde es so sein wie du es dir dachtest ginge das ja logischerweise nicht, denn im Request selber steht keinerlei Hinweiss das der aus VLAN 99 kommt !
Wie bitte sehr sollte der DHCP Server also den richtigen Scope erkennen können wenn er nicht hellsehen kann ??
Es sieht also alles richtig aus was da passiert ! Vermutlich hast du aus Nachlässigkeit und/oder Unwissenheit die o.a. statische Route vergessen so das es schlicht und einfach deshalb nicht funktioniert ?!
Bedenke: Traceroute (tracert) und Pathping sind hier immer deine besten Freunde !!
DHCP Server:
Hier gibt es wieder eine Unklarheit ! Du schreibst das dort als "Router" am DHCP Server die VLAN 99 IP eingetragen ist.
Das meinst du sicherlich nicht im Ernst, oder ist falsch ausgedrückt oder ?
Fakt ist das es SO und nicht anders eingestellt sein muss:
Client in VLAN 99: (bzw. bekommt er vom DHCP Server)
IP Adresse: 10.180.99.254
Maske: 255.255.255.0
Gateway: 10.180.99.254
DHCP Server:
IP Adresse: 10.180.191.5
Maske: 255.255.255.0
Gateway: 10.180.191.100
ACHTUNG: In diesem Gateway (Router) an der IP 10.180.191.100 muss eine statische Route ins VLAN 99 fest eingetragen sein, sonst kann der DHCP Server das VLAN 99 nicht erreichen !
An diesem Router mit der IP 10.180.191.100 muss also in der statischen Route Konfig sowas stehen wie:
Zielnetz: 10.180.99.0 Maske: 255.255.255.0 Gateway: 10.180.191.7
Damit das wirklich wasserdicht ist, sollte der L3 Switch besser immer eine Default Route ip route 0.0.0.0 0.0.0.0 10.180.191.100 (bei dir) bekommen.
Das ist zwingend erforderlich, damit das Routing sauber funktioniert zwischen VLAN 1 und VLAN 99 !
Testen solltest du das indem du dem Client in VLAN 99 einmal eine temporäre statische IP aus dem VLAN 99 gibts und dann damit den DHCP Server anpingst.
Das MUSS fehlerfrei funktionieren !!
Erst wenn das der Fall ist kannst du den Client dann wieder auf "dynamische IP" sprich DHCP umstellen und wieder testen.
Nach deinem Sniffer Trace zu urteilen sieht es auch so aus also ob der Switch genau das was er tun sollte auch richtig macht ! (und das obwohls ein HP ist !) Das was du schreibst das der DHCP den Request mit der 10.180.191.7 bekommen soll ist natürlich Unsinn.
Lies dir besser nochmal die Funktion einer Helper IP genau durch: http://en.wikipedia.org/wiki/UDP_Helper_Address
Der Switch ersetzt die Absender IP immer mit der Interface IP des VLANs aus dem der Broadcast kommt also bei dir die 10.180.99.254 eben dem VLAN 99.
Ist ja auch logisch da der DHCP Server so ganz genau weiss aus welchem IP Subnetz dieser Request kommt und so den Scope richtig zuordnen kann. Würde es so sein wie du es dir dachtest ginge das ja logischerweise nicht, denn im Request selber steht keinerlei Hinweiss das der aus VLAN 99 kommt !
Wie bitte sehr sollte der DHCP Server also den richtigen Scope erkennen können wenn er nicht hellsehen kann ??
Es sieht also alles richtig aus was da passiert ! Vermutlich hast du aus Nachlässigkeit und/oder Unwissenheit die o.a. statische Route vergessen so das es schlicht und einfach deshalb nicht funktioniert ?!
Bedenke: Traceroute (tracert) und Pathping sind hier immer deine besten Freunde !!
Wieso deine Vermutung ist doch richtig. So funktioniert es auch ! Nur du bist von einer falschen Absender IP ausgegangen.
Also beim nächsten Mal nicht "vermuten" sondern messen, lesen und verstehen. Vermutungen gibt es in der IT nicht wie du sicher selber weisst.
Und.....mit VLANs an sich hat das auch gar nichts zu tun, denn das Problem der UDP Broadcasts über Router Grenzen ist ein Grundsätzliches bzw. so funktioniert der TCP/IP Standard.
Auch eine Grundlage die man als Netzwerker eigentlich weiss...aber so hast du eben den Lerneffekt den dir niemand mehr nehmen kann.
Also beim nächsten Mal nicht "vermuten" sondern messen, lesen und verstehen. Vermutungen gibt es in der IT nicht wie du sicher selber weisst.
Und.....mit VLANs an sich hat das auch gar nichts zu tun, denn das Problem der UDP Broadcasts über Router Grenzen ist ein Grundsätzliches bzw. so funktioniert der TCP/IP Standard.
Auch eine Grundlage die man als Netzwerker eigentlich weiss...aber so hast du eben den Lerneffekt den dir niemand mehr nehmen kann.