5
VLANs einrichten
Hallo!
Ich hatte vor einiger Zeit einen Artikel gepostet, der mir sehr weitergeholfen hat (VLANs etc.).
Jetzt habe ich mich einigermaßen damit beschäftigt und auch viele Artikel zu diesem Thema hier und auf anderen Foren gelesen, aber leider funktioniert meine Konfiguration nicht so wie sie sollte:
Ich habe auf einem HP ProCurve 2626 mehrere VLANs eingerichtet:
Auf Port 21 - 24 hängen die Server. Am DHCP-Server habe ich für die VLANs die Bereiche 192.168.10.x/24, 192.168.20.x/24 eingerichtet sowie für das "Server-Netz" (DEFAULT_VLAN am Switch) 192.168.0.x/24. Am Switch habe ich den einzelnen VLANS die statischen IP-Adressen 192.168.0.253 für das Servernetz, und für die VLANs die 192.168.10.253/24 bzw. 192.168.20.253/24 manuell festgesetzt.
Die Netzwerkkarten an den Servern sind übrigens alle 802.1q - fähig (Intel-Karten). Als Default Gateway am Switch ist die IP-Adresse des PDC-Emulators eingetragen, auf dem u.a. DHCP, DNS und das AD laufen.
Meinem (bisherigen) Verständnis nach sollte diese Konfiguration eigentlich arbeiten, oder? Wenn ich aber einen Client an eines der VLANs anhänge, bekommt er allerdings nicht mal eine IP-Adresse. Am Netzwerkmonitor am DHCP-Server sehe ich zwar die ARP- und DHCP-Requests, aber es kommt nix mehr zum Client durch. Wo übersehe ich da einen Konfig-Fehler?
Danke, Stefan
Ich hatte vor einiger Zeit einen Artikel gepostet, der mir sehr weitergeholfen hat (VLANs etc.).
Jetzt habe ich mich einigermaßen damit beschäftigt und auch viele Artikel zu diesem Thema hier und auf anderen Foren gelesen, aber leider funktioniert meine Konfiguration nicht so wie sie sollte:
Ich habe auf einem HP ProCurve 2626 mehrere VLANs eingerichtet:
- VLAN 10: Port 1, 2, 3, 4 untagged, 21, 22, 23, 24 tagged
- VLAN 20: Port 5, 6, 7, 8 untagged, 21, 22, 23, 24 tagged
Auf Port 21 - 24 hängen die Server. Am DHCP-Server habe ich für die VLANs die Bereiche 192.168.10.x/24, 192.168.20.x/24 eingerichtet sowie für das "Server-Netz" (DEFAULT_VLAN am Switch) 192.168.0.x/24. Am Switch habe ich den einzelnen VLANS die statischen IP-Adressen 192.168.0.253 für das Servernetz, und für die VLANs die 192.168.10.253/24 bzw. 192.168.20.253/24 manuell festgesetzt.
Die Netzwerkkarten an den Servern sind übrigens alle 802.1q - fähig (Intel-Karten). Als Default Gateway am Switch ist die IP-Adresse des PDC-Emulators eingetragen, auf dem u.a. DHCP, DNS und das AD laufen.
Meinem (bisherigen) Verständnis nach sollte diese Konfiguration eigentlich arbeiten, oder? Wenn ich aber einen Client an eines der VLANs anhänge, bekommt er allerdings nicht mal eine IP-Adresse. Am Netzwerkmonitor am DHCP-Server sehe ich zwar die ARP- und DHCP-Requests, aber es kommt nix mehr zum Client durch. Wo übersehe ich da einen Konfig-Fehler?
Danke, Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 81382
Url: https://administrator.de/contentid/81382
Printed on: April 18, 2024 at 23:04 o'clock
5 Comments
Latest comment
Soweit ist deine Konfig OK, sofern du bei der Einrichtung der Server folgendes Tutorial unbedingt beachtet hast:
Einer deiner Server ist ja nun auch der Router der zwischen diesen VLANs routet, denn der 2626 ist ein reiner Layer 2 Switch der NICHT selber zwischen den VLANs routen kann !
Du solltest also darauf achten, das nur ein Server der Router ist von deinen insgesamt 4 Servern !
Also nur ein Server sollte fürs Routing freigeschaltet sein.
Wie das geht steht hier für XP:
http://support.microsoft.com/?scid=kb%3Bde%3B315236&x=7&y=14
bzw. hier für Win 2000:
http://support.microsoft.com/?scid=kb%3Bde%3B315236&x=7&y=14
Bei 2k3 muss lediglich RAS Routing aktiviert werden.
Bei den restlichen 3 Servern sollte das deaktiviert bleiben !
Vorzugsweise sollte das der Server sein der am wenigsten zu tun hat in deinem Netz, denn ein Packet Forwarding stellt eine zusätzliche Belastung dar für einen Server.
Das Default Gateway aller Clients in einem deiner VLANs 10 oder 20 zeigt nun nicht auf einen emulierten PDC oder sowas, sondern schlicht und einfach auf die IP Adresses dieses Servers in dem betreffenden VLAN bzw. VLAN Interface !!! (Der Server ist ja der Router !) Wie gesagt das gilt für die IP Adressen aller Clients im jeweiligen VLAN Netz (was sie ja wohl eh per DHCP bekommen...) und auch die Switches (Mangement IP Adressen). Vermutlich meintest du das aber wohl mit der "emulierten" Adresse bzw. Interface ?!
Bezüglich DHCP kann es sein das du auf dem Windows Server noch ein DHCP Relay freischalten musst, denn DHCP Requests werden normalerweise nicht über einen Router übertragen, da das UDP Broadcasts sind.
Ein Quercheck mit statischen IP Adressen und Gateway auf 2 Testclients in VLAN 10 und 20 sollte das schnell verifizieren !
Wie man das macht mit dem Relay Agent sagt dir die MS Knowledgebase hier:
http://support.microsoft.com/?scid=kb%3Bde%3B232703&x=13&y=8
Damit sollte eigentlich dein Netzwerk problemlos spielen !
Einer deiner Server ist ja nun auch der Router der zwischen diesen VLANs routet, denn der 2626 ist ein reiner Layer 2 Switch der NICHT selber zwischen den VLANs routen kann !
Du solltest also darauf achten, das nur ein Server der Router ist von deinen insgesamt 4 Servern !
Also nur ein Server sollte fürs Routing freigeschaltet sein.
Wie das geht steht hier für XP:
http://support.microsoft.com/?scid=kb%3Bde%3B315236&x=7&y=14
bzw. hier für Win 2000:
http://support.microsoft.com/?scid=kb%3Bde%3B315236&x=7&y=14
Bei 2k3 muss lediglich RAS Routing aktiviert werden.
Bei den restlichen 3 Servern sollte das deaktiviert bleiben !
Vorzugsweise sollte das der Server sein der am wenigsten zu tun hat in deinem Netz, denn ein Packet Forwarding stellt eine zusätzliche Belastung dar für einen Server.
Das Default Gateway aller Clients in einem deiner VLANs 10 oder 20 zeigt nun nicht auf einen emulierten PDC oder sowas, sondern schlicht und einfach auf die IP Adresses dieses Servers in dem betreffenden VLAN bzw. VLAN Interface !!! (Der Server ist ja der Router !) Wie gesagt das gilt für die IP Adressen aller Clients im jeweiligen VLAN Netz (was sie ja wohl eh per DHCP bekommen...) und auch die Switches (Mangement IP Adressen). Vermutlich meintest du das aber wohl mit der "emulierten" Adresse bzw. Interface ?!
Bezüglich DHCP kann es sein das du auf dem Windows Server noch ein DHCP Relay freischalten musst, denn DHCP Requests werden normalerweise nicht über einen Router übertragen, da das UDP Broadcasts sind.
Ein Quercheck mit statischen IP Adressen und Gateway auf 2 Testclients in VLAN 10 und 20 sollte das schnell verifizieren !
Wie man das macht mit dem Relay Agent sagt dir die MS Knowledgebase hier:
http://support.microsoft.com/?scid=kb%3Bde%3B232703&x=13&y=8
Damit sollte eigentlich dein Netzwerk problemlos spielen !
DANKE Aqui!
Ich könnt wirklich nicht behaupten, nicht viel gesucht zu haben, aber gleich dein erster Link auf das Tutorial hat mir gefehlt - die NIC-Konfiguration.
Was noch nicht funktioniert ist das Routen. RRAS ist zwar aktiviert und alle Netze eingetragen, aber kein Pi(ep)ng geht von einem ins andere Netz.
Danke nochmals für deine Hilfe! Stefan
Ich könnt wirklich nicht behaupten, nicht viel gesucht zu haben, aber gleich dein erster Link auf das Tutorial hat mir gefehlt - die NIC-Konfiguration.
Was noch nicht funktioniert ist das Routen. RRAS ist zwar aktiviert und alle Netze eingetragen, aber kein Pi(ep)ng geht von einem ins andere Netz.
Danke nochmals für deine Hilfe! Stefan
Dann funktioniert dein Routing auf dem Server nicht und da ist dann dein Ansatz zum Suchen ! Ein FW Problem auf Server oder Client ist aber auch möglich !
Die MS Knowledgebase sagt dies sofern du Win 2k3 zum Routen benutzt (ansonsten gelten die o.a. URLs !)
http://technet2.microsoft.com/windowsserver/de/library/620a4940-df13-4d ...
Wenn die Server IP im jeweiligen VLAN die .254 hat, dann sieht ein Testszenario mit statischen Adressen so aus:
Client 1 in VLAN 10:
IP: 192.168.10.1, Maske: 255.255.255.0, Gateway: 192.168.10.254 (routender Server)
Client 2 in VLAN 20:
IP: 192.168.20.1, Maske: 255.255.255.0, Gateway: 192.168.20.254 (routender Server)
Funktioniert der letzte Punkt nicht hast du definitiv ein Routing Problem oder.... ein Firewall Problem auf den Clients !!
Um letzteres auszuschliessen, solltest du die FW erstmal temporär abschalten ! Oder...das jeweils andere Netz in der lokalen FW komplett freigeben, da die FW dies sonst natürlich blockt !!
Ausserdem solltest du sicherstellen, das ICMP in den erweiterten Eigenschaften der FW freigeschaltet ist. (Haken bei "auf eingehende Echo Reply Anforderungen antworten" setzen !)
Danach sollte eigentlich alles einwandfrei laufen.
Die MS Knowledgebase sagt dies sofern du Win 2k3 zum Routen benutzt (ansonsten gelten die o.a. URLs !)
http://technet2.microsoft.com/windowsserver/de/library/620a4940-df13-4d ...
Wenn die Server IP im jeweiligen VLAN die .254 hat, dann sieht ein Testszenario mit statischen Adressen so aus:
Client 1 in VLAN 10:
IP: 192.168.10.1, Maske: 255.255.255.0, Gateway: 192.168.10.254 (routender Server)
Client 2 in VLAN 20:
IP: 192.168.20.1, Maske: 255.255.255.0, Gateway: 192.168.20.254 (routender Server)
- Ping von Client 1 an sich selbst und 192.168.10.254 sollte klappen.
- Ping von Client 2 an sich selbst und 192.168.20.254 sollte klappen.
- Ping von Client 1 an Client 2 sollte nun auch klappen.
Funktioniert der letzte Punkt nicht hast du definitiv ein Routing Problem oder.... ein Firewall Problem auf den Clients !!
Um letzteres auszuschliessen, solltest du die FW erstmal temporär abschalten ! Oder...das jeweils andere Netz in der lokalen FW komplett freigeben, da die FW dies sonst natürlich blockt !!
Ausserdem solltest du sicherstellen, das ICMP in den erweiterten Eigenschaften der FW freigeschaltet ist. (Haken bei "auf eingehende Echo Reply Anforderungen antworten" setzen !)
Danach sollte eigentlich alles einwandfrei laufen.
Hi!
Thx für die Tips. Hab ich alles - schon und jetzt nochmal - ausprobiert. Irgendwo ist da der Hund drinnen. Das wusste ich eh schon. Wenn ich z.B. die IP-Eigenschaften auf egal welcher Netzwerkkarte am Server schließe, meldet er mir den Warnhinweis mit den mehreren Standardgateways (dass diese zwar Redundanz brächten, aber nur wenn sie im selben Netz sind etc.). Dabei finde ich nirgendwo ein zweites, unterschiedliches Standardgateway eingetragen.
Ist das Standardgateway eigentlich NIC-abhängig? Sprich braucht jede NIC ihr eigenes DG oder braucht man nur eine DG für alle eingebauten NICs? Ich hab zwar schon meinen Informationsstand dazu, aber der könnt ja durchwegs mal fehlerhaft sein
Nochmals zurück zu den VLANs: Wenn ich auf einer Netzwerkkarte z.B. 2 VLANs einrichte, dann erscheint noch ein dritter Netzwerkadapter, bei dem die TCP/IP-Eigenschaften ausgeschalten sind. Verstehe ich das richtig, dass dies sozusagen ein "Verwaltungs-NIC" für die VLANs ist?
Und zweitens: Muss ich für das am Switch standardmäßig verwendete DEFAULT-VLAN mit ID 1 ebenfalls ein VLAN am Netzwerkadapter einrichten? Denn ohne diesem hat's nicht funktioniert...
LGs Stefan
Thx für die Tips. Hab ich alles - schon und jetzt nochmal - ausprobiert. Irgendwo ist da der Hund drinnen. Das wusste ich eh schon. Wenn ich z.B. die IP-Eigenschaften auf egal welcher Netzwerkkarte am Server schließe, meldet er mir den Warnhinweis mit den mehreren Standardgateways (dass diese zwar Redundanz brächten, aber nur wenn sie im selben Netz sind etc.). Dabei finde ich nirgendwo ein zweites, unterschiedliches Standardgateway eingetragen.
Ist das Standardgateway eigentlich NIC-abhängig? Sprich braucht jede NIC ihr eigenes DG oder braucht man nur eine DG für alle eingebauten NICs? Ich hab zwar schon meinen Informationsstand dazu, aber der könnt ja durchwegs mal fehlerhaft sein
Nochmals zurück zu den VLANs: Wenn ich auf einer Netzwerkkarte z.B. 2 VLANs einrichte, dann erscheint noch ein dritter Netzwerkadapter, bei dem die TCP/IP-Eigenschaften ausgeschalten sind. Verstehe ich das richtig, dass dies sozusagen ein "Verwaltungs-NIC" für die VLANs ist?
Und zweitens: Muss ich für das am Switch standardmäßig verwendete DEFAULT-VLAN mit ID 1 ebenfalls ein VLAN am Netzwerkadapter einrichten? Denn ohne diesem hat's nicht funktioniert...
LGs Stefan
Der Standaradapter ist das native VLAN was per default die ID 1 hat. Die Packete dieses VLANs werden untagged also ohne das 802.1q Tag im Ethernet Frame übertragen.
Wenn du Traffic nur in den anderen VLANs ausser der ID 1 hast kannst du das auch deaktiviert lassen. Es kann aber sein das manche Kartentreiber dann die gesamte Karte runternehmen also solltest du es ggf. ruhig aktiv lassen. Stören tut es nicht.
Hilfe gibt dir dieses Turtorial:
Und hier gibts was zu den VLAN Grundlagen und Einrichtung :
http://www.heise.de/netze/Fiktive-Netzwerke--/artikel/77832
Wenn du Traffic nur in den anderen VLANs ausser der ID 1 hast kannst du das auch deaktiviert lassen. Es kann aber sein das manche Kartentreiber dann die gesamte Karte runternehmen also solltest du es ggf. ruhig aktiv lassen. Stören tut es nicht.
Hilfe gibt dir dieses Turtorial:
Und hier gibts was zu den VLAN Grundlagen und Einrichtung :
http://www.heise.de/netze/Fiktive-Netzwerke--/artikel/77832
