Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VRRP von Routern durch Switche hindurch

Frage Netzwerke Router & Routing

Mitglied: j0erch

j0erch (Level 1) - Jetzt verbinden

16.11.2012 um 10:39 Uhr, 3325 Aufrufe, 8 Kommentare

Hi,

wir haben unser Produktiv RZ und eins für Desaster Recovery/Backup.
Wie man auf dem Bild sieht ist auf beiden Seiten die gleiche Hardware.
Die Internetanbindung ist eine Active/Passive Anbindung. Dazu müssen die WAN Router sich per VRRP/HSRP unterhalten. Unser Anbieter sagt sie brauchen dazu eine Layer 2 Verbindung.

Ich habe dazu auf dem Switch ein neues VLAN eingerichtet. Der WAN router und die Firewall sind auf dem Switch im gleichen VLAN sowohl auf Site1 und Site 2. Das LAN hängt in einem anderen VLAN auf einem anderen Port auf der Firewall.
Die VLANS werden über einen Trunk Port zwischen den Switchen weitergeleitet.

Für mich sollte das eigentlich ausreichen, damit auf Layer2 die VRRP Kommunikation laufen kann. Der Telekommunikations Anbieter aber sagt der WAN Router auf Site 2 würde keine init Pakete vom Master (Site 1) empfangen.

Könnt ihr mir weiterhelfen wo das evtl. das Problem liegt?

Die Switche sind alles DELL PowerConnect.

09ea3712f8edb27df0fb9a02baeca7ac - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
16.11.2012 um 10:50 Uhr
Dein Vorgehen ist absolut korrekt und richtig. So löst man diese Anforderung in der Regel.
Für eine zielführende Hilfe wäre es nun aber sehr wichtig zu wissen WAS du für ein Standby Protokoll fährst, da du ja global alle nennst.
Benutzt du nun VRRP, VRRP-E oder HSRP. Alle nutzen unterschiedliche Verfahren.
Wichtig wäre auch zu wissen ob du das VLAN wasserdicht ausgetestet hast, also das sich beide Router WAN Ports gegenseitig anpingen lassen und in einem gemeinsamen IP Netz liegen. Ebenso die FW Interfaces.
Der Uplink der beiden Switches ist vermutlich ein tagged Link in dem alle VLANs tagged sind, richtig ?
Bitte warten ..
Mitglied: SlainteMhath
16.11.2012 um 11:21 Uhr
Moin,

wir haben im Prinzip das gleiche Setup (mit VRRP *und* HSRP Devices ) und das funktioniert problemlos. I.d.R. liegt's immer an einen falsch konfigurierten/gesteckten Ports oder Trunk.

Teste das doch einfach mal mit 2 Laptops an den entsprechenden Ports. Oder lass Dir vom Switch die in dem VLAN sichtbaren MAC Adressen anzeigen.

lg,
Slainte
Bitte warten ..
Mitglied: aqui
16.11.2012, aktualisiert um 12:04 Uhr
Nicht immer ganz problemlos.... Der VRRP Prozess (sofern er denn VRRP nutzt ?!) auf beiden Seiten nutzt laut Standard eine IP Multicast Adresse 224.0.0.18 mit der IP Protocol Nummer 112 um sich gegenseitig Hello Frames (Master und Slave) zuzusenden. Multicasts werden in Switches anders behandelt als "normale" Pakete, was in der Natur der Sache von Multicasting liegt !
Die VIP selber die zwischen beiden Routern geshared wird benutzt dann eine Mac von 00-00-5E-00-01-XX wobei XX dem Hex Wert der VRRP VRID entspricht. Das kann man dann auch wunderbar mit "arp -a" an allen Endgeräten sehen die routen über die VIP Gateway IP.
Deshalb die obige zielgerichtete Nachfrage WAS für ein Standby Protrokoll de facto verwendet wird.

Taiwan Billigswitches wie sie leider auch Dell mit den Power Connects vertreibt gehen nicht immer korrekt mit Multicast IP Paketen in L2 VLANs um. Gerade wenn sie auch selber IGMP Querier sind usw. also selber aktives Multicasting supporten.
Sollte also das VLAN vom Kollegen j0erch absolut sauber eingerichtet sein, Pingen usw. klappt alles fehlerfrei, dann sollte er eher in die Multicast Richtung bzw. Konfiguration auf diesen Switchgurken suchen. Ggf. aktives Multicasting/IGMP deaktivieren sofern diese Switches das überhaupt können.
Billigswitches fluten in der Regel MC Pakete an alle Netze und entledigen sich so des IGMP Problems. Das muss man aber im Handbuch mal nachlesen wie diese Switches mit Multicast in L2 VLANs umgehen. Jeder Hersteller macht das anders.
Im Zweifel ganz einfach einem Monitor Port in das VLAN legen und einen Wireshark reinhängen und checken ob diese 224.0.0.18 Multicast Pakete von beiden Seiten ankommen.
Dann weiss man in 1er Minute wo das Problem ist.
Keine Pakete=Switch ist der Buhmann, Kommen Pakete=Carrier Router ist der Buhmann
So einfach ist das !
Bitte warten ..
Mitglied: SlainteMhath
16.11.2012 um 12:04 Uhr
Ok, das mit den PowerConnects hab ich überlesen - da hab ich kürzlich meinen letzten entsorgt ^^ - ja die machen tatsächlich ab und zu Probleme (nicht nur mit MC ). Da würde ich dann erstmal die aktuellste FW einspielen (die werden teilw. mit uralt Version ausgeliefert), und dann nochmal testen lassen.
Bitte warten ..
Mitglied: j0erch
16.11.2012 um 12:06 Uhr
Ist ist notwendig dass das VLAN eine eigene IP benötigt?
Ich habe leider keine genauen Infos bzgl. des Protokols, aber das ich die MAC Adresse 00:00:5e:00:01:8b sehe gehe ich davon aus, das VRRP benutzt wird.
Die Firewall Interfaces können sich gegenseitig anpingen, die Router Ports können nicht angepingt werden.
Auf die Router (ADVA FSP 150CCf) habe ich leider keinen Zugriff. Der VRRP Traffic benutzt die gleiche Leitung wie der Internet Traffic.
Über den Uplink gehen nur getaggte Pakete.

Die Firmware habe ich übrigens erst diese Woche aktualisiert.
Bitte warten ..
Mitglied: aqui
16.11.2012, aktualisiert um 12:24 Uhr
Nein das ist nicht nötig und auch gehörig kontraproduktiv und zudem gefährlich, denn mit einer IP Adresse fängt der Switch an zu routen und hebelt so deine Firewalls aus.
Vergiss das ganz schnell !! Kommt man auch von selbst drauf wenn man mal etwas nachdenkt...dzz
Ein reines Layer 2 VLAN OHNE IPs am Switch ist ein Muss für dich in dem Szenario um die FW Sicherheit zu halten !
Bitte warten ..
Mitglied: j0erch
16.11.2012, aktualisiert um 12:59 Uhr
Dann hab ich das ja richtig kofiguriert ;)
IGMP und Multicast sind nicht aktiviert auf dem Switch.

Ich sehe auch folgende Geräte aktuell auf den Switchen:
Site 1:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- Firewall Site 1
- Firewall Site 2

Site 2:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- WAN Router Site 2
- Firewall Site 1
- Firewall Site 2
Bei den WAN Routern Mac Adressen bin ich mir nicht 100% sicher, da ich sie nicht kenne, aber da er die MAC Adresse auf dem Port anzeigt wo auch jeweils der Router angeschlossen ist, folgere ich das daraus einfach mal.


Heisst das schon dass es eigentlich funktionieren muss oder kann die Kommunikation trotzdem noch gestört werden?

Ich kann im Handbuch keider nichts spezielles finden bzgl. Multicast L2 usw..
Könntet Ihr eventuell mal kurz nen Blick reinwerfen?
http://support.euro.dell.com/support/edocs/network/pc62xx/en/index.htm
Bitte warten ..
Mitglied: j0erch
16.11.2012, aktualisiert um 17:21 Uhr
Das Problem ist mittlerweile gelöst:
Es war eine Fehlkonfiguration beim Telekommunikations-Anbieter!!! Bei uns war alles korrekt konfiguriert.

Da kann man ja lange suchen.

Aber ich habe wieder ein wenig was dazu gelernt...

Trotzdem Danke an alle!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Mehrere Switche per Trunk verbinden - korrekte VLAN-Config (8)

Frage von Stadtaffe84 zum Thema Netzwerkmanagement ...

Router & Routing
gelöst Fritzbox AP: Gastzugang ohne Internet bei Nicht-AVM-Routern (17)

Frage von Uwoerl zum Thema Router & Routing ...

Netzwerkmanagement
gelöst Cisco Switche im LAN aufspüren (31)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...