Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VRRP von Routern durch Switche hindurch

Frage Netzwerke Router & Routing

Mitglied: j0erch

j0erch (Level 1) - Jetzt verbinden

16.11.2012 um 10:39 Uhr, 3566 Aufrufe, 8 Kommentare

Hi,

wir haben unser Produktiv RZ und eins für Desaster Recovery/Backup.
Wie man auf dem Bild sieht ist auf beiden Seiten die gleiche Hardware.
Die Internetanbindung ist eine Active/Passive Anbindung. Dazu müssen die WAN Router sich per VRRP/HSRP unterhalten. Unser Anbieter sagt sie brauchen dazu eine Layer 2 Verbindung.

Ich habe dazu auf dem Switch ein neues VLAN eingerichtet. Der WAN router und die Firewall sind auf dem Switch im gleichen VLAN sowohl auf Site1 und Site 2. Das LAN hängt in einem anderen VLAN auf einem anderen Port auf der Firewall.
Die VLANS werden über einen Trunk Port zwischen den Switchen weitergeleitet.

Für mich sollte das eigentlich ausreichen, damit auf Layer2 die VRRP Kommunikation laufen kann. Der Telekommunikations Anbieter aber sagt der WAN Router auf Site 2 würde keine init Pakete vom Master (Site 1) empfangen.

Könnt ihr mir weiterhelfen wo das evtl. das Problem liegt?

Die Switche sind alles DELL PowerConnect.

09ea3712f8edb27df0fb9a02baeca7ac - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
16.11.2012 um 10:50 Uhr
Dein Vorgehen ist absolut korrekt und richtig. So löst man diese Anforderung in der Regel.
Für eine zielführende Hilfe wäre es nun aber sehr wichtig zu wissen WAS du für ein Standby Protokoll fährst, da du ja global alle nennst.
Benutzt du nun VRRP, VRRP-E oder HSRP. Alle nutzen unterschiedliche Verfahren.
Wichtig wäre auch zu wissen ob du das VLAN wasserdicht ausgetestet hast, also das sich beide Router WAN Ports gegenseitig anpingen lassen und in einem gemeinsamen IP Netz liegen. Ebenso die FW Interfaces.
Der Uplink der beiden Switches ist vermutlich ein tagged Link in dem alle VLANs tagged sind, richtig ?
Bitte warten ..
Mitglied: SlainteMhath
16.11.2012 um 11:21 Uhr
Moin,

wir haben im Prinzip das gleiche Setup (mit VRRP *und* HSRP Devices ) und das funktioniert problemlos. I.d.R. liegt's immer an einen falsch konfigurierten/gesteckten Ports oder Trunk.

Teste das doch einfach mal mit 2 Laptops an den entsprechenden Ports. Oder lass Dir vom Switch die in dem VLAN sichtbaren MAC Adressen anzeigen.

lg,
Slainte
Bitte warten ..
Mitglied: aqui
16.11.2012, aktualisiert um 12:04 Uhr
Nicht immer ganz problemlos.... Der VRRP Prozess (sofern er denn VRRP nutzt ?!) auf beiden Seiten nutzt laut Standard eine IP Multicast Adresse 224.0.0.18 mit der IP Protocol Nummer 112 um sich gegenseitig Hello Frames (Master und Slave) zuzusenden. Multicasts werden in Switches anders behandelt als "normale" Pakete, was in der Natur der Sache von Multicasting liegt !
Die VIP selber die zwischen beiden Routern geshared wird benutzt dann eine Mac von 00-00-5E-00-01-XX wobei XX dem Hex Wert der VRRP VRID entspricht. Das kann man dann auch wunderbar mit "arp -a" an allen Endgeräten sehen die routen über die VIP Gateway IP.
Deshalb die obige zielgerichtete Nachfrage WAS für ein Standby Protrokoll de facto verwendet wird.

Taiwan Billigswitches wie sie leider auch Dell mit den Power Connects vertreibt gehen nicht immer korrekt mit Multicast IP Paketen in L2 VLANs um. Gerade wenn sie auch selber IGMP Querier sind usw. also selber aktives Multicasting supporten.
Sollte also das VLAN vom Kollegen j0erch absolut sauber eingerichtet sein, Pingen usw. klappt alles fehlerfrei, dann sollte er eher in die Multicast Richtung bzw. Konfiguration auf diesen Switchgurken suchen. Ggf. aktives Multicasting/IGMP deaktivieren sofern diese Switches das überhaupt können.
Billigswitches fluten in der Regel MC Pakete an alle Netze und entledigen sich so des IGMP Problems. Das muss man aber im Handbuch mal nachlesen wie diese Switches mit Multicast in L2 VLANs umgehen. Jeder Hersteller macht das anders.
Im Zweifel ganz einfach einem Monitor Port in das VLAN legen und einen Wireshark reinhängen und checken ob diese 224.0.0.18 Multicast Pakete von beiden Seiten ankommen.
Dann weiss man in 1er Minute wo das Problem ist.
Keine Pakete=Switch ist der Buhmann, Kommen Pakete=Carrier Router ist der Buhmann
So einfach ist das !
Bitte warten ..
Mitglied: SlainteMhath
16.11.2012 um 12:04 Uhr
Ok, das mit den PowerConnects hab ich überlesen - da hab ich kürzlich meinen letzten entsorgt ^^ - ja die machen tatsächlich ab und zu Probleme (nicht nur mit MC ). Da würde ich dann erstmal die aktuellste FW einspielen (die werden teilw. mit uralt Version ausgeliefert), und dann nochmal testen lassen.
Bitte warten ..
Mitglied: j0erch
16.11.2012 um 12:06 Uhr
Ist ist notwendig dass das VLAN eine eigene IP benötigt?
Ich habe leider keine genauen Infos bzgl. des Protokols, aber das ich die MAC Adresse 00:00:5e:00:01:8b sehe gehe ich davon aus, das VRRP benutzt wird.
Die Firewall Interfaces können sich gegenseitig anpingen, die Router Ports können nicht angepingt werden.
Auf die Router (ADVA FSP 150CCf) habe ich leider keinen Zugriff. Der VRRP Traffic benutzt die gleiche Leitung wie der Internet Traffic.
Über den Uplink gehen nur getaggte Pakete.

Die Firmware habe ich übrigens erst diese Woche aktualisiert.
Bitte warten ..
Mitglied: aqui
16.11.2012, aktualisiert um 12:24 Uhr
Nein das ist nicht nötig und auch gehörig kontraproduktiv und zudem gefährlich, denn mit einer IP Adresse fängt der Switch an zu routen und hebelt so deine Firewalls aus.
Vergiss das ganz schnell !! Kommt man auch von selbst drauf wenn man mal etwas nachdenkt...dzz
Ein reines Layer 2 VLAN OHNE IPs am Switch ist ein Muss für dich in dem Szenario um die FW Sicherheit zu halten !
Bitte warten ..
Mitglied: j0erch
16.11.2012, aktualisiert um 12:59 Uhr
Dann hab ich das ja richtig kofiguriert ;)
IGMP und Multicast sind nicht aktiviert auf dem Switch.

Ich sehe auch folgende Geräte aktuell auf den Switchen:
Site 1:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- Firewall Site 1
- Firewall Site 2

Site 2:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- WAN Router Site 2
- Firewall Site 1
- Firewall Site 2
Bei den WAN Routern Mac Adressen bin ich mir nicht 100% sicher, da ich sie nicht kenne, aber da er die MAC Adresse auf dem Port anzeigt wo auch jeweils der Router angeschlossen ist, folgere ich das daraus einfach mal.


Heisst das schon dass es eigentlich funktionieren muss oder kann die Kommunikation trotzdem noch gestört werden?

Ich kann im Handbuch keider nichts spezielles finden bzgl. Multicast L2 usw..
Könntet Ihr eventuell mal kurz nen Blick reinwerfen?
http://support.euro.dell.com/support/edocs/network/pc62xx/en/index.htm
Bitte warten ..
Mitglied: j0erch
16.11.2012, aktualisiert um 17:21 Uhr
Das Problem ist mittlerweile gelöst:
Es war eine Fehlkonfiguration beim Telekommunikations-Anbieter!!! Bei uns war alles korrekt konfiguriert.

Da kann man ja lange suchen.

Aber ich habe wieder ein wenig was dazu gelernt...

Trotzdem Danke an alle!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VRRP Einrichtung
gelöst Frage von Alex29Router & Routing20 Kommentare

Hallo zusammen, ich habe mich entsprechend zum Thema VRRP belesen (Netzwerktechnik nur Hobby) und dachte ich kann das hier ...

Netzwerkprotokolle
VRRP - Wie funktioniert das genau?
gelöst Frage von JohnDorianNetzwerkprotokolle6 Kommentare

Hallo zusammen, nach viel rumsuchen und wenig finden versuch ich es hier: Unser Netzwerk (80 PC-Clients, 90 VOIP-Telefone, 8 ...

LAN, WAN, Wireless
Switch an Router anschließen
gelöst Frage von DocTeeJayLAN, WAN, Wireless8 Kommentare

Hallo, ich möchte einen Switch (hier TP-Link TL-SG105) an meinen Router (Fritz Box 7490) anschließen. Eigentlich keine Kunst, aber ...

LAN, WAN, Wireless
Keine Netzwerkverbindung von Router zu Switch
gelöst Frage von Hanness98LAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich habe ein Problem mit meinem Netzwerk. Dieses besteht aus einer EasyBox 904 LTE, einer Fritz!Box 4020, ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 12 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 15 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 15 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 19 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...