kroeger02
Goto Top

Zugriff auf Netzwerkfreigabe bzw. DHCP Server über mehrere VLANs (HP 2910al)

Hallo zusammen,

ich habe folgendes Problem und hoffe hier Hilfe zu finden face-smile

ich habe 6 Arbeitsplätze (Client PC + 2 Kameras + kleineren Switch) und einen Server

Jeder Arbeitsplatz ist über seinen Switch mit meinem HP 2910 verbunden. An diesem Switch ist auch der Server angeschlossen.

Nun möchte ich das die Arbeitsplätze 1 - 5 jeweils für sich eigenständig sind. Jedoch sollen die Arbeitsplätze 1-5 auf eine Netzwerkfreigabe auf dem Leitungs PC zugreifen können und im optimalen Fall auch per DHCP eine Adresse beziehen.

Die vereinzelung der Arbeitsplätze durch die VLANs 2-6 habe ich bereits hingekriegt. Nur aus den VLANs heraus habe ich keinen Zugriff auf die Netzwerkfreigabe des Leitungs PC und kriege auch keine DHCP Adressen.

Hier mal die Konfiguration des Switches:

Running configuration:

; J9148A Configuration Editor; Created on release #W.15.13.0005
; Ver #05:08.63.ff.35.05:a1
hostname "HP-E2910al-48G-PoE"
module 1 type j9148a
module 2 type j9008a
module 3 type j9008a
trunk 31-32 trk1 lacp
power-over-ethernet pre-std-detect ports 1-48
sntp server priority 1 10.4.0.1
ip default-gateway 10.4.0.1
interface 20
name "Platz 5 Uplink"
exit
interface 26
name "Platz 4 Uplink"
exit
interface 27
name "Platz 3 Uplink"
exit
interface 38
name "Platz 2 Uplink"
exit
interface 44
name "Platz 1 Uplink"
exit
snmp-server community "public" unrestricted
vlan 1
name "DEFAULT_VLAN"
no untagged 2,8,13,20,26-27,38,44
untagged 1,3-7,9-12,14-19,21-25,28-30,33-37,39-43,45-48,A1-A2,B1-B2,Trk1
ip address 10.4.254.3 255.0.0.0
exit
vlan 2
name "VLAN2"
untagged 13,44
tagged Trk1
no ip address
ip helper-address 10.4.0.1
exit
vlan 3
name "VLAN3"
untagged 2,38
tagged Trk1
no ip address
ip helper-address 10.4.0.1
exit
vlan 4
name "VLAN4"
untagged 27
tagged Trk1
no ip address
ip helper-address 10.4.0.1
exit
vlan 5
name "VLAN5"
untagged 26
tagged Trk1
no ip address
ip helper-address 10.4.0.1
exit
vlan 6
name "VLAN6"
untagged 20
tagged Trk1
no ip address
ip helper-address 10.4.0.1
exit
spanning-tree Trk1 priority 4
no autorun
password manager


Die weiteren Informationen sind:

Interface 48
VLAN1
DHCP Server
10.4.0.1
255.0.0.0

Interface 8
VLAN1
Leitungs PC
10.4.100.1
255.0.0.0

Arbeitsplatz 1
VLAN2
10.4.10.x
255.0.0.0

Arbeitsplatz 2
VLAN3
10.4.20.x
255.0.0.0

Arbeitsplatz 3
VLAN4
10.4.30.x
255.0.0.0

Arbeitsplatz 4
VLAN5
10.4.40.x
255.0.0.0

Arbeitsplatz 5
VLAN6
10.4.50.x
255.0.0.0

Ich hoffe meine Problemstellung wird klar, ich bin auf dem Thema noch Recht frisch. Nehmt es mir bitte nicht soo übel face-smile

Vielen Dank vorab

Content-Key: 315719

Url: https://administrator.de/contentid/315719

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: Muesliriegel
Muesliriegel 20.09.2016 aktualisiert um 16:03:29 Uhr
Goto Top
Ich bin auch kein Profi, aber was mir auffällt, sind die ´verwendeten Subnetzmasken: 255.0.0.0 ist riesig, das wären 16.777.214 Hostadressen je Subnetz. Und vor allem: Dadurch überschneiden sich deine Subnetze. Ändere das mal in 255.255.255.0. Dann hast du immer noch 254 Hostadressen - aber die überschneiden sich nicht mehr. Musst dann allerdings auch die IP-Adresse des Leitungs-PCs (oder des Servers) anpassen.

Außerdem benötigen deine VLANs eine IP-Adresse, da der Layer3-Switch sonst nicht zwischen den verschiedenen VLANs routen kann. Diese VLAN-IP-Adresse muss innerhalb der VLANs jeweils als Gateway-IP-Adresse angegeben werden (glaube ich jedenfalls).
Mitglied: aqui
aqui 20.09.2016 aktualisiert um 16:36:53 Uhr
Goto Top
keinen Zugriff auf die Netzwerkfreigabe des Leitungs PC und kriege auch keine DHCP Adressen.
Das ist kinderleicht....und nennt sich DHCP Forwarder oder auch ip helper Adresse.
DHCP basiert ja auf Broadcasts und die werden aus deinen VLAN Segmenten nicht zum DHCP Server geforwardet.
Das hast du auch alles richtig gemacht soweit.
2 riesige Kardinalsfehler hast du begangen und das ist der Grund warum es nicht geht.
  • Zuallererst die Subnetzmasken.
  • Dort einen 8 Bit Prefix zu verwenden zeigt das du sehr wenig bis gar keine Kenntnisse im Bereich IP Adress Design hast. Das resultiert dann auch gleich in dem bösen Fehler das deine VLANs KEINE IP Trennung haben. Die falsche Verwendung der 8er Maske ist der Grund. Mit anderen Worten: Das ganze Konfig Konstrukt ist großer Quatsch, denn alle deine Endgeräte sind im 10er IP Netz. Du hast also gar keine Segmentierung durch VLANs ! (Siehe Tutorial)
  • Desweiteren fehlen vollständig die IP Adressen pro VLAN auf dem VLAN Switch. An den L3 Interfaces des Switch hast du no ip address stehen. Tödlich, denn das verhindert komplett das L3 Forwarding zw. den VLANs !
Der Kollege oben bemängelt das zu Recht ! Du solltest hier eine 24 Bit Adresse benutzen (255.255.255.0). Damit kannst du z.B. im 3ten Byte dein VLAN kosmetisch kodieren.
Fazit: Die ganze Konfig ist völliger Murks.
Bitte liest dir dringenst als Grundlage das hiesige VLAN Routing Tutorial durch !! Das erklärt dir die Grundlagen und dort findest du auch ein Beispiel für HP Gurken.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Den externen Router musst du dir nur intern denken, denn das ist dein Switch der ja L3 (Routing) kann.

Deine ToDos:
  • 24 Bit Subnetzmaske benutzen ! (Sofern du nicht mehr als 253 Endgeräte pro VLAN brauchst !)
  • L3 Gateway Adresse pro VLAN auf dem Switch konfigurieren !
  • Gateway IP der Arbeitsplätze bzw. Endgeräte ist dann IMMER die jeweilige Switch IP im VLAN. Router Adressen liegen immer "oben" oder "unten" Hier als am besten immer die .1 oder die .254 verwenden !
  • Default Route auf dem Switch zum Internet Router konfigurieren !
  • Route auf die 10er Netze am Internet Router konfigurieren !

Grundlagen erklärt zusätzlich dieses Routing Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Bitte dringend lesen !

Deine HP Gurke sollte dann in der Konfig so aussehen (Auszug):
vlan 1
name "DEFAULT_VLAN"
no untagged 2,8,13,20,26-27,38,44
untagged 1,3-7,9-12,14-19,21-25,28-30,33-37,39-43,45-48,A1-A2,B1-B2,Trk1
ip address 10.4.1.254 255.255.255.0
exit

vlan 2
name "VLAN2"
untagged 13,44
tagged Trk1
ip address 10.4.2.254 255.255.255.0
ip helper-address 10.4.0.1
exit

vlan 3
name "VLAN3"
untagged 2,38
tagged Trk1
ip address 10.4.3.254 255.255.255.0
ip helper-address 10.4.0.1
exit

vlan 4
name "VLAN4"
untagged 27
tagged Trk1
ip address 10.4.4.254 255.255.255.0
ip helper-address 10.4.0.1
exit

ip route 0.0.0.0/0 <ip_adresse_internetrouter>

usw. usw. für alle VLAN entsprechend...
So wird ein Schuh draus und nicht anders !
Mitglied: Kroeger02
Kroeger02 20.09.2016 um 19:42:00 Uhr
Goto Top
Vielen Dank schonmal für die Antworten face-smile

Ich hatte es mit den Subnetzen befürchtet, dass die mir zum Problem werden mit der 8 bit Maske. Dann bleibt mir wohl nichts anderes über als die komplette Konfig von meinem Vorgänger über den Haufen zu schmeißen und die gesamte Doku neu zu erstellen.

Muss mich gerade selbst da richtig reinfuchsen. Versuche das Konzept dann aber mal so anzupassen. Denn anschließend steht vermutlich die nächste Herausforderung an, da vor dem Router noch ein W2K8 Server sitzt, auf dem ein Proxy für den Internetzugang läuft.

Ich werde es Morgen dann im Büro mal anfangen umzusetzen face-smile
Mitglied: Kroeger02
Kroeger02 21.09.2016 um 13:20:13 Uhr
Goto Top
Also vielen Dank für die Antworten, ich habe das Konstrukt heute mal Testweise mit nur einem Arbeitsplatz umgesetzt.

Aufgrund der anderen Subnetze hab ich jedoch gemerkt, das ein hin und her springen zwischen der "vereinzelten" Konfiguration und der "alle können alles sehen" Konfiguration nicht soo ohne weiteres zu realisieren ist.

Ich habe nämlich das Problem, dass die Teilnehmer in den Schulungen erstmal nur Ihre Systeme bearbeiten sollen können und später dann die Systeme unter einander vernetzen sollen.

Aber danke dennoch face-smile
Mitglied: aqui
aqui 22.09.2016 um 08:59:21 Uhr
Goto Top
und der "alle können alles sehen" Konfiguration nicht soo ohne weiteres zu realisieren ist.
Doch, das ist es wenn man alles richtig macht und weiss was man tut. Anhand deiner Thread Schilderung muss man aber sehen das es bei dir leider am Fachwissen bzw. Konfigwissen scheitert, denn du hast schon die allereinfachsten Fehler in der Grundlagen Konfig gemacht.
Das ist jetzt nicht bös gemeint aber nimm dir jemanden an die Seite der grundlegend weiss was IP Routing ist und wie man das auf Switches umsetzt.
Das was du da umsetzen willst ist eigentlich kinderleicht und mit nur ein paar Handgriffen in der Konfig erledigt !
Das klappt sogar mit gruseligen HP Switches....