VLAN mit Ausstieg, ProCurve 1700-24

[lefg 276]

Hallo Gemeinde,

 

es ist keine existenzbedrohende Angelegenheit, aber ich stehe anscheinend vor einer Mauer, schaue nicht durch und komme nicht drüber.

 

Aus einem hier gegebenen Anlass habe ich mir mal einen ProCurve 1700-24 - einen L2 - vorgenommen und mich an der Konfiguration von VLANs gemacht.

 

Ein einzelnes VLAN zu erstellen ist ja einfach, VLAN 2 hinzufügen, die gewünschenten Ports abhaken, apply, dann noch die Ports in VLAN 1 entfernen. Ich habe die Ports 10, 12, 14, 16 und 24 gewählt, Port 24 als Anschluss an das LAN zum Inetrouter.

 

Ein zweites VLAN mit den Ports 2, 4, 6, 8 und 24 wurde gebildet, nur, die Ports bekommen anscheined keine Verbindung über Anschluss 24 mit dem Inetrouter.

 

Ich meine es so gelesen zu haben, ein Port kann mehreren VLANs angehören, es sind sozusagen Schnittmengen bildbar, Überlappungen herstellbar.

 

Wo liegt mein Gedankenfehler, was mache ich falsch. Ich habe es mit dem Taggen versucht, schaue da aber bisher nicht durch. Wie wird das mit dem Taggen gemacht?

 

Habt Dank für Aufmerksamkeit und Rat.

 

Edgar

[Windowsbetatest 10]

Hallo,

 

ein Access Port (zum Anschluss von Servern/PCs) kann nur zu einem VLAN gehören. Die Ports heißen bei HP untagged. Daher kein 802.1Q.

 

Ein Tagged Port (bei Cisco Trunk genannt) kann den Traffic von mehreren VLANs weiterleiten, aber nur ein VLAN ist untagged (Normaler Ethernet Frame). Die anderen VLANs werden getaggt (802.1Q) übertragen.

 

(Die 1700er kenne ich nicht, ich fange ab 2510er an. )

 

AFAIK haben die keine CLI, wenn doch, kannst du die config mal posten?

 

Spielerreien, wie Private VLANs lasse ich erstmal außen vor.

 

Der "normale" weg wäre.

 

- VLAN 1 für die erste Portgruppe (z.B. 1-10) als untagged

- VLAN 2 für die zweite Portgruppe (z.B. 11-20) als untagged

- Port 24 wird ein tagged Port, der VLAN 2 tagged und VLAN1 untagged überträgt.

 

Der Router benötigt dann ein passende config.

 

Wenn zwischen zwei VLANs Traffic laufen soll, muss entweder geroutet werden, oder mit einem Kabel eine VLAN-Brücke gebaut werden, dies könnte sehr schnell ein L2-Loop werden, also äußerste Vorsicht.

 

mfg

[lefg 276]

Hallo,

 

danke für die Antwort.

 

Es lassen sich per Konfiguration Schnittmengen - Port 24 in VLAN 2 und 3- bilden, das wird dann auch in den Systeminformationen richtig angezeigt, nur es funktioniert nicht, es kann anscheinend nur ein VLAN über den (Acess)Port 24 auf den Rest des Netzes zugreifen, zum Server, zum Internetrouter.

 

Sehr wahrscheinlich geht der eine verfolgte (experimentelle) Gedanke sowieso am Sinn von VLAN vorbei - L2-VLAN ist ja schliessliche keine Firewall - , der Gedanke war ja, baue auf einem Switch ein VLAN für eine Grppe besonderer Rechner zu dessen Schutz. Nur, wenn das VLAN dann einfach mit Proletennetz verbinden wird für den Zugriff auf den Server und den Inerrouter, dann ist ein VLAN doch sinnlos. Solch ein VLAN müsste doch doch dann mit einer Firewall geschützt werden.

 

Und falls es gelänge zwei VLANS eines Switches miteinander zu verbinden - wie auch immer - , dann könnte man doch gleich alle Rechner in ein (V)LAN stecken und gut wäre es.

[lefg 276]

.....- VLAN 1 für die erste Portgruppe (z.B. 1-10) als untagged

- VLAN 2 für die zweite Portgruppe (z.B. 11-20) als untagged

- Port 24 wird ein tagged Port, der VLAN 2 tagged und VLAN1 untagged überträgt.....

Wie wird dann die Verbindung der Portgruppen zum Port 24 hergestellt? Muss Port 24 dazu Member beider Gruppen sein?

[Windowsbetatest 10]

Wie wird dann die Verbindung der Portgruppen zum Port 24 hergestellt? Muss Port 24 dazu Member beider Gruppen sein?

 

Hallo,

 

Port 24 ist "sowas wie member" beider Gruppen.

 

Ich benutze immer die CLI, daher kann ich dir nicht sagen, wie es im Webfrontend aussieht.

 

Ein tagged Interface, kann von allen Konfiguriertern VLANs Daten Forwarden, die VLANs auf dem Interface können aber nicht miteinander kommunizieren.

 

mfg

 

Edit:

 

Ein VLAN ist "normalerweise" eine Broadcast Domäne.

 

Ein Tagged Port (Trunk) kann mehrer dieser Domänen auf einem Kabel übertragen, ohne das diese Domänen miteinander kommunizieren können.

[lefg 276]

Ein Menü Trunk gibt es auch, Ports können zu Member eines Trunk konfiguriert werden.

 

Die Ports 23,24 können zu einem Trunk konfiguriert werden, scheinen ein Sonderfall zu sein, beide aber nicht mit einem anderen Port, die anderen können anscheinend beliebig zu einem Trunk konfiguriert werden.

 

Ein CLI gibt es leider nicht am 1700, Telnet geht dem Anschein nach nicht, es kann keine Verbindung hergestellt werden mit TCP Port 23, es gibt im GUI auch keine Option für Telnet.

 

Morgen geht es weiter.

[Windowsbetatest 10]

Hallo,

 

was bei HP ein Trunk ist, bezeichnen alle anderen als Channel ( 802.1ad - LACP).

 

Suche mal nach 802.1q

 

mfg

[lefg 276]

Moin,

 

unter Trunks gibt es LACP, Trunks scheint aber nicht das von mir Benötigte zu sein. Aus er Hilfe dafür:

 

Working with Trunks

 

You can create multiple links between devices that work as one virtual, aggregate link. A port trunk offers a dramatic increase in bandwidth for network segments where bottlenecks exist, as well as providing a fault-tolerant link between two devices.

[Windowsbetatest 10]

Hallo,

 

wie gesagt, nur HP bezeichnet 802.1ad (LACP) Interface als Trunk.

 

Cisco bezeichnet "multi-VLAN" Links als Trunk (-> 802.1q).

 

Du müsstest ein tagged Interface zum Router haben.

 

mfg

[lefg 276]

Zwei Menüpukte gibt es unter VLANS:

 

VLAN Setup

 

VLAN Prot Config

 

Im Setup (802.1Q VLAN Group) werden VLAN erstellt, gelöscht, die Zugehörigkeit von Ports zum VLAN geändert per Checkbox. VLAN 1 ist default, alle Ports sind da drinnen.

 

Unter Config (802.1Q per Port Configuration) gibt es

 

- VLAN aware Enabled (Haken gesetzt)

- Ingress Filtering Enabled (Haken nicht gesetzt)

- Packet Typ ALL or Tagged only (ALL)

- PVID (Zur Auswahl None, Nummer des aktuellem VLANS, Auswahlmöglichkeit bei Zugehörigkeit zu mehreren VLANs)

 

Du müsstest ein tagged Interface zum Router haben.

Per Default gehören alle Ports zu VLAN 1, Port 24 ist verbunden mit dem Proleten-LAN, Server, Router, wird 24 dann auf tagged gestellt, gibt es keine Verbindung mehr, der DHCP nicht mehr erreichbar. bearbeitet 4. März 2010 von lefg

[lefg 276]

hallo,

 

ich bin nicht weitergekommen, habe bei HP angerufen (01805 007534), mit dem Supporter vereinbart, ich send ihm eine Mail mit meinen Szenarien und Screeshots.

[lefg 276]

...Du müsstest ein tagged Interface zum Router haben. ...

Ich möchte einmal nachfragen, wie ist das zu verstehen?

 

Muss der Router da auch taggen können, VLAN-fähig sein?

 

Bei mir geht es nicht nur um einen Router, es geht dabei um ein LAN mit Servern, Clients, Druckern und einem derzeit einfachen Internetrouter, nicht VLAN-fähig.

[s.k. 11]

Hallo Edgar,

 

Ich meine es so gelesen zu haben, ein Port kann mehreren VLANs angehören, es sind sozusagen Schnittmengen bildbar, Überlappungen herstellbar.

Möglicherweise weil Dir meine hiesigen Ausführungen noch im Gedächtnis sind?

http://www.mcseboard.de/windows-forum-lan-wan-32/richtet-man-vlan-157336.html

http://www.mcseboard.de/windows-forum-lan-wan-32/vlan-d-link-dgs-1248t-155307.html

 

Ich möchte einmal nachfragen, wie ist das zu verstehen? Muss der Router da auch taggen können, VLAN-fähig sein?

Jain:

1) Mit einem anderen Switch ginge es sehrwohl auf Layer 2 (siehe oben). Der von Dir eingesetzte HP-Switch kann dies laut Handbuch jedoch nicht.

2) Wenn Variante 1 nicht geht, muss man halt auf Layer3 arbeiten - sprich: die VLANs müssen sich in unterschiedlichen IP-Netzen befinden und dazwischen muss gerouter sowie (um Deinen Anforderungen hinsichtlich Trennung zu entsprechen) per ACL gefiltert werden. Dafür könnte der Router - sofern unterstützt - mit taggt Frames arbeiten. Das spart physische Interfaces. Kann er dies jedoch nicht, muss er mit je einem physischem Interface mit beiden VLANs (untaggt) verbunden sein.

Sollte der vorhandene Router weder das eine noch das andere hergeben und eine Neuerwerbung keine Option sein, könntest Du auf pfSense, M0n0wall & Co zurückgreifen.

 

Gruß

Steffen

[Windowsbetatest 10]

Ich möchte einmal nachfragen, wie ist das zu verstehen?

 

Muss der Router da auch taggen können, VLAN-fähig sein?

 

 

Hallo,

 

ja der Router muss auch taggen können. Wenn es ein Cisco ist muss es ein Trunk sein.

 

(Wenn du nur ein Kabel vom Switch zum Router führst.)

 

mfg

[lefg 276]

Hallo,

 

derzeit handelt es sich um einen Versuch.

 

Szenar 1: Drei Clients,

 

Port 2 - 192.168.0.13

Port 3 - 192.168.0.14

Port 4 - 192.168.0.15

 

VLAN 2 soll sein Port 2+3

VLAN 3 soll sein Port 3+4

 

Die Rechner an Port 2+3

die Rechner an Port 3+4

 

sollen miteinander in Kontakt kommen, kein Kontakt zwischen Port 2+4.

 

Szenar 2: zwei Clientgruppen, ein Drucker und ein Internetrouter, die beiden Clientgruppen dürfen keinen Kontakt haben, müssen aber den selben Router und Drucker benutzen. Weder Drucker noch Router sind VLAN-fähig, Tagging ist nicht möglich.

 

Szenar 3: Ein Proletennetz, eine Domäne, - ein DC mit DHCP, DNS , Fileserver - , Clients, Drucker, Gatweway zur übergeordneten Instanz und Internet. Am Gateway-Router ist nichts zu drehen, habe darauf keinen Zugriff, auch nicht verschaffbar. Dann sollen zwei exklusive Netze (VLAN) geschaffen werden mit Zugang zum Proletennetz, nicht umgekehrt. Die Clients der VLANS erhalten die Adressen vom DHCP des DC im Proletennetz, greifen auf den Fileserver, drucken und benutzen das Gateway zur übergeordneten Instanz und ins Internet.

 

Szenar 4: Es gibt ein weiteres Netz, diese ist streng getrennt vom dem in Szenar 3 beschriebenen. Nun soll aus dem Netz ein Rechner Zugriff auf die Drucker in Szenar 3 erhalten. Die Drucker enthalten kein zweites Netzwerkinterface, es darf kein Routing eingesetzt werden, keine zweite Netzwerkkarte in dem Client, das per VLAN mit den vorhanden 1700 zu machen, ein verführerischer Gedanke.

 

Gruß

 

Edgar