FETT 10 Geschrieben 1. April 2014 Melden Teilen Geschrieben 1. April 2014 Hi, ich weis das die Frage schon hundert mal gestellt wurde, jedoch möchte ich nur nachfragen ob ich es auch wirklich richtig verstanden habe... Manchmal spielt das Gehirn auch einem einen Streich ;-) Ich habe hier einen HP5406zl Core Switch und habe lauter HP2920 Verteilerswitche. Ich möchte hier nun VLANs einführen. (gibt es noch nicht) Auf einem 2920 benötige ich mehrere VLANs. Die Client-Ports am Switch sind ungetagged im entsprechendem VLAN. Richtig? Die VLANs am 2920 haben auch keine IP Adresse, diese hat nur der Core Switch und ist dann auch gleichzeitig das GW an den Clients im jeweiligen VLAN. Richtig? Die Uplinkports am Verteilerswitch hat die VLANs getagged drin. Richtig? Auf dem Core Switch sind alle VLANs angelegt und mit IP Adresse versehen. Richtig? Die Uplinkports am Core Switch sind getagged auf den entsprechenden VLANs die der Verteilerswitch benötigt. Richtig? Ein Frage wo ich mir noch nicht erklären konnte ist wie lasse ich es zu das bestimmte VLANs miteinander sprechen dürfen und welche nicht? Mach ich das am Core Switch? Der macht ja auch das Routing. Hier noch ein kleines Bild: VLAN5 darf nur mit VLAN6 sprechen. VLAN10,20,30 dürfen untereinander und mit VLAN6 sprechen. Hier weis ich noch nicht wie das geht. Wie mache ich das Management Netzwerk? Eigenes VLAN111 und da hat jeder Switch seine eigene Adresse? Und da dann per ACL Zugriff drauf. Und auch wieder auf den Uplinkports getagged. Richtig? Ich habe zwar über 20 Verteilerswitche aber sobald es bei einem steht sind die anderen ja nur Kopien mit Anpassungen und fertig. Zitieren Link zu diesem Kommentar
Hannes91 10 Geschrieben 1. April 2014 Melden Teilen Geschrieben 1. April 2014 Hallo, das hört sich alles richtig an was du da geschrieben hast. Dein "Core-Switch" übernimmt ja das Inter-Vlan Routing, also musst/kannst du dort entsprechende ACLs setzen, welche VLANs miteinander sprechen dürfen. Für das Management vergibst du auf den 2920ern einfach IP-Adressen auf ein beliebiges VLAN oder vielleicht besser in einem Separaten VLAN wie du bereits geschrieben hast. Natürlich muss das MGMT-Vlan dann tagged auf dein Uplink. Gruß Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 1. April 2014 Melden Teilen Geschrieben 1. April 2014 Du hast alles erst mal richtig gedacht. Uplink Ports würde ich immer getaggt übergeben, vlan1 nicht verwenden, den 5406 als Default Gw nehmen und mgmt in ein eigenes VLAN packen und dann als management vlan definieren. "management vlan 111" wäre ein Beispiel. Vorher jedem Switch in dem Vlan eine IP geben, damit die erreichbar sind. Uploaden kannst du die Configs per tftp oder nach einschalten sftp. Damit das mit dem routing richtig klappt: "ip routing" konfigurieren, vorher passiert da nix und eine default route setzen falls benötigt (sonst klappt z.b. der Internetzugriff nicht) ip route 0.0.0.0 0.0.0.0 1.2.3.4 Hier eine Beispiel ACL für dein mgmt: ip access-list standard "mgmt-out" 1 remark "mgmt subnet" 2 permit 1.2.3.4 0.0.0.255 10 remark "Monitoring" 11 permit host 10.10.10.64 ip access-list standard "mgmt-in" 1 remark "mgmt subnet" 2 permit 1.2.3.4. 0.0.0.255 vlan 111 ip access-group mgmt-out out vlan 111 ip access-group mgmt-in in Für ein besseres Verständniss der ACLs kann ich dir das HP Whitepaper empfehlen: http://www.hp.com/rnd/support/manuals/pdf/release_06628_07110/Bk2_Ch3_ACL.pdf P.S.: Ich würde überlegen an dem 5406 loop-protect einzuschalten und das als snmp warning ins monitoring laufen lassen (uplink port abschalten kann man m.M. nach besser von Hand) und bitte mach das ganze in einem Wartungsfenster. Vor allem mit ACLs kannst du dir sehr schnell selber den Ast absägen, ein funktionierender Konsolenaccess zum 5406 ist dann Pflicht! Zitieren Link zu diesem Kommentar
FETT 10 Geschrieben 4. April 2014 Autor Melden Teilen Geschrieben 4. April 2014 (bearbeitet) Danke für eure Antworten! Noch eine Frage... Muss oder sollte ich was an einem Port einstellen wenn daran ein kleiner Switch gehängt wird? Also wenn in einem Büro z.B. zu wenig Netzwerkanschlüsse sind. bearbeitet 4. April 2014 von FETT Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 4. April 2014 Melden Teilen Geschrieben 4. April 2014 Wenn du mit Spanning-Tree arbeitest und der kleine Switch das auch unterstützt dann würde ich es auf dem Port anlassen, sonst als Edge Port definieren. Wenn du Loop-Protect einsetzt auf dem Port evtl. anmachen, gerade bei Verkabelung unterm Schreibtisch können Mitarbeiter da gerne was falsch stecken. Wir setzen bei solchen Szenarien HP 1810 Switche ein, die haben Webmanagement und können die wichtigsten Sachen. Gerade wenn man Drucker und Clients in anderen Vlans hat, kann man das damit sehr gut abbilden (z.b. an einem Lagerplatz wo nur 1 Port verfügbar ist) Zitieren Link zu diesem Kommentar
FETT 10 Geschrieben 4. April 2014 Autor Melden Teilen Geschrieben 4. April 2014 Noch gibt es hier kein Spanning Tree... Es wurde einfach immer alles irgendwie gesteckt und irgendwie konfiguriert, dass es halt funktioniert. Die Switche hier Blinken ohne Ende... Alle Ports zur gleichen Zeit... sowas habe ich noch nie gesehen. Ich denke der Broadcast ist im "perversen" Bereich! Ich bin hier jetzt um VLANs usw. zu implementieren und die IP Adressen in den Griff zu bekommen... Darum hat sich bisher noch nie jemand gekümmert. Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 4. April 2014 Melden Teilen Geschrieben 4. April 2014 Die Switche hier Blinken ohne Ende... Alle Ports zur gleichen Zeit... Das kenn ich von meinen Switchen nur in der Situation das ich einen "Loop" gesteckt habe ... Beispiel : Switch1 --> Switch2 Switch1 --> Switch3 und dann Switch2 --> Switch3 Zitieren Link zu diesem Kommentar
FETT 10 Geschrieben 4. April 2014 Autor Melden Teilen Geschrieben 4. April 2014 Ja so einen verdacht habe ich auch... Das wird aber noch ein wenig dauern bis ich das rausfinde... Ich muss jetzt erst mal jeden Schrank hier neu verkabeln... da das aussieht wie unter aller Sau!! Da findet kein Mensch ein falsch gestecktes Kabel... keine Chance. Wenn ich das fertig habe und dann einen überblick habe über das ganze Chaos, dann geht's ran an die VLANs. Vorher macht das alles keinen Sinn... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. April 2014 Melden Teilen Geschrieben 4. April 2014 (bearbeitet) Noch gibt es hier kein Spanning Tree... Morn, können die Switches kein Spanning Tree, oder ist das auf den Switches nicht konfiguriert, ist Spanning Tree deaktiviert? bearbeitet 4. April 2014 von lefg Zitieren Link zu diesem Kommentar
FETT 10 Geschrieben 4. April 2014 Autor Melden Teilen Geschrieben 4. April 2014 so wie ich das sehe ist das überall disabled... Auf dem Core Switchen habe ich gerade geschaut dort ist es enabled. ich habe vorhin mal das Spanning Tree auf einem noch unbenutzen Switch aktiviert.... seit dem kann ich nicht mehr pingen... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. April 2014 Melden Teilen Geschrieben 4. April 2014 (bearbeitet) Ich will dich jetzt nicht in dien Irre führen, auf einen falschen Weg locken. Falls dein Netz sonst noch noch funktionsfähig, und der Verdacht eines Loops besteht, dann gehe deinen Weg weiter! Hektisches und gleichzeitiges Blinken aller Ports eines Switches, so etwas habe ich mehrfach erlebt, ich schildere mal die Umstände: Ich arbeitete im Serverraum, die Kollegin aus dem Büro nebenan rief mir einen Abschiedsgruß zu, ich wünschte ihr einen schönen Urlaub. Wir lächelten und an, dann wandte ich wieder den Blick auf die Geräte. Der etwas ältere 3Com blinkte wie beschrieben, hektisch auf allen Ports, es war kein Netzwerkverkehr mehr möglich.. Ein Reset führte nach kurzer Zeit zum selben Ergebnis. Ich kabelte komplet ab, ein weiteres Reset brachte den Normalfall. Ich kabelte wieder an. das Problem trat wieder auf. Eine Feineres, Verzögertes erneutes Ab- und wieder Ankabeln für zur Erkenntnis, es kam über das Kabel aus dem Büro der geschätzten Kollegin. Die liess normal ihren Rechner immer an, nur diesmal nicht, sie ging in den Urlaub. Ich ersetzte den 3Com durch einen HP Pro Curve 1710, der konnte Spanning Tree im Gegensatz zum alten 3Com. Ich hätte natürlich auch den Rechner austauschen können oder ihm ein anderes Netzwerkinterface verpassen können. Im Laufe der Zeit trat das selbe Phänomenen auch an einigen anderen Stationen auf, wechseln auch dort die Switches aus. Das erschien uns zukunftssicherer, wir rechneten damit, dass in Zukunft mehr Rechner mit dem Fehler. Nochmals, das Problem trat auf mit ausgeschalteten Rechnern und Switches, die kein Spanning Tree konnten. Ob man das Problem durch Konfiguration des Netzwerkinterfaces oder einen anderen Treiber oder einem Wartungsprogramm hätte auf den Grund gehen können? bearbeitet 4. April 2014 von lefg Zitieren Link zu diesem Kommentar
FETT 10 Geschrieben 4. April 2014 Autor Melden Teilen Geschrieben 4. April 2014 Nun funktioniert tut alles "noch"... Nur fühle ich die Performance ist nicht gerade die beste... Es hat sich hier halt nie jemand konzeptionelle gedanken gemacht und nun hat man den salat!! Bei der größe gehört das zwingend dazu... aber naja... Jetzt gehe ich halt step by step vor und schaue ob ich das alles geregelt bekomme! aber ich bin da ganz zuversichtlich... Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 4. April 2014 Melden Teilen Geschrieben 4. April 2014 Du könntest für´s erste Loop-Protect mit Warning anmachen auf dem 5406, dann siehst du ob es evtl. ein Loop ist und auf welchem UplinkPort. Ansonsten kann auch ein regelmässiges sh log -r helfen ob es irgendwo excessive Broadcast ö.ä. gibt Zitieren Link zu diesem Kommentar
FETT 10 Geschrieben 28. April 2014 Autor Melden Teilen Geschrieben 28. April 2014 Hi Leute, muss nochmal kurz nachhacken... hab hier ein Symptom welches ich nicht verstehe, oder vielmehr es will von meinem Kopf nicht verstanden werden. Config Core: ip route 0.0.0.0 0.0.0.0 192.9.220.216 ip route 10.1.0.0 255.255.255.0 192.9.204.11 ip routing vlan 1 ip address 172.30.1.207 255.255.255.0 ip address 172.30.2.207 255.255.255.0 ip address 172.30.3.207 255.255.255.0 ip address 172.30.11.207 255.255.255.0 ip address 172.30.60.207 255.255.255.0 ip address 172.30.61.207 255.255.255.0 ip address 192.9.204.207 255.255.255.0 ip address 192.9.218.207 255.255.255.0 ip address 192.9.219.207 255.255.255.0 ip address 192.9.220.207 255.255.255.0 ip address 192.9.221.207 255.255.255.0 vlan 10 ip address 10.115.10.1 255.255.255.0 vlan 15 ip address 10.115.15.1 255.255.255.0 Config Testswitch: ip default-gateway 10.115.10.1 vlan 1 ip address 172.30.2.117 255.255.255.0 vlan 10 ip address 10.115.10.10 vlan 15 no ip address Das Problem: Wenn ich folgende Adressen: 172.30.3.153 192.9.204.210 192.9.220.210 anpingen will geht es nicht. Weder vom Client im VLAN 15 noch vom Testswitch aus selber.. Wenn ich aber das ip default-gateway umstelle auf 172.30.2.207 geht es auf dem Testswitch. Aber warum? Geht das Routing zwischen den VLANs nicht richtig, oder woran liegt es? Was muss ich tun? Ich will ja die ganzen alten Adressen sterben lassen was aber seine Zeit braucht... Der Verkehr muss aber einwandfrei funktionieren während der Umstellphase... Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 28. April 2014 Melden Teilen Geschrieben 28. April 2014 Hast du mal ein IP Config von dem Client und einem der Ziel-Clients? Kannst du die genannten IPs vom 5406 pingen? Das solltest du als erstes machen. Kommen die Vlans alle auf dem Uplink zum Testswitch an? Der Test Switch brauch eigentlich kein Default Gateway, du solltest einen Client dahinter hängen und von den verschiedenen Vlans testen um realistische Ergebnisse zu bekommen. Ihr habt ja ganz schönen Netzwildwuchs ;). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.