gysinma1 13 Geschrieben 11. April 2015 Melden Teilen Geschrieben 11. April 2015 Hi Zusammen Ich habe in meinem Bastellab einen Zyxel Switch GS-1548 ( low cost) und habe darauf 6 VLANs definiert. Leider werden diese wohl "isoliert" untereinander aber es sieht so aus, dass die Ports nicht zusammenarbeiten wollen so kommen z.bsp. DHCP Requests innerhalb des VLANS nicht an oder die Devices (alles Firewalls oder Server NICs) sind nicht pingbar und teilweise gehen die Ports auf 100 MB runter (auch wenn ich Serverseitig 1000 GB fix einstelle geht der Port auf "disconnected"). Nun meine Frage: Ich kann bei der VLAN konfig noch Tagging oder Untagging konfigurieren ... Leider ist da meine damalige Netzwerktätigkeit schon bald 16 Jahre her :-(. Ich habe einfach die Ports in das richtige VLAN definiert. Aehm muss man da was einstellen ? Der Switch hat keinen "Bruder" im Netz sondern nur Firewall Ports die direkt in das VLAN gesteckt sind. Da sollte mir ja auch VLAN Tagging nichts bringen das wäre ja dafür gedacht, wenn ein mindestens zweiter Switch im Spiel ist ... oder seh ich das falsch ? Oder sieht es so aus, dass dieser Switch eine "Flade" hat (nach 5 Jahren) und ein Ersatz notwendig wird ? (Ich bin eigentlich fast bei dieser Schlussfolgerung angekommen). Firmware ist latest. Nehme ich 6 kleine Repeaterli funktioniert alles wunderbar. Nicht dass ich wegen eigener Dummheit ein Gerät das noch geht entsorge ;-) Grüsse aus CH +mat Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. April 2015 Melden Teilen Geschrieben 11. April 2015 (bearbeitet) Hallo, ich nehme mal an, es handelt sich um einen L2-Switch. Ist das so richtig? Auf dem Switch sind dann wohl nur portbasierende VLANs einrichbar. Die VLANs selbst bekommen keine Verbindung untereinander. Was Du probieren kannst, ob ein Port mehreren VLANs zuordbar ist ohne Tagging. Falls Tagging erzwungen werden sollte, dann probiert man es eben damit. Falls das Netzwerkinterface des Gerätes VLAN-fähig sein sollte (Erweitert), dann kann man es damit probieren. Tagging wird verwendet i.d.R, bei switchübergreifenden VLANs. Per deafult dürften alle Ports dem VLAN 1 angehören, untagged. Hast Du das Manual gelsen? War das hilfreich? Gibt es im Web eventeuell Beispiele? Was ist dein Ziel bei der Sache? bearbeitet 11. April 2015 von lefg Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. April 2015 Melden Teilen Geschrieben 11. April 2015 Dein Switch ist, soweit ich das sehe, ein VLAN-fähiger Layer 2 Switch, Er kann also zwischen den VLANs nicht routen. Das musst Du extern machen oder alles in ein VLAN packen. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 11. April 2015 Autor Melden Teilen Geschrieben 11. April 2015 (bearbeitet) Hi Zahni und Lefg Ja das ist richtig. Das Routing machen die Firewalls. Jedes VLAN ist an einem Firewall Port und ist ein anderes Permiter (DMZ, Prod, Isolated DMZ etc.). Das funktioniert soweit auch, denn sobald ich den Firewall Port direkt auf die Server NIC verbinide geht's wunderbar. Ist der Switchport dazwischen (z.bsp. Port A Firewall und Port B Server beide in demselben VLAN) ist nicht mal ein Ping möglich (trotz fester IP) und die Karte des Server geht auf 100 runter. Gruss, +mat bearbeitet 11. April 2015 von gysinma1 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 11. April 2015 Melden Teilen Geschrieben 11. April 2015 (bearbeitet) Ist der Switchport dazwischen (z.bsp. Port A Firewall und Port B Server beide in demselben VLAN) ist nicht mal ein Ping möglich (trotz fester IP) und die Karte des Server geht auf 100 runter. Ich nehme mal an, die Switchports haben die selbe VLAN-ID wie die Interfaces von FW und Server und sind tagged? Oder handelt es sich um nichtgekennzeichnete VLAN? bearbeitet 11. April 2015 von lefg Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 11. April 2015 Autor Melden Teilen Geschrieben 11. April 2015 (bearbeitet) Es sind beide in demselben VLAN und sind nicht getagged (ich kann beim "Tagging" Untag und Tag oder auch leer lassen konfigurieren). Ich habe es bei "leer-lassen" belassen. Untag habe ich versucht mit demselben Resultat. Es ist auch nicht zwingend zwischen Firewall und Server Interface sondern auch wenn ich testhalber zwei Server so verbinde. Ich denke deshalb dass es auch nicht am Zusammenspiel FW und Switch liegt. Eher dass der Switch sich am Verabschieden ist. ... bearbeitet 11. April 2015 von gysinma1 Zitieren Link zu diesem Kommentar
da_flo 11 Geschrieben 11. April 2015 Melden Teilen Geschrieben 11. April 2015 Versuche es mal so zu konfigurieren: Ports auf FW und SW (Verbindung Switch und Firewall) Annahme Port 1 zu FW an Port x1. VLAN 1 (Haupt-VLAN) untagged VLAN 2 tagged VLAN 3 tagged VLAN 4 tagged VLAN 5 tagged VLAN 6 tagged Zu den Devices am Besten mit untagged arbeiten. Das musst Du dann auf dem Switch am Port einrichten. Zum Beispiel Port 2 zu Server als untagged. Wichtig an der Firewall musst du noch den DHCP-Rely für das entsprechende Netz anlegen. Die Netze natürlich auch. Das heißt am Port x1 der FW entsprechene Gateway auch einrichten. Damit sollte das Routing dann auch funktioneren. Sofern man dies auch in der FW so eingestellt hat. Bei machen muss man dies explizit erlauben bzw. verweigern. Ich hoffe das hilft Dir weiter. Ansonsten nochmals fragen. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 11. April 2015 Autor Melden Teilen Geschrieben 11. April 2015 Hi da_flo Vielen Dank - Das habe ich alles schon durch leider erfolglos. (Ich habe Untaged zu den Devices und kein Tagging versucht) Routing (sofern man davon reden kann denn zwischen den VLANS ist nur HTTPS erlaubt) geht via den FW Walls wunderbar, denn sobald ich die Geräte direkt auf die FW patche geht das auch. (DHCP Relay benötige ich keinen, da jedes VLAN selbst DHCP Server hat resp. statische IPs hat. Typische DMZs). Wie ich sagte ersetze ich den Switch mit einem Mini Repeater geht's weshalb ich eigentlich eher den Verdacht habe, dass der Switch das am segnen ist .. ich möchte mich hier einfach nochmal vergewissern .. lg +mat Zitieren Link zu diesem Kommentar
da_flo 11 Geschrieben 11. April 2015 Melden Teilen Geschrieben 11. April 2015 Was meinst Du mit Minirepeater? Aber mir scheint es eher dass da noch eine Einstellung ist die man deaktivieren kann. ich schau mir kurz den Switch kurz noch an. Mom Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 11. April 2015 Autor Melden Teilen Geschrieben 11. April 2015 Mini Repeater das Modell vom Mediamarkt für 19€ mit 4 Ports ...Netgear. Es hat auch ein VLAN von dem ISP da gehen auch die DHCP Requests der WAN Interface nicht durch mit anderen Worten die Firewalls sind alle direkt via sonem Mediamarkt Repeater gepached ....da via Switch keine IP abgerufen wird. Gemäss ISP kommt auch gar kein DHCP Req an. Zitieren Link zu diesem Kommentar
da_flo 11 Geschrieben 11. April 2015 Melden Teilen Geschrieben 11. April 2015 So hab mir mal die Dokumentation angesehen. Wenn du die Vlans alle auf untaggend auf das Standard stellst und an den Ports Pvids auch auf das Standard VLan 1 stellst sollte es eigentlich gehen. Sind die Services Bzgl. Dos Attacken aktiviert? wenn das nichts hilft kannst du mal versuchen den SwitCh auf Werkseinstellung zu setzen. Das hat bei mir auch schon geholfen da ich sehr dubiosen Fehler hatte. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 11. April 2015 Autor Melden Teilen Geschrieben 11. April 2015 @all Danke Euch allen. Ich denke das Baby ist put. Ich habe das alles mehr oder weniger schon durch gemacht. @da_flo Vielen Dank. Die VLANS kann ich nicht verbinden (auf VLAN1) denn das sind verschiedene DMZ Perimeter. Alle Services sind aus. Factory Reset auch mehrfacht getan. Ich habe soeben auch mal ins SYSlog vom Switch geschaut und da ist alles gerammelt voll Fehler "Failed to open "NVRAM with op=COUNT" (denke ein Problem mit dem Switch Memory). Papa gysinma1 hat n neuen ins Budget genommen für den May ... es ist nur meine XXL Spielwiese Gruss aus CH +mat Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 12. April 2015 Melden Teilen Geschrieben 12. April 2015 (bearbeitet) Hallo, ja der Switch hat offenkundig einen Speicherfehler und sollte daher produktiv nicht mehr eingesetzt werden, da zumindest mit Instabilitäten zu rechnen ist. Dass Deine VLANs nicht funktionieren dürfte aber eher daran liegen, dass Du das Funktions- und Konfigurationsprizip dieses Switches noch nicht durchschaut hast. Wenn ich Deine Ausführungen richtig verstanden habe, möchtest Du mehrere Securityzonen ("DMZten") auf dem selben Switch abbilden - den großen Switch also virtuell in mehrere kleinere Switche teilen. In den DMZten stehen jeweils einzelne oder mehrere Server, die sich innerhalb der gleichen Sicherheitszone/DMZ durchaus untereinander erreichen können sollen. Zonenübergreifend erfolgt die Kommunikation jedoch über eine Firewall und wird dort entsprechend beregelt. Offenkundig hat diese Firewall auch genügend physische Interfaces, um jeder Sicherheitszone ein dediziertes Interface zuweisen zu können. Soweit richtig? Dann hier ein Beispiel: Angenommen Du hast die Sicherheitszonen DMZ10 und DMZ20, welche Du auf die VLANs 10 und 20 abbilden möchtest. VLAN10 umfasst die Switchports 10-19 und VLAN20 die Switchports 20-29. An dem ersten Port hängt jeweils die Firewall mit einem dedizierten Interface und an den restlichen Ports jeweils bis zu 9 Server. In diesem Szenario sind alle Ports untagged im jeweiligen VLAN. Auch die Firewallports. Tagging findet ausschließlich switchintern - nicht jedoch zu den angeschlossenen Devices hin statt. Dies konfiguriert man folgendermaßen: Unter "VLAN" > "IEEE 802.1Q VLAN" werden die jeweiligen VLANs angelegt sowie die Portmitgliedschaft und das Taggingverhalten für den _ausgehenden_ Traffic festgelegt. Hier konkret: VAN 10 = Port 10-19 untagged, alle anderen Ports "not Member" VAN 20 = Port 20-29 untagged, alle anderen Ports "not Member" Bis hierhin hast Du dies vermutlich auch korrekt eingerichtet gehabt. Wahrscheinlich war Dir aber nicht bewusst, dass dies nur die "halbe Miete" ist, denn neben der Zuordnung der VLANs zu den Ports hast Du dem Switch hiermit lediglich mitgeteilt, dass er die Frames auf diesen Ports ohne VLAN-Tag ausgeben soll. Was Du ihm an dieser Stelle noch nicht gesagt hast ist, in welches VLAN der Switch solchen Traffic stecken soll, der auf diesen Ports ohne explizite Kennzeichnung (also ohne VLAN-Tag / "untagged") _eingeht_! Dieser Konfigurationsschritt erfolgt unter dem Punkt "Port Configuration" in der Spalte PVID. Hier konkret: Port 10-19 = PVID 10 Port 20-29 = PVID 20 Standardmäßig steht hier jeweils das Default-VLAN 1 drin. Weshalb der Switch _eingehenden_ Traffic ohne explizites Tag auch dann noch in das VLAN1 schiebt, wenn die Ports _egress_ in einem anderen VLAN auf untagged gesetzt sind! Anders als bei einigen anderen Herstellern, die dem Admin das Denken abnehmen, lässt es Zyxel (und auch viele andere Hersteller) durchaus zu, dass ein Port _ausgehend_ in mehreren VLAN untagged Member sein kann. Nur _eingehend_ ist es der Natur der Sache nach eine 1-zu-1-Beziehung. Dieses Verhalten entspricht durchaus dem normierten Standard und erlaubt es unter anderem, sog. "asymmetrische VLANs" zu konfigurieren. Dann noch ein Wort zu Deinem Autonegotiation-Problem: Dass der Switch auf 100MBit/s runterschaltet, wenn Du nur die andere Seite fest einstellst, ist kein Fehlverhalten des Switches sondern standardkonform. Ein Gerät, welches auf Autonegotiation eingestellt ist und bei der Aushandlung auf eine Gegenstelle trifft, die nicht verhandelt, schaltet dem Standard entsprechend auf 100 MBit/s Halfduplex herunter. Nicht standardkonform verhält sich bestenfalls die NIC des Servers, denn bei Gigabit Ethernet ist das Anbieten von Autonegotiation eigentlich Pflicht. Selbst wenn man im Treiber fest Gigabit einstellen kann, sollte dies eigentlich so implementiert sein, dass die Karte dennoch Autonegotiation macht, sich aber nur auf Gigabit einigt. Leider hält sich da aber nicht jeder Hersteller dran. Gruß sk bearbeitet 12. April 2015 von s.k. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 12. April 2015 Autor Melden Teilen Geschrieben 12. April 2015 Hi Ich habe das genau wie beschrieben hast bereits konfiguriert. Ich tausche den Switch demnächst aus. (Der Nachfolger wird Cisco sein, denn gleichzeitig wird auch Radius und NPAS ein Thema. Die Dose war eh schon sehr alt) Ist wie ich sagte eh "nur" mein Lab und keine Produktion. Trotzdem vielen Dank. LG, Matthias Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 22. April 2015 Autor Melden Teilen Geschrieben 22. April 2015 Switch getauscht mit einem Cisco 300-er. Nun ist alles wie es sein soll :-) d.h. VLANs sind isoliert DHCP Adressen da. Das "alte" Teil hatte definitiv n Flick ab gehabt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.