VLANs mit mehreren Aruba 2540 Switchen

[Dutch_OnE 39]

Moin,

ich hoffe, dass mir hier jemand zu meinem Anliegen einen Tipp geben kann.

Vorhanden sind insgesamt 7 Aruba Switche, die über Glasfaser miteinander verbunden sind. An jedem Switch sind Endgeräte vorhanden. Nun benötige ich 2 VLANs (Produktion und Gast)

 

Für Produktion wollte ich das Default-VLAN nutzen. Für das Gast-VLAN habe ich dann auf jedem Switch ein zweites VLAN angelegt und jeweils die Ports wo Gast-Endgeräte stecken vom Default-VLAN ins Gast-VLAN "verschoben".

Default-VLAN hat übertall die ID1, dass Gast-VLAN überall die ID2.

 

Das Default-VLAN ist ein Primary-VLAN, beim Gast-VLAN habe ich weder Primary, noch Management ausgewählt.

Der erste und der letzte Switch haben jeweils einen Glasfaseranschluss, die in der Mitte entsprechend jeweils zwei.

 

Meine Idee ist jetzt zwischen allen Switches einen Trunk (also S1 zu S2, S2 zu S3, S3 zu S4 ...) aufzubauen und diesen dann die beiden VLANs zuzuweisen. Habe ich das soweit richtig verstanden?

Sollte man die Switch in eine Management VLAN bauen?

 

Gruß DO

[Lauren 0]

Hattest du Glück damit?

 

LG

[falkebo 21]

vor 5 Stunden schrieb Dutch_OnE:

Meine Idee ist jetzt zwischen allen Switches einen Trunk (also S1 zu S2, S2 zu S3, S3 zu S4 ...) aufzubauen und diesen dann die beiden VLANs zuzuweisen. Habe ich das soweit richtig verstanden?

Also du willst das dein ganzes Netzwerk ausfällt, wenn ein Switch in der Kette down geht?

[MurdocX 949]

vor 6 Stunden schrieb Dutch_OnE:

Meine Idee ist jetzt zwischen allen Switches einen Trunk (also S1 zu S2, S2 zu S3, S3 zu S4 ...) aufzubauen und diesen dann die beiden VLANs zuzuweisen. Habe ich das soweit richtig verstanden?

Ja, damit alle VLANs bis zum Letzten durchkommen.

vor 6 Stunden schrieb Dutch_OnE:

Sollte man die Switch in eine Management VLAN bauen?

Ja, für die Sicherheit.

vor 6 Stunden schrieb Dutch_OnE:

Moin,

ich hoffe, dass mir hier jemand zu meinem Anliegen einen Tipp geben kann.

Benutze eine Stern- oder Ringverkabelung. Deine Bustopologie ist hat den Charm von Singe-Point-of-Failure. Spanning-Tree nicht vergessen einzuschalten. 

[Dutch_OnE 39]

Moin,

das ganze ist ein Produktivnetz und ich habe mich noch nicht getraut etwas einzurichten. Vorher wollte ich mich erkundigen, ob mein Vorhaben so überhaupt funktioniert. 

Werde morgen noch mit dem Elektriker reden, ob Switch 1 noch mit Switch 7 verbunden werden kann, damit es dann ein Ring wird.

 

Noch 2 andere Fragen:

Sind bei Aruba die Glasfaserverbindungen automatisch ein Trunk der alle VLANs durchleitet, oder muss das explizit bestimmt werden?

Bei Cisco gibt es noch ein VLAN für ungetaggte Pakete um dieses ins Nirvana laufen zu lassen, Muss man dies bei Aruba auch noch anlegen?

[falkebo 21]

Moin @Dutch_OnE.
Meine Empfehlung: Leg dir auf jeden Fall einen Core-Switch zu.
Der kann full Modular sein oder komplett SFP+.

Dann kannst du alle Access-Switche an deinen Core-Switch per LWL anbinden.

 

Zur Konfiguration:

Erstelle ein neues Default VLAN z.B. auf ID 99 und setz alle nicht benutzten Ports da rein.

Erstelle 2 neue VLANs z.B. ID10 und ID20. Dann kannst du deine benötigten Ports den VLANs (untagged) zuweisen.

Erstell ein Trunk und weis dem Trunk deine SFP+ Interfaces zu (wenn gebündelt -> LACP aktivieren).

Anschließend kannst du deinem Trunk-Interface z.B. Trk1, beide VLANS (ID10 und ID20) zuweisen.

 

DEFAULT_VLAN nicht beachten, wird noch angepasst.

[Dutch_OnE 39]

Guten Morgen,

ja die Infrastruktur war leider schon vorhanden und nach der Methode Nimm hin und Mach mal darf ich das jetzt entsprechend konfigurieren. Danke erstmal für diesen Tipp. Was ich noch nicht verstanden habe, ist die Behandlung der untagged Pakete aus einem VLAN. Bei Cisco wird da sein Pseude VLAN angelegt, oder entspricht das bei Aruba dem Default_Vlan? Gruß DO

[Dukel 454]

Wieso nur Prod und Gast VLan? Wenn du das auf VLans aufteilst, dann mach das gleich Zukunftssicher und mehrere Zonen. Z.B. Client, Server, AD, Mangement, ggf. Backup, ggf. DMZ

Ich würde auch das Default VLan nicht nutzen sondern jedes VLan eigen definieren.

[MurdocX 949]

vor 8 Stunden schrieb falkebo:

Meine Empfehlung: Leg dir auf jeden Fall einen Core-Switch zu.

Dann braucht er auch wieder zwei, sonst haben wir wieder Single-Point-Of-Failure. Wäre auch meine bevorzugte Variante, jedoch ist hier die Grundverkablung wohl das Problem.

 

vor 34 Minuten schrieb Dukel:

Wenn du das auf VLans aufteilst, dann mach das gleich Zukunftssicher und mehrere Zonen. Z.B. Client, Server, AD, Mangement, ggf. Backup, ggf. DMZ

Wir haben uns gegen diese Aufteilung entschieden. Alles muss über den Router rüber und es entsteht bei erhöhtem Traffic ein Flaschenhals.

 

Meine persönliche Empfehlung, die ich bisher auch immer so umgesetzt habe:

 

- VLAN 1, unbenutzte Ports

- VLAN 5, DMZ

- VLAN 10, Server u. Client Netz

- VLAN 20, Telefon

- VLAN 30, WLAN-Infrastruktur

- VLAN 100 -> Management (ILO, Switche etc.)

 

Der Charm dabei ist, dass für die jeweiligen Top-VLANs noch "zwischen" VLANs erstellt werden können, die einfach der Hauptkategorie logisch "zugeordnet" sind. Beispiel: VLAN 11 würde jetzt etwas für Clients oder Server sein. Man würde dies gleich auch so wahrnehmen.

 

[Dutch_OnE 39]

Und was passiert mit Paketen die kein Tag haben?

[MurdocX 949]

Ein Paket muss nur dort "getaggt" werden wo auch eine Verwechselungsgefahr bestehen würde. Auf Ports auf denen mehrere VLANs laufen. Ein treffendes Beispiel ist hier ein Uplink. Alle anderen VLAN-Ports sind demnach "untagged".

[Dutch_OnE 39]

Die Glasfaserverbindungen zwischen den Switchen sind doch "Uplinks", da hier doch die Daten von mehreren VLANs übermittelt werden oder? Ich habe das halt in einem Cisco Tutorial gesehen, dass dort noch ein extra Vlan für untagged Pakete angelegt wurde. Alle unbekannten Pakete werden darüber verworfen. Oder macht Aruba das von alleine?

bearbeitet 7. November 2019 von Dutch_OnE

[MurdocX 949]

Ja, das sind Uplinks. Hier muss "getaggt" werden.

 

Es ist natürlich schwer nachzuvollziehen wieso, weshalb und warum das bei Cisco so konfiguriert wurde. Ich bin schon lange kein Cisco Spezi mehr. Bei Aruba (HP, HPE, 3COM) wird das so konfiguriert. 

[Dutch_OnE 39]

Das Tutorial war 2 Jahre alt. Vielleicht war das auch nur damals bei Cisco so gewesen. Danke Dir erstmal für Deinen guten Support.

[magheinz 110]

Das ist nicht ciscospezifisch.

Die Idee ist, das man keine ungetaggten Pakete hat wenn man alles richtig konfiguriert hat. Kommt doch eines hat man entweder einen Fehler gemacht, oder jemand hat eigenmächtig ein Gerät ins Netzwerk gebracht. Sicherheitshalber sorgt man jetzt dafür, daß diese Pakete nichts anrichten können und im Nirvana landen. Je nach Anforderung kann man dieses Nirvana auch z. B. In ein QuarantäneVLAN verwandeln und dort z.B. Für einen bestimmten patchstand, Virenscanner etc sorgen.