VLANs mit mehreren Aruba 2540 Switchen

[Dutch_OnE 39]

Und wie wird das am besten bei Aruba gehandhabt?

[djmaker 95]

In aller Kürze:

 

-ich würde zwischen den Switchen eine Ring-Topologie mit Spanning-Tree aufbauen (RSTP)

-auf den nicht Uplink-Ports das benötigte VLAN untagged setzen (ausser bei Virtualisierungs-Hosts, da werden meist verschiedene VLANs auf einem Port benötigt)

-auf den Uplink-Ports alle VLANs tagged setzen

[Dutch_OnE 39]

Guten Morgen,

aktuell wird noch daran gearbeitet, ob die Topologie noch von Bus in Ring gewandelt wird. Daher möchte ich kurz meinen Plan der Umsetzung einmal vorstellen.

Insgesamt sind 8 Aruba Switche (24-Port + 4 Glasfaser) vorhanden. Am Switch 1, 3, 7 und 8 sind Geräte für das separate VLAN (VLAN3).

VLAN2 ist das LAN mit 192.168.0.X

VLAN3 ist das Gästenetz mit 192.168.180.X

 

- An jedem Switch erstelle ich nun neben dem Default VLAN1 jeweils VLAN2 und VLAN3

- Bei den Switchen 1,3,7 und 8 weise ich die benötigten Ports für VLAN3 als untagged hinzu. Die restlichen Ports für VLAN2 als untagged

- Bei den Switchen 2,4,5 und 6 weise ich alle Ports für VLAN2 als untagged hinzu

- bei Switch 1 und 8 (erster und letzter, hier ist nur ein Glasfaserport "25" belegt) tagge ich diesen für VLAN2 und VLAN3. Auf VLAN1 bleibt der untagged.

- bei den Switchen 2-7 sind die Ports 25 und 26 für Glasfaser gesteckt. Hier werden beide für VLAN2 und VLAN3 getaggt, sowie für VLAN1 ungetagged eingestellt.

 

Ziel ist, dass ein zweiter DHCP Server, der im VLAN3 am Switch1 Port3 ist, die Endgeräte im VLAN3 mit DHCP versorgen kann.

Zusätzlich darf er nichts auf VLAN2 sehen/zugreifen.

 

Was ich nicht ganz verstehe:

Folgende Aussage habe ich gefunden: Untagged auf Port 25 läuft das Default-VLAN (1), damit du administrative Arbeiten übers Netz erledigen kannst

Mein System zum konfigurieren der Switche liegt ja jetzt im VLAN2. Wie kann ich die Switche noch konfigurieren?

 

Gruß DO

[MurdocX 949]

vor 2 Minuten schrieb Dutch_OnE:

Mein System zum konfigurieren der Switche liegt ja jetzt im VLAN2. Wie kann ich die Switche noch konfigurieren?

In dem du beim Switch die Einstellung "Management VLAN" von 1 auf 2 änderst

Vorher aber noch für das VLAN2 eine IP auf dem Switch vergeben.

[Dutch_OnE 39]

OK und was kann ich noch machen, wenn ein End-Gerät aus beiden VLANs erreichbar sein muss? (Außer 2 Netzwerkkarten und 2 Ports belegen)

[MurdocX 949]

Am 7.11.2019 um 09:56 schrieb MurdocX:

Ein Paket muss nur dort "getaggt" werden wo auch eine Verwechselungsgefahr bestehen würde. Auf Ports auf denen mehrere VLANs laufen. Ein treffendes Beispiel ist hier ein Uplink. Alle anderen VLAN-Ports sind demnach "untagged".

Steht alles schon geschrieben  

 

Zusatz:

1. Netze trennt der Router

2. VLAN-Tagging muss auch der Client können. Hierzu muss Karte, Treiber und Software passen.

bearbeitet 14. November 2019 von MurdocX

[Dutch_OnE 39]

Konkret geht es um Unifi Access Points. In beiden VLANs sind welche vorhanden. Da ich aber nicht weiß, ob das Endgerät (wo die Controllersoftware) läuft Punkt 2 entsprechend bedienen kann, kaufe ich mir lieber einen zweiten Kontroller dazu und lasse das sauber getrennt.

[testperson 1.675]

Hi,

 

was hast du denn mit den Unifi APs vor? In der Regel erreichst du das mit "Punkt 1".

vor 4 Minuten schrieb Dutch_OnE:

kaufe ich mir lieber einen zweiten Kontroller dazu und lasse das sauber getrennt. 

Das ist irgendwie bl*d, dann musst du ja auch doppelt administrieren. Wenn du Dienstleister bist, ist das ja auch charmant, aber irgendwie nicht im Sinne des Erfinders. :P

 

Gruß

Jan

[Dutch_OnE 39]

Aktuell ist ein VLAN mit 3 verschiedenen APs vorhanden. Die Controller Software läuft auf einem Windows Server, der DHCP auf einem anderen Server.

 

Nun kommen weitere APs hinzu, die aber nur als Gäste WLAN eingesetzt werden sollen. Daher wollte ich das mit VLAN komplett trennen. Ich habe dann im Gäste VLAN noch ein Beinchen vom Router stehen, der für die Gäste den DHCP macht.

 

Für die Konfiguration der Gäste WLANs wollte ich dann diesen Unifi Kontroller (Hardware) einsetzen und den einfach mit ins Gäste VLAN einbinden.

 

 

[MurdocX 949]

Leider kann ich zu Unifi wenig sagen. Das ist einfach nicht meine Baustelle. Ich vermute aber, das der Controller schon VLAN kann.

Siehe: https://help.ubnt.com/hc/en-us/articles/219654087-UniFi-Using-VLANs-with-UniFi-Wireless-Routing-Switching-Hardware

[testperson 1.675]

vor 4 Minuten schrieb MurdocX:

Leider kann ich zu Unifi wenig sagen. Das ist einfach nicht meine Baustelle. Ich vermute aber, das der Controller schon VLAN kann.

Siehe: https://help.ubnt.com/hc/en-us/articles/219654087-UniFi-Using-VLANs-with-UniFi-Wireless-Routing-Switching-Hardware

Der Controller an sich kann kein VLAN, aber er kann das entsprechend über Netzwerke / Profile für die APs konfigurieren. ;)

 

vor 38 Minuten schrieb Dutch_OnE:

Ich habe dann im Gäste VLAN noch ein Beinchen vom Router stehen, der für die Gäste den DHCP macht.

 

Für die Konfiguration der Gäste WLANs wollte ich dann diesen Unifi Kontroller (Hardware) einsetzen und den einfach mit ins Gäste VLAN einbinden.

Es wäre evtl. einfacher den Router (und die Firewall) passend zu konfigurieren, dass man den Controller entsprechend erreicht. Im Controller muss dann nur in den "Drahtlos Netzwerken" das passende VLAN eingetragen werden und ggfs. die "Gastrichtline" aktiviert werden, die dann wiederum in der Gaststeuerung eingerichtet wird. (Evtl. ist es noch nötig die Netzwerke entsprechend zu konfigurieren. AFAIK ist das aber nur der Fall wenn eine USG vorhanden ist. Schaden kann es aber nicht. ;))

[Dutch_OnE 39]

So, ich habe heute die Konfig so durchgeführt. Es hat alles wie gewünscht funktioniert. Vielen Dank Euch allen für die Hilfe.

[DocData 85]

Management VLAN auf einem Aruba sollte man verstanden haben. Nachdem das konfiguriert wurde, sind die administrativen Zugänge wie SSH oder Web nur noch aus diesem VLAN erreichbar - nicht via Routing. Du brauchst danach also einen Client IN dem VLAN. Ansonsten kommst du nicht mehr an deinen Switch ran.