Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

VLAN Routing

Mitglied: edvmaedchenfueralles
Hallo zusammen,
ich habe bei uns 2 VLANs (1 selbst eingerichtetes und das standard VLAN).

5218850597e23c4e1467815307f1aa20

So weit so gut.
Nun möchte ich unter den VLANs routen können und natürlich auch mit beiden Netzen ins Internet!
Wie das grundsätzlich funktioniert ist mir einigermaßen klar.
Die Fragen die sich mir stellen sind:
- aktiviere ich das Routing bei einen der beiden (Backbone)L3-Switches in der Mitte?
- aktiviere ich es beim L3-Switch vor der Firewall?
- funktoniert das in dieser Form sowieso nicht, da alle anderen Switches auf den routing-L3 Switch angeschlossen sein müssen und an diesem auch die Firewall hängen muss?
Sprich: L2-Switch --------------- L3 Switch mit aktivierten routing ------------------- Firewall ---------------------Internet


Ich hoffe, ich hab das einigermaßen verständlich erklärt!

Danke im Voraus!

Content-Key: 180974

Url: https://administrator.de/contentid/180974

Ausgedruckt am: 17.09.2021 um 17:09 Uhr

Mitglied: Edi.Pfisterer
Edi.Pfisterer 23.02.2012 um 19:06:18 Uhr
Goto Top
Hallo!
Nachdem unsere Netzwerk-Experten (aqui, dog) akutell schon Feierabend zu haben scheinen, melde ich mich mal zu Wort...

- aktiviere ich das Routing bei einen der beiden (Backbone)L3-Switches in der Mitte?
- aktiviere ich es beim L3-Switch vor der Firewall?
- funktoniert das in dieser Form sowieso nicht, da alle anderen Switches auf den routing-L3 Switch angeschlossen sein müssen und an diesem auch die Firewall hängen muss?

Es reicht, das Routing auf einem der 3 zu aktivieren.
Dein Aufbau funktioniert in dieser Form in jedem Fall!

Entscheidend ist dann, dass alle anderen Geräte im Netz die entsprechenden Interfaces des L3 als Gateway eingetragen haben, und dass alle Switches/Router TAGGED miteinander verbunden sind.

Wichtig ist noch, dass du nicht vergisst, die Retourrouten auf Deiner Firewall einzutragen.

Eine Übersicht, wie die Gateways ausschauen könnten, findest Du zB hier

gutes Gelingen,
lg
Edi
Mitglied: clSchak
clSchak 23.02.2012 um 19:06:43 Uhr
Goto Top
Hi

als erstes solltest du den Uplink von den beiden(!) Layer 3 Switchen auf den einen Layer legen, dann STP aktivieren (also vorher ansonsten bekommst ein Ausfall wegen loop :) face-smile, der einzelne Layer 3 Switch bekommt dann das Routing aktiviert:

- IP Adresse in VLAN_A
- IP Adresse in VLAN_B
- IP Adresse in VLAN_C (VLAN was zur Firewall geht)

Dann erstellst du für jedes VLAN ein Routing Interface und gibt's dem Layer 3 Switch selbst als Standardgateway die Firewall, so weis diese, dass alle Pakete die nicht zu einem VLAN gehören ins Netz sollen. An den Layer 2 Switchen musst lediglich die Uplinks Tagged setzen und den rest untagged in dem entsprechenden VLAN.

Mal ein paar Bsp. Config (CLI ähnlich wie Cisco, in meinem Fall Brocade)

an den beiden Layer 3 Switchen dann

Natürlich ein wenig anpassen, aber im ganzen sollte das so gehen - und dann am Client entsprechend die IP des Routerinterfaces in dem VLAN eintragen als Default_Gateway.

Ein weiterer Punkt währe noch, wenn die beiden Layer 3 Switche, es könenn kannst, zwecks Ausfallsicherheit auch VRRP oder ähnliches aktivieren, damit hättest du einen ausfallsicheres Routing - das können meistens allerdings nur Enterprise Geräte :) face-smile und zu deinen Geräten hast so nix geschrieben.

Edit/add: und bevor kritiker schreien, ja ich habe das "management vlan" in der config im default_vlan gelassen, aber das kann auch von vlan_1 auf ein anderes schieben also egal :) face-smile
Mitglied: aqui
aqui 24.02.2012 um 09:39:59 Uhr
Goto Top
Irgendwie ist der Thread hier durch die Lappen gegangen :-) face-smile
Nein, das L3 Routing zwischen den VLANs machst du natürlich auf deinen beiden Core Switches und nirgendwo anders. Allein schon aus Redundanzgründen ist das zwingen. Mit dem L3 Switch zum Internet hättest du einen single Point of Failure.
Ein klassisches Design sieht so aus:

cbd02541153fdaf4376026b03fd512a5-switchnetz

Was ja bis auf die redundanten Leitungen genau deinem entspricht.
Stell dir den Server hier als deinen Internet L3 Switch vor.
Den solltest du übrigens auf dringenst mit "2 Beinen" so an die Core Switches anbinden um einen Leitungs Redundanz zu haben.
Idealerweise nimmt man den Internet Anschluss in ein weiteres separates VLAN auf dem Core um diesen Traffic vollkommen vom Produktivtraffic in den beiden VLANs zu trennen.
Zudem hast du damit immer die Möglichkeit über Accesslisten dediziert den Internet Traffic in beide VLANs zu filtern.
Letztlich ist so einen Trennung also besser um nicht den Internetzugang direkt in einem der VLANs zu haben.
Was du nun machst ist auf den beiden Core Systemen je eine IP Adresse in dem VLAN eingeben und dann solltest du noch zwingend VRRP oder HSRP auf den Core Switches laufen lassen um das Gateway Problem zu lösen.
Clients hätten ja sonst immer nur eine IP des einen oder anderen Core Switches als Gateway. Fällt das aus ist "Schicht im Schacht".
VRRP oder HSRP verhindert das indem es eine virtuelle IP schafft zwischen beiden Core Switches. Fällt einer aus hat das keinerlei Auswirkung auf die Clients und es kann weiter zwischen beiden VLANs gearbeitet werden.
Das ist ein klassisches Allerweltsdesign im Switching Umfeld !
Zu guter letzt definierst du auf beiden Core Switches noch eine default Route auf den Internet L3 Switch und gut ist !
Das ist ein wasserdichets Design was du so umsetzen solltest.
Die Konfig vom Kollegen clshak ist schon OK bis auf das fehlende VRRP was du unbedingt hinzufügen solltest sofern deinen Switches das supporten (hoffentlich).
Deshalb jetzt mal die vereinfachte Konfig auch in Brocade Nomenklatur.
Vereinfacht sähe ein korrekte Core Switch Konfig dann so aus: (Ethernet Port zw. den beiden Cores ist Port 1, Default Gateway ist dann immer die VRRP .254er IP Adresse in den VLANs)
Core 1
======
vlan 1 name VLAN-1
tagged ethernet 1
spanningtree 802.11w
router-interface ve1
exit
!
interface ve1
ip address 192.168.1.253/24
ip vrrp-extended vrid 1
backup priority 50
ip-address 192.168.1.254
enable
!
vlan 2 name VLAN-2
tagged ethernet 1
spanningtree 802.1w
router-interface ve 2
exit
!
interface ve2
ip address 172.20.1.253/24
ip vrrp-extended vrid 2
backup priority 50
ip-address 172.20.1.254
enable
!


Core 2
======
vlan 1 name VLAN-1
tagged ethernet 1
spanningtree 802.11w
router-interface ve1
exit
!
interface ve1
ip address 192.168.1.252/24
ip vrrp-extended vrid 1
backup
ip-address 192.168.1.254
enable
!
vlan 2 name VLAN-2
tagged ethernet 1
spanningtree 802.1w
router-interface ve 2
exit
!
interface ve2
ip address 172.20.1.252/24
ip vrrp-extended vrid 2
backup
ip-address 172.20.1.254
enable
!

Mitglied: Edi.Pfisterer
Edi.Pfisterer 24.02.2012 um 10:03:57 Uhr
Goto Top
Nein, das L3 Routing zwischen den VLANs machst du natürlich auf deinen beiden Core Switches und nirgendwo anders. Allein schon aus
Redundanzgründen ist das zwingen. Mit dem L3 Switch zum Internet hättest du einen single Point of Failure.

Wie (eigentlich immer) hast Du recht, ich bin allerdings davon ausgegangen, dass der Kollege die 3 L3 so eingezeichnet hat, weil sie baulich voneniander getrennt sind, und er nur 1 Uplink zwischen den 2 L3 zur Verfügung hat...

lg

[edith: upps, hab mir seine Grafik nicht genau genug angesehen.... er hat offensichtlich mehrere Uplinks zwischen den beiden L3...
damit hat sich mein erster Beitrag in Luft aufzulösen... ;-) face-wink ]
Mitglied: edvmaedchenfueralles
edvmaedchenfueralles 24.02.2012 um 10:16:24 Uhr
Goto Top
Danke euch für die aufschlussreichen Hinweise!
Da wurde jetzt wieder einiges Licht ins Dunkel gebracht!!!

Ein Frage zwecks Doku (Kennzeichnung) der VLANs hätte ich aber noch:
Wie Dokumentiert bzw. Kennzeichnet ihr die VLANs?
Ich habe einen Plan erstellt, wo genau eingezeichnet ist, welches Gerät an welchem Switch und welchem Port hängt. Hab da jetzt auch das VLAN (in anderer Farbe) eingezeichnet.

Aber wie mach ich das am besten beim Switch-Schrank?
- Verschieden-farbige Patchkabel pro VLAN (rot = VLAN 1; grün = VLAN 2; ...)?
- Patchkabel beschriften, zu welchem VLAN sie gehören?
Was mir noch eingefallen wäre:
- Ein Bild des Switch aufhängen und bei den Ports einzeichnen, zu welchem VLAN sie gehören?

Wenn ein Switch ausfällt und dieser schnell getauscht werden muss, dann muss ich so einfach wie möglich sehen, welches Kabel an welches Port muss!
Zwecks "Ausfallsicherheit", hab ich von jeder verwendeten Switch-Type ein Ersatzgerät vor Ort und von jedem Switch die Config gesichert. Im Falle eines Ausfalls, würde ich also einen entsprechenden Switch hernehmen, die Config drüberspielen und Austauschen.

Wie macht ihr das?

Lg
Mitglied: aqui
aqui 24.02.2012 um 11:13:08 Uhr
Goto Top
Du hast dir die "klassischen" Szenarien Szenarien schon ganz richtig selbst erschlossen.
Bei wenig VLANs wie bei dir macht es Sinn farbige Kabel zu verwenden und einen Portplan in den Patchschrank zu hängen wo die VLAN Ports entsprechend farbig gemacht sind. Dazu reichen auch einfache farbige 4Ecke in Portanzahl.
Sinnvollerweise verteilt man die VLAN Ports in zusammenhängenden Blöcken und verteilt sie nicht wild über alle Switchports, das erleichtert immer eine Groborientierung.
In der Regel ist es egal in welchen konkreten Port die Kabel kommen wenn denn nur die VLAN Zuordnungen stimmen. Ausnahmen sind dann nur wenn du mit PoE oder Port QoS arbeitest, dann macht es Sinn zusätzlich noch ein Beschriftungsfähnchen am Kabel anzubringen..
Dein Ausfallszenario ist soweit auch OK. Viele Switches supporten ein sog. Config Boot beim Einschalten wenn sie unkonfiguriert sind und booten dann eine für sie passende Konfig Datei per TFTP. Damit könntest du so ein Ausfallszenario dann völlig automatisieren, so das auch, salopp gesagt, der Wachmann einen Switch tauschen kann.
Das muss aber deine HW auch supporten sonst eben Cut and Paste mit der Konfig Datei.
Es gibt da viele Wege... Die obigen sind aber schon der richtige Weg und du solltest dir aussuchen was in dein Umfeld am besten passt.
Mitglied: edvmaedchenfueralles
edvmaedchenfueralles 27.02.2012 um 09:09:17 Uhr
Goto Top
Danke für die Infos!
Werde es mal mit farbigen Kabel und einen Portplan versuchen.
Danke auch für den Hinweis bzgl. Config Boot!
Mitglied: edvmaedchenfueralles
edvmaedchenfueralles 27.02.2012 um 23:59:11 Uhr
Goto Top
Hallo! Hab da doch noch eine Frage:
Zwecks Spanning Tree:
Wir haben ein MS-Cluster im Einsatz. Lt. Vorgabe von HP (oder MS) sollte in diesem Fall Spanning Tree deaktiviert werden.
Wenn ich aber einen Switch redundant anschließen möchte, sollte ich Spanning Tree doch aktivieren.
Was denn nu? Bin etwas verwirrt.

Danke im voraus!
Mitglied: edvmaedchenfueralles
edvmaedchenfueralles 28.02.2012 um 08:32:41 Uhr
Goto Top
Kann mir da bitte jemand helfen?

Lg
Heiß diskutierte Beiträge
question
Netzwerkperformance - Mikrotik - Wo ist mein Fehler? gelöst BirdyBVor 1 TagFrageNetzwerke39 Kommentare

Moin zusammen, ich stehe gerade etwas auf dem Schlauch und weiß nicht so recht was mein Fehler ist. Gegeben ist mein heimisches Netzwerk: Also eigentlich ...

info
Hunderttausende MikroTik-Router sind seit 2018 angreifbarkilltecVor 1 TagInformationMikroTik RouterOS24 Kommentare

Mehrere MikroTik Router angreifbar. Hier der Link zu Heise: Hunderttausende MikroTik-Router sind seit 2018 angreifbar Gruß ...

question
Neue Firmennetzwerkstruktur und ein glühender KopfDerWachnerVor 1 TagFrageNetzwerke28 Kommentare

Moin zusammen, nun hab ich jahrelang hier nur mitgelesen, nun stehe ich allerdings selbst vor nem Problem was mir seit Tagen Kopfschmerzen bereitet. Also wir ...

general
Neue Herausforderungen auf unserer englischen SeiteFrankVor 1 TagAllgemeinOff Topic14 Kommentare

Auf unserer englischen Seite gibt es neue Herausforderungen: Find who restarted DB server und Wanted: Network Node Manager 6.4 wer kann helfen? Generell findet ihr ...

question
Windows Server 2012 R2 frisst SSDs (cbs.log)drahtbrueckeVor 1 TagFrageWindows Server14 Kommentare

Hallo, ich habe vor etwa 2 Monaten eine nur etwa 3 Monate alte SSD gegen eine neue getauscht (Samsung OEM Datacenter SSD SM883) in einem ...

question
RDS CALs und normale CALs - Wie richtig lizensierentim.riepVor 1 TagFrageWindows Server20 Kommentare

Hallo liebe User, ich habe eine Frage zur richtigen Lizensierung: Wenn eine natürliche Person zum Beispiel drei Accounts auf einem Windows Server 2016 hat, braucht ...

question
2 Netzwerkkarten für 2 verschieden Netze auf einem Windows-ServerglasscolaVor 19 StundenFrageWindows Server6 Kommentare

Hallo zusammen, im Rahmen meiner Bachelorthesis baue ich ein Labor auf, das folgend aussieht. Ich habe einen Server und auf ihm laufen 2 VMs (1 ...

info
Phishingwelle Volksbanklcer00Vor 1 TagInformationSicherheit10 Kommentare

Hallo zusammen, bei uns häufen sich gerade Phishing-Emails mit Ziel Volks-Raiffeisen-Bank. Geködert wird zum Teil auch mit der Erwähnung der SecureGo Smartphone-App. Grüße lcer ...