10
Aruba 5406r Layer 3 Switch - VLan Routing
Hallo Zusammen!
Zwischen den Tagen habe ich ein wenig Zeit um mich im Labor mit dem Aruba 5406r Layer 3 Switch auseinander zu setzen.
Gelesen habe ich bisher diesen Post: HP Procurve 5406 VLANs verbinden?
Szenario:
Ein Switch, auf dem derzeit 2 unterschiedliche Subnetze wild drauf gesteckt sind, sollen auf den neuen 5406r. Das derzeitige Routing übernimmt die Firewall. Diese soll demnächst in einem eigenen VLan stehen und nur den Zugang ins Netz realisieren.
192.168.1.0/24 Verwaltung
192.168.5.0/24 Produktion
Im Rahmen des Umzugs möchte ich ein bisschen weiter segmentieren und vLans einführen:
10.0.10.0/24 VLAN 10 Verwaltung
10.0.20.0/24 VLAN 20 Produktion
10.0.30.0/24 VLAN 30 Technik
10.0.40.0/24 VLAN 40 Drucker
etc..
Meine Fragen:
Kann ich im ersten Schritt einfach den Switch austauschen und ein "virtuelles" Routing im Default VLAN 1 machen lassen, sodass ich eine kurze downtime habe?
Im 2ten Schritt würde ich dann jeden einzelnen Rechner identifizieren, IP ändern und jeden einzelnen Port entsprechend einem vLan zuweisen.
Jedes VLan würde dann analog die Adresse 10.0.XX.1 bekommen, welche bei den Clients auch Gateway ist.
In jedem VLan muss ich dann Routen zu den anderen VLans setzen oder mache ich das auf "globaler" Ebene auf dem Switch, oder macht der Switch das sogar alleine?
In der bereits bestehenden "Struktur" gibt es 2 weitere Switche, die einfach in Reihe geschaltet wurden. Auch hier existieren die o.g. 2 Adresskreise.
Ich gehe davon aus, dass ich auf den beiden Switchen ebenfalls dieselbe VLan Struktur einrichten muss. Auf dem Uplink zwischen den beiden Switchen muss ich entsprechenden die VLans Taggen.
Da für mich das Thema Routing in V-Lans neu ist, freue ich mich auf Anregungen Eurerseits!
Grüße
M.
Zwischen den Tagen habe ich ein wenig Zeit um mich im Labor mit dem Aruba 5406r Layer 3 Switch auseinander zu setzen.
Gelesen habe ich bisher diesen Post: HP Procurve 5406 VLANs verbinden?
Szenario:
Ein Switch, auf dem derzeit 2 unterschiedliche Subnetze wild drauf gesteckt sind, sollen auf den neuen 5406r. Das derzeitige Routing übernimmt die Firewall. Diese soll demnächst in einem eigenen VLan stehen und nur den Zugang ins Netz realisieren.
192.168.1.0/24 Verwaltung
192.168.5.0/24 Produktion
Im Rahmen des Umzugs möchte ich ein bisschen weiter segmentieren und vLans einführen:
10.0.10.0/24 VLAN 10 Verwaltung
10.0.20.0/24 VLAN 20 Produktion
10.0.30.0/24 VLAN 30 Technik
10.0.40.0/24 VLAN 40 Drucker
etc..
Meine Fragen:
Kann ich im ersten Schritt einfach den Switch austauschen und ein "virtuelles" Routing im Default VLAN 1 machen lassen, sodass ich eine kurze downtime habe?
Im 2ten Schritt würde ich dann jeden einzelnen Rechner identifizieren, IP ändern und jeden einzelnen Port entsprechend einem vLan zuweisen.
Jedes VLan würde dann analog die Adresse 10.0.XX.1 bekommen, welche bei den Clients auch Gateway ist.
In jedem VLan muss ich dann Routen zu den anderen VLans setzen oder mache ich das auf "globaler" Ebene auf dem Switch, oder macht der Switch das sogar alleine?
In der bereits bestehenden "Struktur" gibt es 2 weitere Switche, die einfach in Reihe geschaltet wurden. Auch hier existieren die o.g. 2 Adresskreise.
Ich gehe davon aus, dass ich auf den beiden Switchen ebenfalls dieselbe VLan Struktur einrichten muss. Auf dem Uplink zwischen den beiden Switchen muss ich entsprechenden die VLans Taggen.
Da für mich das Thema Routing in V-Lans neu ist, freue ich mich auf Anregungen Eurerseits!
Grüße
M.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 359272
Url: https://administrator.de/contentid/359272
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
Szenario:
Das derzeitige Routing übernimmt die Firewall. Diese soll demnächst in einem eigenen VLan stehen und nur den Zugang ins Netz realisieren.
Firewall hat bisher auch DHCP gemacht?Das derzeitige Routing übernimmt die Firewall. Diese soll demnächst in einem eigenen VLan stehen und nur den Zugang ins Netz realisieren.
Im Rahmen des Umzugs möchte ich ein bisschen weiter segmentieren und vLans einführen:
10.0.10.0/24 VLAN 10 Verwaltung
10.0.20.0/24 VLAN 20 Produktion
10.0.30.0/24 VLAN 30 Technik
10.0.40.0/24 VLAN 40 Drucker
etc..
Meine Fragen:
Kann ich im ersten Schritt einfach den Switch austauschen und ein "virtuelles" Routing im Default VLAN 1 machen lassen, sodass ich eine kurze > downtime habe?
Übergangsdowntime würde ich nicht machen, einmal ran und richtig, sonst wird daraus das bekannte Provisorium der Ewigkeit.10.0.10.0/24 VLAN 10 Verwaltung
10.0.20.0/24 VLAN 20 Produktion
10.0.30.0/24 VLAN 30 Technik
10.0.40.0/24 VLAN 40 Drucker
etc..
Meine Fragen:
Kann ich im ersten Schritt einfach den Switch austauschen und ein "virtuelles" Routing im Default VLAN 1 machen lassen, sodass ich eine kurze > downtime habe?
Jedes VLan würde dann analog die Adresse 10.0.XX.1 bekommen, welche bei den Clients auch Gateway ist.
Jup, siehe aber oben, wer macht DHCP? Auf dem musst du diese Scopes ja anlegen.In jedem VLan muss ich dann Routen zu den anderen VLans setzen oder mache ich das auf "globaler" Ebene auf dem Switch, oder macht der > Switch das sogar alleine?
Macht der Switch alleine, wenn du mit >ip routing enable< das Routing aktivierst.Ich gehe davon aus, dass ich auf den beiden Switchen ebenfalls dieselbe VLan Struktur einrichten muss. Auf dem Uplink zwischen den beiden > Switchen muss ich entsprechenden die VLans Taggen.
Schon. Kennen die Switche die VLAN-IDs nicht, können die damit nichts anfangen.
Zitat von @chgorges:
Hi,
Hi,
Szenario:
Das derzeitige Routing übernimmt die Firewall. Diese soll demnächst in einem eigenen VLan stehen und nur den Zugang ins Netz realisieren.
Firewall hat bisher auch DHCP gemacht?Das derzeitige Routing übernimmt die Firewall. Diese soll demnächst in einem eigenen VLan stehen und nur den Zugang ins Netz realisieren.
DHCP gibt es derzeit nicht im Netz und ist auch nicht gewünscht
Im Rahmen des Umzugs möchte ich ein bisschen weiter segmentieren und vLans einführen:
10.0.10.0/24 VLAN 10 Verwaltung
10.0.20.0/24 VLAN 20 Produktion
10.0.30.0/24 VLAN 30 Technik
10.0.40.0/24 VLAN 40 Drucker
etc..
Meine Fragen:
Kann ich im ersten Schritt einfach den Switch austauschen und ein "virtuelles" Routing im Default VLAN 1 machen lassen, sodass ich eine kurze > downtime habe?
10.0.10.0/24 VLAN 10 Verwaltung
10.0.20.0/24 VLAN 20 Produktion
10.0.30.0/24 VLAN 30 Technik
10.0.40.0/24 VLAN 40 Drucker
etc..
Meine Fragen:
Kann ich im ersten Schritt einfach den Switch austauschen und ein "virtuelles" Routing im Default VLAN 1 machen lassen, sodass ich eine kurze > downtime habe?
Übergangsdowntime würde ich nicht machen, einmal ran und richtig, sonst wird daraus das bekannte Provisorium der Ewigkeit.
Das leuchtet mir ein. Da ich aber einen gewissen Aufwand habe jeden einzelnen Rechner Kabelmäßig zu verfolgen und entsprechend in den neuen IP Kreis zu verschieben wäre dies ganz nett.Die Frage, die sich mir hier stellt ist, kann ich das vorhandene Konstrukt irgendwie in ein VLAN (Default) werfen und trotzdem das Routing (ohne Firewall) aufrecht erhalten bis alle umgezogen sind?
Jedes VLan würde dann analog die Adresse 10.0.XX.1 bekommen, welche bei den Clients auch Gateway ist.
Jup, siehe aber oben, wer macht DHCP? Auf dem musst du diese Scopes ja anlegen.Ok - DHCP gibt es derzeit nicht. Alles statisch.
In jedem VLan muss ich dann Routen zu den anderen VLans setzen oder mache ich das auf "globaler" Ebene auf dem Switch, oder macht der > Switch das sogar alleine?
Macht der Switch alleine, wenn du mit >ip routing enable< das Routing aktivierst.
Check!
Ich gehe davon aus, dass ich auf den beiden Switchen ebenfalls dieselbe VLan Struktur einrichten muss. Auf dem Uplink zwischen den beiden > Switchen muss ich entsprechenden die VLans Taggen.
Schon. Kennen die Switche die VLAN-IDs nicht, können die damit nichts anfangen.
Check!Folgendes habe ich nun eingerichtet:
192.168.2.0 VLAN 5 Internet
10.0.20.0 VLAN 20 Produktion
10.0.30.0 VLAN 30 Technik
Entsprechende Portzuweisung gemacht. die xx.1 ist jeweils die IP des Switches.
Bei VLAN 5 ist die IP 192.168.2.200. Diese kann ich auch sauber Pingen.
Am Ende des Kabels ist eine Fritzbox die ich hier zum testen habe mit der IP 192.168.2.1.
Die kann ich nicht pingen.
Ebenfalls habe ich eine Route gesetzt: ip route 0.0.0.0/0 192.168.2.1
Ins Netz komme ich so ebenfalls nicht. Habe ich hier noch einen Denkfehler?
Oder muss ich die Fritzbox ebenfalls erst VLAN fähig machen?
Gruß
M.
DHCP gibt es derzeit nicht im Netz und ist auch nicht gewünscht
Hm, mein Beileid, ist ziemlich Oldschool :/Ins Netz komme ich so ebenfalls nicht. Habe ich hier noch einen Denkfehler?
Oder muss ich die Fritzbox ebenfalls erst VLAN fähig machen?
Oder muss ich die Fritzbox ebenfalls erst VLAN fähig machen?
Fritzboxen können keine VLANs. Der Fritte fehlen die statischen (Rück-)Routen in deine Subnetze, bzw. die Fritzbox hat momentan noch keinen Wegweiser in deine Subnetze. Deshalb kommt der Ping nicht zurück, da die Fritte nicht weiß, wohin damit:
- 10.0.20.0 255.255.255.0 192.168.2.200
- 10.0.30.0 255.255.255.0 192.168.2.200
Und denke dran, auf den Clients weiterhin die 192.168.2.1 als DNS-Server einzutragen.
Zitat von @chgorges:
DHCP gibt es derzeit nicht im Netz und ist auch nicht gewünscht
Hm, mein Beileid, ist ziemlich Oldschool :/Danke - muss da doch dringend einige Leute überzeugen.
Ins Netz komme ich so ebenfalls nicht. Habe ich hier noch einen Denkfehler?
Oder muss ich die Fritzbox ebenfalls erst VLAN fähig machen?
Oder muss ich die Fritzbox ebenfalls erst VLAN fähig machen?
Fritzboxen können keine VLANs. Der Fritte fehlen die statischen (Rück-)Routen in deine Subnetze, bzw. die Fritzbox hat momentan noch keinen Wegweiser in deine Subnetze. Deshalb kommt der Ping nicht zurück, da die Fritte nicht weiß, wohin damit:
- 10.0.20.0 255.255.255.0 192.168.2.200
- 10.0.30.0 255.255.255.0 192.168.2.200
Und denke dran, auf den Clients weiterhin die 192.168.2.1 als DNS-Server einzutragen.
Check - Ist derzeit ja nur die Testumgebung. GGF. nutze ich auch direkt unsere Firewall. Die ist VLAN Fähig.
Vielen Dank erstmal!
In jedem VLan muss ich dann Routen zu den anderen VLans setzen oder mache ich das auf "globaler" Ebene auf dem Switch
Nein !Das ist immer wiederkehrender Quatsch hier beim Thema Routing.
Der Switch hat ja in jedem VLAN eine entsprechende IP Adresse 10.0.10.254, 10.0.20.254 usw. )oder die .1 wie bei dir) somit sind die VLANs direkt an ihm angeschlossen und der Switch KENNT also alle VLANs so das statische Routen logischerweise überflüssiger Unsinn sind.
Das einzige was der Switch benotigt ist eine statische Default Route auf das Transfer VLAN zur Firewall. Bzw. die Firewall statische Routen auf die Switch VLANs oder besser eine Summary Route.
Siehe dazu auch hier:
Verständnissproblem Routing mit SG300-28
Immer wieder die gleiche Leier....
Ansonsten ist deine Vorgehensweise aber genau richtig und eine Segmentierung immer sinnvoll.
Ich gehe davon aus, dass ich auf den beiden Switchen ebenfalls dieselbe VLan Struktur einrichten muss.
Genau richtig...auf den Uplinks deine VLANs taggen (außer 1 das ist immer untagged) und gut iss.Da für mich das Thema Routing in V-Lans neu ist,
Guckst du auch hier:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wobei du bei letzterem natürlich dir den externen Router wegdenken kannst wenn du einen L3 Switch hast. Auch wenns ein gruseliger HP ist.
Hallo Zusammen!
Eine kurze Rückmeldung:
Das Routing klappt wie gewünscht.
Die Vlans sehen sich untereinander und der Zugriff auf 0.0.0.0/0 funktioniert ebenfalls. Die Rückrouten von der Fritte waren hier des Fehlers Lösung!
DHCP funktioniert auch in jedem VLan. Server ist der Aruba 5406 selbst.
Ebenfalls konnte ich unsere bereits bestehenden Netze zusammen in einem VLan packen. Das ermöglicht mir, relativ schnell den Switch ins aktuelle Netz zu integrieren. Binnen 2 Wochen werde ich dann alle Clients entsprechend in ein VLan integrieren.
Nächster Schritt sind dann die ACLs für mich, wobei ich mich frage, ob ich z.B. den Zugriff auf's Internet für das Drucker VLan nicht in der Firewall anhand der VLAN ID konfiguriere?
Denke aber, das wird ein neuer Thread!
Vielen Dank!
Eine kurze Rückmeldung:
Das Routing klappt wie gewünscht.
Die Vlans sehen sich untereinander und der Zugriff auf 0.0.0.0/0 funktioniert ebenfalls. Die Rückrouten von der Fritte waren hier des Fehlers Lösung!
DHCP funktioniert auch in jedem VLan. Server ist der Aruba 5406 selbst.
Ebenfalls konnte ich unsere bereits bestehenden Netze zusammen in einem VLan packen. Das ermöglicht mir, relativ schnell den Switch ins aktuelle Netz zu integrieren. Binnen 2 Wochen werde ich dann alle Clients entsprechend in ein VLan integrieren.
Nächster Schritt sind dann die ACLs für mich, wobei ich mich frage, ob ich z.B. den Zugriff auf's Internet für das Drucker VLan nicht in der Firewall anhand der VLAN ID konfiguriere?
Denke aber, das wird ein neuer Thread!
Vielen Dank!
Die Rückrouten von der Fritte waren hier des Fehlers Lösung!
Wie so häufig hier... 
Gut wenns nun rennt wie es soll...
Aber wieso der Plural bei den Routen in der Fritte ??? Eine Einzige hätte vollends genügt !
Zielnetz: 10.0.0.0 Maske: 255.255.192.0, Gateway: <IP_Aruba_Gurke>
Die routet dir alle IP Netze bis 10.0.63.254 auf die Aruba Gurke.
Zitat von @aqui:
Gut wenns nun rennt wie es soll...
Aber wieso der Plural bei den Routen in der Fritte ??? Eine Einzige hätte vollends genügt ! Zielnetz: 10.0.0.0 Maske: 255.255.192.0, Gateway: <IP_Aruba_Gurke>
Die Rückrouten von der Fritte waren hier des Fehlers Lösung!
Wie so häufig hier... Gut wenns nun rennt wie es soll...
Aber wieso der Plural bei den Routen in der Fritte ??? Eine Einzige hätte vollends genügt ! Zielnetz: 10.0.0.0 Maske: 255.255.192.0, Gateway: <IP_Aruba_Gurke>
Es gibt ja noch die o.g. alten IP Kreise ;)
Die routet dir alle IP Netze bis 10.0.63.254 auf die Aruba Gurke.
Bin aber froh, dass ich es auch mit der Aruba Gurke so umsetzen konnte...
Zitat von @mb1811:
Das Routing klappt wie gewünscht.
Die Vlans sehen sich untereinander und der Zugriff auf 0.0.0.0/0 funktioniert ebenfalls. Die Rückrouten von der Fritte waren hier des Fehlers > Lösung!
Das Routing klappt wie gewünscht.
Die Vlans sehen sich untereinander und der Zugriff auf 0.0.0.0/0 funktioniert ebenfalls. Die Rückrouten von der Fritte waren hier des Fehlers > Lösung!
Tip top
Nächster Schritt sind dann die ACLs für mich, wobei ich mich frage, ob ich z.B. den Zugriff auf's Internet für das Drucker VLan nicht in der > Firewall anhand der VLAN ID konfiguriere?
Unbedingt. Es gibt mittlerweile viele Gründe, wieso man Drucker nicht ins Internet raus lassen sollte.Es gibt ja noch die o.g. alten IP Kreise ;)
Nein, das ist völliger Unsinn ! Die gibt es sei 1993 nicht mehr wie mittlerweile jederman weiss !https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Außerdem Kreise gibt auch nicht bei IP...aber egal.
Mit einer etwas pfiffigen Maske spart man eben Tipparbeit bei vielen IP Segmenten
