May 31, 2022

2112

Brocade FWS 624G-POE Switch Trunk erstellen

Hallo allerseits.

Ich habe einen Brocade Switch und möchte einen Trunk erstellen.

Es scheint, als versteht Brocade unter Trunk einen LACP Link.

Ich habe leider das Manuel eben nicht zur Hand, da ich auf der Arbeit bin.

Ich könnte ein wenig Hilfe bei der Konfiguration gebrauchen.

Vielen Dank.

Please also mark the comments that contributed to the solution of the article

Content-Key: 2944756421

Url: https://administrator.de/contentid/2944756421

Printed on: April 19, 2024 at 22:04 o'clock

19 Comments

Latest comment

Es scheint, als versteht Brocade unter Trunk einen LACP Link.

Jein. Die Sprachsyntax ist da in dem Bereich generell etwas widersprüchlich.
Trunk ist in Cisco Sprech immer ein tagged Uplink, da Cisco seine LACP LAGs als EtherChannel bezeichnet.
Der Rest der Netzwerkwelt bezeichnet Trunks aber häufig als LACP LAGs und alles andere als Tagged Uplinks. Da die Cisco Nomenklatur weit verbreitet ist kommt es da generell sehr oft zu Missverständnissen.
Zurück zum eigentlichen Thema....

Bei Ruckus/Brocade definierst du das Tagging der Ports immer in der VLAN Definition.
Beispiel eines Switches mit L2 Firmware gebootet:
Du hast den Port 1/1/8 und die VLANs 10 und 20 die du dort taggen willst. VLAN 1 ist Default und gleichzeitig das Management VLAN und rennt UNtagged auf dem "Trunk".
!
vlan 1 name DEFAULT-VLAN by port
untagged ethe 1/1/8
spanning-tree
management-vlan
default-gateway 192.168.1.254
!
vlan 10 name VLAN-10 by port
tagged ethe 1/1/8
untagged ethe 1/1/1 to 1/1/4
spanning-tree
!
vlan 20 name VLAN-20 by port
tagged ethe 1/1/8
untagged ethe 1/1/5 to 1/1/7
spanning-tree
!
interface ethernet 1/1/8
port-name Tagged Uplink UDM Gurke
dual-mode 1 --> Achtung: Nur bei Foundry oder Broacde Firmware!!
trust dscp
!
interface ethernet 1/1/10
port-name Tagged Link WLAN AP
dual-mode 1
trust dscp

Mit weiteren VLANs verfährst du analog.

Zusatztip:
Achte darauf das Ruckus/Brocade im Default PVSTP (Per VLAN Spanning Tree) nutzt wie häufig im Profi Bereich (Cisco etc.).
PVSTP ist in gemischten Umgebungen mit Single Span Switches nicht kompatibel!
Ggf. musst du das vorher dann auf Single Span umstellen. Das STP Verfahren muss in einem gemischten Netz immer homogen sein!

Vielen Dank aqui.

Das mit dem Trunk(LACP) hab ich in meinem CCNA Kurs gelesen.

Trunk bei Cisco = tagged Link
Trunk bei anderen Herstellern = LACP

Das mit dem PVSTP werde ich berücksichtigen.

Danke vielmals..

Den Trunk Port habe nun konfiguriert.

Eins hätte ich noch:

Wie weise ich einem Port ein Vlan zu?

Wie weise ich einem Port ein Vlan zu?

Genau wie oben....
Du wählst mit vlan xyz das VLAN aus und trägst dort ein:

tagged eth /x/y/zwenn das VLAN am Port tagged sein soll
untagged eth /x/y/z wenn der Port untagged in das VLAN soll

Einfache Logik!

Wenn du mehrere Ports auf einmal setzen willst kannst du diese mit einem Kommando als multiple Interfaces zusammenfassen. Z.B.
untagged eth /1/1/1 -1/1/10, eth 1/1/20
Setzt die Ports 1 bis 10 und 20 untagged in das VLAN.

Eine Beispiel Bilderbuch Layer 2 Konfig sähe so aus:
!
spanning-tree single --> Achtung: Nur im Mischbetrieb mit Single Span Switches! Switch macht im Default PVRSTP (Per VLAN STP)!
!
!
vlan 1 name DEFAULT-VLAN by port
spanning-tree
management-vlan --> VLAN 1 ist hier Management VLAN
default-gateway 192.168.7.254 1
!
vlan 10 name Server by port
tagged ethe 1/1/8 ethe 1/2/1 to 1/2/2
untagged ethe 1/1/6 to 1/1/7
spanning-tree
!
spanning-tree single 802-1w --> Schaltet STP Protokoll auf RSTP
spanning-tree single 802-1w priority 12288 --> Priority NUR erhöhen wenn Switch STP Root Switch ist!
!
aaa authentication web-server default local --> Loklae Authentisierung für Web/SSH/Telnet
aaa authentication login default local
aaa authentication login privilege-mode --> Nur wenn bei Login gleich Priv Mode gewünscht ist
enable telnet authentication --> Nur wenn Telnet erwünscht
enable super-user-password geheim
enable aaa console --> Konsol Zugriff auch mit Passwort sichern
enable user password-masking
ip address 192.168.7.3 255.255.255.0
ip dns domain-list rznet.home.arpa
ip dns server-address 192.168.1.254
no ip dhcp-client enable
ip multicast active
ip multicast version 3
!
telnet access-group 23
telnet timeout 15
telnet server enable vlan 1
service local-user-protection
username admin password admin
!
snmp-server community public ro 23 --> SNMP Zugriff nur via ACL 23
snmp-server community private rw 23
snmp-server contact Sysadmin, Herr Ueba3ba, Tel:123
snmp-server location RZ
!
clock summer-time
clock timezone europe CET
!
ntp
server ntp0.fau.de
server ntps1-0.cs.tu-berlin.de
!
!
web-management enable vlan 1
banner motd #

Ruckus ICX7150-Rechenzentrum Switch
#
!
ssh access-group 23
!
!
interface ethernet 1/1/5
port-name VoIP Telefon
trust dscp --> Priorisiert Voice Traffic
!
interface ethernet 1/2/1
port-name Glasfaser Uplink Port
trust dscp
(gig-default neg-off) --> Löst Probleme bei Autoneg von 1G und 10G SFPs
!
ip access-list standard 23
sequence 10 permit 192.168.1.0 0.0.0.255 --> Management Zugriff ACL
!
!
end

Soweit verstanden.

Zu meinem Vorhaben.

Ich habe hier eine Unifi UDM Pro auf der das Vlan 100 für Protect und das Vlan 200 für Gast-Wlan angelegt sind.

Den Port 3 an der UDM Pro habe ich als Uplink für Vlan 100 und 200 definiert.

Jetzt möchte ich 2 Cams und 2 APs am Brocade anbinden und über einen Uplink an die UDM Pro schicken.

Wie du in deinem letzten Beitrag schriebst, habe ich genau so umgesetzt.

Bis jetzt funktioniert es noch nicht.

Hier die Config:

SW-FWS624GPOE Switch(config-vlan-200)#sh run
Current configuration:
!
ver 07.4.00bT7e1
!
module 1 fws1g-24-port-copper-base-module
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
!
vlan 100 name Protect by port
!
vlan 200 name Gast by port
 tagged ethe 0/1/3 ethe 0/1/5
!
!
!
!
!
!
ip address 192.168.168.168 255.255.255.0 dynamic
ip dns server-address 192.168.168.1
ip dhcp-client lease 40893
ip default-gateway 192.168.168.1
interface ethernet 0/1/1
 inline power priority 1
!
interface ethernet 0/1/2
 inline power priority 1
!
interface ethernet 0/1/3
 inline power priority 1
!
interface ethernet 0/1/4
 inline power priority 1
!
interface ethernet 0/1/5
 inline power priority 1
!
interface ethernet 0/1/6
 inline power priority 1
!
interface ethernet 0/1/7
 inline power priority 1
!
interface ethernet 0/1/8
 inline power priority 1
!
interface ethernet 0/1/9
 inline power priority 1
!
interface ethernet 0/1/10
 inline power priority 1
!
interface ethernet 0/1/11
 inline power priority 1
!
interface ethernet 0/1/12
 inline power priority 1
!
interface ethernet 0/1/13
 inline power priority 1
!
interface ethernet 0/1/14
 inline power priority 1
!
interface ethernet 0/1/15
 inline power priority 1
!
interface ethernet 0/1/16
 inline power priority 1
!
interface ethernet 0/1/17
 inline power priority 1
!
interface ethernet 0/1/18
 inline power priority 1
!
interface ethernet 0/1/19
 inline power priority 1
!
interface ethernet 0/1/20
 inline power priority 1
!
interface ethernet 0/1/21
 inline power priority 1
!
interface ethernet 0/1/22
 inline power priority 1
!
interface ethernet 0/1/23
 inline power priority 1
!
interface ethernet 0/1/24
 inline power priority 1
!
!
!
!
!
!
!
end

SW-FWS624GPOE Switch(config-vlan-200)#

Ich habe hier eine Unifi UDM Pro

Igitt, der arme ICX...

Jetzt möchte ich 2 Cams und 2 APs am Brocade anbinden und über einen Uplink an die UDM Pro schicken.

Die 2 APs (Beispielports hier 10 und 11) arbeiten die mit MSSIDs, strahlen also beide VLANs 100 und 200 über zwei MSSID aus ?
Kameras wenn mit Kupfer (Beispielports hier 1 und 2) sind ja immer UNtagged also untagged Ports am Switch. Kameras vermutlich im VLAN 100, richtig?
"Trunk" Port auf die UBQT Gurke dann 0/1/5

Wenn ja sähe es korrekt so aus:

vlan 1 name DEFAULT-VLAN by port
!
vlan 100 name Protect by port
untagged ethe 0/1/1 to ethe 0/1/2
tagged ethe 0/1/5, ethe 0/1/10 to 0/1/11
!
vlan 200 name Gast by port
 tagged ethe 0/1/5, ethe 0/1/10 to 0/1/11
!
interface ethernet 0/1/1
port-name Kamera-1 Port
 inline power
!
interface ethernet 0/1/2
port-name Kamera-2 Port
 inline power
!
interface ethernet 0/1/5
port-name Tagged Uplink UBQT-Gurke
(dual-mode 1)
!
interface ethernet 0/1/10
port-name AP-1 Port
(dual-mode 1)
 inline power
!
interface ethernet 0/1/11
port-name AP-2 Port
(dual-mode 1)
 inline power
! 

(Kommando in Klammern NUR bei Foundry / Brocade Firmware!!)
Fertisch...
Eigentlich doch ganz logisch und die VLAN Port Konfig ist auch für Laien selbsterklärend... 😉

In VLAN 100 liegen die (Kupfer) Kameraports 1 und 2 UNtagged und der UBQT Port sowie die AP Ports 10 und 11 tagged (MSSID)
In VLAN 200 liegen die AP ports 10 und 11 auch wieder tagged (MSSID) und der UBQT Port tagged

Alles andere, kosmetische der Switchkonfig oben im blauen Text.

Tips zu deiner Konfig:

Fatalerweise liegt dein Management Interface erreichbar in @@++allen@@ VLANs! Gäste können also auf den Switch zugreifen! Hier solltest du bei offenen Gastsegmenten immer zwingend mit dem "management-vlan" Kommando und der Access ACL (Beispiel oben 23) arbeiten
Switches sollten keine dynamischen DHCP Adressen bekommen. Oder wenn, dann ausschliesslich nur über eine Mac Adress Reservierung quasi als feste IP im DHCP Server. Damit erübrigt sich dann auch deine überflüssige Lease Erhöhung oben.

Danke aqui. Das ganze steh zurzeit noch hier in der Firma zum testen. Des Switch hat nur aus Faulheit DHCP bekommen.

Die Aps machen MSSID, ja. Gast SSID Vlan 200, Firma SSID Nativ Vlan 1
Alle Cams sind im Vlan 100 angesiedelt.

Die APs strahlen nur Vlan 100(gast) und Nativ(Vlan1) aus.

Geht schöner, aber ich teste noch.

Geht schöner, aber ich teste noch.

Uuuhh ja ! Das VLAN 1 wo die Management IPs anliegen auszustrahlen ist ein absolutes NoGo in einem Firmennetz. Da gehört aus gutem Grund kein WLAN rein.

Na ja beim Testen auf dem Tisch ists noch erlaubt... 😉

Ich bekomme es nicht zum laufen.

Hab eben nur einen AP am Brocade an ethe 0/1/1
Die UDM ist am Port ethe 0/1/5

Am UDM Port 1 sind alle Vlans erlaubt. Erst mal.

Mit der Config, kommt der AP und ich ins Wlan (Firma ,Native Vlan ), ins Wlan (Gast ,Vlan 200) nicht.

Current configuration:
!
ver 07.4.00bT7e1
!
module 1 fws1g-24-port-copper-base-module
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
!
vlan 100 name Protect by port
!
vlan 200 name Gast by port
 untagged ethe 0/1/1 ethe 0/1/5
!
!
!
!
!
!
ip address 192.168.168.168 255.255.255.0 dynamic
ip dns server-address 192.168.168.1
--More--, next page: Space, next line: Return key, quit: Control-c^C
SW-FWS624GPOE Switch(config-vlan-200)#

Mit deiser Config, geht nix mehr

SW-FWS624GPOE Switch(config-vlan-200)#sh run
Current configuration:
!
ver 07.4.00bT7e1
!
module 1 fws1g-24-port-copper-base-module
!
!
!
!
vlan 1 name DEFAULT-VLAN by port
!
vlan 100 name Protect by port
!
vlan 200 name Gast by port
 tagged ethe 0/1/1 ethe 0/1/5
!
!
!
!
!
!
ip address 192.168.168.168 255.255.255.0 dynamic
ip dns server-address 192.168.168.1
--More--, next page: Space, next line: Return key, quit: Control-c^C
SW-FWS624GPOE Switch(config-vlan-200)#

Bin ich zu blöd!?

Ich verstehe es nicht.

Da der AP an der UDM im 192.168.1.0/24 Netz ist und Gast im 172.16.200.0/24 Netz,
muss doch der AP im Nativ vlan durchgereicht werden und das vlan 200 tagged.

Oder etwa nicht?

muss doch der AP im Nativ vlan durchgereicht werden und das vlan 200 tagged.

Das ist absolut richtig und du hast keine Schuld an der Fehlfunktion. Ich habe dir bei der o.a. Konfig versehentlich eine böse Fussfalle unterschlagen. Das war aber nicht Absicht sondern schlicht der Tatsache geschuldet das ich in aktueller Ruckus Firmware gedacht hatte, du aber mit dem FWS noch eine Brocade Firmware hast.

Der böse Haken ist das Native VLAN Handling bei Brocade Uplinks.
Sowie diese Ports getagged werden wird das Native VLAN nicht mehr übertragen! Dein VLAN 1 Traffic kommt deshalb gar nicht mehr an deinen tagged Ports an. Der 802.1q Standard erlaubt sowas.
In der Ruckus Firmware ist das später verändert worden und das Native VLAN per Default untagged dran wie im Rest der Welt.
Siehe dazu auch:
https://www.youtube.com/watch?v=SAIZaiq1fvY
https://www.youtube.com/watch?v=vTeu_ry6kNE (ab 3:50)

Die Lösung ist aber kinderleicht... (wenn man es denn weiss 😉)
Gehe auf das "Trunk" Interface der UDM und der APs, sprich da wo deine VLANs tagged sind und gibt dort ein:
dual-mode 1
Dieses Interface spezifische Kommando bewirkt dann das an den Trunkports das Default VLAN 1 untagged mitübertragen wird.

Generell legt es fest welches das Native VLAN an diesen tagged Ports ist. "dual-mode 10" z.B legt das Native VLAN z.B. dann auf 10.
Sorry nochmal für den Fauxpas und ist oben jetzt korrigiert!

Das habe ich gesucht, danke, mal wieder..!!

Bei Cisco CLI einfach: switchport trunk native vlan 1

Jau, das sind die miesen kleinen Feinheiten die dem Admin manchmal das Leben schwermachen... 😉

Super! Eben getestet. Funktioniert wie es soll. Danke

👍 Immer gerne !

aqui, ich muss noch mal nerven.

Ich möchte ein SFP Modul von FS im Brocade betreiben.

Der Brocade hat ja 4 SFP Ports, ersetzen ja baer auch 4 RJ45 Port wenn die SFP Ports verwendet werden.

Hab ein Modul drin, nur... wie aktiviere ich es??

Erledigt!!

aqui, ich muss noch mal nerven.

Kein Problem, dafür ist ein Forum ja da !

Ich möchte ein SFP Modul von FS im Brocade betreiben.

Klappt fehlerlos! Die Brocades und auch Ruckus Switches machen generell kein Vendor Checking bei den SFPs. Du kannst also alles an SFPs egal ob von FS, Cisco, HP, Delock oder MischiMuschi dort verwenden.

Hab ein Modul drin, nur... wie aktiviere ich es??

Wenn der Port vorher auf "disable" stand dann mit enable...ganz einfach.

German solved Question Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment