Brocade FWS 624G-POE Switch Trunk erstellen

ueba3ba
Goto Top
Hallo allerseits.

Ich habe einen Brocade Switch und möchte einen Trunk erstellen.

Es scheint, als versteht Brocade unter Trunk einen LACP Link.

Ich habe leider das Manuel eben nicht zur Hand, da ich auf der Arbeit bin.

Ich könnte ein wenig Hilfe bei der Konfiguration gebrauchen.



Vielen Dank.

Content-Key: 2944756421

Url: https://administrator.de/contentid/2944756421

Ausgedruckt am: 09.08.2022 um 22:08 Uhr

Mitglied: aqui
aqui 31.05.2022, aktualisiert am 02.06.2022 um 11:46:28 Uhr
Goto Top
Es scheint, als versteht Brocade unter Trunk einen LACP Link.
Jein. Die Sprachsyntax ist da in dem Bereich generell etwas widersprüchlich.
Trunk ist in Cisco Sprech immer ein tagged Uplink, da Cisco seine LACP LAGs als EtherChannel bezeichnet.
Der Rest der Netzwerkwelt bezeichnet Trunks aber häufig als LACP LAGs und alles andere als Tagged Uplinks. Da die Cisco Nomenklatur weit verbreitet ist kommt es da generell sehr oft zu Missverständnissen.
Zurück zum eigentlichen Thema....

Bei Ruckus/Brocade definierst du das Tagging der Ports immer in der VLAN Definition.
Beispiel eines Switches mit L2 Firmware gebootet:
Du hast den Port 1/1/8 und die VLANs 10 und 20 die du dort taggen willst. VLAN 1 ist Default und gleichzeitig das Management VLAN und rennt UNtagged auf dem "Trunk".
!
vlan 1 name DEFAULT-VLAN by port
untagged ethe 1/1/8
spanning-tree
management-vlan
default-gateway 192.168.1.254
!
vlan 10 name VLAN-10 by port
tagged ethe 1/1/8
untagged ethe 1/1/1 to 1/1/4
spanning-tree
!
vlan 20 name VLAN-20 by port
tagged ethe 1/1/8
untagged ethe 1/1/5 to 1/1/7
spanning-tree
!
interface ethernet 1/1/8
port-name Tagged Uplink UDM Gurke
dual-mode 1
--> Achtung: Nur bei Foundry oder Broacde Firmware!!
trust dscp
!
interface ethernet 1/1/10
port-name Tagged Link WLAN AP
dual-mode 1
trust dscp

Mit weiteren VLANs verfährst du analog.

Zusatztip:
Achte darauf das Ruckus/Brocade im Default PVSTP (Per VLAN Spanning Tree) nutzt wie häufig im Profi Bereich (Cisco etc.).
PVSTP ist in gemischten Umgebungen mit Single Span Switches nicht kompatibel!
Ggf. musst du das vorher dann auf Single Span umstellen. Das STP Verfahren muss in einem gemischten Netz immer homogen sein!
Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 14:26:38 Uhr
Goto Top
Vielen Dank aqui.

Das mit dem Trunk(LACP) hab ich in meinem CCNA Kurs gelesen.

Trunk bei Cisco = tagged Link
Trunk bei anderen Herstellern = LACP

Das mit dem PVSTP werde ich berücksichtigen.

Danke vielmals..
Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 14:42:39 Uhr
Goto Top
Den Trunk Port habe nun konfiguriert.

Eins hätte ich noch:

Wie weise ich einem Port ein Vlan zu?
Mitglied: aqui
aqui 31.05.2022, aktualisiert am 02.06.2022 um 11:38:42 Uhr
Goto Top
Wie weise ich einem Port ein Vlan zu?
Genau wie oben....
Du wählst mit vlan xyz das VLAN aus und trägst dort ein:
  • tagged eth /x/y/z wenn das VLAN am Port tagged sein soll
  • untagged eth /x/y/z wenn der Port untagged in das VLAN soll
Einfache Logik! face-wink

Wenn du mehrere Ports auf einmal setzen willst kannst du diese mit einem Kommando als multiple Interfaces zusammenfassen. Z.B.
untagged eth /1/1/1 -1/1/10, eth 1/1/20
Setzt die Ports 1 bis 10 und 20 untagged in das VLAN.

Eine Beispiel Bilderbuch Layer 2 Konfig sähe so aus:
!
spanning-tree single
--> Achtung: Nur im Mischbetrieb mit Single Span Switches! Switch macht im Default PVRSTP (Per VLAN STP)!
!
!
vlan 1 name DEFAULT-VLAN by port
spanning-tree
management-vlan
--> VLAN 1 ist hier Management VLAN
default-gateway 192.168.7.254 1
!
vlan 10 name Server by port
tagged ethe 1/1/8 ethe 1/2/1 to 1/2/2
untagged ethe 1/1/6 to 1/1/7
spanning-tree
!
spanning-tree single 802-1w
--> Schaltet STP Protokoll auf RSTP
spanning-tree single 802-1w priority 12288
--> Priority NUR erhöhen wenn Switch STP Root Switch ist!
!
aaa authentication web-server default local
--> Loklae Authentisierung für Web/SSH/Telnet
aaa authentication login default local
aaa authentication login privilege-mode
--> Nur wenn bei Login gleich Priv Mode gewünscht ist
enable telnet authentication
--> Nur wenn Telnet erwünscht
enable super-user-password geheim
enable aaa console
--> Konsol Zugriff auch mit Passwort sichern
enable user password-masking
ip address 192.168.7.3 255.255.255.0
ip dns domain-list rznet.home.arpa
ip dns server-address 192.168.1.254
no ip dhcp-client enable
ip multicast active
ip multicast version 3
!
telnet access-group 23
telnet timeout 15
telnet server enable vlan 1
service local-user-protection
username admin password admin
!
snmp-server community public ro 23
--> SNMP Zugriff nur via ACL 23
snmp-server community private rw 23
snmp-server contact Sysadmin, Herr Ueba3ba, Tel:123
snmp-server location RZ
!
clock summer-time
clock timezone europe CET
!
ntp
server ntp0.fau.de
server ntps1-0.cs.tu-berlin.de
!
!
web-management enable vlan 1
banner motd #

Ruckus ICX7150-Rechenzentrum Switch
!
ssh access-group 23
!
!
interface ethernet 1/1/5
port-name VoIP Telefon
trust dscp
--> Priorisiert Voice Traffic
!
interface ethernet 1/2/1
port-name Glasfaser Uplink Port
trust dscp
(gig-default neg-off)
--> Löst Probleme bei Autoneg von 1G und 10G SFPs
!
ip access-list standard 23
sequence 10 permit 192.168.1.0 0.0.0.255
--> Management Zugriff ACL
!
!
end

Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 14:57:06 Uhr
Goto Top
Soweit verstanden.

Zu meinem Vorhaben.

Ich habe hier eine Unifi UDM Pro auf der das Vlan 100 für Protect und das Vlan 200 für Gast-Wlan angelegt sind.

Den Port 3 an der UDM Pro habe ich als Uplink für Vlan 100 und 200 definiert.

Jetzt möchte ich 2 Cams und 2 APs am Brocade anbinden und über einen Uplink an die UDM Pro schicken.

Wie du in deinem letzten Beitrag schriebst, habe ich genau so umgesetzt.

Bis jetzt funktioniert es noch nicht.
Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 14:58:25 Uhr
Goto Top
Hier die Config:

Mitglied: aqui
aqui 31.05.2022 aktualisiert um 17:44:07 Uhr
Goto Top
Ich habe hier eine Unifi UDM Pro
Igitt, der arme ICX... face-smile
Jetzt möchte ich 2 Cams und 2 APs am Brocade anbinden und über einen Uplink an die UDM Pro schicken.
Die 2 APs (Beispielports hier 10 und 11) arbeiten die mit MSSIDs, strahlen also beide VLANs 100 und 200 über zwei MSSID aus ?
Kameras wenn mit Kupfer (Beispielports hier 1 und 2) sind ja immer UNtagged also untagged Ports am Switch. Kameras vermutlich im VLAN 100, richtig?
"Trunk" Port auf die UBQT Gurke dann 0/1/5

Wenn ja sähe es korrekt so aus:
(Kommando in Klammern NUR bei Foundry / Brocade Firmware!!)
Fertisch...
Eigentlich doch ganz logisch und die VLAN Port Konfig ist auch für Laien selbsterklärend... 😉
  • In VLAN 100 liegen die (Kupfer) Kameraports 1 und 2 UNtagged und der UBQT Port sowie die AP Ports 10 und 11 tagged (MSSID)
  • In VLAN 200 liegen die AP ports 10 und 11 auch wieder tagged (MSSID) und der UBQT Port tagged
Alles andere, kosmetische der Switchkonfig oben im blauen Text.

Tips zu deiner Konfig:
  • Fatalerweise liegt dein Management Interface erreichbar in @@++allen@@ VLANs! Gäste können also auf den Switch zugreifen! Hier solltest du bei offenen Gastsegmenten immer zwingend mit dem "management-vlan" Kommando und der Access ACL (Beispiel oben 23) arbeiten
  • Switches sollten keine dynamischen DHCP Adressen bekommen. Oder wenn, dann ausschliesslich nur über eine Mac Adress Reservierung quasi als feste IP im DHCP Server. Damit erübrigt sich dann auch deine überflüssige Lease Erhöhung oben. face-wink
Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 16:02:52 Uhr
Goto Top
Danke aqui. Das ganze steh zurzeit noch hier in der Firma zum testen. Des Switch hat nur aus Faulheit DHCP bekommen.

Die Aps machen MSSID, ja. Gast SSID Vlan 200, Firma SSID Nativ Vlan 1
Alle Cams sind im Vlan 100 angesiedelt.

Die APs strahlen nur Vlan 100(gast) und Nativ(Vlan1) aus.

Geht schöner, aber ich teste noch.
Mitglied: aqui
aqui 31.05.2022 um 16:54:08 Uhr
Goto Top
Geht schöner, aber ich teste noch.
Uuuhh ja ! Das VLAN 1 wo die Management IPs anliegen auszustrahlen ist ein absolutes NoGo in einem Firmennetz. Da gehört aus gutem Grund kein WLAN rein. face-wink
Na ja beim Testen auf dem Tisch ists noch erlaubt... 😉
Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 17:02:35 Uhr
Goto Top
Ich bekomme es nicht zum laufen.

Hab eben nur einen AP am Brocade an ethe 0/1/1
Die UDM ist am Port ethe 0/1/5

Am UDM Port 1 sind alle Vlans erlaubt. Erst mal.

Mit der Config, kommt der AP und ich ins Wlan (Firma ,Native Vlan ), ins Wlan (Gast ,Vlan 200) nicht.


Mit deiser Config, geht nix mehr

Bin ich zu blöd!?

Ich verstehe es nicht.
Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 17:06:31 Uhr
Goto Top
Da der AP an der UDM im 192.168.1.0/24 Netz ist und Gast im 172.16.200.0/24 Netz,
muss doch der AP im Nativ vlan durchgereicht werden und das vlan 200 tagged.

Oder etwa nicht?
Mitglied: aqui
Lösung aqui 31.05.2022, aktualisiert am 02.06.2022 um 11:41:55 Uhr
Goto Top
muss doch der AP im Nativ vlan durchgereicht werden und das vlan 200 tagged.
Das ist absolut richtig und du hast keine Schuld an der Fehlfunktion. Ich habe dir bei der o.a. Konfig versehentlich eine böse Fussfalle unterschlagen. Das war aber nicht Absicht sondern schlicht der Tatsache geschuldet das ich in aktueller Ruckus Firmware gedacht hatte, du aber mit dem FWS noch eine Brocade Firmware hast.

Der böse Haken ist das Native VLAN Handling bei Brocade Uplinks.
Sowie diese Ports getagged werden wird das Native VLAN nicht mehr übertragen! Dein VLAN 1 Traffic kommt deshalb gar nicht mehr an deinen tagged Ports an. Der 802.1q Standard erlaubt sowas.
In der Ruckus Firmware ist das später verändert worden und das Native VLAN per Default untagged dran wie im Rest der Welt.
Siehe dazu auch:
https://www.youtube.com/watch?v=SAIZaiq1fvY
https://www.youtube.com/watch?v=vTeu_ry6kNE (ab 3:50)

Die Lösung ist aber kinderleicht... (wenn man es denn weiss 😉)
Gehe auf das "Trunk" Interface der UDM und der APs, sprich da wo deine VLANs tagged sind und gibt dort ein:
dual-mode 1
Dieses Interface spezifische Kommando bewirkt dann das an den Trunkports das Default VLAN 1 untagged mitübertragen wird.

Generell legt es fest welches das Native VLAN an diesen tagged Ports ist. "dual-mode 10" z.B legt das Native VLAN z.B. dann auf 10.
Sorry nochmal für den Fauxpas und ist oben jetzt korrigiert!
Mitglied: Ueba3ba
Ueba3ba 31.05.2022 um 17:45:05 Uhr
Goto Top
Das habe ich gesucht, danke, mal wieder..!!

Bei Cisco CLI einfach: switchport trunk native vlan 1
Mitglied: aqui
aqui 31.05.2022 aktualisiert um 17:53:43 Uhr
Goto Top
Jau, das sind die miesen kleinen Feinheiten die dem Admin manchmal das Leben schwermachen... 😉
Mitglied: Ueba3ba
Ueba3ba 01.06.2022 um 08:51:28 Uhr
Goto Top
Super! Eben getestet. Funktioniert wie es soll. Danke
Mitglied: aqui
aqui 01.06.2022 um 09:11:28 Uhr
Goto Top
👍 Immer gerne !
Mitglied: Ueba3ba
Ueba3ba 01.06.2022 um 10:06:29 Uhr
Goto Top
aqui, ich muss noch mal nerven.

Ich möchte ein SFP Modul von FS im Brocade betreiben.

Der Brocade hat ja 4 SFP Ports, ersetzen ja baer auch 4 RJ45 Port wenn die SFP Ports verwendet werden.

Hab ein Modul drin, nur... wie aktiviere ich es??
Mitglied: Ueba3ba
Ueba3ba 01.06.2022 um 10:21:28 Uhr
Goto Top
Erledigt!!
Mitglied: aqui
aqui 01.06.2022 um 10:51:10 Uhr
Goto Top
aqui, ich muss noch mal nerven.
Kein Problem, dafür ist ein Forum ja da ! face-wink
Ich möchte ein SFP Modul von FS im Brocade betreiben.
Klappt fehlerlos! Die Brocades und auch Ruckus Switches machen generell kein Vendor Checking bei den SFPs. Du kannst also alles an SFPs egal ob von FS, Cisco, HP, Delock oder MischiMuschi dort verwenden.
Hab ein Modul drin, nur... wie aktiviere ich es??
Wenn der Port vorher auf "disable" stand dann mit enable...ganz einfach. face-wink