Brocade ICX7250 LAG und tagged VLAN
Hallo Leute,
hätte eine kurze Frage zur Konfiguration eines Brocade ICX7250. Zur Erhöhung der Ausfallsicherheit und verbesserung der Performance möchte ich die Server über LACP an das Switch anbinden. Außerdem müssen teilweise mehrere VLANs (tagged) über den LAG transportiert werden.
Meine Frage: Wie wird dies konfiguriert?
Von anderen Switch-Herstellern kenne ich es so: Sobald eine LAG erstellt wurde erscheint dieses Objekt auch in der Port-Liste und diesem Objekt können dann (wie bei einzelnen Ports) die VLans mit Tag angefügt werden. Muss ich bei Brocade jeden Port einzeln anfassen?
Danke!
hätte eine kurze Frage zur Konfiguration eines Brocade ICX7250. Zur Erhöhung der Ausfallsicherheit und verbesserung der Performance möchte ich die Server über LACP an das Switch anbinden. Außerdem müssen teilweise mehrere VLANs (tagged) über den LAG transportiert werden.
Meine Frage: Wie wird dies konfiguriert?
Von anderen Switch-Herstellern kenne ich es so: Sobald eine LAG erstellt wurde erscheint dieses Objekt auch in der Port-Liste und diesem Objekt können dann (wie bei einzelnen Ports) die VLans mit Tag angefügt werden. Muss ich bei Brocade jeden Port einzeln anfassen?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 334800
Url: https://administrator.de/forum/brocade-icx7250-lag-und-tagged-vlan-334800.html
Ausgedruckt am: 07.04.2025 um 18:04 Uhr
11 Kommentare
Neuester Kommentar
Hi
die switche erkennen das selbst wenn das vom Server kommt an der Stelle muss nichts weiter eingestellt werden, kannst aber zur Sicherheit machen.
Bei den Brocade Switche editierst du mehrere Ports wie folgt:
VLANs ähnlich
Port Channel / LAG
Die VLANS liegen an dem Port an und nicht an dem LAG, bei den Switchen ist die Einstellung des primary Ports entscheidend welche VLANs dort anliegen.
Ich habe hier jetzt nur die Ausszüge aus einer Config unserer Switche genommen, ggf. die Werte nach deinen Bedürfnissen anpassen. Im Core Bereich sind bei uns alle Switche und alle Ports (außer Uplinks / LAG) exakt gleich eingerichtet. Da wir hier VMWare einsetzen und die Maschinen ohne Probleme hin und her geschoben werden (können) müssen haben wir uns für den Weg entschieden - kommt ja kein Nutzer direkt an die Endgeräte
.
Gruß
@clSchak
die switche erkennen das selbst wenn das vom Server kommt an der Stelle muss nichts weiter eingestellt werden, kannst aber zur Sicherheit machen.
Bei den Brocade Switche editierst du mehrere Ports wie folgt:
interface ethernet 1/1/1 to 1/1/x
dual-mode x
span 802 admin-edge (sofern 802.1W als STP eingesetzt ist und hier kein andere switch angeschlossen wurde, ansonsten admin-pt2pt)
trust dscp
broadcast limit 8388607
multicast limit 8388607
load-interval 300
VLANs ähnlich
vlan xyz name xyz
tagged ethernet 1/1/1 to 1/1/x
spanning-tree 802
..
Port Channel / LAG
lag 1 static id 1 (ggd. dynamic - je nachdem was man möchte)
ports ethernet 1/2/1 to 1/2/4
primary-port 1/2/1
deploy
Die VLANS liegen an dem Port an und nicht an dem LAG, bei den Switchen ist die Einstellung des primary Ports entscheidend welche VLANs dort anliegen.
Ich habe hier jetzt nur die Ausszüge aus einer Config unserer Switche genommen, ggf. die Werte nach deinen Bedürfnissen anpassen. Im Core Bereich sind bei uns alle Switche und alle Ports (außer Uplinks / LAG) exakt gleich eingerichtet. Da wir hier VMWare einsetzen und die Maschinen ohne Probleme hin und her geschoben werden (können) müssen haben wir uns für den Weg entschieden - kommt ja kein Nutzer direkt an die Endgeräte
Gruß
@clSchak
Ein Switch ist immer ein Mann !!! 
Dann bindest du die Ports in eine LAG Gruppe und fertig.
Das sieht dann in der Praxis so aus. (Beispiel mit 2 LAGs a zwei Ports auf Server (untagged) und Uplink auf weiteren Switch (tagged)):
Ports definieren:
!
vlan 1 name DEFAULT-VLAN by port
spanning-tree 802-1w
management-vlan
default-gateway 192.168.1.254 1
!
vlan 10 name Server by port
tagged ethe 1/1/11 to 1/1/12
untagged ethe 1/3/1 to 1/3/2
spanning-tree 802-1w
!
vlan 20 name Clients by port
tagged ethe 1/1/11 to 1/1/12
untagged ethe 1/1/1 to 1/1/10
spanning-tree 802-1w
Dann den LAG über die Ports definieren:
!
lag Server-1 dynamic
ports ethernet 1/3/1 to 1/3/2
primary-port 1/3/1
deploy
port-name "LACP LAG auf Server1" ethernet 1/3/1
!
lag Switch-2 dynamic
ports ethernet 1/1/11 to 1/1/12
primary-port 1/1/11
deploy
port-name "LACP LAG auf Switch-2" ethernet 1/1/11
!
Fertig, das wars.
Eigentlich kinderleicht und ist auch leicht verständlich und gut dokumentiert hier zu finden:
http://www.brocade.com/content/html/en/configuration-guide/FI_08030_L2/ ...
Meine Frage: Wie wird dies konfiguriert?
Das ist kinderleichtMuss ich bei Brocade jeden Port einzeln anfassen?
Jein. Brocade hält es hier so wie auch alle Websmart Switches im Billigsektor. Du musst zuerst dafür sorgen das die Ports der Port Gruppe alle eine identische Konfiguration haben was Tagging usw. anbetrifft.Dann bindest du die Ports in eine LAG Gruppe und fertig.
Das sieht dann in der Praxis so aus. (Beispiel mit 2 LAGs a zwei Ports auf Server (untagged) und Uplink auf weiteren Switch (tagged)):
Ports definieren:
!
vlan 1 name DEFAULT-VLAN by port
spanning-tree 802-1w
management-vlan
default-gateway 192.168.1.254 1
!
vlan 10 name Server by port
tagged ethe 1/1/11 to 1/1/12
untagged ethe 1/3/1 to 1/3/2
spanning-tree 802-1w
!
vlan 20 name Clients by port
tagged ethe 1/1/11 to 1/1/12
untagged ethe 1/1/1 to 1/1/10
spanning-tree 802-1w
Dann den LAG über die Ports definieren:
!
lag Server-1 dynamic
ports ethernet 1/3/1 to 1/3/2
primary-port 1/3/1
deploy
port-name "LACP LAG auf Server1" ethernet 1/3/1
!
lag Switch-2 dynamic
ports ethernet 1/1/11 to 1/1/12
primary-port 1/1/11
deploy
port-name "LACP LAG auf Switch-2" ethernet 1/1/11
!
Fertig, das wars.
Eigentlich kinderleicht und ist auch leicht verständlich und gut dokumentiert hier zu finden:
http://www.brocade.com/content/html/en/configuration-guide/FI_08030_L2/ ...
@aqui du musst kein Management VLAN definieren
und mit "untagged" sollte man eher nicht arbeiten, damit verbaut man sich einfach zuviel und bei Config Änderungen, wenn z.B. das Access VLAN von dem Port geändert werden muss ist so viel zu aufwendig :o
Warst wieder einen Tick schneller... 
Das stimmt wenn der TO einen Server betreibt der als Hypervisor arbeitet oder in mehreren VLANs liegen soll. Bei einem einfach angebundenen Server reicht aber auch m.E. ein untagged Port. Aber du hast Recht...kommt darauf an wie statisch seine Umgebung ist.
Deine Konfig hat aber den kosmetischen Fehler das du statische LAGs definierst. Die arbeiten dann ohne LACP. Der TO oben schrieb aber das er LACP LAGs machen will und dann muss er sie dynamisch auslegen in der Konfig.
Außerdem nimmt man heute kein Steinzeit Spanning Tree mehr sondern RSTP mit .1w...ist aber natürlich kosmetisch.
Das mit dem Management VLAN stimmt natürlich ist nicht zwingend, sollte man im L2 Betrieb der ICXe aber immer machen, denn sonst kann jeder Hansel aus jedem beliebigen VLAN auf die Management IP zugreifen.
Normal will man das als Netzwerk Admin aber nicht !
Zwingend ist das nicht, da hast du recht. Es ist aber sicherer
Das stimmt wenn der TO einen Server betreibt der als Hypervisor arbeitet oder in mehreren VLANs liegen soll. Bei einem einfach angebundenen Server reicht aber auch m.E. ein untagged Port. Aber du hast Recht...kommt darauf an wie statisch seine Umgebung ist.
Deine Konfig hat aber den kosmetischen Fehler das du statische LAGs definierst. Die arbeiten dann ohne LACP. Der TO oben schrieb aber das er LACP LAGs machen will und dann muss er sie dynamisch auslegen in der Konfig.
Außerdem nimmt man heute kein Steinzeit Spanning Tree mehr sondern RSTP mit .1w...ist aber natürlich kosmetisch.
Das mit dem Management VLAN stimmt natürlich ist nicht zwingend, sollte man im L2 Betrieb der ICXe aber immer machen, denn sonst kann jeder Hansel aus jedem beliebigen VLAN auf die Management IP zugreifen.
Normal will man das als Netzwerk Admin aber nicht !
Zwingend ist das nicht, da hast du recht. Es ist aber sicherer
der Befehl "span 802" -> spanning-tree 802.1w
ich schreib das nie aus
ist aber definitiv 802.1w.
Probleme mit der Sicherheit bekommt man eher wenn man auf Telnet und nicht via SSH arbeitet - aber auch eine persönliche Einstellung wie man es möchte (SSH bei den FWS / FCX ist ziemlich bescheiden - die Tastatureingabe verhält sich dann so als wäre man per Konsolenkabel angeschlossen). Unser Management Netz wird nicht geroutet, wir haben hier eigene Server für Administrierung die "mit einem Bein" im Management Netz hängen und man nur so an die Geräte rankommt.
Und ja, im Backend haben wir nur statische Lags, das wird einmal verkabelt, festgemacht und nur gelöst wenn Hardware getauscht wird (ein hoch auf Klettband und Kabelbinder!
)
ich schreib das nie aus
Probleme mit der Sicherheit bekommt man eher wenn man auf Telnet und nicht via SSH arbeitet - aber auch eine persönliche Einstellung wie man es möchte (SSH bei den FWS / FCX ist ziemlich bescheiden - die Tastatureingabe verhält sich dann so als wäre man per Konsolenkabel angeschlossen). Unser Management Netz wird nicht geroutet, wir haben hier eigene Server für Administrierung die "mit einem Bein" im Management Netz hängen und man nur so an die Geräte rankommt.
Und ja, im Backend haben wir nur statische Lags, das wird einmal verkabelt, festgemacht und nur gelöst wenn Hardware getauscht wird (ein hoch auf Klettband und Kabelbinder!
die Tastatureingabe verhält sich dann so als wäre man per Konsolenkabel angeschlossen
Du sprichst das Backspace Verhalten an, oder ??Das kannst du mit 2 Maßnahmen fixen. Entweder TeraTerm verwenden oder anderen SSH Client oder in PuTTY das Backspace Verhalten im Setup einstellen. Dann klappts auch wunderbar mit SSH am FWS und FCX
Deine Management Lösung ist natürlich Bilderbuch !
JA das mit Backspace
- ok, das werde ich dann mal Umstellen für die Gerätegruppe. Die neueren haben das nicht mehr.
Aber back 2 TO:
Wenn es die um Ausfallsicherheit geht, hast du hier auch 2 Switche oder nur einen im Einsatz? (pers. Anmerkung: die PSU Einheit als 2. Netzteil ist bei Brocade extrem teuer - für uns schon fast ein Grund den Hersteller zu wechseln, du kannst fast günstiger ein 7450 mit 2. Netzteil kaufen wie eine PSU Einheit (je Switch gerechnet).
Wenn du nur einen Switch hast und an diesem nur Server angeschlossen werden, würde ich alle Ports komplett gleich einstellen, dann kannst die Server überall anschließen (die 10G Ports sind dann 1/2/1 - 1/2/8 sofern du die 8 Port Lizenz hast) und musst nicht erst alle abgleichen.
Ich würde zu dem das "DEFAULT VLAN" auf eine andere ID verschieben (default-vlan-id 777) und dann VLAN ID:1 separat einrichten
Eine einzelner Port sieht in etwa so aus:
Ein VLAN ist so eingestellt bei uns:
Anmerkung hier: wir haben die Rootbridges der VLANs von Hand eingestellt, damit uns keine "Edge" Switche uns "in die Suppe" spucken und wir damit sicherstellen, dass diese immer auf einen der Core Switche bleibt.
Grundeinstellungen bei den Switchen:
Das ist so im groben eine Config bei uns - wobei wir im Core Bereich ausschließlich VDX Systeme im Einsatz haben.
Aber back 2 TO:
Wenn es die um Ausfallsicherheit geht, hast du hier auch 2 Switche oder nur einen im Einsatz? (pers. Anmerkung: die PSU Einheit als 2. Netzteil ist bei Brocade extrem teuer - für uns schon fast ein Grund den Hersteller zu wechseln, du kannst fast günstiger ein 7450 mit 2. Netzteil kaufen wie eine PSU Einheit (je Switch gerechnet).
Wenn du nur einen Switch hast und an diesem nur Server angeschlossen werden, würde ich alle Ports komplett gleich einstellen, dann kannst die Server überall anschließen (die 10G Ports sind dann 1/2/1 - 1/2/8 sofern du die 8 Port Lizenz hast) und musst nicht erst alle abgleichen.
Ich würde zu dem das "DEFAULT VLAN" auf eine andere ID verschieben (default-vlan-id 777) und dann VLAN ID:1 separat einrichten
Eine einzelner Port sieht in etwa so aus:
interface ethernet 1/1/17
dual-mode 1
spanning-tree 802-1w admin-pt2pt-mac
broadcast limit 8388607
multicast limit 8388607
trust dscp
!
Ein VLAN ist so eingestellt bei uns:
vlan 120 name Printer.G01 by port
tagged ethe 1/1/1 to 1/1/24 ethe 1/2/1 to 1/2/8
spanning-tree 802-1w
spanning-tree 802-1w priority 8192
Anmerkung hier: wir haben die Rootbridges der VLANs von Hand eingestellt, damit uns keine "Edge" Switche uns "in die Suppe" spucken und wir damit sicherstellen, dass diese immer auf einen der Core Switche bleibt.
Grundeinstellungen bei den Switchen:
!
!
!
errdisable recovery cause all
errdisable recovery interval 30
aaa authentication enable default local
aaa authentication login default local
jumbo
default-vlan-id 777
enable skip-page-display
enable super-user-password .....
enable aaa console
hostname switch
ip address x.x.x.x/24
no ip dhcp-client enable
ip default-gateway x.x.x.x
logging host x.x.x.x
logging facility syslog
username admin password .....
cdp run
snmp-server community ..... ro
snmp-server community ..... rw
snmp-server contact xxxx@xxx.xx
snmp-server location xxxxxxx
clock summer-time
clock timezone gmt GMT+01
sntp server x.x.x.x
Das ist so im groben eine Config bei uns - wobei wir im Core Bereich ausschließlich VDX Systeme im Einsatz haben.
Vorbildliche Konfig !
Wo wir jetzt dabei sind könnte man noch
aaa authentication web-server default local
web-management https
web-management connection-receive-timeout 30
web-management session-timeout 1800
hinzufügen für die Klicki Bunti Fraktion
Und ein stp-bpdu-guard auf den Links damit nicht einer mit einem Blödmarkt Switch die vorbildliche STP Hierarchie stört und ein no snmp-server enable traps link-change an den Kupfer Endgeräteports damit der SNMP Traphost nicht vollgemüllt wird wenn die Mitarbeiter am Feierabend den Rechner ausschalten.
So nun hat der TO aber ne Druckbetankung an Konfig Tipps bekommen und muss vermutlich erstmal Luft holen und das sacken lassen
Wo wir jetzt dabei sind könnte man noch
aaa authentication web-server default local
web-management https
web-management connection-receive-timeout 30
web-management session-timeout 1800
hinzufügen für die Klicki Bunti Fraktion
Und ein stp-bpdu-guard auf den Links damit nicht einer mit einem Blödmarkt Switch die vorbildliche STP Hierarchie stört und ein no snmp-server enable traps link-change an den Kupfer Endgeräteports damit der SNMP Traphost nicht vollgemüllt wird wenn die Mitarbeiter am Feierabend den Rechner ausschalten.
So nun hat der TO aber ne Druckbetankung an Konfig Tipps bekommen und muss vermutlich erstmal Luft holen und das sacken lassen
bpdu-guard ist auf den Edge Ports aktiv, ich hab jetzt configs von Uplink Switches ausgelesen
- nicht jeder Switch hat hier 10G auf wenn ich das gerne hätte
.
Und das Webinterface haben wir auf keinen Switch aktiv, braucht man im Regelfall auch nicht, ich wüsste jetzt auch nicht wie das von den einzelnen Switche aussieht
.
Und das Webinterface haben wir auf keinen Switch aktiv, braucht man im Regelfall auch nicht, ich wüsste jetzt auch nicht wie das von den einzelnen Switche aussieht