Cisco SG220 VLAN Konfiguration

Hallo
Wir haben einige alte 100Mbit Cisco Switche im Einsatz, die gegen SG220-26 getauscht werden sollen.
In dem Zuge würde ich gerne die Konfiguration etwas verändern und 2 VLAN konfigurieren. Aktuell ist alles auf dem default VLAN1 konfiguriert.

Ich möchte gerne ein VLAN1 beibehalten und zusätzlich ein VLAN 50 anlegen, das nur für WLAN genutzt wird, mit eigenem DHCP und Router dazwischen, der die Netze inkl. Firewall verbindet. Der Router Teil ist schon ok.

Dieses VLAN muss ja auch auf allen Switchen/Trunks (LWL via GBIC Module) dann konfiguriert sein, damit es auch überall funktioniert, auch wenn die Switche nur Verbindungsteile sind via Trunk.

Dafür mache ich doch ausgehend von der default config nur folgendes:

1. VLAN Management - Create VLAN - VLAN 50 anlegen
2. VLAN Management - Port to VLAN - Uplink Port 25+26 sowohl für VLAN ID1 auf "tagged" stellen als auch für VLAN ID 50 auf "tagged" stellen


Jetzt die Fragen:
Es ist an sich nicht so gut, dass überall das VLAN 1 als default konfiguriert ist oder? Oder wie schmeiße ich einen Port aus dem VLAN 1 raus? Excluded kann ich nicht wählen für das default VLAN.

sg220

Unter VLAN Management - Interface Settings stelle ich alle Trunk Ports auf VLAN Mode Trunk, alle anderen mit Endgeräten auf Access. Wofür ist "General" da als Auswahl?
Den Trunk Ports weise ich beide VLAN parallel zu, damit die das auch beide Netzsegmente weitergeben, richtig?

Wieso stehen da eigentlich alle Ports per default auf "Trunk"?

Content-Key: 1283912375

Url: https://administrator.de/contentid/1283912375

Ausgedruckt am: 16.10.2021 um 20:10 Uhr

Mitglied: aqui
aqui 20.09.2021 aktualisiert um 14:41:54 Uhr
Goto Top
Nein, das VLAN 1 zu taggen ist falsch !
Das VLAN 1 ist das Native (Default) VLAN und wird an Trunk Ports immer untagged übertragen. Die Trunk Ports bei dir sollten folgendermaßen eingestellt sein:
  • Port Mode : Trunk
  • Tagged : VLAN 50
  • VLAN 1 belassen wie es ist
Am Port in der VLAN Port Übersicht steht dann 1UP, 50T dann ist es richtig.
Alle Endgeräte Porst setzt du global in den Access Mode.
So ist es dann richtig.
Es ist an sich nicht so gut, dass überall das VLAN 1 als default konfiguriert ist oder?
Das ist richtig !
Genau dehalb richtet ein kundiger Netzwerker auch immer ein dediziertes Management VLAN ein. In dieses VLAN bringst du dann den Management Port des Switches und auch alle anderen Geräte wie die Out of Band Ports der Server usw. So sind alle diese wichtigen Infrastruktur Management Zugänge sauber getrennt von den Clients und so gesichtert vom Zugang her.
Oder wie schmeiße ich einen Port aus dem VLAN 1 raus?
Indem du ihn ganz einfach UNtagged in ein andewres VLAN legst ! Er geht dann automatisch auf Excluded. ;-) face-wink
Wie gesagt, Endgeräte Ports immer fest in den Access Mode setzen !
Mitglied: hausrocker
hausrocker 20.09.2021 um 15:22:27 Uhr
Goto Top
Wenn ich von dem untagged VLAN ID 1 weg will, muss ich aber quasi alle Switche gleichzeitig am besten konfigurieren um erst mal von untagged 1 auf z.B. tagged 10 umzustellen, dann von da aus weiter Schritt für Schritt in die VLANs aufsplitte, richtig?

Oder wie ist eine gute Idee das umzustellen?

Oder ich lasse den Teil erst mal so und erstelle auf jedem Switch für alle Trunks zusätzlich das VLAN 50 und transportiere über den Trunk sowohl untagged VLAN1 als auch tagged VLAN 50. Manche Ports für Endgeräte kriegen dann untagged einfach z.B. VLAN 99 - da gibt es keine Uplink nirgendwo hin und damit ist die Kommunikation zum alten VLAN 1 unterbunden und tagged 50 mit Uplink zum WLAN Router/Controller. Das wäre doch auch dann eine Möglichkeit oder?
Mitglied: NixVerstehen
NixVerstehen 20.09.2021, aktualisiert am 21.09.2021 um 07:24:58 Uhr
Goto Top
Und beachte bei WLAN-APs, das die Ports zu den Accesspoints i.d.R. auf Trunk stehen müssen (außer beim Consumerspielzeug). Falls du hier auch DHCP-Snooping verwendest, dann müssen die Ports zu den APs als DHPC Trusted Ports konfiguriert sein.

Edit: Diese Aussage ist falsch...siehe unten
Mitglied: aqui
aqui 20.09.2021 aktualisiert um 17:53:38 Uhr
Goto Top
und transportiere über den Trunk sowohl untagged VLAN1 als auch tagged VLAN 50
So wäre es der übliche Standard und kann man auch belassen.
Problem ist nur das im Default das Management Interface auch im Default VLAN 1 liegt.
Steckt also jemand irgendwas an einen nicht zugewiesenen Port liegt dieses Endgerät im VLAN 1 mit Zugriff aufs Management.
Deshalb legt ein verantwortungsvoller Netzwerker das management in ein dediziertes VLAN. ;-) face-wink
Manche Ports für Endgeräte kriegen dann untagged einfach z.B. VLAN 99
Richtig ! Das geht aber natürlich nur wenn du auch das VLAN 99 vorher angelegt hast ! ;-) face-wink
Endgeräte Ports sollten wie oben schon gesagt immer im Access Mode konfiguriert sein. Geht über die Port Konfig im VLAN Menü.
Das wäre doch auch dann eine Möglichkeit oder?
Jupp, das ginge auch so. Einfacher und sehr viel eleganter ist es aber wenn du das Management in einem dedizierten VLAN isolierst, dann musst du nicht alle Ports so frickelhaft und umständlich mit dem 99er VLAN "umbiegen". ;-) face-wink

@NixVerstehen
Nein, das ist nicht ganz richtig. Trusted DHCP Ports sind nur die Ports an denen der DHCP Server erreicht wird sproch von wo aus der Switch aktiven DHCP Traffic erlaubt (DHCP Replies). Da die APs aber niemals selber DHCP Server sind ist das falsch und auch kontraproduktiv das so einzustellen.
Mitglied: NixVerstehen
NixVerstehen 20.09.2021 um 18:22:45 Uhr
Goto Top
@aqui: Danke für die Info. Da lasse ich mich gerne eines Besseren belehren. So habe ich das bei mir auch, das einzig der Windows Server, der DHCP für alle Netze abfackelt, an seinem Switchport „trusted“ ist. Allerdings mit einer Ausnahme: Meine Cisco WAP-150 hängen ebenfalls an Switchports, die DHCP trusted Ports sind. Sonst bekommen die WLAN-Clients keine Adresse. Da hab ich vermutlich woanders einen laienhaften Fehler?

Gruß NV
Mitglied: aqui
aqui 20.09.2021 aktualisiert um 19:53:49 Uhr
Goto Top
das einzig der Windows Server, der DHCP für alle Netze abfackelt, an seinem Switchport „trusted“ ist.
Das ist auch genau richtig so.
Meine Cisco WAP-150 hängen ebenfalls an Switchports, die DHCP trusted Ports sind.
Das wäre falsch und auch unlogisch wenn sie nur DHCP Clients sind. Ansonsten müsste diese Regel analog ja auch für alle anderen DHCP Clients wie Winblows PCs usw. gelten.
Das denke ich auch ! Da hast du dann ein paar Löcher für rogue DHCP Angriffe. Und das dann ausgerechnet auf den WLAN Ports...nicht gut !
Besser also nochmal nachlesen was das genau ist und wie es funktioniert... ;-) face-wink
https://de.wikipedia.org/wiki/DHCP-snooping
(Man achte auf den "Trusted Port" !!)
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2 ...
https://community.fs.com/blog/what-is-dhcp-snooping-and-how-it-works.htm ...
Mitglied: NixVerstehen
NixVerstehen 21.09.2021 um 07:22:43 Uhr
Goto Top
Zitat von @aqui:

das einzig der Windows Server, der DHCP für alle Netze abfackelt, an seinem Switchport „trusted“ ist.
Das ist auch genau richtig so.
Meine Cisco WAP-150 hängen ebenfalls an Switchports, die DHCP trusted Ports sind.
Das wäre falsch und auch unlogisch wenn sie nur DHCP Clients sind. Ansonsten müsste diese Regel analog ja auch für alle anderen DHCP Clients wie Winblows PCs usw. gelten.
Das denke ich auch ! Da hast du dann ein paar Löcher für rogue DHCP Angriffe. Und das dann ausgerechnet auf den WLAN Ports...nicht gut !
Besser also nochmal nachlesen was das genau ist und wie es funktioniert... ;-) face-wink
https://de.wikipedia.org/wiki/DHCP-snooping
(Man achte auf den "Trusted Port" !!)
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2 ...
https://community.fs.com/blog/what-is-dhcp-snooping-and-how-it-works.htm ...

@aqui: Moin. Gerade mal geprüft. Ich rede natürlich Quatsch und du hast recht. Die APs hängen mit dem GUI im VLAN 1 untagged und für's WLAN in VLAN 60 tagged. Die Switchports für die APs sind nun "DHCP untrusted ports" und es funktioniert natürlich. Nur der Windows DHCP-Server hängt an einem Switchport, der "DHCP trusted" ist.
Mitglied: hausrocker
hausrocker 21.09.2021 aktualisiert um 08:24:40 Uhr
Goto Top
Ich habe gestern mal ein wenig rumprobiert, in meiner Testumgebung mit aktuell nur 2 SG220:

VLAN 1 (default), 50 und 99 angelegt unter "Create VLAN"
Interface Setting sieht so aus:
interface setting

Die Idee ist: Port 1-18 sind für normale Clients mit VLAN1 untagged.
Port 19-24 sind für WLAN (also VLAN 50 tagged) aber nicht VLAN1 untagged. Darum da die 99 zusätzlich untagged.
Port 25 und 26 sind die Trunk Ports und sollen sowohl 1 untagged als auch 50 tagged transportieren
port to vlan
port to vlan 50
Hier ist das 50er VLAN irgendwoe bei allen auf "Excluded"... und ich kann auch tagged nicht auswählen?
port vlan membership

Würde das so funktionieren? Oder ist da irgendwo noch ein Fehler drin? Ich musste die Einstellungen in einer bestimmten Reihenfolge machen, sonst hat er mich das 99er VLAN nicht mehr auf untagged stellen lassen.

Von Management VLAN sind wir aktuell noch weit weg. Aktuell liegt alles in einem einzigen IP Bereich mit 23er Subnetzmaske, also auch noch unnötig großes Subnetz mit jeder Menge Broadcast Traffic an alle.
Mitglied: aqui
aqui 21.09.2021 aktualisiert um 10:07:34 Uhr
Goto Top
@NixVerstehen: So ist DHCP Snooping dann bilderbuchmässig eingerichtet ! ;-) face-wink

@hausrocker:
Port 19-24 sind für WLAN (also VLAN 50 tagged) aber nicht VLAN1 untagged. Darum da die 99 zusätzlich untagged.
Da ist dann oben aber etwas gehörig schiefgelaufen, denn der Screenshot zeigt ja bei 19-24 rein nur Access Ports im VLAN 99 an mit denen dein Vorhaben dann gründlich in die Hose geht !! Das siehst du doch auch selber in der VLAN Port Übersicht das dort ein "50T" irgendwo fehlt !!

Wenn man es richtig macht müssten...
  • 19-24 in den Trunk Mode gesetzt werden
  • VLAN 99 auf UNtagged stellen
  • VLAN 50 auf Tagged setzen
  • In der Port Übersicht sollte dann dort stehen 99P, 50T
So wäre es dann korrekt !
Ports 25 und 26 sind korrekt eingestellt.
und ich kann auch tagged nicht auswählen?
Logisch wenn du die Ports 19 bis 24 taggen willst, sie aber im falschen Port Mode betreibst !! ;-) face-wink
Ein Access Port ist eben ein Access Port der NUR ein einziges VLAN UNtagged supportet. Willst du zusätzlich noch Taggen darüber ist das doch immer ein Trunk. Das weiss auch der Azubi schon... ;-) face-wink
Würde das so funktionieren? Oder ist da irgendwo noch ein Fehler drin?
Nein, würde so natürlich NICHT funktionieren, denn deine Ports 19 bis 24 sind wegen der Port Mode Fehlkonfiguration einzig nur UNtagged in VLAN 99 haben aber keinerlei Connectivity ins VLAN 50 wie gefordert. Siehst du ja auch selber mit dem 99P in der Port Übersicht !
Von Management VLAN sind wir aktuell noch weit weg.
Warum ?? Es sind 10 Sekunden im Setup mit einem Mausklick das schon vorzubereiten und mit anzulegen. Unverständlich...
also auch noch unnötig großes Subnetz mit jeder Menge Broadcast Traffic an alle.
Weise Worte !! ;-) face-wink
Du solltest dir besser nochmal die VLAN Schnellschulung reinziehen um das besser zu verstehen und zu verinnerlichen !
Mitglied: hausrocker
hausrocker 21.09.2021 um 15:35:26 Uhr
Goto Top
Muss das bei Konfig als Access Port dann nicht nur entweder 50UP einfach für die WLAN Ports und 1UP(default) für die "normalen" Ports sein?

Nur die Trunkports, über die Switches verbunden sind kriegen einfach sowohl 1UP und 50T, damit sie beides übertragen.

Die Idee hinter den Admin VLAN: Ich setze den Port wo mein PC dran hängt von wo aus ich den Switch (und andere Gerätschäften) konfigurieren will auf Trunk und setze VLAN1 untagged für normale Nutzung und zusätzlich VLAN101 als Admin VLAN damit ich von da aus auch den Switch konfigurieren kann? Aber mein PC kann ja gar nichts mit diesem VLAN Tag in den Paketen anfangen dachte ich? Oder wie kann ein PC in 2 VLAN drin sein?
Welchen Grund hat man denn Ports auf Access zu setzen? Nur Access Ports versorgen Rechner mit etwas anderem als dem default VLAN?

Aktuell habe ich auf einem schon im Einsatz befindlichen Switch gesehen, dass da alle Ports auf Trunk einfach stehen...
Mitglied: aqui
aqui 21.09.2021 aktualisiert um 16:26:23 Uhr
Goto Top
Ja, aber nur wenn du "dumme" WLAN APs verwendest die kein MSSID (mehrere virtuelle SSIDs pro VLAN ID) können.
Die kann man untagged über einen simplen nur Access Port anschliessen.
Wenn du aber einen MSSID AP anschliesst kann man das zwar auch machen sollte es aber niemals, denn das Management liegt an solchen APs immer untagged an und man hätte so das Management des APs immer auch gleich parallel im aktiven WLAN liegen.
Bei prvaten und gesicherten Netz ggf. grad noch tolerabel wenn man damit leben kann. Bei Gastnetzen ist das aber natürlich nicht so besonders dolle wie du dir selber denken kannst, würde aber letztlich auch laufen.
Es hängt also immer von der Art und Weise deiner WLAN AP Hardware ab und WIE du diese APs anschliesst bzw. dein WLAN designed hast. Dazu hast du leider nix gesagt bis dato so das wir nur frei raten können.
Wie das mit MSSID APs geht zeigt dir dieses_Tutorial an eimem Praxisbeispiel.
Wenn du "dumme" APs hast ist das natürlich obsolet...

kriegen einfach sowohl 1UP und 50T, damit sie beides übertragen.
Das ist auch perfectly OK und richtig !
Aber mein PC kann ja gar nichts mit diesem VLAN Tag in den Paketen anfangen dachte ich?
Nicht denken sondern nachdenken !!! ;-) face-wink
Wenn du ihm das richtig beibringst kann der auch mit VLAN Tags umgehen. Guckst du hier:
https://administrator.de/tutorial/vlans-ueber-802-1q-trunk-auf-windows-u ...
Lesen und verstehen...!
Oder wie kann ein PC in 2 VLAN drin sein?
Sogar in 20 und theoretisch sogar in 4096 ! ;-) face-wink
Welchen Grund hat man denn Ports auf Access zu setzen?
Das die Accessports nicht mit überflüssigem Traffic (Broad- Multicast) aus allen anderen VLANs belastet werden.
Ein Access Port überträgt immer nur den UNgetaggten Traffic aus dem VLAN das ihm als Port über das Setup zugewiesen ist. Wenn du keinerlei Zuweisung machst befinden sich solche Ports immer im Default VLAN 1. Wenn du ihnen über das Setup z.B. den Port 50 zuweist befinden sie sich in dem VLAN das du ihm zuweist (und nur in dem).
Ganz einfache Logik ! ;-) face-wink
dass da alle Ports auf Trunk einfach stehen...
Ja das ist leider Default und sollte man dringent ändern wenn man in Produktion geht. Das machen viele Hersteller so um auch DAUs und Laien abzuholen bzw. sicherzustellen das die eine VLAN Konfig hinbekommen. Die meisten verstehen leider den Unterschied zw. Access Ports und Trunk Ports nicht so das Hersteller schrotschussartig alles auf Trunk setzen. Trunks übertragen ha auch immer ungetaggten Traffic und so geht man zu 99% sicher das die Konfig klappt. Ob solche Konfig dann sinnvoll und sicher ist spielt bei solchen Admins eher eine untergeordnete Rolle. Leider... Für den Hersteller kosten aber Support Calls bei billigen Massenprodukten einfach nur Geld die die Margen dieser Produkte nicht hergeben. Einfaches Prinzip...
Man darf aber nie vergessen dass an den Trunk Ports dann immer sämtlicher Allerweltstraffic anliegt und Endgeräte belastet.
Besser also man macht es gleich richtig ! ;-) face-wink
Mitglied: aqui
aqui 11.10.2021 um 10:18:06 Uhr
Goto Top
TO: Wenn's das denn nun war bitte dann nicht vergessen diesen Thread zu schliessen:
https://administrator.de/faq/32
Mitglied: hausrocker
hausrocker 12.10.2021 um 12:05:49 Uhr
Goto Top
Hi aqui
Ist noch nicht erledigt.

Ich habe jetzt einen Testaufbau mit 3 Geräten: 2xSG220, 1xSX350X
SX350X hat via Port 11+12 (jetzt schon) sowie 23+24 (geplant) und via GBIC SFP Modul eine Verbindung zu den anderen Switchen.

VLAN habe ich angelegt:
1 default
50 WLAN
99 Default
100 Verwaltung
101 Management

SG220:
1-24 als Access haben Administrative VLANs 100UP, Operational VLANs 100UP
25,26 als Trunk haben Administrative VLANs 1TP,100T,101T , Operational VLANs 1TP,100T,101T

SX350X:
1-10 als Access haben Administrative VLANs 100UP, Operational VLANs 100UP
11-12 als Trunk haben Administrative VLANs 1U, 2-49I, 50T, 51-98I, 100-101T, 102-4094I, Operational VLANs 1U, 50T, 100-101T
Das sind die beiden Trunk Ports und die Konfig haben die automatisch bekommen. Bestimmt haben die das via Spanning Tree als Info ausgetauscht.

Das VLAN 50 WLAN wird auf dem Draytek Router Port basiert mit einem eigenen Subnetz versehen. Port LAN 2 am draytek.
VLAN 100 Verwaltung soll an LAN 1 vom Draytek alle Geräte mit dem eigentlichen Produktivnetzwerk versorgen.

Ist das so richtig mit den Buchstaben und VLAN Zahlen?
Stelle ich das automatisch eingerichtete VLAN auf dem SX350 noch mal selbst per Hand um am besten?

Dieses Default VLAN 1 soll am besten einfach nicht mehr funktionieren/benutzt werden. Dafür wollte ich das von den Trunks runternehmen.

VLAN 101 konfiguriere ich auf den Trunks und zusätzlich auf den Ports, wo meine Rechner hängen auf denen ich die Webinterfaces von den Switchen öffnen können will, richtig?

Alternativ könnte ich auch unter IP Configuration - Management Interface - IPv4 Interface ein Interface für das VLAN 100 erstellen mit entsprechender IP, wenn ich von überall auf das Webinterface können möchte, richtig?

Und wenn ich dann einen Access Port der jetzt VLAN100 ist auf VLAN50 umstellen will, weil da das WLAN Subnetz drüber laufen soll, dann gehe ich einfach hin und gehe in "Port to VLAN" auf dem Switch und stelle für 100 um auf "excluded" und 50 um auf "untagged", fertig. Richtig?

Wie ist denn der beste Trick mit dem umstellen von Test auf Produktiv? Wenn ich den Hauptswitch tausche und der mit dem aktuell verwendeten default VLAN1 nicht mehr zu tun haben will, dann muss ich danach ja zu jedem Sub-Switch hin und da die Konfiguration anpassen. Oder fange ich beim tiefsten Subswitch an, stelle den um, dann ist er erst mal offline, bis ich beim Hauptswitch angekommen bin und erst wenn der auch passende VLAN Konfig hat kann ich (im besten Fall) wieder alle erreichen?
Mitglied: aqui
aqui 12.10.2021 aktualisiert um 12:39:33 Uhr
Goto Top
Ist das so richtig mit den Buchstaben und VLAN Zahlen?
Jupp, alles richtig. Die Buchstaben bedeuten T=tagged, U=Untagged, I=Inactive einfach und logisch ! ;-) face-wink
Dieses Default VLAN 1 soll am besten einfach nicht mehr funktionieren/benutzt werden.
Das kann man so machen wenn man möchte ist aber nicht zwingend. Einen goldenen Rat kann es da nicht geben, denn das hängt immer von deiner lokalen Policy ab wie DU sowas handhaben willst !
VLAN 101 konfiguriere ich auf den Trunks und zusätzlich auf den Ports, wo meine Rechner hängen auf denen ich die Webinterfaces von den Switchen öffnen können will, richtig?
Nein, das ist grundfalsch jedenfalls was die Ports anbetrifft.
Die Switches hängst du mit ihrer Management IP dann in das VLAN 101 wie du es hier am Beispiel von VLAN 11 siehst:
mgmt
Analog dann mit dem 220er. Aller anderen Geräte die am Switch hängen und im Management VLAN hängen sollen bekommen einen Port der nur UNtagged im VLAN 101 ist oder wenn sie z.B. wie MSSID WLAN Accesspoints mit einem Trunk verbunden sind dann das 101 als native VLAN (PVID) gesetzt. So ist immer sichergestellt das alles diese Geräte eine Management IP im VLAN 101 haben.
Entscheidend für den Zugriff ist dann WIE das Routing zw. den VLANs gelöst ist ??
Dazu hast du leider keinerlei Angabe gemacht.

Der 350X ist ein Layer 3 Switch und du könntest damit ein klassisches Layer 3 Konzept umsetzen:
l3.
Sprich der Switch routet dann zwischen den VLANs.
Mit Hilfe von IP Accesslisten (ACL) auf den VLAN IP Interfaces des Switches kontrollierst du dann WER mit WAS wohin darf. Natürlich nur wenn du eine Einschränkung des VLAN übergreifenden Traffics vornehmen willst. Mindestens aber eine ACL auf das 101 Management VLAN die den Zugriff dort nur einigen Geräten oder dem Admin und sein Segment erlaubt.

Die andere Option ist ein Layer 2 Konzept mit einem externen Router oder Firewall die das VLAN Routing übernimmt.
l2.
Hier steuert dann der Router oder die Firewall mit einem entsprechenden Regelwerk den VLAN Traffic.
Es ist also essentiell wichtig welches Konzept du umsetzt !!! Eins geht nur und du musst dich entscheiden.
...auf dem Switch und stelle für 100 um auf "excluded" und 50 um auf "untagged", fertig. Richtig?
Das ist genau richtig so !
dann muss ich danach ja zu jedem Sub-Switch hin und da die Konfiguration anpassen
Jein....
Dein VLAN 101 in der neuen Infrastruktur entspricht vermutlich dem bestehenden VLAN 1 bei den alten Access Switches, richtig ?
Wenn du diese zusammen betreiben willst, dann stellst du auf den Koppelports zu den alten Switches das VLAN 101 als native VLAN ein (PVID 101, 101UP). Der empfangende, alte Switch wird dann diese ungetaggten VLAN 101 Pakete in sein Default VLAN 1 forwarden auf dem Trunk. So kannst du immer einen hybriden Übergang gestallten wenn du die alten Switches parallel betreiben musst und sie sukzessive austauschen willst.
Mitglied: hausrocker
hausrocker 12.10.2021 um 13:56:18 Uhr
Goto Top
Aktuell und bisher ohne den SX350 war der Plan den Draytek Router routen zu lassen. Der macht port basiertes VLAN und hat auf Port 1 das VLAN 100 und auf Port 2 das VLAN 50 mit je eigenem Subnetz und eigenem Gateway.

Der SX350 kann das sicher schneller vom Durchsatz her als der Draytek würde ich vermuten. Aber das ist dann eine der nächsten Ausbaustufen würde ich sagen.

Das VLAN, das unser default VLAN 1 ersetzen soll, ist das VLAN100.
Aktuell ist auf allen Switchen jeder Port auf Trunk und nur default VLAN1 ist hinterlegt.

Ich würde es so machen:
1. Alle VLANs auf allen Switchen schon mal anlegen aber keine Port zuweisen.
2. Die Trunk Ports bleiben auf Trunk und kriegen neben untagged VLAN 1 erst mal auch noch das VLAN100 tagged dazu.
3. Dann die Clients auf untagged 100 und weg von default 1 und auf Access stellen. Welche Reihenfolge? Erst access, dann VLAN 100 untagged würde ich sagen?
4. Dann das IPv4 Management Interface von VLAN 1 auf VLAN 100 umstellen.
5. VLAN 1 von den Trunkports runternehmen.

Durch Schritt 2 ändert sich nichts und ich bin jeder Zeit weiterhin in der Lage bequem von meinem Büro aus alle Switche zu erreichen.
Mitglied: aqui
aqui 12.10.2021 um 15:26:13 Uhr
Goto Top
Aktuell und bisher ohne den SX350 war der Plan den Draytek Router routen zu lassen.
OK, dann klassisches L2 Konzept mit dem Draytek.
Der SX350 kann das sicher schneller vom Durchsatz her als der Draytek würde ich vermuten
Ja, der könnte das in 10G Wirespeed. Da ist der kleine Draytek meilenweit von entfernt...
Das VLAN, das unser default VLAN 1 ersetzen soll, ist das VLAN100.
Das ist absolut OK
Aktuell ist auf allen Switchen jeder Port auf Trunk und nur default VLAN1 ist hinterlegt.
Auf den Trunks setzt du dann das Native VLAN auf 100 (PVID 100) und schon passt das.
Ich würde es so machen:
Das ist bis aus Punkt 2 auch korrekt so. Auf den Trunks solltest du eben nicht das VLAN 1 als native VLAN laufen lassen sondern das VLAN 100 (PVID 100, 100UP) auf den Trunks. Das hat den großen Vorteil das dein VLAN 1 dann nicht zwischen den Switches verteilt wird sondern pro Switch isoliert ist. Außerdem entfällt dann auch Punkt 5. komplett. Macht die ganze Sache noch VLAN 1 "freier"
Ansonsten sind die Punkte perfekt richtig.
Mitglied: hausrocker
hausrocker 12.10.2021 um 16:17:56 Uhr
Goto Top
Das mit dem nativen VLAN habe ich noch nicht kapiert.
Nativ heißt ja in dem Fall, dass das das VLAN ist, über das der ungetaggte, also keinem VLAN zugeordnete Traffic läuft.
Ich sage dem Trunk also, dass er ungetaggten Traffic (von den alten Switchen und auch Endgeräten) in VLAN 100 transportieren soll mit dieser Einstellung?


Und bei Cisco ist ab Werk das default VLAN (1) auch gleichzeitig das native VLAN (1). Sind aber 2 unterschiedliche Dinge.
Mitglied: aqui
Lösung aqui 12.10.2021 aktualisiert um 16:43:17 Uhr
Goto Top
Das mit dem nativen VLAN habe ich noch nicht kapiert.
Guckst du hier:
https://www.administrator.de/forum/gibt-pvid-vlans-325880.html

Nativ heißt ja in dem Fall, dass das das VLAN ist, über das der ungetaggte, also keinem VLAN zugeordnete Traffic läuft.
Richtig ! Ob man das Native, Default oder PVID VLAN nennt ist kosmetisch und macht jeder Hersteller nach Belieben.
Und bei Cisco ist ab Werk das default VLAN (1) auch gleichzeitig das native VLAN (1).
Nicht nur bei Cisco. Das ist weltweit bei (fast) allen Herstellern so !!
Ich sage dem Trunk also, dass er ungetaggten Traffic (von den alten Switchen und auch Endgeräten) in VLAN 100 transportieren soll mit dieser Einstellung?
Jein...aber fast
Wenn du auf der einen Seite (z.B. alte Switches) das Management im Default VLAN 1 hast dann belässt du den Trunk so wie er ist.
Auf der anderen, neuen Seite legst du das Native, Default oder PVID VLAN dann auf VLAN 100.
Das PVID VLAN besagt ja lediglich nur in welches VLAN UNgetaggte Pakete geforwardet werden. Das kann der Switch ja nicht nach raten entscheiden, denn diesen Frames fehlt ja die VLAN Information. Folglich muss man das dem Switch sagen. ;-) face-wink
Alles was der alte Switch dann am Trunk ungetaggt aussendet (VLAN 1) forwardet der neue Switch dann ins VLAN 100 und umgekehrt. Ein Bild sagt mehr als 1000 Worte...
unbenannt
So kannst du sukzessive die alte Infrastruktur auf die Neue umstellen. Mit neuen Switches setzt du dann das Trunk, PVID VLAN immer auf 100 und elimierst so schrittweise das VLAN 1. ;-) face-wink
Mitglied: hausrocker
hausrocker 14.10.2021 um 13:12:48 Uhr
Goto Top
Der erste Hauptswitch SX350 ist installiert und mit dem ersten alten Gigabit Switch verbunden und ist erreichbar.
Auf dem SX350 habe ich jetzt das Netz in dem alle Clients drin sind (VLAN100 bzw. ich habe es noch mal umbenannt in 82) auf untagged gesteht für den Trunk: 1T, 50T, 82U, 99T, 101T und ich komme vom alten Switch (mit default VLAN1) auf den neuen Switch (mit untagged VLAN82): Webinterface vom Switch geht, ping geht.

Default steht auf dem neuen weiterhin auf VLAN1 - ist aber auf keinem Port eingerichtet.

Ein Client kriegt auch so wie gewünscht aus dem passenden VLAN82 eine IP etc.

Vielen Dank Aqui
Ich lasse das mal noch was offen, vllt. kommt noch was beim umstellen der untergeordneten Switche.
Mitglied: aqui
aqui 14.10.2021 um 13:25:24 Uhr
Goto Top
gesteht für den Trunk: 1T,
gesteht ??
Warum hast du den ungeliebtes VLAN 1 hier wieder Tagged auf den Trunk gebracht ?? Das ist ist Unsinn, wenn du VLAN 1 frei leben willst in deinem neuen Setup. Das solltest du also besser wieder löschen !
ist aber auf keinem Port eingerichtet.
Glatt gelogen !! Siehe oben ! "1T" 🧐
Mitglied: hausrocker
hausrocker 14.10.2021 um 15:16:31 Uhr
Goto Top
Ok, das war noch ein Fehler wohl. Ist aber raus.
Mitglied: hausrocker
hausrocker 15.10.2021 aktualisiert um 10:28:22 Uhr
Goto Top
%CDP-W-NATIVE_VLAN_MISMATCH: Native VLAN mismatch detected on interface te1/0/11. kommt jetzt immer auf dem SX350.

Konfig SX350:

XG11 Trunk Administrative VLAN: 2-49I, 50T, 51-81I, 82U, 83-98I, 99T, 100I, 101T, 102-4094I Operational VLANs: 50T, 82U, 99T, 101T

Der Port 49 auf dem Catalyst 2960 wo das hinverbunden ist steht auf VLAN1, nicht auf trunk... Ist das der Grund??
Es gibt nur VLAN 1 und trunk als Auswahl aktuell im Webinterface.

An sich zumindest mein 82er VLAN. Ob das mit 50 geht habe ich noch nicht ausprobiert weiter. Das ist ja jetzt nicht auf U sondern nur auf T auf dem Trunk. Sollte aber auch funktionieren dann oder?

Und was will die Fehlermeldung von mir?
Mitglied: aqui
aqui 15.10.2021 aktualisiert um 10:40:08 Uhr
Goto Top
Native VLAN mismatch detected on interface te1/0/11. kommt jetzt immer auf dem SX350.
WAS ist am Port te1/0/10 angeschlossen ?? Vermutlich der Catalyst, oder ?
Der sendet über das Cisco Infrastruktur Protokoll CDP seine Native VLAN ID an das Gegenüber aus. Der empfängt das, sieht das seine native VLAN ID anders ist und meckert das an.
Solltest du als Netzwerk Profi eigentlich wissen wenn du Cisco einsetzt ! ;-) face-wink
Ist mehr oder minder kosmetisch nervt aber natürlich auf die Dauer bzw. müllt das Log voll.

CDP ist proprietär und sollte man nicht mehr nutzen. Besser ist es auf den weltweiten Standard LLDP zu gehen. Ganz besonders wenn man eine heterogene Umgebung hat ! Außerdem sollte man immer nur ein Infrastruktur Protokoll nutzen niemals mehrere parallel !
Es gibt 2 Möglichkeiten das zu fixen.
  • Auf dem Catalysten am Koppelport "no cdp enable" eingeben und zusätzlich optional "switchport nonegotiate".
  • Optional CDP global deaktivieren mit "no cdp run". In den SG Modellen "CDP enable" im GUI deaktivieren. Dann LLDP global aktivieren mit "lldp run" bzw. im SG GUI unter LLDP auf "enable" klicken (Default).
Ein "show lldp neig" zeigt dir dann auf dem Catalysten die Nachbarn an. Analog im SG GUI wenn man auf Neigbors klickt.

Einen ganz fatalen Nachteil hast du noch wenn du SG und Catalyst Welt zusammenbringst, den du unbedingt fixen musst wenn du nicht in schwere Fehler laufen willst.
Die Catalysten nutzen PVSTP+ als Spanning Tree Verfahren. Ein Cisco proprietäres Spanning Tree Verfahren was die SG nicht supporten ! Die SGs können nur RSTP im Single Span Verfahren was wiederum die Catalysten nicht können oder MSTP.
Das kleineste gemeinsame Vielfache ist also MSTP !
Wenn du also langfristig nicht in fatale Spanning Tree Probleme laufen willst oder deine Redundanz aufs Spiel setzt, dann MUSST du das entsprechend umstellen !!

Dieser Thread beschreibt genau was zu tun ist:
https://www.administrator.de/frage/spanning-tree-modus-migration-pvst-ms ...
Wichtig ist das du dem 350X sollte der neuer Core Switch sein zwingend eine entsprechende STP Priority modulo 4096 setzt !
Mitglied: hausrocker
hausrocker 15.10.2021 um 11:26:21 Uhr
Goto Top
Ok, mit kosmetisch kann ich vorerst leben und die Catalyst sollen ja ersetzt werden.
Was für schwere Fehler kann das denn bewirken?
Der Port 11 ist der, wo der Catalyst dran ist. Also die Erklärung passt.

Dass die SG nicht mit alten Catalyst zusammenarbeiten wollen, habe ich auch schon gemerkt als wir den ersten ersetzt haben.

Wofür ist das mit STP Priority? Der ist nicht alleine der Hauptknoten auf dem alle Switche hängen, weil wir dann nicht genug SFP Ports hätten.

Ich bin ja eben (leider) nicht ausgewiesener Netzwerk und Cisco Profi. Darum bin ich auch für die Hilfe sehr dankbar.

Um VLAN50 funktional zu kriegen auf einem Port, wenn das aktuell mit 50T auf dem Trunk hängt, stelle ich nur einen Port von 82UP auf 50UP um, richtig?
Mitglied: aqui
aqui 15.10.2021 um 11:41:25 Uhr
Goto Top
Der ist nicht alleine der Hauptknoten auf dem alle Switche hängen,
Mehrere separate oder ein Stack ? Stack gilt ja eh als ein Switch. Bei mehreren bekommt dann der, der die meisten Links hält, z.B. die Prio 8195 und der andere dann 12288.
Alle anderen belässt man auf dem Default Wert 32768. So ist absolut sichergestellt das die direkten Backbone Links zu den Core Switches immer im Forwarding Mode sind !
Passt man die Prio nicht an wird der Core per Zufall ermittelt (niedrigste Mac). In einem redundanten Netz kann das ein mickriger Access Switch dann sein über den sich alle quälen müssen. Die korrekte STP Priotity der Cores in einem strukturierten Netz ist also extrem wichtig.
Was für schwere Fehler kann das denn bewirken?
Toggelnde oder flappende Links. Die dann über die STP Learning und Forwarding Timeouts wechselnde Unterbrechungen u.a. erzeugen können.
Du solltest also immer das STP Log im Auge haben !
Heiß diskutierte Beiträge
question
Achtung VMware, Inc. - SCSIAdapter - 1.3.18.0 virtuelle Server starten nicht mehrBl0ckS1z3Vor 1 TagFrageWindows Server5 Kommentare

Hallo Admins, ich habe heute über das VMware, Inc. - SCSIAdapter - 1.3.18.0 Treiberupdate aus den Windows Updates auf einem virtuellen Server Windows 2012 R2 ...

question
WIN 10 pro for workstations - Was genau ist das?toddehbVor 1 TagFrageWindows 1017 Kommentare

Hi, bin das erste mal über einen PC mit Win 10 Pro for workstations gestolpert und frage mich, was an dieser Edition anders ist, als ...

report
Ist FSLogix das Gelbe vom Ei?dertowaVor 1 TagErfahrungsberichtWindows Userverwaltung9 Kommentare

Hallo allerseits, ich habe mich die letzten Tage eingehend mit FSLogix in meinem Lab befasst und bin noch ein wenig zweigeteilter Meinung. Aktuell produktiv im ...

question
Hotel - Gast WLAN - Hotspot Aufbau und Sicherheit-Haftungaif-getVor 1 TagFrageLAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich würde gerne bei einem Bekannten, der ein kleines Hotel (30 Zimmer - 3 Unify APs) besitzt ein Gäste WLAN aufsetzen, möglichst mit ...

question
VOIP BasisstationWolf6660Vor 1 TagFragePeripheriegeräte18 Kommentare

Hi, ich will meine FritzBox gegen einen MikroTik RB4011iGS+5HacQ2HnD-IN austauschen. Nun benötige ich aber einen VOIP Basisstation. Natürlich könnte ich meine 7590 dazu benutzten aber ...

question
Portbasierten vLans als Ersatz von unabhängigen Switches gelöst cheechybaVor 1 TagFrageNetzwerkmanagement10 Kommentare

Guten Tag liebe Community, im Anhang habe ich eine einfach Skizze angefügt um folgende Idee zu diskutieren und um Hilfe bei der Umsetzung zu bitten. ...

question
CAD Mobil in rauer Umgebunggansa28Vor 1 TagFrageHardware4 Kommentare

Hallo zusammen, Zu meinem Problem: Mein Schwieger Vater bekommt in seinem Metall Produzierenden Gewerbe zwei neue CAD Arbeitsplätze die eine recht hohe Hardware Anforderung haben, ...

general
Automatische Dokumentation von Vorgängen mit Kamerapassy951Vor 1 TagAllgemeinSonstige Systeme6 Kommentare

Hallo zusammen, ich wende mich mal an euch, da ich nicht weiß wie ich das lösen soll bzw. ob es sowas überhaupt zu kaufen gibt. ...