11
Ein Server in einen VLAN Netzwerk
Ich bin gerade dabei ein Netzwerk mit mehrern Servern in ein VLAN netzwerk umzuwandeln. Nun wüste ich gerne wie man den Server ohne zusätzliche oder neue Netzwerkkarten in mehrere zu VLANs bringt ohne das die einzelnen VLANs miteinander kommunizieren können.
Von einen Bekannten habe ich gehört das das vieleicht mittels eins Radius Servers über Mac-Basierende Authentifikation funktionieren könnte.
In dem Netzwerk befinden sich nur HP Procurve Switches und der Haupt Switch ist ein HP Procurve 5300xl
Ich würde mich freuen wenn ihr mir möglichst bald antworten würdet.
Von einen Bekannten habe ich gehört das das vieleicht mittels eins Radius Servers über Mac-Basierende Authentifikation funktionieren könnte.
In dem Netzwerk befinden sich nur HP Procurve Switches und der Haupt Switch ist ein HP Procurve 5300xl
Ich würde mich freuen wenn ihr mir möglichst bald antworten würdet.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 57020
Url: https://administrator.de/contentid/57020
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
11 Kommentare
Neuester Kommentar
es gibt ja die möglichkeit einer schnittstelle mehrere IP-Adresse zuzuweisen... entweder so, oder du setzt einen router ein....
Das mit der Mac Authentifikation ist kompletter Unsinn, denn das ist ein reines Security Feature !
Auch mehrere IP Adressen nutzen dir rein gar nichts, denn die VLANs sind ja port basierend.
Es gibt 2 Möglichkeiten wie das zu realisieren ist wenn du keine zusätzlichen NICs benutzen willst:
1.) Verwendung eines Layer 3 fähigen Switches, der zwischen den VLANs routet.
Das ist technisch die allerbeste Alternative, denn der Server soll ja serven und nicht auch noch routen.
2.) Du verwendest in deinem Server ein Karte die 802.1q fähig ist, die allso tagged Frames von einem VLAN Switch verarbeiten kann. Gute Karten von Intel und anderen Herstellern können das mit den entsprechenden Treibern problemlos.
Du setzt dann so einen Trunk Port 802.1q tagged in jedes VLAN. D.h. jedes VLAN forwarded dort seinen Traffic versehen mit einem sog. Tag nach IEEE 802.1q. In dem Tag steht die VLAN ID deiner VLANs.
Der Treiber erzeugt dann auf dem Server ein Subinterface für jede VLAN ID indem du dann wieder eindeutig das VLAN zuordnen kannst.
Das du damit pro VLAN natürlich unterschiedliche IP Netze verwenden musste sollte klar sein !!!
Nachteil der Lösung 2 ist das der Server dann wieder routen musst sofern du auch VLAN übergreifenden Traffic hast.
Hast du das nicht und die Clients sollen lediglich den Server erreichen und sonst nichts, dann fährst du mit der Lösung 2 am preiswertesten.
Hier erfährst du noch ein paar Details über VLANs:
http://www.heise.de/netze/artikel/77832
Nebenbei bemerkt: Dein HP 5300 kann per default wenigstens ein basic Layer 3 Switching. Wenn du allso alle deine VLANs per Trunk Backbone auf diesem Switch konzentrierst kannst du prima L3 switchen zwischen diesen (routen) und kannst dir ein reines Server VLAN errichten wo du deine Server konzentrierst z.B. Das hängt aber letztlich von deinen Anforderungen und deinem Design ab !
Auch mehrere IP Adressen nutzen dir rein gar nichts, denn die VLANs sind ja port basierend.
Es gibt 2 Möglichkeiten wie das zu realisieren ist wenn du keine zusätzlichen NICs benutzen willst:
1.) Verwendung eines Layer 3 fähigen Switches, der zwischen den VLANs routet.
Das ist technisch die allerbeste Alternative, denn der Server soll ja serven und nicht auch noch routen.
2.) Du verwendest in deinem Server ein Karte die 802.1q fähig ist, die allso tagged Frames von einem VLAN Switch verarbeiten kann. Gute Karten von Intel und anderen Herstellern können das mit den entsprechenden Treibern problemlos.
Du setzt dann so einen Trunk Port 802.1q tagged in jedes VLAN. D.h. jedes VLAN forwarded dort seinen Traffic versehen mit einem sog. Tag nach IEEE 802.1q. In dem Tag steht die VLAN ID deiner VLANs.
Der Treiber erzeugt dann auf dem Server ein Subinterface für jede VLAN ID indem du dann wieder eindeutig das VLAN zuordnen kannst.
Das du damit pro VLAN natürlich unterschiedliche IP Netze verwenden musste sollte klar sein !!!
Nachteil der Lösung 2 ist das der Server dann wieder routen musst sofern du auch VLAN übergreifenden Traffic hast.
Hast du das nicht und die Clients sollen lediglich den Server erreichen und sonst nichts, dann fährst du mit der Lösung 2 am preiswertesten.
Hier erfährst du noch ein paar Details über VLANs:
http://www.heise.de/netze/artikel/77832
Nebenbei bemerkt: Dein HP 5300 kann per default wenigstens ein basic Layer 3 Switching. Wenn du allso alle deine VLANs per Trunk Backbone auf diesem Switch konzentrierst kannst du prima L3 switchen zwischen diesen (routen) und kannst dir ein reines Server VLAN errichten wo du deine Server konzentrierst z.B. Das hängt aber letztlich von deinen Anforderungen und deinem Design ab !
Also wenn ich das mit den Trunk Backbone mache können dann die einzelnen VLANs miteinander kommunizieren und gibt es dabei eine maximale Anzahl an Vlans die ich konzentrieren kann
um zwischen mehreren vlans zu kommunizieren brauchst du routing... genauso, wie du für den verkerh zwischen mehreren subnetzen nen router brauchst... ob das routing über einen router, oder einen layer3-switch erfolgt, ist puschal egal...
zu bedenken ist, dass du die sache mit den vlans nicht zu fein treibst... abteilung ok, aber jede arbeitsstation mit nem eigenen vlan zum server.. das gibt entweder unnötige router-arbeit und nen dicken trunk...
und die vlan-trunk backbone ermöglicht erstmal nur, dass du über eine physische schnittstelle mehrere virtuelle schnittstellen anlegst.. jede virtuelle schnittstelle steht dann in einem anderen vlan. zum kommunizieren zwischen den vlans brauchst du dann wieder nen router o.ä....
und wie aqui schon sagte hast du den schon da, in form des layer3 switches..
zu bedenken ist, dass du die sache mit den vlans nicht zu fein treibst... abteilung ok, aber jede arbeitsstation mit nem eigenen vlan zum server.. das gibt entweder unnötige router-arbeit und nen dicken trunk...
und die vlan-trunk backbone ermöglicht erstmal nur, dass du über eine physische schnittstelle mehrere virtuelle schnittstellen anlegst.. jede virtuelle schnittstelle steht dann in einem anderen vlan. zum kommunizieren zwischen den vlans brauchst du dann wieder nen router o.ä....
und wie aqui schon sagte hast du den schon da, in form des layer3 switches..
Ja natürlich können die VLANs dann über die L3 Funktion kommunizieren !
Gute Switches supporten 4096 VLANs. HP als einer der Billigheimer kann nicht ganz so viel wie fast alle Hersteller in diesem Preissegment, aber 256 VLANs schaffen die auch noch wenn du mal ins Datenbaltt vom 5300er siehst:
http://h20195.www2.hp.com/V2/pdf/c00810589.pdf
(Wenigstens versteht er aber VLAN IDs bis 4096 wenn er .q Traffic mit solchen IDs switchen muss)
Gute Switches supporten 4096 VLANs. HP als einer der Billigheimer kann nicht ganz so viel wie fast alle Hersteller in diesem Preissegment, aber 256 VLANs schaffen die auch noch wenn du mal ins Datenbaltt vom 5300er siehst:
http://h20195.www2.hp.com/V2/pdf/c00810589.pdf
(Wenigstens versteht er aber VLAN IDs bis 4096 wenn er .q Traffic mit solchen IDs switchen muss)
Ich habe Folgendes Problem
Zu Testzwecken habe ich einen Switch mit 2 VLANs konfiguriert. Diese Beiden VLANs sollen nicht miteineander kommunizieren können, jedoch sollen sie mit dem am port 1 angeschlossenen Server komunizieren können. Meines Wissens geht das mit Routing zwischen VLANs.
Meine Erste Frage ist ob ich den VLANs eine IP Adressen zuteilen muss, welche im unterschiedlichen Adressbereich liegen. zB.: Vlan 1: 10.10.100.1, Vlan 2: 10.10.200.1
Ich kann nur einen Static route machen da ich zu testzwecken einen Procurve 2626 benutze.
Um einen Static IP Route zu konfigurieren muss ich folgenden Befehl eingeben:
ip route <ziel ip adresse> <ziel mac adresse> <next-hop ip adresse>
Meine Zweite Frage lautet nun was ich bei den einzelnen adressen eingeben muss und ob ich einen Server überhaupt so anschließen kann.
Für die entgültige Lösung verwende ich den 5308XL welcher bereits RIP beherrscht.
Für diesen Fall habe ich folgendes Beispiel gefunen:
http://www.hp.com/rnd/support/config_examples/5300xl_portbase.pdf
Kann das überhaupt so funktionieren oder habe ich mich dabei Verrannt
Zu Testzwecken habe ich einen Switch mit 2 VLANs konfiguriert. Diese Beiden VLANs sollen nicht miteineander kommunizieren können, jedoch sollen sie mit dem am port 1 angeschlossenen Server komunizieren können. Meines Wissens geht das mit Routing zwischen VLANs.
Meine Erste Frage ist ob ich den VLANs eine IP Adressen zuteilen muss, welche im unterschiedlichen Adressbereich liegen. zB.: Vlan 1: 10.10.100.1, Vlan 2: 10.10.200.1
Ich kann nur einen Static route machen da ich zu testzwecken einen Procurve 2626 benutze.
Um einen Static IP Route zu konfigurieren muss ich folgenden Befehl eingeben:
ip route <ziel ip adresse> <ziel mac adresse> <next-hop ip adresse>
Meine Zweite Frage lautet nun was ich bei den einzelnen adressen eingeben muss und ob ich einen Server überhaupt so anschließen kann.
Für die entgültige Lösung verwende ich den 5308XL welcher bereits RIP beherrscht.
Für diesen Fall habe ich folgendes Beispiel gefunen:
http://www.hp.com/rnd/support/config_examples/5300xl_portbase.pdf
Kann das überhaupt so funktionieren oder habe ich mich dabei Verrannt
Nein, das kann so nicht funktionieren. Eine Funktion wie RIP ist übrigens völlig irrelevant für das was du vorhast.
VLANs generell sind 2 physisch völlig getrennte Broadcast Domains. Auch wenn sie zwar offensichtlich auf einer Hardware zusammen laufen, verhalten sie sich wie 2 separate Switches. Eine Kommunikation im Layer 2 (MAC Layer) ist also generell nicht möglich zwischen ihnen...soll ja auch so sein !
Wenn du nun einen Server hast der mit diesen VLANs kommunizieren soll, muss dieser Server 2 Netzwerkkarten haben ! Eine kommt in das VLAN x und die andere ins VLAN y.
Das würde das lösen was du vorhast und beantwortet dir gleichzeitig deine Frage ob du 2 unterschiedliche IP Netze pro VLAN konfigurieren musst !!!
Antwort a:
Nein, wenn diese Netze autark und allein arbeiten. Da sie sich nicht sehen untereinander, kann man auch das gleich IP Netz benutzen.
Antwort b:
Ja, unbedingt wenn ich zwischen diesen IP Adressen kommunizieren muss (Routing) oder wenn ein Server je einen Zugang zu diesem VLAN haben muss ! Ist die unterschiedliche IP Adressierung nicht gegeben, müsstest du 2 mal dasgleiche IP Netzwerk auf so einem Server konfigurieren und das geht serverseitig nicht !!!
Lediglich die Art und Weise wie du den Server an den Switch anbindest kannst du sehr unterschiedlich gestalten:
1.) Du nimmst 2 Netzwerkkarten mit der Prozedur wie oben beschrieben...
2.) Du nimmst eine Netzwerkkarte mit 2 Ports auf einer Karte, die sich wie 2 NICs verhalten und schliesst sie so an wie Punkt 1.
3.) Die eleganteste Methode: Du nimmst eine Netzwerkkarte mit einem 100 oder 1000 Mbit Port die Tagging fähig ist nach 802.1q (wie z.B. die von Intel und anderen).
Dann definierst du auf deinem HP Switch einen Ethernet Port den du tagged jeweils in beide VLANs hängst wie z.B. (Auszug HP Konfig):
vlan 10
name "Buchhaltung"
untagged 1-10
tagged 24
exit
vlan 20
name "Produktion"
untagged 11-23
tagged 24
exit
An dem Port 24 hängt dann dein Server und er ist mit je einem Bein in VLAN 10 und VLAN 20 die nicht untereinander kommunizieren können (Clients an den Ports 1 bis 10 (10) und 11 bis 23 (20) )
Nur tagged Ports können bei portbasierenden VLANs mehrfach vergeben werden bzw. in mehreren VLANs sein, keine untagged also Endgeräte Ports !!!
Wichtig ist das der Kartentreiber bzw. die Karte Tagging nach IEEE 802.1q versteht. Der Treiber erzeugt dir dann 2 virtuelle Interfaces auf dem Server, wo du eins dem VLAN 10 zuweist (VLAN Tag ID 10) und das andere dem VLAN 20 und ihnen da dann wieder die entsprechenden IPs vergibst.
Auch hier müssen die VLANs natürlich wieder in unterschiedlichen IP Netzen sein, wie es eigentlich sowieso generell bei VLAN Betreib auf Switches üblich ist.
In diesem Szenario benötigst du kein Routing auf dem Switch ! Musst allerdings auch darauf achten das der Server nicht routet sonst hast du einen Backdoor Router der dir ggf. hinter deinem Rücken wieder eine Kommunikation zwischen den VLANs erlaubt was ja nicht sein soll !!!
VLANs generell sind 2 physisch völlig getrennte Broadcast Domains. Auch wenn sie zwar offensichtlich auf einer Hardware zusammen laufen, verhalten sie sich wie 2 separate Switches. Eine Kommunikation im Layer 2 (MAC Layer) ist also generell nicht möglich zwischen ihnen...soll ja auch so sein !
Wenn du nun einen Server hast der mit diesen VLANs kommunizieren soll, muss dieser Server 2 Netzwerkkarten haben ! Eine kommt in das VLAN x und die andere ins VLAN y.
Das würde das lösen was du vorhast und beantwortet dir gleichzeitig deine Frage ob du 2 unterschiedliche IP Netze pro VLAN konfigurieren musst !!!
Antwort a:
Nein, wenn diese Netze autark und allein arbeiten. Da sie sich nicht sehen untereinander, kann man auch das gleich IP Netz benutzen.
Antwort b:
Ja, unbedingt wenn ich zwischen diesen IP Adressen kommunizieren muss (Routing) oder wenn ein Server je einen Zugang zu diesem VLAN haben muss ! Ist die unterschiedliche IP Adressierung nicht gegeben, müsstest du 2 mal dasgleiche IP Netzwerk auf so einem Server konfigurieren und das geht serverseitig nicht !!!
Lediglich die Art und Weise wie du den Server an den Switch anbindest kannst du sehr unterschiedlich gestalten:
1.) Du nimmst 2 Netzwerkkarten mit der Prozedur wie oben beschrieben...
2.) Du nimmst eine Netzwerkkarte mit 2 Ports auf einer Karte, die sich wie 2 NICs verhalten und schliesst sie so an wie Punkt 1.
3.) Die eleganteste Methode: Du nimmst eine Netzwerkkarte mit einem 100 oder 1000 Mbit Port die Tagging fähig ist nach 802.1q (wie z.B. die von Intel und anderen).
Dann definierst du auf deinem HP Switch einen Ethernet Port den du tagged jeweils in beide VLANs hängst wie z.B. (Auszug HP Konfig):
vlan 10
name "Buchhaltung"
untagged 1-10
tagged 24
exit
vlan 20
name "Produktion"
untagged 11-23
tagged 24
exit
An dem Port 24 hängt dann dein Server und er ist mit je einem Bein in VLAN 10 und VLAN 20 die nicht untereinander kommunizieren können (Clients an den Ports 1 bis 10 (10) und 11 bis 23 (20) )
Nur tagged Ports können bei portbasierenden VLANs mehrfach vergeben werden bzw. in mehreren VLANs sein, keine untagged also Endgeräte Ports !!!
Wichtig ist das der Kartentreiber bzw. die Karte Tagging nach IEEE 802.1q versteht. Der Treiber erzeugt dir dann 2 virtuelle Interfaces auf dem Server, wo du eins dem VLAN 10 zuweist (VLAN Tag ID 10) und das andere dem VLAN 20 und ihnen da dann wieder die entsprechenden IPs vergibst.
Auch hier müssen die VLANs natürlich wieder in unterschiedlichen IP Netzen sein, wie es eigentlich sowieso generell bei VLAN Betreib auf Switches üblich ist.
In diesem Szenario benötigst du kein Routing auf dem Switch ! Musst allerdings auch darauf achten das der Server nicht routet sonst hast du einen Backdoor Router der dir ggf. hinter deinem Rücken wieder eine Kommunikation zwischen den VLANs erlaubt was ja nicht sein soll !!!
Sorry habe oben nicht mac sondern Sup net mask gemeint war nicht bei der Sache
So jetzt zu deiner Antwort. Gibt es nicht die möglichkeit mit IP Routing einen Server anzuschließen. Im netzwerk ist nämlich nicht nur ein Server sondern 8 und es sind nicht nur 2 Vlans sondern 13. Es muss doch eine möglichkeit geben den Server anzuschließen ohne sich eine neue Netzwerkkarte zu kaufen.
Wenn das mit dem IP Routing nicht funktioniert bleibt doch noch die lösung der Linux server. Denn wenn ich mich recht entsinne versteht linux die Tagged frames auch ohne spezeille Netzwerkkarte.
Aber Mit IP Routing muss das doch auch funktionieren. Bei allen Skizzen in den Pdfs der Switches ist ein Router zwischen den Vlans und den Server geschlossen. Deshalb glaube ich das zumindest der 5308XL die Funktion dieses Routers übernehmen kann. Weiters steht auch unter wikipedia das man VLANs mittels Routing verbinden kann.
So jetzt zu deiner Antwort. Gibt es nicht die möglichkeit mit IP Routing einen Server anzuschließen. Im netzwerk ist nämlich nicht nur ein Server sondern 8 und es sind nicht nur 2 Vlans sondern 13. Es muss doch eine möglichkeit geben den Server anzuschließen ohne sich eine neue Netzwerkkarte zu kaufen.
Wenn das mit dem IP Routing nicht funktioniert bleibt doch noch die lösung der Linux server. Denn wenn ich mich recht entsinne versteht linux die Tagged frames auch ohne spezeille Netzwerkkarte.
Aber Mit IP Routing muss das doch auch funktionieren. Bei allen Skizzen in den Pdfs der Switches ist ein Router zwischen den Vlans und den Server geschlossen. Deshalb glaube ich das zumindest der 5308XL die Funktion dieses Routers übernehmen kann. Weiters steht auch unter wikipedia das man VLANs mittels Routing verbinden kann.
Keine Sorge Windows bzw. die Treiber bestimmter Karten verstehen diese Tags auch....allerdings Linux hat sowas gleich an Bord (wie so immer...)
Natürlich musst du nicht 13 NICs in deine Server stecken, das wäre ja auch kompletter Blödsinn ! Nein, normalerweise generiert man in so einem Campus LAN ein Server VLAN und konsolidiert alle Server dort.
Alle VLANs ziehst du zentral über deine Backbone 802.1q tagged Uplinks auf deinen oder deine Core Switches. Normalerweise hat man davon 2 mit VRRP aus Redundanz- bzw. Ausfallgründen um so ein Hochverfügbarkeitsszenrario zu schaffen im LAN und Ausfallzeiten zu minimieren. Also ein klassisches Design !
Über diese 802.1q Backbone Trunks liegen dann alle VLANs auf dem oder den Core Switches auf, diese sollten natürlich Layer 3 können um zwischen den VLANs routen zu können, das ist klar. Also folglich haben diese Core Switches immer ein L3 IP Interface in jedem VLAN, das dann das def. Gateway der Server und Clients in jedem VLAN ist. Die Core Switches machen dann ein L3 Switching (Routing) und verbinden so alle VLANs transparent so das eine Kommunikation untereinander problemlos möglich ist.
Bei VLANs wo du keine Kommunikation untereinander wünschst, hast du 2 Möglichkeiten:
a.) Du arbeitest mit Accesslisten auf dem Core System um so den Zugang zu reglementieren !
b.) Du trägst einfach kein L3 IP Interface am Core Switch ein, isolierst so ein oder einzelne VLANs und dann gibts auch kein Routing.
Dann allerdings musst du über eine zusätzliche NIC oder eine taggingfähige Netzkarte direkt einen Zugang zum Server schaffen.
Natürlich musst du nicht 13 NICs in deine Server stecken, das wäre ja auch kompletter Blödsinn ! Nein, normalerweise generiert man in so einem Campus LAN ein Server VLAN und konsolidiert alle Server dort.
Alle VLANs ziehst du zentral über deine Backbone 802.1q tagged Uplinks auf deinen oder deine Core Switches. Normalerweise hat man davon 2 mit VRRP aus Redundanz- bzw. Ausfallgründen um so ein Hochverfügbarkeitsszenrario zu schaffen im LAN und Ausfallzeiten zu minimieren. Also ein klassisches Design !
Über diese 802.1q Backbone Trunks liegen dann alle VLANs auf dem oder den Core Switches auf, diese sollten natürlich Layer 3 können um zwischen den VLANs routen zu können, das ist klar. Also folglich haben diese Core Switches immer ein L3 IP Interface in jedem VLAN, das dann das def. Gateway der Server und Clients in jedem VLAN ist. Die Core Switches machen dann ein L3 Switching (Routing) und verbinden so alle VLANs transparent so das eine Kommunikation untereinander problemlos möglich ist.
Bei VLANs wo du keine Kommunikation untereinander wünschst, hast du 2 Möglichkeiten:
a.) Du arbeitest mit Accesslisten auf dem Core System um so den Zugang zu reglementieren !
b.) Du trägst einfach kein L3 IP Interface am Core Switch ein, isolierst so ein oder einzelne VLANs und dann gibts auch kein Routing.
Dann allerdings musst du über eine zusätzliche NIC oder eine taggingfähige Netzkarte direkt einen Zugang zum Server schaffen.
OK erstmal danke das du dir bei mir so viel mühe gibst.
Also bis jetzt habe ich das ganze so verstanden
1. Ein VLAN erzeugen in dem alle Ports sind welche zu den Servern führen
2. Alle anderen VLANs müssen über die anderen Switches zum core Switch übertragen werden
Ab jetzt wird es mir etwas unklar wie ich die Trunk Einstellungen der Ports vornehmen soll und muss ich nun irgendwelche Routing Einstellungen treffen damit der Switch zwischen den VLANs routet.
Könntest du mir das noch etwas näher erklären oder kannst du mir ein Manual empfählen.
Und wie kann Accesslisten auf den Switch konfigurieren, kannst du mir auch hier vieleicht ein Manual empfählen.
Und eine Frage welche ich mir schon lange beschäftigt. Was nützt ein VLAN wenn dann doch wieder alle VLANs miteinander Kommunizieren können. Der Broadcast bleibt doch gleich.
Also bis jetzt habe ich das ganze so verstanden
1. Ein VLAN erzeugen in dem alle Ports sind welche zu den Servern führen
2. Alle anderen VLANs müssen über die anderen Switches zum core Switch übertragen werden
Ab jetzt wird es mir etwas unklar wie ich die Trunk Einstellungen der Ports vornehmen soll und muss ich nun irgendwelche Routing Einstellungen treffen damit der Switch zwischen den VLANs routet.
Könntest du mir das noch etwas näher erklären oder kannst du mir ein Manual empfählen.
Und wie kann Accesslisten auf den Switch konfigurieren, kannst du mir auch hier vieleicht ein Manual empfählen.
Und eine Frage welche ich mir schon lange beschäftigt. Was nützt ein VLAN wenn dann doch wieder alle VLANs miteinander Kommunizieren können. Der Broadcast bleibt doch gleich.
Ja die Vorgehensweise ist so richtig. Das Trunking (tagging nach 802.1q) aktivierst du dann nur auf deinen Backbonelinks, die die Access Switches mit dem CoreSwitch verbinden. So werden dann alle VLANs transparent auf den Core Switch übertragen.
Bei HP sieht das im CLI dann z.B. für ein zwei VLANs so aus:
vlan 10
name "Buchhaltung"
untagged 1-10
tagged 24
exit
vlan 20
name "Produktion"
untagged 11-23
tagged 24
exit
Der Port 24 ist dann dein Backbone Trunk zum Core Switch. Dort sieht es dann so aus:
vlan 10
name "Buchhaltung"
untagged 2-10
tagged 1
ip address 172.16.2.254 255.255.255.0
exit
vlan 20
name "Produktion"
untagged 11-23
tagged 1
ip address 192.168.10.254 255.255.255.0
exit
Diese IPs auf dem Core sind dann deine Gatewys pro VLAN bei den dortigen Endgeräten. Die L3 Konfig ist nur ein Beispiel da ich nicht genau weiss wie HP das implementiert. ggf. ist die Konfig etwas anders aber ein Blick ins Handbuch zum Thema L3 sollte das schnell klären.
Dort werden dann auch die ACLs gesetzt. So z.B.:
vlan 20
name "Produktion"
untagged 11-23
tagged 1
ip address 192.168.10.254 255.255.255.0
access-group 100 in
exit
access-list 100
permit ip 192.168.20.0 0.0.0.255 172.16.2.0 0.0.0.255
Das würde vom VLAN 10 nur eine IP Kommunikation ausschliesslich zum VLAN 20 erlauben z.B.
Bei HP sieht das im CLI dann z.B. für ein zwei VLANs so aus:
vlan 10
name "Buchhaltung"
untagged 1-10
tagged 24
exit
vlan 20
name "Produktion"
untagged 11-23
tagged 24
exit
Der Port 24 ist dann dein Backbone Trunk zum Core Switch. Dort sieht es dann so aus:
vlan 10
name "Buchhaltung"
untagged 2-10
tagged 1
ip address 172.16.2.254 255.255.255.0
exit
vlan 20
name "Produktion"
untagged 11-23
tagged 1
ip address 192.168.10.254 255.255.255.0
exit
Diese IPs auf dem Core sind dann deine Gatewys pro VLAN bei den dortigen Endgeräten. Die L3 Konfig ist nur ein Beispiel da ich nicht genau weiss wie HP das implementiert. ggf. ist die Konfig etwas anders aber ein Blick ins Handbuch zum Thema L3 sollte das schnell klären.
Dort werden dann auch die ACLs gesetzt. So z.B.:
vlan 20
name "Produktion"
untagged 11-23
tagged 1
ip address 192.168.10.254 255.255.255.0
access-group 100 in
exit
access-list 100
permit ip 192.168.20.0 0.0.0.255 172.16.2.0 0.0.0.255
Das würde vom VLAN 10 nur eine IP Kommunikation ausschliesslich zum VLAN 20 erlauben z.B.
