gelöst Fortigate 60c (FW-Router) VLAN Konfiguration für zwei Aruba Instant on Switche (NO CLI)

Mitglied: PatrickRed

PatrickRed (Level 1) - Jetzt verbinden

07.08.2020, aktualisiert 20:02 Uhr, 524 Aufrufe, 4 Kommentare

Hallo zusammen,

ich habe hier eine Fortigate 60c an einer Fritzbox stehen, auf der Fortigate konnte ich auf dem Interface "Intern" verschiedene VLAN`S inkl Netzbereiche (Subnetze) konfigurieren.
An der Fortigate FW hängen jetzt zwei Aruba Instant on Switche ohne CLI, Zugriff nur über Web Gui. Die Switche bekommen eine IP vom DHCP des Internen Interfaces der Fortigate Firewall und kommen ins WWW, sprich ich kann rauspingen. Wenn ich nun die Ports der Switche konfiguriere und diese auf die VLAN ID´s tagge, die ich in der Fortigate hinterlegt habe sollte ich doch eine IP aus dem entsprechenden Konfigurieten Subnetz (Vlan ID auf der Fortigate) bekommen? DHCP für VLANs ist auf der FG für alle VLAN´s konfiguriert.

Ist das so korrekt oder bin ich da komplett auf dem Holzweg?

Konfiguration:
wan (www) > Fritzbox (Intern: 10.10.0.1/24) > Fortigate (WAN: 10.10.0.254/24) > FG Intern (Intern: 172.20.0.1/24) > 2x Aruba Switche (172.20.0.5 & 172.20.0.6) Bis dahin sollte alles passen, jetzt möchte ich noch VLan´s für Drucker, Clients und Server etc.

Kann jemand helfen?

Vielen Dank im Voraus
Mitglied: Datax87
LÖSUNG 07.08.2020, aktualisiert um 21:13 Uhr
Wenn ich nun die Ports der Switche konfiguriere und diese auf die VLAN ID´s tagge, die ich in der Fortigate hinterlegt habe sollte ich doch eine IP aus dem entsprechenden Konfigurieten Subnetz (Vlan ID auf der Fortigate) bekommen? DHCP für VLANs ist auf der FG für alle VLAN´s konfiguriert.

Ist das so korrekt oder bin ich da komplett auf dem Holzweg?

Die einzelnen Ports der Aruba-Switche, an die später Endgeräte angeschlossen werden,
müssen auf den Aruba-Switchen als Untagged-Member dem gewünschten VLAN zugewiesen werden.

Pro Switch brauchst du neben den Untagged-Ports (wo z.B. PCs angeschlossen werden) noch einen
Port, der Tagged-Member im dem betreffenden VLAN sein muss.

Das heißt, du musst also auf beiden Aruba-Switches jeweils das gewünschte VLAN hinzufügen (mit der korrekten VLAN-ID natürlich)
und dann die Endgeräte-Ports als Untagged-Member in das betreffende VLAN aufnehmen.

Der Tagged-Port übermittelt wie oben beschrieben im Gegensatz zu den Untagged-Ports die VLAN-IDs
der VLANs, in denen dieser Tagged-Port Member ist.

Frage an der Stelle noch:
Wie sind die beiden Aruba-Switches mit der Schnittstelle "FG Intern" der Fortigate-Firewall verbunden?

Sind die beiden Aruba-Switche untereinander verbunden und der eine der beiden Switche dann mit der Schnittstelle "FG Intern" der
Fortigate-Firewall?

Meine das so:
Fortigate-FW (FG-Intern) ----- Switch A ----- Switch B

Falls dem so ist, dann muss Switch A (der Switch, der mit "FG Intern" der Fortigate-FW verbunden ist) auf seinem Tagged-Port in Richtung
Fortigate-FW die VLAN-Tags beider VLANs übermitteln und zusätzlich einen zweiten Tagged-Port in Richtung Switch B haben. Auf dem Tagged-Port in Richtung Switch B wird dann die VLAN-ID des Switches B übermittelt.
Bitte warten ..
Mitglied: aqui
07.08.2020, aktualisiert um 21:35 Uhr
Wenn das Endgeräte Ports sind ist das falsch, denn diese werden doch logischerweise niemals getaggt ! Endgeräte wie PCs Drucker usw. können keine 802.1q VLAN Tags lesen und verwerfen solche Pakete sofort als Errors. Solche Basics sollte man als Netzwerker aber wissen...
Diese Ports werden immer untagged in das entsprechende VLAN gelegt.
Fazit:
Nochmals das hiesige Grundlagentutorial zu dem Thema lesen und verstehen. Dort findest du auch die passenden Switch Setups aller gängigen Switches.
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Bitte warten ..
Mitglied: PatrickRed
12.08.2020, aktualisiert um 21:39 Uhr
Hallo DataX87,

danke erstmal für deine ausführliche und gute Antwort. Ich habe nur einen Uplink (tagged) von der FW zu einem Switch, die Switche sind untereinander über einen SPF-Ports mit LWL verbunden, ebenfalls tagged.
Port´s auf beiden Switchen (1-6) habe ich jetzt mal untagged und getestet, funktioniert wunderbar.

https://administrator.de/images/c/1/6/f8091964bcf22545b737de2d31677b40.j ...

Vielen Dank für deine Hilfe, hast mir gut weitergeholfen

PS. Ich werde es aber dennoch umkonfigurieren und die zwei Switche separat an die Firewall hängen, damit wenn ein Switch ausfällt der ander wenigstens noch funktioniert. Die Endgeräte mit zwei Netzwerkkarten werde ich dann jeweils an einem Switchport der zwei Switche patchen.
vlan_switche - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: PatrickRed
12.08.2020 um 20:38 Uhr
Hallo Aqui,

danke für deinen Link. Habs auch mittlererweile hinbekommen.
Dank dir nochmal
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
LAN, WAN, Wireless
HP Switch VLAN Konfiguration
staybbFrageLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte eine bereits bestehende Netzwerkstruktur mit VLANs erweitern. Und zwar ist folgendes Szenario vorhanden: HP Layer 2 ...

Switche und Hubs

Aruba 5406r Layer 3 Switch - VLan Routing

gelöst mb1811FrageSwitche und Hubs10 Kommentare

Hallo Zusammen! Zwischen den Tagen habe ich ein wenig Zeit um mich im Labor mit dem Aruba 5406r Layer ...

Switche und Hubs

HP-Aruba Management VLAN

mb1811FrageSwitche und Hubs8 Kommentare

Hallo Zusammen! Wenn ich auf einem Aruba / HP Switch per "management-vlan 2" VLAN 2 als eben solches definiere, ...

LAN, WAN, Wireless

Zwei getrennte WLANs mit Aruba Controller und einem Cisco Switch

gelöst Cookies77FrageLAN, WAN, Wireless6 Kommentare

Hallo Zusammen, wir haben einen Aruba 7030 mit mehreren 303 Access Points und einen Cisco SG350X-48MP zur Verfügung um ...

LAN, WAN, Wireless

VLAN Konfiguration (Lancom AP und Netgear-Switch)

gelöst shindukeFrageLAN, WAN, Wireless3 Kommentare

Hallo zusammen, ich stehe vor einem kleinen Verständnis-/Konfigurationsproblem was die VLAN Konfiguration angeht. Folgende Sachlage Wir benötigen für unsere ...

Firewall

Konfiguration und Auswahl Sophos FW

gelöst mabiesFrageFirewall53 Kommentare

Hallo, möchte nochmal die Diskussion über eine mögliche Sophos XG für unser KMU (100MBit Internetzugang, max. 2 VPN User, ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT