27
Frage zum Design Netzwerk Management VLAN
Hallo!
ich habe 3 Gebäuden und in jedem sind über 200 user.
Also trenne ich diese mit broadcast domänen, mit 3 verschiedenen VLANS.
Für alle switche habe ich allerdings nur ein Management Vlan.
Bedenken habe für den Fall von einem looping.
Falls also in einem Gebäude in einem user VLAN ein looping entsteht, dann ist dieser Vlan betroffen.
Wird aber auch Management VLAN in diesem Gebäude betroffen?
Und Falls ja wird dann Management VLAN auf allen Switches in allen Gebäuden betroffen?
Evtl. sollte ich 3 verschiedene Management Vlans deswegen kreieren, was für mich völlig unlogisch erscheint.
Oder ist Management VLAN von einem looping nicht betroffen und ich liege mit meinen Bedenken völlig falsch?
Vielen Dank!
ich habe 3 Gebäuden und in jedem sind über 200 user.
Also trenne ich diese mit broadcast domänen, mit 3 verschiedenen VLANS.
Für alle switche habe ich allerdings nur ein Management Vlan.
Bedenken habe für den Fall von einem looping.
Falls also in einem Gebäude in einem user VLAN ein looping entsteht, dann ist dieser Vlan betroffen.
Wird aber auch Management VLAN in diesem Gebäude betroffen?
Und Falls ja wird dann Management VLAN auf allen Switches in allen Gebäuden betroffen?
Evtl. sollte ich 3 verschiedene Management Vlans deswegen kreieren, was für mich völlig unlogisch erscheint.
Oder ist Management VLAN von einem looping nicht betroffen und ich liege mit meinen Bedenken völlig falsch?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1326651350
Url: https://administrator.de/contentid/1326651350
Printed on: April 28, 2024 at 13:04 o'clock
27 Comments
Latest comment
Moin,
vielleicht erzählst du erstmal was für Switche du im Einsatz hast?
Haben die keine Loopprotection?
Und wieso stopfst du 200User in ein VLAN? Gibt es da keine sinnvolle Trennung?
Grüße
vielleicht erzählst du erstmal was für Switche du im Einsatz hast?
Haben die keine Loopprotection?
Und wieso stopfst du 200User in ein VLAN? Gibt es da keine sinnvolle Trennung?
Grüße
Das Verhalten eines Loops ist abhängig von deiner Switch Hardware und den darauf konfigurierten STP und Loop Prevention Szenarien.
Leider machst du dazu keinerlei hilfreiche Aussagen was da rennt bzw. konfiguriert ist so das man deine Frage unmöglich zielführend beantworten kann. Da bleibt dann nur die Kristallkugel...
Nur so viel:
Wenn deine Switches ein Single Span Verfahren nutzen, dann reisst ein Loop Event in einem VLAN auch alle anderen VLAN mit in den Orkus.
Wenn deine Switche ein PVSTP (Per VLAN STP) Verfahren nutzen wie PVSTP+ oder MSTP mit Instanzen, dann reisst ein Loop einzig nur das betroffene VLAN runter.
Deine Denke ist aber grundsätzlich falsch, denn normalerweise aktivierst du ja eins dieser STP Verfahren bzw. Protokolle und zusätzlich noch eine Loop Prevention um eben genau solche Loops gar nicht erst auftreten zu lassen.
Wenn das beides sauber konfiguriert ist kommt es zu 99,9% gar nicht erst zu einem Loop was ja auch der tiefere Sinn und Zweck dieser Protokollfeatures ist !!
Generell würde man bei so einem Campus die 3 Gebäude immer routen. Sprich also jedes Gebäude ist eine eigenen L2 Broadcast Domain mit entsprechendem Spanning Tree und Loop Prevention für sich und diese 3 IP Netze würde man dann zentral routen in einem Core. Das hat auch bei einem Single Span Verfahren den Vorteil das Loop Events (die ja nie auftreten sollten wenn sauber konfiguriert !) dann immer nur isoliert pro Gebäude bleiben.
Bei 200 User ist auch eigentlich schon das Maximum erreicht und du solltest dir überlegen ob du auch die Gebäude selber weiter VLAN segmentierst.
Ob man das Management Netz dann als Layer 2 IP Netz Gebäude übergreifend einrichtet oder das pro Gebäude macht ist dann eher eine kosmetische Frage. Sauberer wäre es auch zu routen.
Leider machst du dazu keinerlei hilfreiche Aussagen was da rennt bzw. konfiguriert ist so das man deine Frage unmöglich zielführend beantworten kann. Da bleibt dann nur die Kristallkugel...
Nur so viel:
Wenn deine Switches ein Single Span Verfahren nutzen, dann reisst ein Loop Event in einem VLAN auch alle anderen VLAN mit in den Orkus.
Wenn deine Switche ein PVSTP (Per VLAN STP) Verfahren nutzen wie PVSTP+ oder MSTP mit Instanzen, dann reisst ein Loop einzig nur das betroffene VLAN runter.
Deine Denke ist aber grundsätzlich falsch, denn normalerweise aktivierst du ja eins dieser STP Verfahren bzw. Protokolle und zusätzlich noch eine Loop Prevention um eben genau solche Loops gar nicht erst auftreten zu lassen.
Wenn das beides sauber konfiguriert ist kommt es zu 99,9% gar nicht erst zu einem Loop was ja auch der tiefere Sinn und Zweck dieser Protokollfeatures ist !!
Generell würde man bei so einem Campus die 3 Gebäude immer routen. Sprich also jedes Gebäude ist eine eigenen L2 Broadcast Domain mit entsprechendem Spanning Tree und Loop Prevention für sich und diese 3 IP Netze würde man dann zentral routen in einem Core. Das hat auch bei einem Single Span Verfahren den Vorteil das Loop Events (die ja nie auftreten sollten wenn sauber konfiguriert !) dann immer nur isoliert pro Gebäude bleiben.
Bei 200 User ist auch eigentlich schon das Maximum erreicht und du solltest dir überlegen ob du auch die Gebäude selber weiter VLAN segmentierst.
Ob man das Management Netz dann als Layer 2 IP Netz Gebäude übergreifend einrichtet oder das pro Gebäude macht ist dann eher eine kosmetische Frage. Sauberer wäre es auch zu routen.
2
Moin alikber,
pack die Clients in ein /22er Netz, geht der Ursache für eventuelle Broadcasts nach und konfiguriere die entsprechenden Verursacher einfach korrekt und schon hast du am Ende des Tages auch was positives dazugewonnen. ๐
- weniger Administrationsaufwand
- übersichtlichere Netzstruktur
Was die Loops angeht, warum hast du überhaupt so viele Probleme mit diesen?
Wenn die User in der betreffenden Firma zu oft die Wand- und oder Kabelkanaldosen untereinander patchen, dann empfehle ich bei den entsprechenden Usern eher eine Behandlung mit dem folgenden Admintool. ๐
https://www.getdigital.de/lart-netzwerkpeitsche-cat5-o-nine-tails.html
Aber Vorsicht, ja nicht unbeaufsichtigt liegen lassen!
Bei falscher Handhabung lassen sich damit bis zu 5 Loops gleichzeitig generieren. ๐คช
Gruss Alex
pack die Clients in ein /22er Netz, geht der Ursache für eventuelle Broadcasts nach und konfiguriere die entsprechenden Verursacher einfach korrekt und schon hast du am Ende des Tages auch was positives dazugewonnen. ๐
- weniger Administrationsaufwand
- übersichtlichere Netzstruktur
Was die Loops angeht, warum hast du überhaupt so viele Probleme mit diesen?
Wenn die User in der betreffenden Firma zu oft die Wand- und oder Kabelkanaldosen untereinander patchen, dann empfehle ich bei den entsprechenden Usern eher eine Behandlung mit dem folgenden Admintool. ๐
https://www.getdigital.de/lart-netzwerkpeitsche-cat5-o-nine-tails.html
Aber Vorsicht, ja nicht unbeaufsichtigt liegen lassen!
Bei falscher Handhabung lassen sich damit bis zu 5 Loops gleichzeitig generieren. ๐คช
Gruss Alex
pack die Clients in ein /22er Netz
So einen IP designtechnischen Unsinn muss man sicher nicht weiter kommentieren.Zudem redet der TO im Konjunktiv. Er hat also weder Loops noch sonstwas und will nur sichergehen das er sie proaktiv verhindert.
2
Moin aqui,
aber ich bitte darum.
Den so gut wie bei jedem unserer Kunden sitzen die Mitarbeiter über mindestens drei Gebäude verteilt und arbeiten gemeinsam in einem /22 Netz, zumindest was die Clients angeht.
Und wie soll es bei dem oberen Konzept dann weiter gehen, wenn mal eine richtige Netzsegmentierung ansteht?
3 x VLAN's für VoIP
3 x VLAN's für die Drucker
u.s.w.
... Sprich, Witz komm raus du bist umzingelt.
Einen derartigen Aufwand wegen theoretischen Problemen zu treiben mach die Sache jetzt auch nicht besser. ๐
Beste Grüsse aus BaWü
Alex
pack die Clients in ein /22er Netz
So einen IP designtechnischen Unsinn muss man sicher nicht weiter kommentieren.aber ich bitte darum.
Den so gut wie bei jedem unserer Kunden sitzen die Mitarbeiter über mindestens drei Gebäude verteilt und arbeiten gemeinsam in einem /22 Netz, zumindest was die Clients angeht.
Und wie soll es bei dem oberen Konzept dann weiter gehen, wenn mal eine richtige Netzsegmentierung ansteht?
3 x VLAN's für VoIP
3 x VLAN's für die Drucker
u.s.w.
... Sprich, Witz komm raus du bist umzingelt.
Zudem redet der TO im Konjunktiv. Er hat also weder Loops noch sonstwas und will nur sichergehen das er sie proaktiv verhindert.
Einen derartigen Aufwand wegen theoretischen Problemen zu treiben mach die Sache jetzt auch nicht besser. ๐
Beste Grüsse aus BaWü
Alex
Danke Jungs für eure Vorschläge! (Aqui, Alex)
die Sache ist die: das sind 3 Schulen und die Kids treiben öfters Schabernak...
Ich habe es so übernommen und es war (o himmel ) gar kein Spanning tree konfiguriert!!!
Die Umgebung besteht aus sehr alten HP switchen und ein paar Lancom switchen die neulich gekauft wurden,
also gemischte Umgebung. HP haben nur "legacy-mode Set spanning-tree protocol to operate either in 802.1d
legacy mode or in 802.1s native mode."
siehe unten.
SchulVerwSekr(config)# spanning-tree
bpdu-protection-ti... Set the time for protected ports to be in down state
after receiving unauthorized BPDUs.
clear-debug-counters Clear spanning tree debug counters.
config-name Set the MST region configuration name (default is
switch's MAC address).
config-revision Set the MST region configuration revision number
(default is 0).
force-version Set Spanning Tree protocol compatibility mode.
forward-delay Set time the switch waits between transitioning from
listening to learning and from learning to forwarding
states.
hello-time Set time between messages transmission when the switch
is root.
instance Create, delete or configure an MST instance.
legacy-mode Set spanning-tree protocol to operate either in 802.1d
legacy mode or in 802.1s native mode.
legacy-path-cost Set 802.1d (legacy) or 802.1t (not legacy) default
pathcost values.
max-hops Set the max number of hops in a region before the MST
BPDU is discarded and the information held for a port is
aged (default is 20).
maximum-age Set maximum age of received STP information before it is
discarded.
pending Manipulate pending MSTP configuration.
[ethernet] PORT-LIST Configure the port-specific parameters of the spanning
tree protocol for individual ports.
priority Set the device STP priority (the value is in range of
0-61440 divided into steps of 4096 that are numbered
from 0 to 15, default is step 8).
trap Enable/disable STP traps.
<cr>
Lancom switche werden als edge Swicthe zur verbindung mit einem Router per lwl eingesetzt. Diese haben stp, rstpt, und
Mstp
Jetzt versteht ihr warum ich mir wegen looping sorgenmache
)
Schönen Abend noch!
die Sache ist die: das sind 3 Schulen und die Kids treiben öfters Schabernak...
Ich habe es so übernommen und es war (o himmel ) gar kein Spanning tree konfiguriert!!!
Die Umgebung besteht aus sehr alten HP switchen und ein paar Lancom switchen die neulich gekauft wurden,
also gemischte Umgebung. HP haben nur "legacy-mode Set spanning-tree protocol to operate either in 802.1d
legacy mode or in 802.1s native mode."
siehe unten.
SchulVerwSekr(config)# spanning-tree
bpdu-protection-ti... Set the time for protected ports to be in down state
after receiving unauthorized BPDUs.
clear-debug-counters Clear spanning tree debug counters.
config-name Set the MST region configuration name (default is
switch's MAC address).
config-revision Set the MST region configuration revision number
(default is 0).
force-version Set Spanning Tree protocol compatibility mode.
forward-delay Set time the switch waits between transitioning from
listening to learning and from learning to forwarding
states.
hello-time Set time between messages transmission when the switch
is root.
instance Create, delete or configure an MST instance.
legacy-mode Set spanning-tree protocol to operate either in 802.1d
legacy mode or in 802.1s native mode.
legacy-path-cost Set 802.1d (legacy) or 802.1t (not legacy) default
pathcost values.
max-hops Set the max number of hops in a region before the MST
BPDU is discarded and the information held for a port is
aged (default is 20).
maximum-age Set maximum age of received STP information before it is
discarded.
pending Manipulate pending MSTP configuration.
[ethernet] PORT-LIST Configure the port-specific parameters of the spanning
tree protocol for individual ports.
priority Set the device STP priority (the value is in range of
0-61440 divided into steps of 4096 that are numbered
from 0 to 15, default is step 8).
trap Enable/disable STP traps.
<cr>
Lancom switche werden als edge Swicthe zur verbindung mit einem Router per lwl eingesetzt. Diese haben stp, rstpt, und
Mstp
Jetzt versteht ihr warum ich mir wegen looping sorgenmache
)Schönen Abend noch!
Schulen und die Kids treiben öfters Schabernak...
Das ist schon seit 100 Jahren so und kennen wir alle...siehe Feuerzangenbowle. 
gar kein Spanning tree konfiguriert!!!
Sträflich in so einem Umfeld ! No comment !Lancom switchen die neulich gekauft wurden,
Nächster Kardinalsfehler. In einem Schulumfeld kauft man niemals so einen billigen Mist der noch nicht einmal von Lancom selber hergestellt wird sondern billige China Barebones sind wo Lancom nur seinen Bäppel draufklebt. Entsprechend schlecht sind Featureset und Support. Falsch beraten und Fehlkauf...aber egal.HP haben nur "legacy-mode Set spanning-tree protocol
Oha, das ist wirklich uralt. .1s ist das klassische Spanning Tree. Nicht mehr up to Date, denn heute macht man durch die Bank RSTP 802.1w.Du musst die Lancoms dann also zwangsweise auf STP stellen, denn die HP Gurken können ja kein RSTP.
Was du zudem zwingend machen musst ist dem Core Switch, also der der das Routing bzw. das zentrale Switching macht, eine höhere STP Priority zu verpassen, damit in deinem Netz die STP Root Ports sauber festgelegt werden.
Die STP Priority wird immer in 4096er Schritte vergeben. Wenn du dem Coreswitch also die 8192 gibst ist das OK. Die anderen Switches können immer auf dem Default 36768 verbleiben. (Niredrigerere Wert ist die höhere Priority !)
Jetzt versteht ihr warum ich mir wegen looping sorgenmache
Na ja, wenn man sich planlos so einen Schrott zusammenkauft muss man sich ja nun auch nicht groß wundern, oder ?Aber im Ernst wenn du ALLE Switches auf STP umstellst, dem Core eine richtige Priority gibst wird das schon alles so sein wie du dir das vorstellst. Damit bekommst du zumindestens eine 80%ige Sicherheit hin und unterbindest schon mal einen Großteil der Schabernack Angriffe.
Optimal ist es nicht, denn das verhindert leider deine aktuelle Hardware. Aber es ist allemal besser was du jetzt hast !
Moin alikber,
๐ฎ ... vergiss bitte sofort den Vorschlag mit der CAT5Peitsche. ๐ฌ
Oh ja, bei Schulen habe ich auch schon sehr "lustige" Erfahrungen machen müssen.
Auf jeden Fall hast du mein herzliches Mitleid, den das mit dem Schabernak haben die Kleinen meistens schon viel besser drauf wie die Grossen.
Auf der Anderen Seite, so ist es halt wenn "Jugend forscht" und daher habe ich durchaus auch Verständnis für die Kleinen. Wenn ich da an meine eigene Schulzeit denke, vor allem in der Berufsschule und den Schabernak den wir damals schon mit den Admins (IT verantwortlichen Lehrern) getrieben haben ... ๐๐คฃ๐๐คฃ ... nochmals mein herzlichstes Mitleid.
In dieser besonderen Gefahrenlage diesen Job zu machen verdient eine besondere Achtung und Anerkennung!
๐๐๐
Zu dem technischen Part komme ich etwas später.
Im Vorab, nein, du brauchst kein separates Management V-LAN für die Switche, die kannst du alle in dasselbe Managementnetz/V-LAN reinpacken.
Beste Grüsse aus BaWü
Alex
die Sache ist die: das sind 3 Schulen und die Kids treiben öfters Schabernak...
๐ฎ ... vergiss bitte sofort den Vorschlag mit der CAT5Peitsche. ๐ฌ
Jetzt versteht ihr warum ich mir wegen looping sorgenmache )
)Oh ja, bei Schulen habe ich auch schon sehr "lustige" Erfahrungen machen müssen.
Auf jeden Fall hast du mein herzliches Mitleid, den das mit dem Schabernak haben die Kleinen meistens schon viel besser drauf wie die Grossen.
Auf der Anderen Seite, so ist es halt wenn "Jugend forscht" und daher habe ich durchaus auch Verständnis für die Kleinen. Wenn ich da an meine eigene Schulzeit denke, vor allem in der Berufsschule und den Schabernak den wir damals schon mit den Admins (IT verantwortlichen Lehrern) getrieben haben ... ๐๐คฃ๐๐คฃ ... nochmals mein herzlichstes Mitleid.
In dieser besonderen Gefahrenlage diesen Job zu machen verdient eine besondere Achtung und Anerkennung!
๐๐๐
Zu dem technischen Part komme ich etwas später.
Im Vorab, nein, du brauchst kein separates Management V-LAN für die Switche, die kannst du alle in dasselbe Managementnetz/V-LAN reinpacken.
Beste Grüsse aus BaWü
Alex
die kannst du alle in dasselbe Managementnetz/V-LAN reinpacken.
Spannend wie das dann aussehen soll wenn er die 3 Gebäude routet...
Danke Jungs! Ihr könnt wirklich einem Mut machen unterstützen und über Wasser halten!
Ich werde euren Vorschlägen nachgehen und den Chaos wieder umkehren
Ich werde euren Vorschlägen nachgehen und den Chaos wieder umkehren
Zitat von @aqui:
die kannst du alle in dasselbe Managementnetz/V-LAN reinpacken.
Spannend wie das dann aussehen soll wenn er die 3 Gebäude routet... +- so
Ist natürlich nicht so tolles Design, denn nun hat man in der Gebäude Vernetzung ein Mischmasch zw. Routing und L2 Switching (900) was man vermeiden sollte. Insofern fatal das im Falle eines Loops oder Broadcast Sturms im 900er Management dies alle Gebäude in den Orkus reisst.
Ein gutes (schlingelfestes) Netzdesign sieht anders aus...
Ein gutes (schlingelfestes) Netzdesign sieht anders aus...
Moin aqui,
und wie sollen die Schlingel in das 900er V-LAN reinkommen, wenn dieses nur zum Management der Switche benutzt wird und dieses nur an den Uplinks anliegt? ๐คจ
Und hör mir bitte mit diesem Oldschool Broadcaststurm Blödsinn auf.
Ich denke nicht, dass die Schule noch 386er auf 10 MBit betreibt.
Ferner lassen sich die meisten Broadcasts mit der richtigen Konfiguration der verursachenden Endgeräte, fast auf 0 drehen.
Wir müssen diese Grundsatzdiskussionen unbedingt mal in einen Biergarten verlagern,
Remote und ohne ๐บ ist das so nur halb so lustig. โฎ
Beste Grüsse aus BaWü
Alex
Ist natürlich nicht so tolles Design, denn nun hat man in der Gebäude Vernetzung ein Mischmasch zw. Routing und L2 Switching (900) was man vermeiden sollte. Insofern fatal das im Falle eines Loops oder Broadcast Sturms im 900er Management dies alle Gebäude in den Orkus reisst.
Ein gutes (schlingelfestes) Netzdesign sieht anders aus...
Ein gutes (schlingelfestes) Netzdesign sieht anders aus...
und wie sollen die Schlingel in das 900er V-LAN reinkommen, wenn dieses nur zum Management der Switche benutzt wird und dieses nur an den Uplinks anliegt? ๐คจ
Und hör mir bitte mit diesem Oldschool Broadcaststurm Blödsinn auf.
Ich denke nicht, dass die Schule noch 386er auf 10 MBit betreibt.
Ferner lassen sich die meisten Broadcasts mit der richtigen Konfiguration der verursachenden Endgeräte, fast auf 0 drehen.
Wir müssen diese Grundsatzdiskussionen unbedingt mal in einen Biergarten verlagern,
Remote und ohne ๐บ ist das so nur halb so lustig. โฎ
Beste Grüsse aus BaWü
Alex
Guten Abend!
Aqui meint, wenn man ein einfaches STP konfiguriert und an einer der Schulen die Schlingel ein loop erzeugen in Vlan 100/200/300 dann wird ja 900 auch in Mitleidenschaft gezogen und zwar an allen Schulen, so dass man in Management Vlan niergends rein kommt. Ist das das Problem- habe ich das richtig verstanden?
Aqui meint, wenn man ein einfaches STP konfiguriert und an einer der Schulen die Schlingel ein loop erzeugen in Vlan 100/200/300 dann wird ja 900 auch in Mitleidenschaft gezogen und zwar an allen Schulen, so dass man in Management Vlan niergends rein kommt. Ist das das Problem- habe ich das richtig verstanden?
Wenn es so ist dann sollte man an jeder schule eigenes Management Vlan kreieren. Bis zum Router bleibt dann der Konstrukt zwar betrofen in ganzer Schule, dafür aber die anderen Schulen sind davon frei...
Moin alikber,
๐ค, die Uplinks können tatsächlich den Bach runter gehen ... las mich mal kurz etwas alternatives zaubern. ๐คช
Gruss Alex
Aqui meint, wenn man ein einfaches STP konfiguriert und an einer der Schulen die Schlingel ein loop erzeugen in Vlan 100/200/300 dann wird ja 900 auch in Mitleidenschaft gezogen und zwar an allen Schulen, so dass man in Management Vlan niergends rein kommt. Ist das das Problem- habe ich das richtig verstanden?
๐ค, die Uplinks können tatsächlich den Bach runter gehen ... las mich mal kurz etwas alternatives zaubern. ๐คช
Gruss Alex
Moin alikber,
Ich bin wo es geht gerne ein Freund von Minimalismus, ist einfacher zu administrieren.
Sprich warum 6 VLAN's, wenn es auch mit 4 funktionieren kann. ๐
Beste Grüsse aus BaWü
Alex
Wenn es so ist dann sollte man an jeder schule eigenes Management Vlan kreieren. Bis zum Router bleibt dann der Konstrukt zwar betrofen in ganzer Schule, dafür aber die anderen Schulen sind davon frei...
Ich bin wo es geht gerne ein Freund von Minimalismus, ist einfacher zu administrieren.
Sprich warum 6 VLAN's, wenn es auch mit 4 funktionieren kann. ๐
Beste Grüsse aus BaWü
Alex
Alex, vielen Dank für deine Bilder!
Ich sehe hier ein kleines Problem und zwar angenommen es passiert der Schabernack im Vlan 100.
Durch single STP wird hier T900 auch "kontaminiert".
T900 überträgt durch L2 den "Unfug" weiter in andere Schulen und "kontaminiert" diese dann auch.
Ausserdem T900 ist in jeder Schule auch betroffen...
Ich denke die Variante mit einem LWL kabel bis zum Router und jede Schule hat eigenen Manag Vlan.
zB. T900, T901,T902- dann ist zwar eine Schule voll betroffen, aber die anderen nicht...
Ich sehe hier ein kleines Problem und zwar angenommen es passiert der Schabernack im Vlan 100.
Durch single STP wird hier T900 auch "kontaminiert".
T900 überträgt durch L2 den "Unfug" weiter in andere Schulen und "kontaminiert" diese dann auch.
Ausserdem T900 ist in jeder Schule auch betroffen...
Ich denke die Variante mit einem LWL kabel bis zum Router und jede Schule hat eigenen Manag Vlan.
zB. T900, T901,T902- dann ist zwar eine Schule voll betroffen, aber die anderen nicht...
Moin alikber,
nein, das ist so nicht korrekt, ein Loop im VLAN 100 konterminiert keineswegs automatisch auch das VLAN 900. Der Loop beerdigt lediglich alle Ports und Switche, auf denen das VLAN 100 aufgelegt ist.
Sprich, so wie es oben dargestellt ist, sind die anderen Gebäude von dem Loop im VLAN 100 nicht betroffen.
Du musst aber darauf achten, das bei den Uplinks die vom Gebäudeswitch zum Gebäudeswitch gehen, auch nur das VLAN 900 und sonst nichts anderes drauf liegt.
Geht natürlich auch, dann hast du aber 3 Management Netze zu managen. ๐ฑ๐
Das Thema wurde übrigens auch schon mal hier durchgekaut.
https://community.spiceworks.com/topic/313675-vlan-and-loops
Beste Grüsse aus BaWü
Alex
Ich sehe hier ein kleines Problem und zwar angenommen es passiert der Schabernack im Vlan 100.
Durch single STP wird hier T900 auch "kontaminiert".
T900 überträgt durch L2 den "Unfug" weiter in andere Schulen und "kontaminiert" diese dann auch.
Ausserdem T900 ist in jeder Schule auch betroffen...
Durch single STP wird hier T900 auch "kontaminiert".
T900 überträgt durch L2 den "Unfug" weiter in andere Schulen und "kontaminiert" diese dann auch.
Ausserdem T900 ist in jeder Schule auch betroffen...
nein, das ist so nicht korrekt, ein Loop im VLAN 100 konterminiert keineswegs automatisch auch das VLAN 900. Der Loop beerdigt lediglich alle Ports und Switche, auf denen das VLAN 100 aufgelegt ist.
Sprich, so wie es oben dargestellt ist, sind die anderen Gebäude von dem Loop im VLAN 100 nicht betroffen.
Du musst aber darauf achten, das bei den Uplinks die vom Gebäudeswitch zum Gebäudeswitch gehen, auch nur das VLAN 900 und sonst nichts anderes drauf liegt.
Ich denke die Variante mit einem LWL kabel bis zum Router und jede Schule hat eigenen Manag Vlan.
zB. T900, T901,T902- dann ist zwar eine Schule voll betroffen, aber die anderen nicht...
zB. T900, T901,T902- dann ist zwar eine Schule voll betroffen, aber die anderen nicht...
Geht natürlich auch, dann hast du aber 3 Management Netze zu managen. ๐ฑ๐
Das Thema wurde übrigens auch schon mal hier durchgekaut.
https://community.spiceworks.com/topic/313675-vlan-and-loops
Beste Grüsse aus BaWü
Alex
Ich bin wo es geht gerne ein Freund von Minimalismus
Dann routet man schlicht und einfach zwischen den Gebäuden bzw. hat rein Gebäude bezogene VLANs und macht ein striktes Routing zw. den Gebäuden.Management VLAN dann pro Gebäude. Das kann ja immer die gleiche VLAN ID Struktur pro Gebäude sein:
VLAN 10 = Schüler Kupfer
VLAN 20 = Schüler WLAN
VLAN 30 = Lehrer
VLAN 40 = Verwaltung
VLAN 50 = Management
VLAN 99 = Gebäude Routing Uplinks
Die oder auch jede andere beliebige VLAN Nummerierung kann in jedem Gebäude identisch sein, den es gibt ja eine L3 Trennung.
Das vereinfacht das Management und ob das nun die gleiche VLAN ID ist aber mit unterschiedlicher IP Netzadressierung sollte nun jeder halbwegs intelligente Netzwerk Admin auch mit links managen können, oder ?!
Zitat von @MysticFoxDE:
Moin alikber,
nein, das ist so nicht korrekt, ein Loop im VLAN 100 konterminiert keineswegs automatisch auch das VLAN 900. Der Loop beerdigt lediglich alle Ports und Switche, auf denen das VLAN 100 aufgelegt ist.
Sprich, so wie es oben dargestellt ist, sind die anderen Gebäude von dem Loop im VLAN 100 nicht betroffen.
Du musst aber darauf achten, das bei den Uplinks die vom Gebäudeswitch zum Gebäudeswitch gehen, auch nur das VLAN 900 und sonst nichts anderes drauf liegt.
Geht natürlich auch, dann hast du aber 3 Management Netze zu managen. ๐ฑ๐
Das Thema wurde übrigens auch schon mal hier durchgekaut.
https://community.spiceworks.com/topic/313675-vlan-and-loops
Beste Grüsse aus BaWü
Alex
Moin alikber,
Ich sehe hier ein kleines Problem und zwar angenommen es passiert der Schabernack im Vlan 100.
Durch single STP wird hier T900 auch "kontaminiert".
T900 überträgt durch L2 den "Unfug" weiter in andere Schulen und "kontaminiert" diese dann auch.
Ausserdem T900 ist in jeder Schule auch betroffen...
Durch single STP wird hier T900 auch "kontaminiert".
T900 überträgt durch L2 den "Unfug" weiter in andere Schulen und "kontaminiert" diese dann auch.
Ausserdem T900 ist in jeder Schule auch betroffen...
nein, das ist so nicht korrekt, ein Loop im VLAN 100 konterminiert keineswegs automatisch auch das VLAN 900. Der Loop beerdigt lediglich alle Ports und Switche, auf denen das VLAN 100 aufgelegt ist.
Sprich, so wie es oben dargestellt ist, sind die anderen Gebäude von dem Loop im VLAN 100 nicht betroffen.
Du musst aber darauf achten, das bei den Uplinks die vom Gebäudeswitch zum Gebäudeswitch gehen, auch nur das VLAN 900 und sonst nichts anderes drauf liegt.
Ich denke die Variante mit einem LWL kabel bis zum Router und jede Schule hat eigenen Manag Vlan.
zB. T900, T901,T902- dann ist zwar eine Schule voll betroffen, aber die anderen nicht...
zB. T900, T901,T902- dann ist zwar eine Schule voll betroffen, aber die anderen nicht...
Geht natürlich auch, dann hast du aber 3 Management Netze zu managen. ๐ฑ๐
Das Thema wurde übrigens auch schon mal hier durchgekaut.
https://community.spiceworks.com/topic/313675-vlan-and-loops
Beste Grüsse aus BaWü
Alex
Ups, ich sehe, habe mir managementtechnisch bei einem Loop im VLAN 200 ins Knie geschossen. ๐ฌ
MysticFoxDE dieses Konzept geht kaum auf, weil ich die Schulen nicht mit einander verbinden kann, die sind nämlich alle sternförmig mit dem "zentralen" Router verbunden
Wäre es nicht besser in jedem Gebäude ein L3 Switch zu installieren als edge Switch?
Ich habe verstanden, dass bei STP der Switch, an dem looping entsteht, voll betroffen ist, weil dort auf L2 Ebene alle Ports mit einander kommunizieren können. Da kommen wohl alle Vlans durcheinander...
Nur ist die Frage was geht weiter an die anderen Switche? Ich nehme an wenn looping zB in Vlan 100 entsteht, dann
ist auch vlan 100 auf anderen Switchen betroffen- der Rest nicht. Wie macht man ein looping protect auf dem uplink port?
Wäre es nicht besser in jedem Gebäude ein L3 Switch zu installieren als edge Switch?
Ich habe verstanden, dass bei STP der Switch, an dem looping entsteht, voll betroffen ist, weil dort auf L2 Ebene alle Ports mit einander kommunizieren können. Da kommen wohl alle Vlans durcheinander...
Nur ist die Frage was geht weiter an die anderen Switche? Ich nehme an wenn looping zB in Vlan 100 entsteht, dann
ist auch vlan 100 auf anderen Switchen betroffen- der Rest nicht. Wie macht man ein looping protect auf dem uplink port?
Wäre es nicht besser in jedem Gebäude ein L3 Switch zu installieren als edge Switch?
Das wäre dann die Ideallösung. Jedes Gebäude sähe dann im Grundsatz so aus:
das ist die ideale Lösung- fast fantastisch für meine Verhältnisse )
)
Es reicht eigentlich auch den L3 Core zentral in Gebäude B zu plazieren und die Gebäude A und C dann quasi wie oben in der Skizze als "Access" zu sehen. Das wäre dann ein Bilderbuch Campus Setup. ๐
Moin alikber,
ich hatte zu deiner Anbindungstopologie bisher keine genaueren Infos gehabt und bin daher von einem ähnlichen Konzept ausgegangen, welches ich jüngst an einer benachbarten Gemeinde gesehen habe. ๐
Und eines muss ich auch gleich klarstellen. Um ein mehrschichtiges Netz aufzubauen muss ich normalerweise nicht mal vollständig wach sein. Die Anforderung, das die Netzschichten untereinander "Loopresistent" sind, hatte ich bisher jedoch noch nie auf dem Zettel und die ist absolut nicht ohne.
Wenn du den Loop von Zentralrouter fernhalten möchtest, dann gibt es wahrscheinlich keine andere Lösung.
Fast und ja genau hier liegt die Krux. Du "überlastest/beerdigst" durch den Loop quasi die ASIC des Switches und damit sind alle Ports nicht mehr ansprechbar. Jedoch springt der Loop auf diesem Switch nicht von einem V-LAN auf ein anderes über.
Jup, wenn du einen Loop im VLAN 100 hast, dann sind alle Switche die untereinander verbunden sind
und dieses VLAN verteilen, quasi tod.
Auf den Uplinks konfiguriert man normalerweise kein looping protect.
---
Welche Ressourcen nutzen in deinem Fall die Schulen eigentlich gemeinsam und was betreiben diese autark für sich?
Kannst du von der aktuellen Lage vielleicht eine grobe Skizze machen?
Und gleich im Vorfeld, das was du da haben möchtest ist alleine schon routigtechnisch eine Hausnummer für sich.
Am Ende des Tages muss die Lösung ja noch bezahlbar sein und vor allem muss diese auch nach der Inbetriebnahme noch gepflegt und gehegt werden.
Beste Grüsse aus BaWü
Alex
MysticFoxDE dieses Konzept geht kaum auf, weil ich die Schulen nicht mit einander verbinden kann, die sind nämlich alle sternförmig mit dem "zentralen" Router verbunden
ich hatte zu deiner Anbindungstopologie bisher keine genaueren Infos gehabt und bin daher von einem ähnlichen Konzept ausgegangen, welches ich jüngst an einer benachbarten Gemeinde gesehen habe. ๐
Und eines muss ich auch gleich klarstellen. Um ein mehrschichtiges Netz aufzubauen muss ich normalerweise nicht mal vollständig wach sein. Die Anforderung, das die Netzschichten untereinander "Loopresistent" sind, hatte ich bisher jedoch noch nie auf dem Zettel und die ist absolut nicht ohne.
Wäre es nicht besser in jedem Gebäude ein L3 Switch zu installieren als edge Switch?
Wenn du den Loop von Zentralrouter fernhalten möchtest, dann gibt es wahrscheinlich keine andere Lösung.
Ich habe verstanden, dass bei STP der Switch, an dem looping entsteht, voll betroffen ist, weil dort auf L2 Ebene alle Ports mit einander kommunizieren können. Da kommen wohl alle Vlans durcheinander...
Fast und ja genau hier liegt die Krux. Du "überlastest/beerdigst" durch den Loop quasi die ASIC des Switches und damit sind alle Ports nicht mehr ansprechbar. Jedoch springt der Loop auf diesem Switch nicht von einem V-LAN auf ein anderes über.
Nur ist die Frage was geht weiter an die anderen Switche? Ich nehme an wenn looping zB in Vlan 100 entsteht, dann ist auch vlan 100 auf anderen Switchen betroffen- der Rest nicht.
Jup, wenn du einen Loop im VLAN 100 hast, dann sind alle Switche die untereinander verbunden sind
und dieses VLAN verteilen, quasi tod.
Wie macht man ein looping protect auf dem uplink port?
Auf den Uplinks konfiguriert man normalerweise kein looping protect.
---
Welche Ressourcen nutzen in deinem Fall die Schulen eigentlich gemeinsam und was betreiben diese autark für sich?
Kannst du von der aktuellen Lage vielleicht eine grobe Skizze machen?
Und gleich im Vorfeld, das was du da haben möchtest ist alleine schon routigtechnisch eine Hausnummer für sich.
Am Ende des Tages muss die Lösung ja noch bezahlbar sein und vor allem muss diese auch nach der Inbetriebnahme noch gepflegt und gehegt werden.
Beste Grüsse aus BaWü
Alex
Moin aqui,
Die Hardwareredundanz ist 1A aber im Falle eine Loops fliegt dir bei diesem Konzept dennoch kurzzeitig das Netz um die Ohren, bis die Loopprotection der Switche gegriffen hat.
Oder habe ich da etwas übersehen?
Beste Grüsse aus BaWü
Alex
Das wäre dann die Ideallösung. Jedes Gebäude sähe dann im Grundsatz so aus:
Vom L3 Core ginge dann jeweils ein Link auf die anderen Gebäude. Idealerweise auch mit Redundanz je nachdem wieviel Wert man auf eine Hochverfügbarkeit legt.
Die Hardwareredundanz ist 1A aber im Falle eine Loops fliegt dir bei diesem Konzept dennoch kurzzeitig das Netz um die Ohren, bis die Loopprotection der Switche gegriffen hat.
Oder habe ich da etwas übersehen?
Beste Grüsse aus BaWü
Alex
