11
Bitte um Hilfe bei VXLAN Konfiguration (OPNsense)
Hallo, Leute,
Wir hoffen, dass ihr uns bei der Einrichtung von VXLAN unterstützen könnt.
Wir haben das folgende Szenario:
Wir haben einen Standort (Seite A) mit einem Opennebula-Cluster einschließlich Fujitsu PSwitch für das Netzwerk und einen Standort (Seite B) mit einem Fujitsu PSwitch und zwei Rechen knoten aus dem Opennebula-Cluster.
Zwischen den beiden Standorten befindet sich auf Seite A die OPNsense und dahinter mehrere Cisco-Switches, die von uns nicht administriert werden können.
Auf der extern verwalteten Verbindung erhalten wir ein Access VLan 71.
Im Opennebua-Cluster wird es eine produktive Anzahl X von VLan-Netzwerken geben.
Unser Ziel ist es, Seite A und Seite B so zu verbinden, dass beide Standorte logisch eins werden.
Wir wollten zuerst Q-in-Q verwenden, aber das wird in der neuesten OPNsense-Version nicht mehr unterstützt.
Jetzt wollen wir unser Glück mit VXLAN versuchen.
Es gibt zwei physische Schnittstellen, die als Brücke verwendet werden. Diese Bridge hat die IP-Adresse 172.16.0.1/24 und ist mit dem PSwitch verbunden. Auf dieser Schnittstelle haben wir ein VXLAN mit dem VNI 10, der Source-Adresse 172.16.0.1 und der Remote-Adresse 172.16.0.2 (PSwitch-IP) erstellt.
Der nächste Schritt war die Erstellung eines VLANs für das Vxlan. Dieses wird für die Client-Netzwerk-Kommunikation verwendet und verfügt über ein weiteres Netzwerk.
Ist das die richtige Konfiguration oder muss ich auf dem vxlan eine neue Schnittstelle zuweisen? Muss ich mir ein Client-Netzwerk für die Kommunikation auf dieser Schnittstelle zuweisen, ohne ein VLAN zu erstellen, oder muss ich alle Schritte durchführen?
Kennt vllt. jemand eine bessre Dokumentation als docs.opnsense.org?
Ansonsten würden wir uns auch sehr über eine kurze erklärung zu VXLAN freuen, da wir leider noch wenig Berührungspunkte mit hatten.
Oder hat vllt. jemand einen Alternativvorschlag um die VLANs durch das VLAN 71 zu tunneln?
Vielen Dank
Wir hoffen, dass ihr uns bei der Einrichtung von VXLAN unterstützen könnt.
Wir haben das folgende Szenario:
Wir haben einen Standort (Seite A) mit einem Opennebula-Cluster einschließlich Fujitsu PSwitch für das Netzwerk und einen Standort (Seite B) mit einem Fujitsu PSwitch und zwei Rechen knoten aus dem Opennebula-Cluster.
Zwischen den beiden Standorten befindet sich auf Seite A die OPNsense und dahinter mehrere Cisco-Switches, die von uns nicht administriert werden können.
Auf der extern verwalteten Verbindung erhalten wir ein Access VLan 71.
Im Opennebua-Cluster wird es eine produktive Anzahl X von VLan-Netzwerken geben.
Unser Ziel ist es, Seite A und Seite B so zu verbinden, dass beide Standorte logisch eins werden.
Wir wollten zuerst Q-in-Q verwenden, aber das wird in der neuesten OPNsense-Version nicht mehr unterstützt.
Jetzt wollen wir unser Glück mit VXLAN versuchen.
Es gibt zwei physische Schnittstellen, die als Brücke verwendet werden. Diese Bridge hat die IP-Adresse 172.16.0.1/24 und ist mit dem PSwitch verbunden. Auf dieser Schnittstelle haben wir ein VXLAN mit dem VNI 10, der Source-Adresse 172.16.0.1 und der Remote-Adresse 172.16.0.2 (PSwitch-IP) erstellt.
Der nächste Schritt war die Erstellung eines VLANs für das Vxlan. Dieses wird für die Client-Netzwerk-Kommunikation verwendet und verfügt über ein weiteres Netzwerk.
Ist das die richtige Konfiguration oder muss ich auf dem vxlan eine neue Schnittstelle zuweisen? Muss ich mir ein Client-Netzwerk für die Kommunikation auf dieser Schnittstelle zuweisen, ohne ein VLAN zu erstellen, oder muss ich alle Schritte durchführen?
Kennt vllt. jemand eine bessre Dokumentation als docs.opnsense.org?
Ansonsten würden wir uns auch sehr über eine kurze erklärung zu VXLAN freuen, da wir leider noch wenig Berührungspunkte mit hatten.
Oder hat vllt. jemand einen Alternativvorschlag um die VLANs durch das VLAN 71 zu tunneln?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 579368
Url: https://administrator.de/contentid/579368
Printed on: May 7, 2024 at 21:05 o'clock
11 Comments
Latest comment
Morgen,
Warum plant ihr eure Umgebung so, dass ihr aus dem "nichts wissen" direkt in die Produktivumgebung gehen wollt?
Was macht ihr, wenn das Mal - live - Probleme macht? Wieder hier fragen und hoffen? Klingt nach keinem guten Plan.
Ihr solltet euch besser überlegen entweder a know how auf zu bauen oder b dieses einzukaufen, ggf auch beides kombinieren.
Grüße,
Christian
Warum plant ihr eure Umgebung so, dass ihr aus dem "nichts wissen" direkt in die Produktivumgebung gehen wollt?
Was macht ihr, wenn das Mal - live - Probleme macht? Wieder hier fragen und hoffen? Klingt nach keinem guten Plan.
Ihr solltet euch besser überlegen entweder a know how auf zu bauen oder b dieses einzukaufen, ggf auch beides kombinieren.
Grüße,
Christian
1
Guten Morgen,
Prinzipiell gebe ich dir völlig recht!
Leider wurde die Umsetzung dieses doch recht Interessanten Projektes nicht mit uns Technikern geplant sondern rein von Vertriebsseiten.
Die Umgebung ist vom Kunden selber als reine Spielwiese gedacht. Eine Art Forschungsprojekt.
Unser Problem besteht in dem ganzen Konstrukt besteht eigentlich nur darin, das wir vom dazwischen liegendem Rechenzentrum nur ein Access VLAN 71 gestellt bekommen und wir von einem Standort zum nächsten andere VLANs über genau jenes Transportieren müssen.
Vielen Dank erstmal für die Antwort.
Prinzipiell gebe ich dir völlig recht!
Leider wurde die Umsetzung dieses doch recht Interessanten Projektes nicht mit uns Technikern geplant sondern rein von Vertriebsseiten.
Die Umgebung ist vom Kunden selber als reine Spielwiese gedacht. Eine Art Forschungsprojekt.
Unser Problem besteht in dem ganzen Konstrukt besteht eigentlich nur darin, das wir vom dazwischen liegendem Rechenzentrum nur ein Access VLAN 71 gestellt bekommen und wir von einem Standort zum nächsten andere VLANs über genau jenes Transportieren müssen.
Vielen Dank erstmal für die Antwort.
In dem Fall kann man dir raten zum Vertrieb zu gehen, damit dieser mit dem Einkauf redet, damit die die entsprechenden Rahmenbedingungen schaffen. Wenn es ein entsprechendes Forschungsprojekt (ab "0") wäre, dann wäre eine Frage hier und so wohl nicht nötig, da Schulungen gestellt werden würden.
Zum rein organisatorischen kommt dazu schliesslich auch das Netzdesign, Routing, die Frage nach dem Durchsatz etc etc.
Wenn das später nämlich ein Schlag ins Wasser wird, kann weder der Kunde noch du was dafür, aber du bist der Böse.
Zum rein organisatorischen kommt dazu schliesslich auch das Netzdesign, Routing, die Frage nach dem Durchsatz etc etc.
Wenn das später nämlich ein Schlag ins Wasser wird, kann weder der Kunde noch du was dafür, aber du bist der Böse.
Hallo Certified.net,
Wie gesagt bin ich bei deinen einwenden voll bei dir.
Doch viele Aspekte des Projektes konnten wir Know-How technisch selbst aneignen, durch sehr gute Entwickler Dokumentationen und Testumgebungen.
Leider wurde uns durch unser ursprüngliches Konzept ein Strich durch die Rechnung seitens externes Rechenzentrum gemacht.
So das wir nun nach alternativen Fanden müssen.
VXLAN ist an sich ja nicht all zu schwer aber doch hier und da recht lückenhaft Dokumentiert.
Da es ein reines Forschungsprojekt ist, spielt es auch für den Kunden keine rolle ob der Durchsatz dann genau so ist wie er sich das erhoffte (auch mit ihm abgesprochen).
Uns geht es hier rein um die möglichkeit überhaupt über das gegebene VLAN 71 vom Rechenzentrum unsere VLANs zu übermitteln.
Gruß
Wie gesagt bin ich bei deinen einwenden voll bei dir.
Doch viele Aspekte des Projektes konnten wir Know-How technisch selbst aneignen, durch sehr gute Entwickler Dokumentationen und Testumgebungen.
Leider wurde uns durch unser ursprüngliches Konzept ein Strich durch die Rechnung seitens externes Rechenzentrum gemacht.
So das wir nun nach alternativen Fanden müssen.
VXLAN ist an sich ja nicht all zu schwer aber doch hier und da recht lückenhaft Dokumentiert.
Da es ein reines Forschungsprojekt ist, spielt es auch für den Kunden keine rolle ob der Durchsatz dann genau so ist wie er sich das erhoffte (auch mit ihm abgesprochen).
Uns geht es hier rein um die möglichkeit überhaupt über das gegebene VLAN 71 vom Rechenzentrum unsere VLANs zu übermitteln.
Gruß
Leider wurde uns durch unser ursprüngliches Konzept ein Strich durch die Rechnung seitens externes Rechenzentrum gemacht.
So das wir nun nach alternativen Fanden müssen.
VXLAN ist an sich ja nicht all zu schwer aber doch hier und da recht lückenhaft Dokumentiert.
Warum baut ihr euch nicht einfach eine Testumgebung unabhängig vom Kunden auf und probiert rum? Ist doch nun nicht so schwer.So das wir nun nach alternativen Fanden müssen.
VXLAN ist an sich ja nicht all zu schwer aber doch hier und da recht lückenhaft Dokumentiert.
Hallo Wuebra,
Eine Testumgebung haben wir parallel erstellt, mit ähnlichen Parametern.
Nur dachte ich wir kommen evtl. schneller an Ergebnisse wenn mann anderweitig zusätzliche Informationen einholt.
Evtl. hatte ja jemand hier schon einmal dieses Szenario.
Gruß
Eine Testumgebung haben wir parallel erstellt, mit ähnlichen Parametern.
Nur dachte ich wir kommen evtl. schneller an Ergebnisse wenn mann anderweitig zusätzliche Informationen einholt.
Evtl. hatte ja jemand hier schon einmal dieses Szenario.
Gruß
Wichtig ist einzig nur das die VxLAN Tunnelendpunkte (VTEPs) sich über das VLAN 71 "sehen" können, sprich sich IP technisch erreichen können. Das ist erstmal ja nur simpelstes IP Routing.
Wichtig ist doch zuallerst nur das die VTEP Tunnelendpunkte IP technisch einen Tunnel etablieren können und dazu müssen sie sich zuallererst mal aus IP Sicht erreichen können um eben den Tunnel aufbauen zu können.
Der Rest ist dann VxLAN Standard.
Es wäre also einmal hilfreich hier skizziert zu bekommen wie überhaupt der IP Unterbau aussieht der dazu ja zwingend erforderlich ist.
Aber da du ja selber den Thread jetzt auf "Gelöst" geklickt hast ist es ja nun eh egal da alles gelöst ist !
Wichtig ist doch zuallerst nur das die VTEP Tunnelendpunkte IP technisch einen Tunnel etablieren können und dazu müssen sie sich zuallererst mal aus IP Sicht erreichen können um eben den Tunnel aufbauen zu können.
Der Rest ist dann VxLAN Standard.
Es wäre also einmal hilfreich hier skizziert zu bekommen wie überhaupt der IP Unterbau aussieht der dazu ja zwingend erforderlich ist.
Aber da du ja selber den Thread jetzt auf "Gelöst" geklickt hast ist es ja nun eh egal da alles gelöst ist !
Das mit "gelöst" war tatsächlich nur ein versehen.
Eine Skizze kann ich gern anfertigen, was ich grade davon hier habe ist evtl. nicht sehr ersichtlich.
Eine Skizze kann ich gern anfertigen, was ich grade davon hier habe ist evtl. nicht sehr ersichtlich.
Das mit "gelöst" war tatsächlich nur ein versehen.
Und warum korrigierst DU als Thread Owner das dann nicht umgehend ?? Das schafft ja nur weitere Verwirrung hier ! 
FAQs lesen hilft wirklich !!
How can I mark a post as solved?
Moin,
kenne solche Konstrukte welche mit OSPF umgesetzt wurden. Das wäre für auch eine Option. Vorausgesetzt die Endpunkte unterstützen das Protokoll.
Da kann ich nicht viel zu sagen.
Gruß
Spirit
kenne solche Konstrukte welche mit OSPF umgesetzt wurden. Das wäre für auch eine Option. Vorausgesetzt die Endpunkte unterstützen das Protokoll.
Da kann ich nicht viel zu sagen.
Gruß
Spirit
Ein kleines Beispiel wie man VLANs z.B. mittels VXLAN von einem Mikrotik auf eine OPNSense über einen Wireguard Tunnel überträgt findest du hier
VLAN über Site2Site VPN
Gruß S.
VLAN über Site2Site VPN
Gruß S.
1