13
HP 1810G-24 mit 2 VLAN erweitern, so dass auf einem zweiten 1810-8G über Uplink auch die VLAN ...
Hallo zusammen,
ich suche schon seit Tagen nach einer Lösung für nachfolgendes Problem. Habe mich natürlich Anfangs in die Idee verrannt, dass für
mein Vorhaben ein Trunk zu kreieren in Frage kommt, ist aber bei HP Switchen im Gegensatz zu Cisco, eher zur Port-Bündelung und
damit zur Geschwindigkeitssteigerung zu gebrauchen.
Hintergrund ist, dass ich alle verfügbaren und künftigen VLAN's des HP 1810G-24 in ein Nachbarbüro auf dem kleinen Switch zur Verfügung
stellen möchte. Zwischen den Räumen besteht nur ein LAN Kabel.
Verwendete Hardware:
- Astaro Firewall
- HP 1810G-24
- HP 1810-8G
Folgendes Szanario:
Über eine Firewall werden zwei VLAN 101 und 102 an Port 1 "angeliefert.
- HP 1810G-24
Port 1...24 VLAN 1 [E]
Port 1 VLAN 101 [T]
Port 2...12 VLAN 101 [U]
Port 1 VLAN 102 [T]
Port 13..23 VLAN 102 [U]
Port 24 VLAN1, VLAN101, VLAN102 [T]
- HP 1810-8G
Port 1...8 VLAN1 [E]
Port 1 VLAN1, VLAN101, VLAN102 [T]
Port 2...4 VLAN 101 [U]
Port 5...8 VLAN 102 [U]
Uplink soll Port 24 vom ersten Switch zum Port 1 des zweiten Switches in diesem Szenario sein.
Ich bin nicht sicher, ob das Tagging richtig verstanden wurde
... Fakt ist, sobald Port 24 und Port 1 auf "T" gesetzt werden, fällt die Managementfunktion
weg. Also kein Ping möglich. Als Management VLAN ist 101 und Port "frei" im kleinen Switch konfiguriert.
Wo liegt mein Denk- oder Verständnisfehler? Das muss doch gehen, oder bin ich hier komplett auf dem Holzweg? Man kann doch VLANs auch über Switch-
grenzen erweitern/übertragen. Oder?
freue mich auf hoffentlich zahlreiche und vor allem hilfreiche Tips.
viele Grüße
Michael
ich suche schon seit Tagen nach einer Lösung für nachfolgendes Problem. Habe mich natürlich Anfangs in die Idee verrannt, dass für
mein Vorhaben ein Trunk zu kreieren in Frage kommt, ist aber bei HP Switchen im Gegensatz zu Cisco, eher zur Port-Bündelung und
damit zur Geschwindigkeitssteigerung zu gebrauchen.
Hintergrund ist, dass ich alle verfügbaren und künftigen VLAN's des HP 1810G-24 in ein Nachbarbüro auf dem kleinen Switch zur Verfügung
stellen möchte. Zwischen den Räumen besteht nur ein LAN Kabel.
Verwendete Hardware:
- Astaro Firewall
- HP 1810G-24
- HP 1810-8G
Folgendes Szanario:
Über eine Firewall werden zwei VLAN 101 und 102 an Port 1 "angeliefert.
- HP 1810G-24
Port 1...24 VLAN 1 [E]
Port 1 VLAN 101 [T]
Port 2...12 VLAN 101 [U]
Port 1 VLAN 102 [T]
Port 13..23 VLAN 102 [U]
Port 24 VLAN1, VLAN101, VLAN102 [T]
- HP 1810-8G
Port 1...8 VLAN1 [E]
Port 1 VLAN1, VLAN101, VLAN102 [T]
Port 2...4 VLAN 101 [U]
Port 5...8 VLAN 102 [U]
Uplink soll Port 24 vom ersten Switch zum Port 1 des zweiten Switches in diesem Szenario sein.
Ich bin nicht sicher, ob das Tagging richtig verstanden wurde
... Fakt ist, sobald Port 24 und Port 1 auf "T" gesetzt werden, fällt die Managementfunktionweg. Also kein Ping möglich. Als Management VLAN ist 101 und Port "frei" im kleinen Switch konfiguriert.
Wo liegt mein Denk- oder Verständnisfehler? Das muss doch gehen, oder bin ich hier komplett auf dem Holzweg? Man kann doch VLANs auch über Switch-
grenzen erweitern/übertragen. Oder?
freue mich auf hoffentlich zahlreiche und vor allem hilfreiche Tips.
viele Grüße
Michael
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 255057
Url: https://administrator.de/contentid/255057
Ausgedruckt am: 04.12.2024 um 09:12 Uhr
13 Kommentare
Neuester Kommentar
simple Antwort:
auf dem uplink müssen! alle VLANs getaggt sein. also Port 24 und Port 1
ein ungetaggtes VLAN auf dem uplink kommt irgendwo an, nur nicht im VLAN seiner Wahl ...
Gruß
Netman
auf dem uplink müssen! alle VLANs getaggt sein. also Port 24 und Port 1
ein ungetaggtes VLAN auf dem uplink kommt irgendwo an, nur nicht im VLAN seiner Wahl ...
Gruß
Netman
Hallo MrNetman,
ich bekomme es einfach nicht gebacken
Ich fasse nochmals zusammen:
Port 1, getaggt vom HP 1810G-24 bekommt die VLAN 101 und 102 von der Firewall übergeben.
Sie werden ja VLAN mäßig auf die Ports aufgeteilt. Funktioniert und ist getestet.
VLAN 1 ist auf allen Ports "E"
VLAN 101 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 2-10 = "U"
VLAN 102 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 11-22,24 = "U"
Kabel vom Port 23 des HP 1810G-24 zum Port 1 des HP 1810-8G.
VLAN 1 ist auf allen Ports "E"
VLAN 101 auf Port 1 = "T", Port 2-4 = "U"
VLAN 102 auf Port 1 = "T", Port 5-8 = "U"
So hätte ich es eigentlich verstanden. Problem ist, dass ich mindestens einmal die Managementmöglichkeit des 1810-8G / Ping antwortet dann natürlich
auch nicht mehr, verliere. Als Management VLAN ID habe ich 101 und Port = "None" eingetragen.
Das ist doch das, was Du mir empfehlen wolltest. Oder interpretiere ich das falsch? Kann es Probleme mit 2 x "T" auf Port 1 zur Firewall und Port 23 Uplink
geben? Auf dem Uplink Port's muss doch auf beiden Seiten "T" gesetzt werden.
Eigentlich doch relativ trivial, doch wo liegt der Fehler?
Gruß
Michael
ich bekomme es einfach nicht gebacken
Ich fasse nochmals zusammen:
Port 1, getaggt vom HP 1810G-24 bekommt die VLAN 101 und 102 von der Firewall übergeben.
Sie werden ja VLAN mäßig auf die Ports aufgeteilt. Funktioniert und ist getestet.
VLAN 1 ist auf allen Ports "E"
VLAN 101 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 2-10 = "U"
VLAN 102 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 11-22,24 = "U"
Kabel vom Port 23 des HP 1810G-24 zum Port 1 des HP 1810-8G.
VLAN 1 ist auf allen Ports "E"
VLAN 101 auf Port 1 = "T", Port 2-4 = "U"
VLAN 102 auf Port 1 = "T", Port 5-8 = "U"
So hätte ich es eigentlich verstanden. Problem ist, dass ich mindestens einmal die Managementmöglichkeit des 1810-8G / Ping antwortet dann natürlich
auch nicht mehr, verliere. Als Management VLAN ID habe ich 101 und Port = "None" eingetragen.
Das ist doch das, was Du mir empfehlen wolltest. Oder interpretiere ich das falsch? Kann es Probleme mit 2 x "T" auf Port 1 zur Firewall und Port 23 Uplink
geben? Auf dem Uplink Port's muss doch auf beiden Seiten "T" gesetzt werden.
Eigentlich doch relativ trivial, doch wo liegt der Fehler?
Gruß
Michael
Port 1, getaggt vom HP 1810G-24 bekommt die VLAN 101 und 102 von der Firewall übergeben.
Sie werden ja VLAN mäßig auf die Ports aufgeteilt. Funktioniert und ist getestet.
VLAN 1 ist auf allen Ports "E"
Sie werden ja VLAN mäßig auf die Ports aufgeteilt. Funktioniert und ist getestet.
VLAN 1 ist auf allen Ports "E"
alle ungetaggten Pakete bekommen das VLAN-Label 1
HP 1810G-24
VLAN 101 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 2-10 = "U"
VLAN 102 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 11-22,24 = "U"
Kabel vom Port 23 des HP 1810G-24 zum Port 1 des HP 1810-8G.
VLAN 101 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 2-10 = "U"
VLAN 102 auf Port 1 = "T" und Port 23 = Uplink = "T", Port 11-22,24 = "U"
Kabel vom Port 23 des HP 1810G-24 zum Port 1 des HP 1810-8G.
HP 1810-8G.
VLAN 101 auf Port 1 = "T", Port 2-4 = "U"
VLAN 102 auf Port 1 = "T", Port 5-8 = "U"
VLAN 101 auf Port 1 = "T", Port 2-4 = "U"
VLAN 102 auf Port 1 = "T", Port 5-8 = "U"
das VLAN1 ist demnach dein Management VLAN. und der Switch darüber erreichbar.
Aber da das VLAN1 ja nicht über die Firewall geroutet wird (kein T für VLAN1 auf den uplink Ports), kannst du die Switche ja nicht erreichen.
Ansonsten kannst du so viele getaggte Ports einsetzen wie du willst. Es könnte ja auch ein Server so angebunden werden.
Gemischte T/U Ports sind für VoIP Telefone vorgesehen. VoIP getaggt, hinter dem Telefon ungetaggt.
Die Egress-Konfiguration: Alle Pakete ohne passend konfiguriertes VLAN-tag und ohne VLAN-tag werden in das entspechende VLAN gegeben und switchintern getaggt.
Gruß
Netman
Dieses Tutorial erklärt dir alle grundlegenden Schritte:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Es gilt was Kollege Netman schon geschrieben hat:
Das ist ein simpler millionenfacher Klassiker den jeder Azubi in 5 Minuten zum Fliegen bringt.
VLAN Grundlagen findest du hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Es gilt was Kollege Netman schon geschrieben hat:
- VLANs und IDs identisch einrichten auf den Switches.
- Endgeräteports untagged diesen VLANs zuordnen
- Wichtig: Alle VLANs auf den beiden Uplink Ports zwischen den Switches müssen tagged gesetzt sein, damit die VLAN Info dort übertragen wird.
Das ist ein simpler millionenfacher Klassiker den jeder Azubi in 5 Minuten zum Fliegen bringt.
VLAN Grundlagen findest du hier:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
Zitat von @MrNetman:
> Port 1, getaggt vom HP 1810G-24 bekommt die VLAN 101 und 102 von der Firewall übergeben.
> Sie werden ja VLAN mäßig auf die Ports aufgeteilt. Funktioniert und ist getestet.
> VLAN 1 ist auf allen Ports "E"
alle ungetaggten Pakete bekommen das VLAN-Label 1
> Port 1, getaggt vom HP 1810G-24 bekommt die VLAN 101 und 102 von der Firewall übergeben.
> Sie werden ja VLAN mäßig auf die Ports aufgeteilt. Funktioniert und ist getestet.
> VLAN 1 ist auf allen Ports "E"
alle ungetaggten Pakete bekommen das VLAN-Label 1
Gruß
Netman
Netman
Hallo Netman,
was meinst Du damit? Müssen die Ports in VLAN-Label 1 "E" oder "U" gesetzt sein? Meines Erachtens doch "E", denn ich kann doch nicht "U" für einen
Port in mehreren VLAN's setzen. (Bin nicht sicher, habe im Moment keine Zugriff auf die Switche ...
Thema Management:
Der Managementzugriff soll aus VLAN 101 erfolgen. Ein Zugriff von einem normalen PC, der sich am HP 1810G-24 im VLAN 101 befindet. Am Switch HP 1810-8G
habe ich unter "Management" VLAN 102, Port "none" eingetragen. Doch hier habe ich vom ersten Switch über den Uplink keinen Zugriff. Behelfe mir, indem ich
ein zweites Kabel vom ersten Switch auf einen anderen Port der "U" eingestellt ist, stecke.
Habe ich noch irgend etwas vergessen?
Gruß
Michael
Hallo Aqui,
klappte gestern Abend doch nicht so wie geplant ...
Ist gemacht ... Port 23 auf beiden Switchen "T"
Bedeutet konkret? Alle Ports im VLAN 1 auf "E"? (Auf Switch 1 + 2)
Management VLAN auf 102, Port "none" auf dem kleinen Switch?
Gruß
Michael
klappte gestern Abend doch nicht so wie geplant ...
Zitat von @aqui:
Dieses Tutorial erklärt dir alle grundlegenden Schritte:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Es gilt was Kollege Netman schon geschrieben hat:
Dieses Tutorial erklärt dir alle grundlegenden Schritte:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Es gilt was Kollege Netman schon geschrieben hat:
- VLANs und IDs identisch einrichten auf den Switches.
- Endgeräteports untagged diesen VLANs zuordnen
- Wichtig: Alle VLANs auf den beiden Uplink Ports zwischen den Switches müssen tagged gesetzt sein, damit die VLAN
Ist gemacht ... Port 23 auf beiden Switchen "T"
Das Default VLAN 1 wird bei HP immer untagged auf einem tagged Uplink übertragen. Um das brauchst du dich also nicht
kümmern mit dem Tagging !
Das ist ein simpler millionenfacher Klassiker den jeder Azubi in 5 Minuten zum Fliegen bringt.
kümmern mit dem Tagging !
Das ist ein simpler millionenfacher Klassiker den jeder Azubi in 5 Minuten zum Fliegen bringt.
Bedeutet konkret? Alle Ports im VLAN 1 auf "E"? (Auf Switch 1 + 2)
Management VLAN auf 102, Port "none" auf dem kleinen Switch?
Gruß
Michael
Normal ist das Mgmt VLAN in 1. Wenn du das auf 102 setzt musst du dran denken das du dann nur über ein Endgerät was über einen untagged Port in 102 angeschlossen ist auf die Konfig zugreifen kannst.
Wenn du das soweit beachtest ist alles richtig.
Wenn du das soweit beachtest ist alles richtig.
Hallo Aqui,
warum verliere ich dann die Verbindung von einem PC auf Switch 1, VLAN 102 beim Zugriff auf Switch 2, VLAN 102. Im Switch 2
ist unter Management VLAN 102, Port "none" eingetragen.? Wenn ich einen Port festlegen wollte, müsste doch dies der Port 23
sein. Oder?
Beide Switche befinden sich natürlich im gleichen IP Subnet .. Switch 1 = 192.168.1.23 und Switch 2 = 192.168.1.24
Kann das VLAN 1 (default) mir irgendwie noch in die Suppe spucken?
warum verliere ich dann die Verbindung von einem PC auf Switch 1, VLAN 102 beim Zugriff auf Switch 2, VLAN 102. Im Switch 2
ist unter Management VLAN 102, Port "none" eingetragen.? Wenn ich einen Port festlegen wollte, müsste doch dies der Port 23
sein. Oder?
Beide Switche befinden sich natürlich im gleichen IP Subnet .. Switch 1 = 192.168.1.23 und Switch 2 = 192.168.1.24
Kann das VLAN 1 (default) mir irgendwie noch in die Suppe spucken?
Vermutlich (geraten) bedeutet das Port "none" das du auf dem Switch 2 dem VLAN 102 gar keinen physischen Port zugewiesen hast !
Vollkommen klar das dann eine Connectivity fehlschlägt zwischen Endgeräten !
Das VLAN 102 muss tagged eingegtragen sein auf den beiden Uplink Ports die die Switches verbinden und zusätzlich muss natürlich ein untagged Port zugewiesen sein für den PC an Switch 2 den du erreichen willst im VLAN 102. An Switch 1 natürlich ebenso aber das hast du ja schon so gemacht, oder ?
Das Management bedeutet nur das die interne Management IP Adresse des Switches dann statt im VLAN 1 (default) in das VLAN 102 gehängt wird.
Ein richtiger und guter Schritt wenn man das Switch Managment aus Sicherheitsgründen vom VLAN 1 wegahben will !
Vollkommen klar das dann eine Connectivity fehlschlägt zwischen Endgeräten !
Das VLAN 102 muss tagged eingegtragen sein auf den beiden Uplink Ports die die Switches verbinden und zusätzlich muss natürlich ein untagged Port zugewiesen sein für den PC an Switch 2 den du erreichen willst im VLAN 102. An Switch 1 natürlich ebenso aber das hast du ja schon so gemacht, oder ?
Das Management bedeutet nur das die interne Management IP Adresse des Switches dann statt im VLAN 1 (default) in das VLAN 102 gehängt wird.
Ein richtiger und guter Schritt wenn man das Switch Managment aus Sicherheitsgründen vom VLAN 1 wegahben will !
Und vergiss bitte nicht den Port zur Firewall. Diese macht dein Routing. Also müssen alle VLANs dort ankommen, werden dort verteilt und dort existieren auch Zugriffslisten.
Gruß
Netman
Gruß
Netman
Hallo zusammen,
vielen Dank für eure Hilfe! Ich habe beide Switche, nachdem die durchgesprochene Konfiguration, heute Abend auf Factory Default zurückgesetzt. Im
Anschluß noch einmal komplett durchkonfiguriert. Nachdem ich bei 1810-8G das Management VLAN 102 und den Port auf "None" gesetzt habe, ist
auch der Management-Zugriff vom PC im VLAN 102 am Switch 1 aus möglich! *Jubel*.
Ich denke einmal, dass irgendetwas von den Konfigurationsversuchen übriggeblieben ist, was einfach gestört hat.
Zusatzproblem:
In der Firewall läuft ein NTP Server, der allen IP Geräten im LAN / VLAN's die Uhrzeit zur Verfügung stellen sollte. Doch die HP Switche bleiben
grundsätzlich auf ... 1970 stehen. Das war auch schon zu Zeiten so, als die Switche ganz "Klassisch" (also ohne VLAN usw.) eingesetzt worden
sind. Anpingpar ist die Firewall von den Switchen (gibt ja ein Diagnose Menü ... Ping absetzen ...)
Habt ihr eine Idee? - Wie gesagt nicht wichtig, dann steht halt 1970 in den Logfiles. Kann man mit leben, doch schön wäre es)
viele Grüße
Michael
vielen Dank für eure Hilfe! Ich habe beide Switche, nachdem die durchgesprochene Konfiguration, heute Abend auf Factory Default zurückgesetzt. Im
Anschluß noch einmal komplett durchkonfiguriert. Nachdem ich bei 1810-8G das Management VLAN 102 und den Port auf "None" gesetzt habe, ist
auch der Management-Zugriff vom PC im VLAN 102 am Switch 1 aus möglich! *Jubel*.
Ich denke einmal, dass irgendetwas von den Konfigurationsversuchen übriggeblieben ist, was einfach gestört hat.
Zusatzproblem:
In der Firewall läuft ein NTP Server, der allen IP Geräten im LAN / VLAN's die Uhrzeit zur Verfügung stellen sollte. Doch die HP Switche bleiben
grundsätzlich auf ... 1970 stehen. Das war auch schon zu Zeiten so, als die Switche ganz "Klassisch" (also ohne VLAN usw.) eingesetzt worden
sind. Anpingpar ist die Firewall von den Switchen (gibt ja ein Diagnose Menü ... Ping absetzen ...)
Habt ihr eine Idee? - Wie gesagt nicht wichtig, dann steht halt 1970 in den Logfiles. Kann man mit leben, doch schön wäre es
)viele Grüße
Michael
Bedenke das du nun eine IP Adresse aus dem VLAN 102 als Absender IP hast ! Entsprechend musst du in der Firewall den Zugriff von diesen IP Adressen bzw. IP Netz auch zulassen.
Sofern du auf der Firewall auch eine Protokolleinschränkung hast musst du NTP Zugriffe auf Port UDP 123 zulassen auf die Firewall IP.
Sehr gut möglich und auch zu vermuten das du das durch FW Regeln blockst !
Checke also mal das Firewall Log ob die UDP 123 Zugriffe blockiert sind.
Zusätzlich solltest du mit einem Sniffer (z.B. Wireshark) mal genau checken ob der Switch überhaupt NTP Requests raussendet !
Hilfreich ist auch der NTP Connection Status den man auf dem Switch im GUI oder Konsole sehen kann. Sofern die HP Billiggurken denn sowas überhaupt anzeigen.
Das ganze VLAN Drama und der Rest ist mal wieder ein gutes Beispiel von diesem HP Kram die Finger zu lassen !
Die sollen Server und PCs bauen davon verstehen sie wenigstens was !
Sofern du auf der Firewall auch eine Protokolleinschränkung hast musst du NTP Zugriffe auf Port UDP 123 zulassen auf die Firewall IP.
Sehr gut möglich und auch zu vermuten das du das durch FW Regeln blockst !
Checke also mal das Firewall Log ob die UDP 123 Zugriffe blockiert sind.
Zusätzlich solltest du mit einem Sniffer (z.B. Wireshark) mal genau checken ob der Switch überhaupt NTP Requests raussendet !
Hilfreich ist auch der NTP Connection Status den man auf dem Switch im GUI oder Konsole sehen kann. Sofern die HP Billiggurken denn sowas überhaupt anzeigen.
Das ganze VLAN Drama und der Rest ist mal wieder ein gutes Beispiel von diesem HP Kram die Finger zu lassen !
Die sollen Server und PCs bauen davon verstehen sie wenigstens was !
Moin,
?
Duck und weg, Thomas
Die sollen Server und PCs bauen davon verstehen sie wenigstens was !
Hmmh, können wir uns darauf einigen:> Die sollen Server und PCs bauen davon verstehen sie wenigstens (noch) was !
?Duck und weg, Thomas
