6
HP Switch macht VLAN kaputt
Hallo zusammen,
ich habe:
- pfSENSE Firewall Applience mit 2x onboard Intel Gbit LAN..
- HP ProCurve 1810G - 8 GE, P.1.17, eCos-2.0
- PC mit dual port ET Server Karte von Intel
ich will:
- auf der pfSENSE mehere Netzwerke haben getrennt durch VLAN, weil nur zwei Schnittstellen verfügbar: Funktioniert.
- auf dem PC mehrere virtuelle Schnittstellen mit entsprechendem VLAN: Funktioniert.
was funktioniert:
- Verbindung über untagged Interface am PC über Switch zur pfSeNSE.
- Verbindung über tag 2 Interface am PC direkt zur pfSENSE ohne Switch.
was nichtfunktioniert:
- sobald der Switch dazwischen ist löscht er scheinbar sämtliche VLAN-Tags aus den Paketen.
Wie bringe ich dem Switch bei, sich nur um die MAC-Adressen zu kümmern un den Rest in Frieden zu lassen?
Webinterface zum Switch besteht.
Vielen Dank
Chris
Edit: Bitte nicht von der Dual Port Karte im PC iritieren lassen. Es wird nur ein Port davon genutzt und der Intel-Treiber stellt pro VLAN einen virtuellen Adapter.
ich habe:
- pfSENSE Firewall Applience mit 2x onboard Intel Gbit LAN..
- HP ProCurve 1810G - 8 GE, P.1.17, eCos-2.0
- PC mit dual port ET Server Karte von Intel
ich will:
- auf der pfSENSE mehere Netzwerke haben getrennt durch VLAN, weil nur zwei Schnittstellen verfügbar: Funktioniert.
- auf dem PC mehrere virtuelle Schnittstellen mit entsprechendem VLAN: Funktioniert.
was funktioniert:
- Verbindung über untagged Interface am PC über Switch zur pfSeNSE.
- Verbindung über tag 2 Interface am PC direkt zur pfSENSE ohne Switch.
was nichtfunktioniert:
- sobald der Switch dazwischen ist löscht er scheinbar sämtliche VLAN-Tags aus den Paketen.
Wie bringe ich dem Switch bei, sich nur um die MAC-Adressen zu kümmern un den Rest in Frieden zu lassen?
Webinterface zum Switch besteht.
Vielen Dank
Chris
Edit: Bitte nicht von der Dual Port Karte im PC iritieren lassen. Es wird nur ein Port davon genutzt und der Intel-Treiber stellt pro VLAN einen virtuellen Adapter.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 217351
Url: https://administrator.de/contentid/217351
Printed on: April 20, 2024 at 16:04 o'clock
6 Comments
Latest comment
Hi, Aktives Verzeichnis,
du hast richtig beobachet, nur den falschen Schluß gezogen.
Die Ports zum Server und zur Firewall müssen in diesem Falle getaggt und nicht ungetaggt sein. Auf einem ungetaggten Port werden die 4 VLAN-Bytes zugefügt und vorm Ausliefern wieder weg genommen. Außerdem müssen diese Ports dann Teilnehmer in beiden VLANs sein.
Ungetaggte Ports oder edge-Ports werden nur für Endgeräte wie PCs verwendet.
Wenn du auch noch VoIP hast, dann kannst du an einem Port sogar ungetaggt und getaggt betreiben.
Gruß
Netman
du hast richtig beobachet, nur den falschen Schluß gezogen.
Die Ports zum Server und zur Firewall müssen in diesem Falle getaggt und nicht ungetaggt sein. Auf einem ungetaggten Port werden die 4 VLAN-Bytes zugefügt und vorm Ausliefern wieder weg genommen. Außerdem müssen diese Ports dann Teilnehmer in beiden VLANs sein.
Ungetaggte Ports oder edge-Ports werden nur für Endgeräte wie PCs verwendet.
Wenn du auch noch VoIP hast, dann kannst du an einem Port sogar ungetaggt und getaggt betreiben.
Gruß
Netman
@MrNetman: Danke für Deine schnelle Antwort. Ich mal der Sinn hinter dem ganzen:
Es ist eigenltich kein Server sondern ein PC mit VMware Workstation. Die laufenden VMs sind Server und sollen nicht mit dem Produktivnetz kommunizieren sollen. Daher habe ich auf der pfSENSE ein zweites Netzwerk hinterlegt. In den Eigenschaften der Netzwerkkarte auf dem PC sind die VLANs konfiguriert. Der Traffic geht also bereits getagt aus dem PC raus und getagt in die pfSENSE rein und umgekehrt.
Da bleibt eigentlich nur eine Frage offen: Warum entfernt der Switch das Tag? Oder ist das Verfahren grundsätzlich verbesserungswürdig?
LG
Chris
Es ist eigenltich kein Server sondern ein PC mit VMware Workstation. Die laufenden VMs sind Server und sollen nicht mit dem Produktivnetz kommunizieren sollen. Daher habe ich auf der pfSENSE ein zweites Netzwerk hinterlegt. In den Eigenschaften der Netzwerkkarte auf dem PC sind die VLANs konfiguriert. Der Traffic geht also bereits getagt aus dem PC raus und getagt in die pfSENSE rein und umgekehrt.
Da bleibt eigentlich nur eine Frage offen: Warum entfernt der Switch das Tag? Oder ist das Verfahren grundsätzlich verbesserungswürdig?
LG
Chris
Hi Chris,
Der Switch entfernt die VLAN-Tags immer, wenn es um normale Netzwerkports geht.
Das ist meist so gewollt und durchaus sinnvoll.
Die Tags werden aber an uplinks nciht enfernt, sonst könnte man ja keine größeres VLAN einrichten.
Also müssen die entsprechednen Ports wie uplinks behandelt werden. Das kann sich uplink oder Trunk nennen. Man erkennt das aber auch daran, dass man dann mehrere VLANs einem einzigen Port zuweisen kann.
lg
Netman
Der Switch entfernt die VLAN-Tags immer, wenn es um normale Netzwerkports geht.
Das ist meist so gewollt und durchaus sinnvoll.
Die Tags werden aber an uplinks nciht enfernt, sonst könnte man ja keine größeres VLAN einrichten.
Also müssen die entsprechednen Ports wie uplinks behandelt werden. Das kann sich uplink oder Trunk nennen. Man erkennt das aber auch daran, dass man dann mehrere VLANs einem einzigen Port zuweisen kann.
lg
Netman
Zitat von @MrNetman:
Hi Chris,
Der Switch entfernt die VLAN-Tags immer, wenn es um normale Netzwerkports geht.
Das ist meist so gewollt und durchaus sinnvoll.
Die Tags werden aber an uplinks nciht enfernt, sonst könnte man ja keine größeres VLAN einrichten.
Also müssen die entsprechednen Ports wie uplinks behandelt werden. Das kann sich uplink oder Trunk nennen. Man erkennt das
aber auch daran, dass man dann mehrere VLANs einem einzigen Port zuweisen kann.
lg
Netman
Danke Dir!Hi Chris,
Der Switch entfernt die VLAN-Tags immer, wenn es um normale Netzwerkports geht.
Das ist meist so gewollt und durchaus sinnvoll.
Die Tags werden aber an uplinks nciht enfernt, sonst könnte man ja keine größeres VLAN einrichten.
Also müssen die entsprechednen Ports wie uplinks behandelt werden. Das kann sich uplink oder Trunk nennen. Man erkennt das
aber auch daran, dass man dann mehrere VLANs einem einzigen Port zuweisen kann.
lg
Netman
Das bedeutet also, dass der Switch alle in Verwendung befindlichen VLANs kennen muss? Man kann also nicht sagen: Arbeite nur auf layer 2? Ich schau mir das Menü nochmal genauer an, denn ich meine da nur was Trunk in Bezug auf Linkaggregation gelesen zu haben. Kann ich auch auf den selben Ports ungetagten Traffic versenden?
Trunk kann je nach Hersteller was anderes bedeuten.
Ja, der Uplink muss so konfiguriert sein, dass er alle VLANs kennt. Unbekannte VLANs werden dort nicht verteilt.
Und das ist immer noch alles Layer 2. da ist noch kein Routing involviert.
Laut Handbuch Seite 56 musst du dich ums VLAN tagging kümmern. Wie gesagt: Mehrere VLAN und tagged.
Die Prozedur ist wegen de Weboberfläche etwas eigenartig:
Lege erst alle VLANs an
im tagging Bereich musst du nun jedes VLAN aufrufen und einzeln Tagged oder Untagged zuweisen.
Ja, der Uplink muss so konfiguriert sein, dass er alle VLANs kennt. Unbekannte VLANs werden dort nicht verteilt.
Und das ist immer noch alles Layer 2. da ist noch kein Routing involviert.
Laut Handbuch Seite 56 musst du dich ums VLAN tagging kümmern. Wie gesagt: Mehrere VLAN und tagged.
Die Prozedur ist wegen de Weboberfläche etwas eigenartig:
Lege erst alle VLANs an
im tagging Bereich musst du nun jedes VLAN aufrufen und einzeln Tagged oder Untagged zuweisen.
Dieses Tutorial sollte da eigentlich Klarheit schaffen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
HP Beispielkonfig inklusive...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
HP Beispielkonfig inklusive...
1
