12
HP Switch VLAN Konfiguration
Hallo,
ich möchte eine bereits bestehende Netzwerkstruktur mit VLANs erweitern. Und zwar ist folgendes Szenario vorhanden:
HP Layer 2 Switches momentan mit nur einem Netz. Sophos Router/Firewall, welcher mehrere Netzwerke managed.
Für die WLAN Infrastruktur sind Produkte von Ubiquiti im Einsatz inkl. der Control-Management Umgebung von Unifi.
Nun möchten wir auf den Switches 3 neue VLANs konfigurieren, sodass das Management Netzwerk immer noch im native LAN ist, wo alle Server und Switches drin liegen und zusätzlich für das Gäste-WLAN und normale WLAN ein eigenes VLAN zum Einsatz kommt.
Auf dem Sophos Router haben wir schon die verschiedene neue Netze vorkonfiguriert.
Nun müssten wir noch die Switche und die Unifi Geräte so konfigurieren, dass alle mit den Netzen kommunizieren können.
Wir haben es so überlegt, dass wir auf en HP Switches die Ports für alle Netze über Tunk Ports konfigurieren und die Ports an dem die Endgeräte sind via untagged Ports.
Für die Unifi Umgebung habe ich es so gelesen, dass die Ports wo die APs dran hängen auch auf trunk eingestellt sein müssen, sodass die APs im Gäste- und normalen Netz laufen können.
In der Unifi Controller Management Software kann man dann später den einzelnen APs später die VLANs via den VLAN-IDs zuweisen.
Weiss jemand ob ich da dann mehrer VLANs für den AP hinzufügen kann oder hat dies schonmal jemand gemacht?
Und hat jemand Erfahrung zufällig mit der Konfiguration von VLANs auf dem hp officeconnect 1820 mit VLANs?
Meine Vorangehensweise für die Erstellung von VLANs und Trunks wäre wie folgt:
1. Unter dem Reiter Trunks -> Configuration , Trunk TRK1 mit Static Mode enabled erstellen
2. Trunk Ports unter Port Member für TRK1 hinzufügen
3. VLAN Konfiguration unter VLAN - Configuration , die einzelnen VLANs erstellen mit IDs
4. VLAN - Port Membership - TRK1 Tagged die vorhin erstellen VLANs zuweisen
Bin euch für jede Hilfe und Ratschläge sehr dankbar
ich möchte eine bereits bestehende Netzwerkstruktur mit VLANs erweitern. Und zwar ist folgendes Szenario vorhanden:
HP Layer 2 Switches momentan mit nur einem Netz. Sophos Router/Firewall, welcher mehrere Netzwerke managed.
Für die WLAN Infrastruktur sind Produkte von Ubiquiti im Einsatz inkl. der Control-Management Umgebung von Unifi.
Nun möchten wir auf den Switches 3 neue VLANs konfigurieren, sodass das Management Netzwerk immer noch im native LAN ist, wo alle Server und Switches drin liegen und zusätzlich für das Gäste-WLAN und normale WLAN ein eigenes VLAN zum Einsatz kommt.
Auf dem Sophos Router haben wir schon die verschiedene neue Netze vorkonfiguriert.
Nun müssten wir noch die Switche und die Unifi Geräte so konfigurieren, dass alle mit den Netzen kommunizieren können.
Wir haben es so überlegt, dass wir auf en HP Switches die Ports für alle Netze über Tunk Ports konfigurieren und die Ports an dem die Endgeräte sind via untagged Ports.
Für die Unifi Umgebung habe ich es so gelesen, dass die Ports wo die APs dran hängen auch auf trunk eingestellt sein müssen, sodass die APs im Gäste- und normalen Netz laufen können.
In der Unifi Controller Management Software kann man dann später den einzelnen APs später die VLANs via den VLAN-IDs zuweisen.
Weiss jemand ob ich da dann mehrer VLANs für den AP hinzufügen kann oder hat dies schonmal jemand gemacht?
Und hat jemand Erfahrung zufällig mit der Konfiguration von VLANs auf dem hp officeconnect 1820 mit VLANs?
Meine Vorangehensweise für die Erstellung von VLANs und Trunks wäre wie folgt:
1. Unter dem Reiter Trunks -> Configuration , Trunk TRK1 mit Static Mode enabled erstellen
2. Trunk Ports unter Port Member für TRK1 hinzufügen
3. VLAN Konfiguration unter VLAN - Configuration , die einzelnen VLANs erstellen mit IDs
4. VLAN - Port Membership - TRK1 Tagged die vorhin erstellen VLANs zuweisen
Bin euch für jede Hilfe und Ratschläge sehr dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 395943
Url: https://administrator.de/contentid/395943
Printed on: April 25, 2024 at 14:04 o'clock
12 Comments
Latest comment
Guten Morgen
So ganz verstehe ich Dich nicht.
- Port an denen Endgeräte hängen -> VLAN, nix Trunk
- Trunk: mehrere VLANs laufen über eine Leitung (z.B. zwischen Switches)
- irgendwo brauchst Du einen "Router" um (zumindest) zwischen dem "normalen WLAN" und dem Intranet eine Verbindung zu haben (nicht gewünscht?)
- Entweder einen Trunk oder mehrere Kabel zum Router Richtung Internet
So ganz verstehe ich Dich nicht.
- Port an denen Endgeräte hängen -> VLAN, nix Trunk
- Trunk: mehrere VLANs laufen über eine Leitung (z.B. zwischen Switches)
- irgendwo brauchst Du einen "Router" um (zumindest) zwischen dem "normalen WLAN" und dem Intranet eine Verbindung zu haben (nicht gewünscht?)
- Entweder einen Trunk oder mehrere Kabel zum Router Richtung Internet
Hallo,
du verwechselt hier glaube ich die Terminologien, bei Cisco bedeutet Trunk etwas anderes als bei HP. Franz-Josef-II hat das ja schon angedeutet.
Siehe hier: https://travelingpacket.com/2014/05/19/hp-vs-cisco-vlan-trunking/
Wir haben hier einen Unifi AP AC-Pro und es sind meherere V-LANs konfiguriert - zwei um genau zu sein.
Der Port an dem der AP dran hängt ist zwei Mal getagged.
Gruß
dark.cube
du verwechselt hier glaube ich die Terminologien, bei Cisco bedeutet Trunk etwas anderes als bei HP. Franz-Josef-II hat das ja schon angedeutet.
Siehe hier: https://travelingpacket.com/2014/05/19/hp-vs-cisco-vlan-trunking/
Wir haben hier einen Unifi AP AC-Pro und es sind meherere V-LANs konfiguriert - zwei um genau zu sein.
Der Port an dem der AP dran hängt ist zwei Mal getagged.
Gruß
dark.cube
Hallo zusammen,
vielleicht hab ich es falsch aufgeschrieben.
Der Uplink-Port zwischen Switch und Switch ist auf trunk eingestellt, genau.
Die jeweiligen Endgeräte werden direkt den VLANs angehängt. Das passiert dann später als Tagged port.
Der Router ist wie oben beschrieben der Sophos UTM Router
vielleicht hab ich es falsch aufgeschrieben.
Der Uplink-Port zwischen Switch und Switch ist auf trunk eingestellt, genau.
Die jeweiligen Endgeräte werden direkt den VLANs angehängt. Das passiert dann später als Tagged port.
Der Router ist wie oben beschrieben der Sophos UTM Router
Deine Vorgehensweise für die Segmentierung der Netze ist richtig.
Hier findest du die Grundlagen wie dein Design umzusetzen ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sollte vermutlich (fast) alle deine Fragen beantworten.
Hier findest du die Grundlagen wie dein Design umzusetzen ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sollte vermutlich (fast) alle deine Fragen beantworten.
Danke für die Tips. Jetzt habe ich noch eine Frage direkt zu der Umstellung im Live Betrieb.
Aktuell ist es so dass das Netz eine ganz flache Topologie besitzt. Auf den Switches ist jeder Port als untagged im native VLAN1.
Da wir das das Hauptnez vom IP-Netz auch ändern wollen, also von 172.xxx auf 10.xxx, wäre der Idealfall das wir alle Geräte mit statischen IPs im alten Netz direkt auf das neue Netz umkonfigurieren und dann die Switches und Routing Funktionen bereits auf das neue Netz umgeändert haben.
Da dies leider nicht möglich ist, muss das alte Netz erst einmal parallel weiterlaufen.
Wir haben uns gedacht das wir das alte Hauptnetz auf einem anderen Port auf dem router als VLAN1 weiterhin betreiben und dann sukzessive Port für Port in das entsprechende VLAN zügeln.
Es wären dann später 5 verschieden VLANs.
VLAN1 Management
VLAN10 LAN
VLAN20 WLAN
VLAN30 GuestWlan
VLAN40 Kassen-Terminals
Wie würdet ihr so eine Umstellung im Live-Betrieb am besten durchführen?
Aktuell ist es so dass das Netz eine ganz flache Topologie besitzt. Auf den Switches ist jeder Port als untagged im native VLAN1.
Da wir das das Hauptnez vom IP-Netz auch ändern wollen, also von 172.xxx auf 10.xxx, wäre der Idealfall das wir alle Geräte mit statischen IPs im alten Netz direkt auf das neue Netz umkonfigurieren und dann die Switches und Routing Funktionen bereits auf das neue Netz umgeändert haben.
Da dies leider nicht möglich ist, muss das alte Netz erst einmal parallel weiterlaufen.
Wir haben uns gedacht das wir das alte Hauptnetz auf einem anderen Port auf dem router als VLAN1 weiterhin betreiben und dann sukzessive Port für Port in das entsprechende VLAN zügeln.
Es wären dann später 5 verschieden VLANs.
VLAN1 Management
VLAN10 LAN
VLAN20 WLAN
VLAN30 GuestWlan
VLAN40 Kassen-Terminals
Wie würdet ihr so eine Umstellung im Live-Betrieb am besten durchführen?
ganz flache Topologie besitzt. Auf den Switches ist jeder Port als untagged im native VLAN1.
Uuuhhh, sehr gruselig aber glücklicherweise und auch richtigerweise willst du das ja nun ändern durch eine saubere Segmentierung !wäre der Idealfall das wir alle Geräte mit statischen IPs im alten Netz direkt auf das neue Netz umkonfigurieren
Ja, das wäre in der Tat der Idealfall wenn das möglich ist. Bei statischer Adressierung musst du ja so oder so alle Geräte anfassen sofern die statische Adressierung vorgegeben ist ?!Sollte sie das nicht sein kannst du natürlich auch einen zentralen DHCP Server nutzen und für die neue IP Adressierung einen entsprechenden Scope aufsetzen, die Clients ins neue Netz stecken und sie bekommen dann via DHCP alle neuen Adressen dynamisch.
Beides geht natürlich.
Wenn ihr die L3 Infrastruktur dazu schon vorher konfiguriert habt wäre das natürlich perfekt !!
Dann kannst du sofort beim umstecken sehen obs klappt und alles richtig konfiguriert wurde
Das wäre natürlich der ideale Weg.
muss das alte Netz erst einmal parallel weiterlaufen.
Gut, ist ja auch kein Problem...dann belässt du das so wie es ist im VLAN 1 und setzt alle deine neuen VLANs inkl. IP Adressierung auf und migrierst sukzessive wie oben beschrieben.auf einem anderen Port auf dem router als VLAN1 weiterhin betreiben und dann sukzessive Port für Port in das entsprechende VLAN zügeln.
Das ist genau der richtige Weg !!Wie würdet ihr so eine Umstellung im Live-Betrieb am besten durchführen?
Wie oben schon gesagt...- Altnetz belassen
- Neue VLANs anlegen und Endgeräte Ports dafür zuweisen. VLANs auf den Uplinks taggen
- Zu Verkehrsarmen Zeiten Endgeräte in die neuen VLANs sukzessive migrieren
Punkt 3 beginnst du mit einem VLAN in dem wenig Endgeräte sind. Z.B. das Gäste WLAN
Hier nimmst du einen Client, lässt den sich ins Gäste WLAN einwählen oder noch besser nimmst erstmal einen Kupferport in dem Gäste VLAN und checkst ob mit dem Client alles zu erreichen ist.
Wenn ja nimmst du das WLAN als nächstes.
So lange bis alle Geräte vollkommen migriert sind auf die neue Infrastruktur.
Dann nutzt du das Default VLAN 1 was ja das alte Netz war nur noch als Management VLAN indem du das mit Accesslisten entsprechend abschottest vom Rest.
Fertisch
@aqui:
Danke für deine Tips! Es hat soweit im ersten Anlauf alles geklappt.
Ich habe auf dem Router den Port mit dem native LAN in ein anderes Netz umkonfiguriert und auf den anderen Ports die neuen VLANs entsprechend erstellt.
Auf dem Switch habe ich dem Port zum Router als Trunk gesetzt und alle VLANs in den Trunk getagged.
Die WLAN-APs sind als Tagged Port auf dem Switch mit den entsprechenden WLAN VLANs eingerichtet.
Im Unifi Controller Management konnte ich die neuen Netzwerke erstellen mit den neuen VLANs und den SSIDs die neuen Netze zuweisen, welche nun über die APs verteilt werden.
Das neue LAN mit den Endgeräten werden wir noch zügeln und die Ports welche momentan eh als untagged im VLAN1 sind noch anpassen
Aber bisher hatte alles soweit gut geklappt.
Danke für deine Tips! Es hat soweit im ersten Anlauf alles geklappt.
Ich habe auf dem Router den Port mit dem native LAN in ein anderes Netz umkonfiguriert und auf den anderen Ports die neuen VLANs entsprechend erstellt.
Auf dem Switch habe ich dem Port zum Router als Trunk gesetzt und alle VLANs in den Trunk getagged.
Die WLAN-APs sind als Tagged Port auf dem Switch mit den entsprechenden WLAN VLANs eingerichtet.
Im Unifi Controller Management konnte ich die neuen Netzwerke erstellen mit den neuen VLANs und den SSIDs die neuen Netze zuweisen, welche nun über die APs verteilt werden.
Das neue LAN mit den Endgeräten werden wir noch zügeln und die Ports welche momentan eh als untagged im VLAN1 sind noch anpassen
Aber bisher hatte alles soweit gut geklappt.
Hört sich gut an !! So sollte es sein...
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Kurzes Feedback und dann kann ich es auch bald als gelöst setzten.
Soweit hat das meiste funktioniert. Bei den HP Switches welche im Einsatz sind ist noch eine komische Besonderheit. Das VLAN an einem Port wo die AccessPoints hängen und mehrere VLANs senden funktioniert nur, wenn an dem Port auf dem Switch das VLAN1(native) als untagged eingestellt ist und die zusätzlichen Ports als Tagged eingetragen sind.
Eigentlich besagt ja ein untagged Port das er nur in diesem VLAN-Netz funken soll. Allerdings kann der Port von dem HP Switch in allen VLANs kommunizieren wenn wie gesagt das VLAN1 auf untagged steht und die anderen Ports als Tagged.
Ist das vom Switch-Hersteller abhängig das es bei dem HP Model Switch nur auf dieserweise funktioniert oder hattet ihr schonmal einen ähnlichen Fall?
Soweit hat das meiste funktioniert. Bei den HP Switches welche im Einsatz sind ist noch eine komische Besonderheit. Das VLAN an einem Port wo die AccessPoints hängen und mehrere VLANs senden funktioniert nur, wenn an dem Port auf dem Switch das VLAN1(native) als untagged eingestellt ist und die zusätzlichen Ports als Tagged eingetragen sind.
Eigentlich besagt ja ein untagged Port das er nur in diesem VLAN-Netz funken soll. Allerdings kann der Port von dem HP Switch in allen VLANs kommunizieren wenn wie gesagt das VLAN1 auf untagged steht und die anderen Ports als Tagged.
Ist das vom Switch-Hersteller abhängig das es bei dem HP Model Switch nur auf dieserweise funktioniert oder hattet ihr schonmal einen ähnlichen Fall?
wenn an dem Port auf dem Switch das VLAN1(native) als untagged eingestellt ist
Das ist wie immer laienhafter Unsinn !Auch die gruseligen HP Gurken sind hier keineswegs anders akls der Rest der Welt. Das sog. native VLAN an so einem Tagged Uplink kann man wahlfrei in jedes VLAN legen. Das ist einen simple Frage der Konfig.
Das native VLAN oder auch PVID genannt bestimmt das VLAN in das der Switch alle ungetaggten Pakete an diesem Port forwardet. Also alle Pakete für die der Switch KEINE VLAN Information hat (VLAN Tag).
Viele Anfänger nutzen auch aktiv das native VLAN auf so einem Switch (In der Regel das Default VLAN 1) für Produktivtraffic. In sofern macht sich das dann bemerkbar wenn das Default VLAN nicht untagged auf einem Tagged Link übertragen wird.
HP verhält sich da wie der Rest der Welt.
Der IEEE 802.1q Standard der das VLAN Tagging beschreibt legt übrigens nicht explizit fest wie Native VLANs auf Tagged Links zu handhaben sind. Hersteller haben da also freie Hand.
Da Cisco die VLAN Technologie quasi hoffähig gemacht hat vor Jahren und als Default immer das Native VLAN untagged auf Uplink Trunks gelegt hat haben sich alle anderen das mehr oder minder abgeguckt um kompatibel zu sein. HP natürlich auch.
Es ist also NICHT abhängig vom Hersteller. Alle machen das so.
Guckst du auch hier:
Warum gibt es PVID bei VLANs?
Ok, ja das macht Sinn. Aber technisch ist es möglich das man auf einem Switch-Port das VLAN1 (PVID) als untagged einstellt und alle anderen VLANs welche auf dem Port kommunizieren sollen als TAGGED?
Oder muss es explizit getrennt sein, dass nur TAGGED und kein UNTAGGED auf dem Port vorhanden sind.
Oder muss es explizit getrennt sein, dass nur TAGGED und kein UNTAGGED auf dem Port vorhanden sind.
Aber technisch ist es möglich das man auf einem Switch-Port das VLAN1 (PVID) als untagged einstellt
Das muss man gar nicht explizit einstellen, denn bei 90% aller Hersteller ist das DEFAULT !Übrigens auch bei HP !
und alle anderen VLANs welche auf dem Port kommunizieren sollen als TAGGED?
Es kann niemals untagged Pakete aus mehreren VLANs an so einem Port geben, das ist technisch völlig unmöglich.Ein untagged Paket hat ja keinerlei VLAN Information mehr. Wie sollte ein Switch also erkennen WO das herkommt und WOHIN es soll wenn man es ihm nicht fest und statisch vorkonfiguriert im Setup.
Ein Switch mit hellseherischen Fähigkeiten gibt es (noch) nicht !
Oder muss es explizit getrennt sein, dass nur TAGGED und kein UNTAGGED auf dem Port vorhanden sind.
Um es nochmal zu sagen...Auf einem Tagged Uplink ist das native VLAN IMMER untagged konfiguriert. Das ist bei so gut wie ALLEN Herstellern der Default !
Das native VLAN ist immer das VLAN 1 wenn man es in der Konfig nicht explizit anders konfiguriert (PVID).
Natürlich kannst du auch KEIN native VLAN an dem Port einstellen, dann werden dort nur ausschliesslich tagged Pakete geforwardet und der Switch verwirft dann alle untagged Pakete dort (Dropping).
Die VLAN "Schnellschulung" hier im Forum erklärt es explizit:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Letztlich also alles eine Frage der Switch Konfig und was DU selber durch dein Setup für ein Verhalten an so einem Port festlegst !!!
