84
Kaskadierung zwischen zwei HP Procurve 2810-24g Switchen über VLAN
Hallo Leute ich habe ein Problem bei dem ich nicht so ganz weiter kommen.
Ausgangs Situation:
Wir haben eine neue Anbindung zu einem Externen Kunden bekommen. Die Anbindung erfolgt über zwei Router (Redundant) über die DATEN und VOICE Laufen sollen.
Voice und Daten sind über VLAN's getrennt.
Ich habe die Roter jetzt jeweils auf einen HP Procurve 2810-24g Switchen gesteckt (Jeweils Port 23)
Auf der Switch sind die VLAN's (111 und 112) Konfiguriert und beide für Port 23 Tagged. Das DATEN VLAN 111 Greife ich auf Port 22 (Tagged 111) über die Firewall ab auf der auch das VLAN 111 Konfiguriert ist.
Jeweils eine Firewall auf Port 22 pro Switch.
Voice wird später über Port 21 weiter gegeben. Der Port 21 ist Tagged für VLAN ID 112.
Kaskadierung:
Auf Port 24 habe ich Momentan beide VLANS Tagged und habe beide Switche miteinander verbunden.
Problem:
Soweit Funktioniert die generelle Verbindung aber die Kaskadierung geht wohl nicht.
Ich kann nur Router_1 Pingen, wenn ich einen HA switch auf der Firewall mache kann ich nur Router_2 Pingen.
Ich habe jetzt schon verschiedene Einstellungen ausprobiert auf dem Switch ( Port 24 beide VLAN's Tagged, statt einem normalen Kabel ein Crossover Kabel, nur ein VLAN Tagged / Untagged)
Irgendwie bin ich mit meinem Latin am ende.
Ich hoffe ihr könnt mir weiter helfen.
Hier ist die Netzwerk Skizze
PS:Beide Untagged war blödsin
Ausgangs Situation:
Wir haben eine neue Anbindung zu einem Externen Kunden bekommen. Die Anbindung erfolgt über zwei Router (Redundant) über die DATEN und VOICE Laufen sollen.
Voice und Daten sind über VLAN's getrennt.
DATEN:
HSPR 192.168.1.62
Router_1 192.168.1.60
Router_2 192.168.1.61
VLAN ID 111
VOICE:
HSPR 192.168.1.46
Router_1 192.168.1.44
Router_2 192.168.1.45
VLAN ID 112Ich habe die Roter jetzt jeweils auf einen HP Procurve 2810-24g Switchen gesteckt (Jeweils Port 23)
Auf der Switch sind die VLAN's (111 und 112) Konfiguriert und beide für Port 23 Tagged. Das DATEN VLAN 111 Greife ich auf Port 22 (Tagged 111) über die Firewall ab auf der auch das VLAN 111 Konfiguriert ist.
Firewall:
Zwei Firewalls im HA cold standby ModusVoice wird später über Port 21 weiter gegeben. Der Port 21 ist Tagged für VLAN ID 112.
Kaskadierung:
Auf Port 24 habe ich Momentan beide VLANS Tagged und habe beide Switche miteinander verbunden.
Problem:
Soweit Funktioniert die generelle Verbindung aber die Kaskadierung geht wohl nicht.
Ich kann nur Router_1 Pingen, wenn ich einen HA switch auf der Firewall mache kann ich nur Router_2 Pingen.
Ich habe jetzt schon verschiedene Einstellungen ausprobiert auf dem Switch ( Port 24 beide VLAN's Tagged, statt einem normalen Kabel ein Crossover Kabel, nur ein VLAN Tagged / Untagged)
Irgendwie bin ich mit meinem Latin am ende.
Ich hoffe ihr könnt mir weiter helfen.
Hier ist die Netzwerk Skizze
PS:Beide Untagged war blödsin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235715
Url: https://administrator.de/contentid/235715
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
84 Kommentare
Neuester Kommentar
Moin,
kannst du da ggfs mal ein Bild dazu malen? So genau blick ich, vorallem bei der Plazierung der FWs, nicht durch.
Was für Subnetze verwendest Du? So wie du das beschrieben hast, könnte man annehmen das die Ip Ranges der VLANs nicht disjunkt sind.
Normalerweise müssen beide Ports an beiden Switchen als Trunk konfiguriert sein und die VLANs jeweils tagged führen.
lg,
Slainte
kannst du da ggfs mal ein Bild dazu malen? So genau blick ich, vorallem bei der Plazierung der FWs, nicht durch.
Was für Subnetze verwendest Du? So wie du das beschrieben hast, könnte man annehmen das die Ip Ranges der VLANs nicht disjunkt sind.
Port 24 beide VLAN's Untagged,
Wie hast du das denn hinbekommen? Normalerweise müssen beide Ports an beiden Switchen als Trunk konfiguriert sein und die VLANs jeweils tagged führen.
lg,
Slainte
Geht mir genauso....ziemlich verwirrend und vermutlich technisch auch falsch...
Das mit Port 24 ist wirklich ein Wunder ! Wie man das auf HP Switches hinbekommt....Respekt !
Übrigens Grundlagen zu so einem Szenario kannst du hier nachlesen inkl. HP Konfig:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Macht vielleicht Sinn bevor wir hier ins Eingemachte gehen...?!
Ein ziemlicher Knackpunkt ist da noch:
Voice und Daten VLAN sind in einem gemeinsamen IP Netz aber in getrennten VLANs wie Kollege Slainte schon richtig bemerkt hat.
Das geht so niemals, da diese Netze nicht mehr zu routen sind und die redundanten Router damit überflüssig wären weil sinnlos.
Wie gesagt: total unverständlich ist das Design... Normalerweise macht man das mit einem einzigen tagged Link auf dem beide VLANs laufen und geht damit auf den Router oder das Routerpärchen was hier vermutlich mit VRRP in einem Redundanz Verbund rennt ??
Aber wie gesagt ein Bild sagt mehr als tausend Worte....
(Und bitte jetzt KEINE externen Bilderlinks hier ! Thread oben mit Klick auf "Bearbeiten" editieren, Bilder hochladen oben klicken und Bild hochladen. Den Image URL kann man hier in jeglichen Text reinpasten mit einem Rechtsklick !!)
Das mit Port 24 ist wirklich ein Wunder ! Wie man das auf HP Switches hinbekommt....Respekt !
Übrigens Grundlagen zu so einem Szenario kannst du hier nachlesen inkl. HP Konfig:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Macht vielleicht Sinn bevor wir hier ins Eingemachte gehen...?!
Ein ziemlicher Knackpunkt ist da noch:
Voice und Daten VLAN sind in einem gemeinsamen IP Netz aber in getrennten VLANs wie Kollege Slainte schon richtig bemerkt hat.
Das geht so niemals, da diese Netze nicht mehr zu routen sind und die redundanten Router damit überflüssig wären weil sinnlos.
Wie gesagt: total unverständlich ist das Design... Normalerweise macht man das mit einem einzigen tagged Link auf dem beide VLANs laufen und geht damit auf den Router oder das Routerpärchen was hier vermutlich mit VRRP in einem Redundanz Verbund rennt ??
Aber wie gesagt ein Bild sagt mehr als tausend Worte....
(Und bitte jetzt KEINE externen Bilderlinks hier ! Thread oben mit Klick auf "Bearbeiten" editieren, Bilder hochladen oben klicken und Bild hochladen. Den Image URL kann man hier in jeglichen Text reinpasten mit einem Rechtsklick !!)
Wie klein ist denn das Netz, wenn die beiden VLANs sich in den IP-Bereichen nur so wenig unterscheiden?
Oder ist bei IP alles Kraut und Rüben?
Oder hast du gar beide Subnetze mit der gleichen Maske, ich meine im selben Adressbereich?
Gruß
Oder ist bei IP alles Kraut und Rüben?
Oder hast du gar beide Subnetze mit der gleichen Maske, ich meine im selben Adressbereich?
Gruß
Habe ein Skizze hinzu gefügt.
Also muss ich auf beiden Switchen auf Port 24 einen Trunk erstellen?
Und das geht wie ich das sehe nur in der Telnet Consolo. Kann mir jemand eine Kurze Erklärung geben wie ich das da einrichten muss habe auf der Console noch nie etwas geändert. Will da nichts zerschießen da auf dem Default VLAN Port 1-19 Clients und andere Switche drauf Hängen.
Also muss ich auf beiden Switchen auf Port 24 einen Trunk erstellen?
Und das geht wie ich das sehe nur in der Telnet Consolo. Kann mir jemand eine Kurze Erklärung geben wie ich das da einrichten muss habe auf der Console noch nie etwas geändert. Will da nichts zerschießen da auf dem Default VLAN Port 1-19 Clients und andere Switche drauf Hängen.
OK, die Skizze bringt endlich Licht ins Dunkel !! Hätte man auch vorher machen können 
Die Netze haben eine 28 Bit Maske, gehen also dann im VLAN 112 von .1.32 bis .1.46 und im VLAN 111 von .1.49 bis .1.62 im Host IP Adress Bereich.
Damit ist man dann vom Routing auf der sicheren Seite und alles korrekt so.
Der Rest stimmt soweit auch perfekt was die Ports der Switches anbetrifft:
Hier kann man jetzt einen wichtigen Zwischentest machen:
Einen fatalen Fehler sieht man dann aber:
Der Firewall Port 22 an beiden Switches ist tagged !!
Das darf niemals sein wenn auf der Firewall nicht auch ein Port konfiguriert ist der 802.1q VLAN Tags supportet ! (Siehe o.a. VLAN Routing Tutorial am Beispiel der pfSense Firewall tagged Ports !)
Kann deine Firewall KEIN Tagging dann ist die Firewall ein Endgerät ! Und dann muss logischerweise der Switchport Port 22 untagged sein der in die Firewall reingeht !
Das solltest du wasserdicht prüfen ob die Firewall tagged Frames da überhaupt verstehen kann !!
Endgeräte verstehen normal KEIN VLAN Tagging, können also .1q getaggte Pakete NICHT lesen ! Vergiss das nicht !
Der Rest sieht sonst OK aus wenn der tagged Voice Port auch wieder auf einen Switch geht der Tagging versteht ! Gleiches Thema hier....
Die Netze haben eine 28 Bit Maske, gehen also dann im VLAN 112 von .1.32 bis .1.46 und im VLAN 111 von .1.49 bis .1.62 im Host IP Adress Bereich.
Damit ist man dann vom Routing auf der sicheren Seite und alles korrekt so.
Der Rest stimmt soweit auch perfekt was die Ports der Switches anbetrifft:
- Routerports jeweils 23 ist tagged in den VLANs 111 und 112
- Verbindungsports der Switches untereinander ebenfalls tagged in den VLANs 111 und 112
Hier kann man jetzt einen wichtigen Zwischentest machen:
- Ping der Router IPs untereinander im VLAN 111 muss möglich sein !
- Ping der Router IPs untereinander im VLAN 112 muss möglich sein !
- Ein "show hsrp" sollte anzeigen das HSRP mit Master und Slave und den HSRP VIP IP Adressen aktiv ist und die Router sich per HSRP "sehen" !!
Einen fatalen Fehler sieht man dann aber:
Der Firewall Port 22 an beiden Switches ist tagged !!
Das darf niemals sein wenn auf der Firewall nicht auch ein Port konfiguriert ist der 802.1q VLAN Tags supportet ! (Siehe o.a. VLAN Routing Tutorial am Beispiel der pfSense Firewall tagged Ports !)
Kann deine Firewall KEIN Tagging dann ist die Firewall ein Endgerät ! Und dann muss logischerweise der Switchport Port 22 untagged sein der in die Firewall reingeht !
Das solltest du wasserdicht prüfen ob die Firewall tagged Frames da überhaupt verstehen kann !!
Endgeräte verstehen normal KEIN VLAN Tagging, können also .1q getaggte Pakete NICHT lesen ! Vergiss das nicht !
Der Rest sieht sonst OK aus wenn der tagged Voice Port auch wieder auf einen Switch geht der Tagging versteht ! Gleiches Thema hier....
Ok das mit dem Tagging Richtung Firewall muss ich nochmal Prüfen aber ich meine die kann das.
Ansonsten habe ich es jetzt hin bekommen mit dem einrichten von dem Trunk in der Telnet Consolo.
Wie bekomme ich jetzt nur das Default VLAN da raus? Das bekomme ich nicht hin.
Ansonsten habe ich es jetzt hin bekommen mit dem einrichten von dem Trunk in der Telnet Consolo.
conf
trunk 24 Trk1 Trunk
vlan 111
tagged Trk1
exit
vlan 112
tagged Trk1
exit
exit
show vlan port Trk1
802.1Q VLAN ID Name Status Voice Jumbo
-------------- ------------ ------------ ----- -----
1 DEFAULT_VLAN Port-based No No
111 DATA Port-based No No
112 VOICE Port-based No NoWie bekomme ich jetzt nur das Default VLAN da raus? Das bekomme ich nicht hin.
Ist bei Billigheimer HP nicht supportet bzw. der hat das Feature nicht ! Deshalb musst du damit leben. Stört aber auch nicht.
Bei anderen geht das mit "no switchport native vlan x" ...nützt dir aber vermutlich nix als HP Knecht.
Das was du oben mit "Trunk einrichten" bezeichnest hat mit deinem eigentlichen Problem nicht das geringste zu tun !!
Ein "Trunk" bezeichent das Aggregieren, also Zusammnfassen von mehreren parallelen Links z.B. zur Bandbreiten- bzw. Durchsatzerhöhung zwischen Switches oder zw. Switch und Server. Generell bezeichent man das als Link Aggregation (LAG). Dazu werden die Standards 802.3ad und LACP benutzt.
Du hast hier aber gar keinen Trunk ! In so fern ist deine obige Konfig dazu auch völliger Unsinn !! Sorry...hört sich so ein bischen an als wenn du sinnfrei ohne Kenntniss der Materie blind was probierst.
Was du da machst mit trunk 24 Trk1 Trunk definiert einen statischen Trunk (noch nichtmal einen mit LACP !) mit dem logischen Namen "Trk1" in dem aber nur ein einziger Port ist ! Fragt man sich WO denn da der Trunk ist ??
Dir leuchtet vermutlich selber ein das das ziemlicher Blödsinn ist und mit deiner eigentlichen Aufgabenstellung rein gar nix zu tun hat.
Wenn,... dann macht ja ein Trunk nur Sinn mit mehreren Ports als z.B. den Ports 23 und 24 um dann z.B. 2 GiG Bandbreite zw. den Switches zu realisieren mit:
<config>#trunk 23,24 Trunk1 LACP
Analog muss man das natürlich synchron auch auf dem anderen Switch machen auf den beteiligten 2 Ports dort !
Was du da gemacht hast ist sinnfreier Unsinn ohne Nachdenken ! Tip: Lies besser mal das Switch Handbuch damit du weisst was du da machst...
Für dich reicht schlicht und einfach ein:
vlan 111
name "Daten"
tagged 24
exit
vlan 112
name "Voice"
tagged 24
exit
auf den Verbindungsport 24 der HP Gurken wenn du nur einen einzigen Verbindungsport hast ohne Aggregierung !
Bei anderen geht das mit "no switchport native vlan x" ...nützt dir aber vermutlich nix als HP Knecht.
Das was du oben mit "Trunk einrichten" bezeichnest hat mit deinem eigentlichen Problem nicht das geringste zu tun !!
Ein "Trunk" bezeichent das Aggregieren, also Zusammnfassen von mehreren parallelen Links z.B. zur Bandbreiten- bzw. Durchsatzerhöhung zwischen Switches oder zw. Switch und Server. Generell bezeichent man das als Link Aggregation (LAG). Dazu werden die Standards 802.3ad und LACP benutzt.
Du hast hier aber gar keinen Trunk ! In so fern ist deine obige Konfig dazu auch völliger Unsinn !! Sorry...hört sich so ein bischen an als wenn du sinnfrei ohne Kenntniss der Materie blind was probierst.
Was du da machst mit trunk 24 Trk1 Trunk definiert einen statischen Trunk (noch nichtmal einen mit LACP !) mit dem logischen Namen "Trk1" in dem aber nur ein einziger Port ist ! Fragt man sich WO denn da der Trunk ist ??
Dir leuchtet vermutlich selber ein das das ziemlicher Blödsinn ist und mit deiner eigentlichen Aufgabenstellung rein gar nix zu tun hat.
Wenn,... dann macht ja ein Trunk nur Sinn mit mehreren Ports als z.B. den Ports 23 und 24 um dann z.B. 2 GiG Bandbreite zw. den Switches zu realisieren mit:
<config>#trunk 23,24 Trunk1 LACP
Analog muss man das natürlich synchron auch auf dem anderen Switch machen auf den beteiligten 2 Ports dort !
Was du da gemacht hast ist sinnfreier Unsinn ohne Nachdenken ! Tip: Lies besser mal das Switch Handbuch damit du weisst was du da machst...
Für dich reicht schlicht und einfach ein:
vlan 111
name "Daten"
tagged 24
exit
vlan 112
name "Voice"
tagged 24
exit
auf den Verbindungsport 24 der HP Gurken wenn du nur einen einzigen Verbindungsport hast ohne Aggregierung !
So hatte ich das eigentlich auch so im Handbuch Nachgelesen bzw. verstanden das ein Trunk dafür da ist mehrere Ports zu Bündeln was ich hier jetzt gar nicht gemacht habe. Nur da SlainteMhath geschrieben hat das es als Trunk Konfiguriert sein muss, habe ich diesen Lösungsansatz verfolgt. Komischerweise Funktioniert es jetzt aber auch so das ich beide Router Pingen kann was zuvor nicht Funktioniert hat.
Ich werfe den Static Trunk auf Port 24 gerne wieder raus und teste andere Lösungsansätze. Ich will ja nur das wenn Router 1 ausfällt und Firewall Member 1 Master ist (der auf Switch 1 Port 22 Steckt) den Router 2 erreicht. Also muss die Kommunikation von dem einen Switch zu dem anderen laufen.
Ich werfe den Static Trunk auf Port 24 gerne wieder raus und teste andere Lösungsansätze. Ich will ja nur das wenn Router 1 ausfällt und Firewall Member 1 Master ist (der auf Switch 1 Port 22 Steckt) den Router 2 erreicht. Also muss die Kommunikation von dem einen Switch zu dem anderen laufen.
Für dich reicht schlicht und einfach ein: vlan 111
name "Daten"
tagged 24
exit
vlan 112
name "Voice"
tagged 24
exit
auf den Verbindungsport 24 der HP Gurken wenn du nur einen einzigen Verbindungsport hast ohne Aggregierung !
name "Daten"
tagged 24
exit
vlan 112
name "Voice"
tagged 24
exit
auf den Verbindungsport 24 der HP Gurken wenn du nur einen einzigen Verbindungsport hast ohne Aggregierung !
So hatte ich es ja gemacht und es hat eben nicht Funktioniert, daher ja meine anfrage hier.
Mit trunk meinte ich auch auch keine LACP Trunk, sondern eher den Modus des Ports (trunk mode im Gegensatz zu access mode), aber das ist nichts aus der HP Welt.. sorry my bad .)
Auf den HP Möhren sollte das simple taggen der Ports auf beiden Seiten des Inter-Switch-links ausreichen.
Auf den HP Möhren sollte das simple taggen der Ports auf beiden Seiten des Inter-Switch-links ausreichen.
OK, das mit Trunk und Etherchannel und LAG ist auch verwirrend und kann so zu Missverständnissen führen wie man hier sieht.
Du solltest das aber zwingend entfernen von Port 24, denn diese Konfig ist schlicht falsch und kann böse Side Effects haben. Gerade wenn man wie du diesen Trunk statisch definiert hat !!
Besser also wieder weg damit !
Poste hier bitte mal den Auszug dieser VLAN Konfig für Port 24 von beiden Switches, dann kann man das checken.
Das simple Taggen der beiden Ports reicht wirklich aus bei den HP Möhren und auch bei allen anderen Herstellern. Das ist simpler VLAN Standard.
Du solltest das aber zwingend entfernen von Port 24, denn diese Konfig ist schlicht falsch und kann böse Side Effects haben. Gerade wenn man wie du diesen Trunk statisch definiert hat !!
Besser also wieder weg damit !
So hatte ich es ja gemacht und es hat eben nicht Funktioniert, daher ja meine anfrage hier.
Das MUSS auch so klappen. Du hast ganz sicher einen Fehler in der Switchkonfig.Poste hier bitte mal den Auszug dieser VLAN Konfig für Port 24 von beiden Switches, dann kann man das checken.
Das simple Taggen der beiden Ports reicht wirklich aus bei den HP Möhren und auch bei allen anderen Herstellern. Das ist simpler VLAN Standard.
Switch 1 VLAN ID 111
Switch 2 VLAN ID 111
Switch 1 VLAN ID 112
Switch 2 VLAN ID 112
So ist die config jetzt wieder
TS-MS1-S6-IP1(config)# show vlans 111
Status and Counters - VLAN Information - Ports - VLAN 111
802.1Q VLAN ID : 111
Name : BCC_DATA
Status : Port-based Voice : No
Jumbo : No
Port Information Mode Unknown VLAN Status
---------------- -------- ------------ ----------
22 Tagged Learn Up
23 Tagged Learn Up
24 Tagged Learn UpSwitch 2 VLAN ID 111
TS-MS2-S6-IP2# show vlans 111
Status and Counters - VLAN Information - Ports - VLAN 111
802.1Q VLAN ID : 111
Name : BCC_DATA
Status : Port-based Voice : No
Jumbo : No
Port Information Mode Unknown VLAN Status
---------------- -------- ------------ ----------
22 Tagged Learn Up
23 Tagged Learn Up
24 Tagged Learn UpSwitch 1 VLAN ID 112
TS-MS1-S6-IP1(config)# show vlans 112
Status and Counters - VLAN Information - Ports - VLAN 112
802.1Q VLAN ID : 112
Name : BCC_VOICE
Status : Port-based Voice : No
Jumbo : No
Port Information Mode Unknown VLAN Status
---------------- -------- ------------ ----------
21 Tagged Learn Down
23 Tagged Learn Up
24 Tagged Learn UpSwitch 2 VLAN ID 112
TS-MS2-S6-IP2# show vlans 112
Status and Counters - VLAN Information - Ports - VLAN 112
802.1Q VLAN ID : 112
Name : BCC_VOICE
Status : Port-based Voice : No
Jumbo : No
Port Information Mode Unknown VLAN Status
---------------- -------- ------------ ----------
21 Tagged Learn Down
23 Tagged Learn Up
24 Tagged Learn UpSo ist die config jetzt wieder
Sind das GiG Ports oder 100 Mbit ? Bei 100 Mbit brauchst du ein Crossover Kabel, da das ja von Switch zu Switch geht und nicht alle können MID-X
So gesehen ist alles richtig....
Kannst du Endgeräte in den VLANs switchübergriefend pingen ?
So gesehen ist alles richtig....
Kannst du Endgeräte in den VLANs switchübergriefend pingen ?
Sind GiG Ports. Nein es geht wieder nicht, Ich kann HSPR Pingen (62) und den Router_2 (61) aber den Router_1 (60) nicht.
Wenn ich jetzt einen HA change mache werde ich den Router_1 (60) Pingen können aber den Router_2 (61) nicht
Blöde Frage.
Nicht das der Effekt an der Subnetzmaske liegt. Damit habe ich bei manchen Herstellern schon eigenartige Effekte erlebt. Da sind dann meist kreative Konfigurationen betroffen.
Mich wundert immer noch der enge Rahmen, der kaum Platz für Endgeräte läßt, aber total sicher/redundant ist. 14 IPs wovon 5 schon fest benutzt sind.
Da deine Firewalll im Netz/VLAN111 ist, benötigt sie keinen getaggten Zugang zum Switch.
Gruß
Netman
P.S.: die Bezeichnung Trunck kommt auch vor, wenn man eine Port bezeichnet, der das Voice-VLAN getaggt und das Datenvlan ungetaggt ausliefert. Also lieber genau schauen um was es bei der immer wieder missverständlichen Bezeichnung geht.
Nicht das der Effekt an der Subnetzmaske liegt. Damit habe ich bei manchen Herstellern schon eigenartige Effekte erlebt. Da sind dann meist kreative Konfigurationen betroffen.
Mich wundert immer noch der enge Rahmen, der kaum Platz für Endgeräte läßt, aber total sicher/redundant ist. 14 IPs wovon 5 schon fest benutzt sind.
Will da nichts zerschießen da auf dem Default VLAN Port 1-19 Clients und andere Switche drauf Hängen.
Wenn du nicht von Switch zu switch oder Gateway zu Gateway denkst, sondern von Endgerät zu Endgerät oder zum Service im Internet und dazu den kompletten TraceRT betrachtest. - Gibt es da Unterschiede?Da deine Firewalll im Netz/VLAN111 ist, benötigt sie keinen getaggten Zugang zum Switch.
Gruß
Netman
P.S.: die Bezeichnung Trunck kommt auch vor, wenn man eine Port bezeichnet, der das Voice-VLAN getaggt und das Datenvlan ungetaggt ausliefert. Also lieber genau schauen um was es bei der immer wieder missverständlichen Bezeichnung geht.
Nicht das der Effekt an der Subnetzmaske liegt.
Kann ja eigentlich nicht sein, denn der TO bewegt sich ja in einem reinen Layer 2 Umfeld. Die Switches haben also keine Ahnung von IP und Adressen sondern forwarden nur nach Mac Adresse. Obwohl bei HP weiss man nie aber sowas simples sollten auch die hinbekommen...?!Die 28 Bit Maske geht ja in Ordnung wenn da nur eine Router Firewall Verbindung mit realisiert wird. Wenn dort allerdings auch Voice Endgeräte drin sein sollen könnte es in der Tat recht knapp werden. Aber mit einer Zahnarztpraxis oder einem Rechtsanwaltsbüro mit 4 Mitarbeitern reicht das dicke....
Sinn macht es mal 2 Laptops zu nehmen egal welche IP nur im gleichen IP Netz müssen sie sein, das Konstrukt aufzubauen und den beiden Laptops untagged Ports in beiden VLANs zu geben und zu sehen das die sich pingen können.
Möglich wäre noch eine Spanning Tree Inkompatibilität. Bei den Routern hört sich das nach Cisco an und die sprechen PVSTP+ wenn dort STP aktiviert ist. Billigheimer HP kann keinerlei irgendwie geartetes PVSTP. Somit ist ein STP Szenario nicht kompatibel und kann zu bösen Side Effects führen. Wie gesagt...ist nur relevant falls STP überhaupt konfiguriert ist.
Wegen den kleinen Netzen, dass sind reine Transfer Netze, Was für VIOP da später noch hin kommt weiß ich nicht das ist imo nur Vorbereitet momentan Läuft noch alles über unsere eigene TK Anlage. Die Router sind Cisco Router von BT auf die komme ich nicht drauf. Spanning Tree ist auf beiden Switchen an. Das mit den Laptops Teste ich gleich mal aus.
Also ich habe jetzt auf beiden Switchen Port 20 als Untagged für VLAN 111 gesetzt und jeweils einen Laptop dran gehängt und die können sich nicht pingen.
Ich habe das hier noch gefunden http://h20195.www2.hp.com/V2/GetPDF.aspx/c03462409 aber da geht es ja wieder darum das ganze über mindestens zwei Links zu machen.
Zitat von @Shinak:
Also ich habe jetzt auf beiden Switchen Port 20 als Untagged für VLAN 111 gesetzt und jeweils einen Laptop dran gehängt und die können sich nicht pingen.
Scherz: Die sind doch im selben VLAN! Die können sich auch arpen. Aber da hast du deine Uplinks, die Links ziwschen den Switchen nicht im Griff. Diese Ports müssen getaggt sein und die VLANS 111 und 112 beinhalten. Das gleiche gilt für die Router-uplink-Ports. Wenn ich richtig gezählt habe, sind das mindestens drei Links.Also ich habe jetzt auf beiden Switchen Port 20 als Untagged für VLAN 111 gesetzt und jeweils einen Laptop dran gehängt und die können sich nicht pingen.
Es geht um die Nachbar-VLANs 111 und 112
Wird noch spannend.
Ob wir das bis Ostern hin kriegen.
#edit: Der Downloadlink ist echt doof: keine Name, nicht mal die PDF Extension.
Aber; Wie haben dir hier schon mindestens 10 mal erklärt, das das, was du in dem Manual siehst (Ein Verweis auf die Seite wäre fruchtbar) ABSOLUT nicht das ist, worüber du mit uns diskutierst.
Trunk kann sein:
- Etherchannel, Gigachannel, LAG/LACP -- die Nutzung von mehreren Ports für eine höhere Summenbandbreite.
- Konfiguration für VoIP, wo die Telefone getaggt und die PCs ungetaggt aus ihrem jeweiligen VLAN versorgt werden. -- Nutzung für Telefon und PC an einem Switchport.
- VLAN uplink, der alle VLANs getaggt beinhaltet. -- Nutzung zwischen zwei Switches oder zwischen Switches und Routern oder zwischen Switches und Firewalls.
Gruß Netman
Ja langsam wirds komisch
Kannst du bitte mal den output von "show run" posten, damit man alles sieht was an ports, trunks und vlans konfiguriert ist?
Kannst du bitte mal den output von "show run" posten, damit man alles sieht was an ports, trunks und vlans konfiguriert ist?
Alles mit snmp und sntp habe ich mal durch -- ersetzt
Switch 1
Switch 2
Switch 1
TS-MS1-S6-IP1# show run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.25
hostname "TS-MS1-S6-IP1"
--
--
interface 24
lacp Passive
exit
ip default-gateway 192.168.100.253
--
--
--
--
--
vlan 1
name "DEFAULT_VLAN"
forbid 21-24
untagged 1-19
ip address 192.168.100.1 255.255.255.0
no untagged 20-24
exit
vlan 111
name "DATA"
untagged 20
tagged 22-24
exit
vlan 112
name "VOICE"
tagged 21,23-24
exit
spanning-tree
TS-MS1-S6-IP1#Switch 2
TS-MS2-S6-IP2# show run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.25
hostname "TS-MS2-S6-IP2"
--
--
interface 24
lacp Passive
exit
ip default-gateway 192.168.100.253
--
--
--
--
--
vlan 1
name "DEFAULT_VLAN"
forbid 21-24
untagged 1-19
ip address 192.168.100.2 255.255.255.0
no untagged 20-24
exit
vlan 111
name "DATA"
untagged 20
tagged 22-24
exit
vlan 112
name "VOICE"
tagged 21,23-24
exit
spanning-tree
password manager
TS-MS2-S6-IP2#
Das sieht ja eigentlich korrekt aus. Auf dem int 24 kannst du das LACP komplett ausschalten ("no lacp"), ansonsten passt das imo.
Die beiden Switches "sehen" sich ja, oder ("show cdp neigh")?
Du könntest auch erstmal den Switches IPs in den 111er und 112er VLANs verpassen und checken ob die von den Routern/der Firewall/den Laptops aus gepingt werden können.
Aber wie gesagt: die konfig ist imo eigentl. korrekt und sollte so funktionieren.
Die beiden Switches "sehen" sich ja, oder ("show cdp neigh")?
Du könntest auch erstmal den Switches IPs in den 111er und 112er VLANs verpassen und checken ob die von den Routern/der Firewall/den Laptops aus gepingt werden können.
Aber wie gesagt: die konfig ist imo eigentl. korrekt und sollte so funktionieren.
sprachst du nicht die ganze zeit von 2 VLANs und nun hast du drei, wobei du dem default VLAN viel verbietest.
Wo kommt das her und wofür wird es benutzt?
Und die IPS sind nicht mit dem 111er und dem 112er verbunden. Wie erreichst du das Netz denn?
Wenn wir weiter fragen kommen noch ein paar hundert Geräte und Konfigurationen vor
Gruß
Netman
vlan 1
name "DEFAULT_VLAN"
forbid 21-24
untagged 1-19
name "DEFAULT_VLAN"
forbid 21-24
untagged 1-19
Wo kommt das her und wofür wird es benutzt?
Und die IPS sind nicht mit dem 111er und dem 112er verbunden. Wie erreichst du das Netz denn?
Wenn wir weiter fragen kommen noch ein paar hundert Geräte und Konfigurationen vor
Gruß
Netman
Zitat von @MrNetman:
sprachst du nicht die ganze zeit von 2 VLANs und nun hast du drei, wobei du dem default VLAN viel verbietest.
> vlan 1
> name "DEFAULT_VLAN"
> forbid 21-24
> untagged 1-19
Wo kommt das her und wofür wird es benutzt?
Und die IPS sind nicht mit dem 111er und dem 112er verbunden. Wie erreichst du das Netz denn?
Wenn wir weiter fragen kommen noch ein paar hundert Geräte und Konfigurationen vor
Gruß
Netman
sprachst du nicht die ganze zeit von 2 VLANs und nun hast du drei, wobei du dem default VLAN viel verbietest.
> vlan 1
> name "DEFAULT_VLAN"
> forbid 21-24
> untagged 1-19
Wo kommt das her und wofür wird es benutzt?
Und die IPS sind nicht mit dem 111er und dem 112er verbunden. Wie erreichst du das Netz denn?
Wenn wir weiter fragen kommen noch ein paar hundert Geräte und Konfigurationen vor
Gruß
Netman
Da steht doch DEFAULT das ist das was von Werk aus drauf ist und daran habe ich auch nichts geändert und was da alles dran hängt ist völlig irrelevant.
Es geht einzig und alleine um die VLAN's 111 und 112 und das die Switche den Trafik untereinander weiter geben über das jeweilige VLAN
Ja die sehen sich einmal auf Port 13 wo einmal eine Verbindung für das Default läuft und einmal auf Port 24 wo es ja um VLAN 111 und 112 geht.
TS-MS1-S6-IP1# show cdp neigh
CDP neighbors information
Port Device ID | Platform Capability
---- ----------------------------- + ---------------------------- -----------
1 9c 8e 99 ba f7 40 | HP ProCurve 1810G - 24 G... S
2 9c 8e 99 ba be c0 | HP ProCurve 1810G - 24 G... S
3 9c 8e 99 ba 88 00 | HP ProCurve 1810G - 24 G... S
4 98 4b e1 e4 26 20 | HP ProCurve 1810G - 24 G... S
5 9c 8e 99 ba 4d 80 | HP ProCurve 1810G - 24 G... S
6 98 4b e1 e4 a5 00 | HP ProCurve 1810G - 24 G... S
13 00 18 fe d3 23 00 | ProCurve J9021A Switch 28... S
24 00 18 fe d3 23 00 | ProCurve J9021A Switch 28... S
TS-MS1-S6-IP1#Zitat von @SlainteMhath:
Du könntest auch erstmal den Switches IPs in den 111er und 112er VLANs verpassen und checken ob die von den Routern/der
Firewall/den Laptops aus gepingt werden können.
Du könntest auch erstmal den Switches IPs in den 111er und 112er VLANs verpassen und checken ob die von den Routern/der
Firewall/den Laptops aus gepingt werden können.
Da ja die Verbindung über Port 24 über die VLANs nicht so Funktioniert wie sie soll laufe ich dann nicht Gefahr das ich nur noch einen Switch erreiche oder habe ich jetzt einen Denkfehler ? Wenn kann ich ja nur entweder aus dem Netz von 111 oder von 112
Nein, du solltest dem Switch in jedem VLAN eine IP verpassen können - Notfalls kannst du das ja dann per Konsole wieder rauswerfen
So habe ich gemacht.
Selbes Problem ich kann im Moment die .56 Pingen aber die .57 nicht. Wenn ich jetzt einen HA change an der FW machen würde könnte ich die .57 Pingen und die .56 nicht. Ich Teste das ganze gleich nochmal mit einem Laptop den ich direkt auf einen der Switche hängen, dann kann ich auch das VOICE VLAN testen.
Switch 1
VLAN DATA 111 - IP 192.168.1.56
VLAN VOICE 112 - IP 192.168.1.40
Switch 2
VLAN DATA 111 - IP 192.168.1.57
VLAN VOICE 112 - IP 192.168.1.41Selbes Problem ich kann im Moment die .56 Pingen aber die .57 nicht. Wenn ich jetzt einen HA change an der FW machen würde könnte ich die .57 Pingen und die .56 nicht. Ich Teste das ganze gleich nochmal mit einem Laptop den ich direkt auf einen der Switche hängen, dann kann ich auch das VOICE VLAN testen.
Hat auch nichts gebracht selbes Problem.
Der Router der auf dem Switch steckt ja aber der andere und den anderen Switch nicht.
Der Router der auf dem Switch steckt ja aber der andere und den anderen Switch nicht.
Zitat von @aqui:
Billigheimer HP kann keinerlei irgendwie geartetes PVSTP. Somit ist ein STP Szenario
nicht kompatibel und kann zu bösen Side Effects führen. Wie gesagt...ist nur relevant falls STP überhaupt
konfiguriert ist.
Billigheimer HP kann keinerlei irgendwie geartetes PVSTP. Somit ist ein STP Szenario
nicht kompatibel und kann zu bösen Side Effects führen. Wie gesagt...ist nur relevant falls STP überhaupt
konfiguriert ist.
Moin,
bei HP heisst das MSTP, funktioniert auch. ;o)
VG,
Thomas
Zitat von @Shinak:
Selbes Problem ich kann im Moment die .56 Pingen aber die .57 nicht. Wenn ich jetzt einen HA change an der FW machen würde
könnte ich die .57 Pingen und die .56 nicht. Ich Teste das ganze gleich nochmal mit einem Laptop den ich direkt auf einen der
Switche hängen, dann kann ich auch das VOICE VLAN testen.
Selbes Problem ich kann im Moment die .56 Pingen aber die .57 nicht. Wenn ich jetzt einen HA change an der FW machen würde
könnte ich die .57 Pingen und die .56 nicht. Ich Teste das ganze gleich nochmal mit einem Laptop den ich direkt auf einen der
Switche hängen, dann kann ich auch das VOICE VLAN testen.
Moin,
du sprichst immer von HA change, kann es sein das deine Firewall die Ports aktiv/passiv fährt? Dann wäre das Verhalten by design...
Vielleicht hab ich es ja überlesen, wer ist der Hersteller der Firewall?
VG,
Thomas
Mahlzeit,
wenn sich die Switche über sh cdp neigh auf den Ports 13 und 24 sehen,
welcher der beiden Links wird dann über STP geblocked?
Welche VLANs sind auf dem Port 13 getaggt?
wenn sich die Switche über sh cdp neigh auf den Ports 13 und 24 sehen,
welcher der beiden Links wird dann über STP geblocked?
Welche VLANs sind auf dem Port 13 getaggt?
Guten Morgen,
also die Firewall ist eine WatchGurad XTM850 mit Firmware 11.8.
Auf Port 13 ist das Default VLAN und auf Port 24 das 111 und 112 welche da für STP geblockt wird kann ich nicht sagen.
also die Firewall ist eine WatchGurad XTM850 mit Firmware 11.8.
Auf Port 13 ist das Default VLAN und auf Port 24 das 111 und 112 welche da für STP geblockt wird kann ich nicht sagen.
Kann man sich auf dem Switch mit "show spanntree detail" ansehen !
Hier mal die Details für Port 13 und 24
Und die normale Ansicht über alle
TS-MS1-S6-IP1# show spanning-tree detail
Status and Counters - CST Port(s) Detailed Information
Port : 13
Status : Up
BPDU Protection : No
BPDU Filtering : No
Errant BPDU Count : 0
Root Guard : No
TCN Guard : No
MST Region Boundary : Yes
External Path Cost : 20000
External Root Path Cost : 0
Administrative Hello Time : Global
Operational Hello Time : 2
AdminEdgePort : No
Auto Edge Port : Yes
OperEdgePort : No
AdminPointToPointMAC : True
OperPointToPointMAC : Yes
Aged BPDUs Count : 0
Loop-back BPDUs Count : 0
TC ACK Flag Transmitted : 0
TC ACK Flag Received : 0
MST MST CFG CFG TCN TCN
BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx
---------- ---------- ---------- ---------- ---------- ----------
220169 3 0 0 0 0
Port : 24
Status : Up
BPDU Protection : No
BPDU Filtering : No
Errant BPDU Count : 0
Root Guard : No
TCN Guard : No
MST Region Boundary : Yes
External Path Cost : 20000
External Root Path Cost : 0
Administrative Hello Time : Global
Operational Hello Time : 2
AdminEdgePort : No
Auto Edge Port : Yes
OperEdgePort : No
AdminPointToPointMAC : True
OperPointToPointMAC : Yes
Aged BPDUs Count : 0
Loop-back BPDUs Count : 0
TC ACK Flag Transmitted : 0
TC ACK Flag Received : 0
MST MST CFG CFG TCN TCN
BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx
---------- ---------- ---------- ---------- ---------- ----------
219791 6 0 0 0 0
TS-MS1-S6-IP1#Und die normale Ansicht über alle
S-MS1-S6-IP1# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-1ad7e0
Switch Priority : 32768
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 43
Time Since Last Change : 5 days
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 32768
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 0018fe-1ad7e0
IST Regional Root Priority : 32768
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
24 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
TS-MS1-S6-IP1#
Kannst du die Spannung-Tree Konfiguration auch noch von dem anderen Switch posten?
Auch die Ausgabe von beiden Switchen welche VLANs auf den Verbindungsports anliegen wäre interessant.
Das geht mit "show vlan ports" ....
Auch die Ausgabe von beiden Switchen welche VLANs auf den Verbindungsports anliegen wäre interessant.
Das geht mit "show vlan ports" ....
Hier die Daten vom 2. Switch
Und hier die VLAN Ports 13 und 24 von Switch 1
U
nd hier die VLAN Ports 13 und 24 von Switch 2
TS-MS2-S6-IP2# show spanning-tree detail
Status and Counters - CST Port(s) Detailed Information
Port : 13
Status : Up
BPDU Protection : No
BPDU Filtering : No
Errant BPDU Count : 0
Root Guard : No
TCN Guard : No
MST Region Boundary : Yes
External Path Cost : 20000
External Root Path Cost : 0
Administrative Hello Time : Global
Operational Hello Time : 2
AdminEdgePort : No
Auto Edge Port : Yes
OperEdgePort : No
AdminPointToPointMAC : True
OperPointToPointMAC : Yes
Aged BPDUs Count : 0
Loop-back BPDUs Count : 0
TC ACK Flag Transmitted : 0
TC ACK Flag Received : 0
MST MST CFG CFG TCN TCN
BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx
---------- ---------- ---------- ---------- ---------- ----------
3 256153 0 0 0 0
Port : 24
Status : Up
BPDU Protection : No
BPDU Filtering : No
Errant BPDU Count : 0
Root Guard : No
TCN Guard : No
MST Region Boundary : Yes
External Path Cost : 20000
External Root Path Cost : 0
Administrative Hello Time : Global
Operational Hello Time : 2
AdminEdgePort : No
Auto Edge Port : Yes
OperEdgePort : No
AdminPointToPointMAC : True
OperPointToPointMAC : Yes
Aged BPDUs Count : 0
Loop-back BPDUs Count : 0
TC ACK Flag Transmitted : 0
TC ACK Flag Received : 0
MST MST CFG CFG TCN TCN
BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx BPDUs Tx BPDUs Rx
---------- ---------- ---------- ---------- ---------- ----------
6 255728 0 0 0 0
TS-MS2-S6-IP2#TS-MS2-S6-IP2# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-d32300
Switch Priority : 32768
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 3
Time Since Last Change : 5 days
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 32768
CST Root Path Cost : 20000
CST Root Port : 1
IST Regional Root MAC Address : 0018fe-d32300
IST Regional Root Priority : 32768
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
7 100/1000T | Auto 128 Disabled |
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-d32300 2 Yes Yes
24 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
TS-MS2-S6-IP2#Und hier die VLAN Ports 13 und 24 von Switch 1
TS-MS1-S6-IP1# show vlan ports 13
Status and Counters - VLAN Information - for ports 13
802.1Q VLAN ID Name Status Voice Jumbo
-------------- ------------ ------------ ----- -----
1 DEFAULT_VLAN Port-based No No
TS-MS1-S6-IP1# show vlan ports 24
Status and Counters - VLAN Information - for ports 24
802.1Q VLAN ID Name Status Voice Jumbo
-------------- ------------ ------------ ----- -----
111 DATA Port-based No No
112 VOICE Port-based No No
TS-MS1-S6-IP1#nd hier die VLAN Ports 13 und 24 von Switch 2
TS-MS2-S6-IP2# show vlan ports 13
Status and Counters - VLAN Information - for ports 13
802.1Q VLAN ID Name Status Voice Jumbo
-------------- ------------ ------------ ----- -----
1 DEFAULT_VLAN Port-based No No
TS-MS2-S6-IP2# show vlan ports 24
Status and Counters - VLAN Information - for ports 24
802.1Q VLAN ID Name Status Voice Jumbo
-------------- ------------ ------------ ----- -----
111 DATA Port-based No No
112 VOICE Port-based No No
TS-MS2-S6-IP2#
Interessant, wie du siehst gehen diverse Ports auf dem zweiten HP Switch ins Blocking, und das nicht mal wenige!
Sicher wäre es gut, wenn du nochmal den kompletten Netzaufbau mit allen beteiligten Switches darstellen könntest.
Auf dem zweiten Switch gehen die Ports 2-6, 13 und 24 ins Blocking, sind die denn wirklich alle miteinander auf diesen Ports verbunden?
Als aktiven Uplink zeigt dir der zweite Switch den Port 1, da solltest du die VLANs auch drauf taggen.
Aber ich denke, hier liegt definitiv ein Fehler in deiner Spanning-Tree respektive VLAN-Konfiguration vor.
Ich weiß nicht, wie @aqui das sieht, aber eine Skizze des kompletten Netzes inkl. der Verbindungen der Switches untereinander
würde helfen!
Sicher wäre es gut, wenn du nochmal den kompletten Netzaufbau mit allen beteiligten Switches darstellen könntest.
Auf dem zweiten Switch gehen die Ports 2-6, 13 und 24 ins Blocking, sind die denn wirklich alle miteinander auf diesen Ports verbunden?
Als aktiven Uplink zeigt dir der zweite Switch den Port 1, da solltest du die VLANs auch drauf taggen.
Aber ich denke, hier liegt definitiv ein Fehler in deiner Spanning-Tree respektive VLAN-Konfiguration vor.
Ich weiß nicht, wie @aqui das sieht, aber eine Skizze des kompletten Netzes inkl. der Verbindungen der Switches untereinander
würde helfen!
Ok nur warum wird das geblockt bzw. wie kann ich es ändern.
Auf Port 1-6 sind 6 weitere Switche aufgesteckt an denen Clients hängen. Jeweils Pro Switch ein Link zu Switch 1 und einer zu Switch 2.
Pro Switch (1 und 2) steckt auf Port 22 die Firewall für das VLAN 111, auf Port 23 die Router, Port 21 ist vorbereitet für VLAN 112 und auf Port 24 sind beide Switche miteinander verbunden (VLAN 111 und 112 Tagt)
Auf Port 1-6 sind 6 weitere Switche aufgesteckt an denen Clients hängen. Jeweils Pro Switch ein Link zu Switch 1 und einer zu Switch 2.
Pro Switch (1 und 2) steckt auf Port 22 die Firewall für das VLAN 111, auf Port 23 die Router, Port 21 ist vorbereitet für VLAN 112 und auf Port 24 sind beide Switche miteinander verbunden (VLAN 111 und 112 Tagt)
Moin,
lg,
Slainte
Ok nur warum wird das geblockt
Schau dir mal an was (M)STP macht. Es verhindert das du dir deine Switches "im Kreis" verkabelst und so einen Broadcaststorm produzierst. Wenn STP Ports blockt bedeutet das, das eine Schleife im Netzwerk existiert.bzw. wie kann ich es ändern.
Verkabelung überprüfen & Schleifen auflösen. Am besten beginnst du, in dem du dir auf jeden switch "sh cdp neigh" ansiehst, dann weist du zumindest wer mit wem direkt verbunden ist.lg,
Slainte
Wir kommen da zu nichts.
Der TO will etwas über die Konfiguration von 2 VLANs wissen und betreibt die Switches gleichzeitig in einer aktiven Umgebung.
Eine externe, persönliche und lokale Hiilfe ist absolut angebracht.
Es kann nicht mehr besser werden.
Gruß
Netman
Der TO will etwas über die Konfiguration von 2 VLANs wissen und betreibt die Switches gleichzeitig in einer aktiven Umgebung.
Eine externe, persönliche und lokale Hiilfe ist absolut angebracht.
Es kann nicht mehr besser werden.
Gruß
Netman
1
Ich komme auf die anderen Switche nicht drauf das sind HP ProCurve 1810G - 24 GE die haben wie es scheint keine Console.
Jedenfalls sind die Switche wie Folge verbunden.
Master Switch 1 (HP Procurve 2810-24g) - jeweils ein Kabel an Port 1 oder 23 Prob Sub Switch (HP ProCurve 1810G - 24 GE)
Master Switch 2 (HP Procurve 2810-24g) - jeweils ein Kabel an Port 2 oder 24 Prob Sub Switch (HP ProCurve 1810G - 24 GE)
Die beiden Master Switche sind über Port 13 miteinander Verbunden. Auf Port 7 steckt jeweils die Firewall mit der entsprechenden ETH Schnittstelle (da HA Cluster) entweder die Master oder die Slave.
Alles DEFAULT VLAN. (Was auf Port 7 Steckt von der Firewall hat natürlich keine VLAN Konfiguration auf der Firewall.
Nach meinem dafürhalten hat das aber alles nicht damit zu tun was ich auf Port 20-24 mache mit VLAN 111 und 112.
Jedenfalls sind die Switche wie Folge verbunden.
Master Switch 1 (HP Procurve 2810-24g) - jeweils ein Kabel an Port 1 oder 23 Prob Sub Switch (HP ProCurve 1810G - 24 GE)
Master Switch 2 (HP Procurve 2810-24g) - jeweils ein Kabel an Port 2 oder 24 Prob Sub Switch (HP ProCurve 1810G - 24 GE)
Die beiden Master Switche sind über Port 13 miteinander Verbunden. Auf Port 7 steckt jeweils die Firewall mit der entsprechenden ETH Schnittstelle (da HA Cluster) entweder die Master oder die Slave.
Alles DEFAULT VLAN. (Was auf Port 7 Steckt von der Firewall hat natürlich keine VLAN Konfiguration auf der Firewall.
Nach meinem dafürhalten hat das aber alles nicht damit zu tun was ich auf Port 20-24 mache mit VLAN 111 und 112.
die haben wie es scheint keine Console.
Nein, dafür aber ein WebGUI was mehr oder minder identsich ist um sie zu konfigurieren.Habe 2 HP Gurken organisiert (igitt, wollte niemals sowas anfassen...) und baue das nach und poste dir morgen eine lauffähige Konfig beider Switches hier für dein Szenario.
Zitat von @aqui:
> die haben wie es scheint keine Console.
Nein, dafür aber ein WebGUI was mehr oder minder identsich ist um sie zu konfigurieren.
Habe 2 HP Gurken organisiert (igitt, wollte niemals sowas anfassen...) und baue das nach und poste dir morgen eine lauffähige
Konfig beider Switches hier für dein Szenario.
> die haben wie es scheint keine Console.
Nein, dafür aber ein WebGUI was mehr oder minder identsich ist um sie zu konfigurieren.
Habe 2 HP Gurken organisiert (igitt, wollte niemals sowas anfassen...) und baue das nach und poste dir morgen eine lauffähige
Konfig beider Switches hier für dein Szenario.
Ok ein WebGui haben die HP Procurve 2810-24g auch nur über die Console lassen sich ja doch mehr Sachen prüfen. War wohl etwas Falsch ausgedrückt. Ich komme auf die drauf, halt auf die WebGui aber nicht per SSH oder Telnet, was sich aber jetzt geklärt hat da die so etwas gar nicht haben. Dachte schon ich hätte eventuell in der WebGui irgendwo einen Hacken übersehen mit dem man den Zugriff auf eine Console an bzw. aus stellen kann. Hatte aber auch selbst in der beschreiben nichts über eine Console finden können.
Oh das ist Super das du das Szenario nachbaust.
Das Hier müsste "sh cdp neigh" entsprechen halt aus der Web Gui
Sieht auf allen etwa gleich aus bis auf das Local Interface (wie gesagt teils 1 und 2 teils 23 und 24), Port ID und Port Description.
Local Interface |Chassis ID |Port ID|Port Description |System Name |Capabilities Supported |Capabilities Enabled |System IP
23 |00:18:FE:1A:D7:E0 |1 |1 |TS-MS1-S6-IP1 |bridge |bridge |192.168.100.1
24 |00:18:FE:D3:23:00 |1 |1 |TS-MS2-S6-IP2 |bridge |bridge |192.168.100.2
Warum hat der Switch von 2006 keine Console?
So steht es im Quick Manual:
Dokument: 2810-QIG-June2006-59913844.pdf
Es gibt auch ein komplettes Manual. Such einfach nach hp procurve 2810 manual
Gruß Netman
So steht es im Quick Manual:
Using the Console Setup Screen
The quickest and easiest way to minimally configure the switch for management and password protection in your network is to use a direct console connection to the switch, start a console session, and access the Switch Setup screen.
1. Connect a terminal device to the console port and display the switch console command (CLI) prompt (the default display). ProCurve#
2. At the prompt, enter the setup command to display the Switch Setup screen. The Setup screen with the default settings is shown below.
The quickest and easiest way to minimally configure the switch for management and password protection in your network is to use a direct console connection to the switch, start a console session, and access the Switch Setup screen.
1. Connect a terminal device to the console port and display the switch console command (CLI) prompt (the default display). ProCurve#
2. At the prompt, enter the setup command to display the Switch Setup screen. The Setup screen with the default settings is shown below.
6. Connect a Console to the Switch
The console can be accessed through these methods:
■ Out-of-band: The switch comes with a console cable for connecting a PC or VT-100 terminal directly to the Console port on the front of the switch. The console cable is a DB-9 to RJ45 connector.
■ In-Band: Access the console using Telnet from a PC or UNIX station on the network, and a VT-100 terminal emulator. This method requires that you first configure the switch with an IP address and subnet mask by using either out-of-band console access or through DHCP/Bootp.
The Switch can simultaneously support one out-of-band console session through the Console Port and one in-band Telnet console session.
The console can be accessed through these methods:
■ Out-of-band: The switch comes with a console cable for connecting a PC or VT-100 terminal directly to the Console port on the front of the switch. The console cable is a DB-9 to RJ45 connector.
■ In-Band: Access the console using Telnet from a PC or UNIX station on the network, and a VT-100 terminal emulator. This method requires that you first configure the switch with an IP address and subnet mask by using either out-of-band console access or through DHCP/Bootp.
The Switch can simultaneously support one out-of-band console session through the Console Port and one in-band Telnet console session.
Dokument: 2810-QIG-June2006-59913844.pdf
Es gibt auch ein komplettes Manual. Such einfach nach hp procurve 2810 manual
Gruß Netman
Zitat von @MrNetman:
Warum hat der Switch von 2006 keine Console?
So steht es im Quick Manual:
> Using the Console Setup Screen
> The quickest and easiest way to minimally configure the switch for management and password protection in your network is to
use a direct console connection to the switch, start a console session, and access the Switch Setup screen.
> 1. Connect a terminal device to the console port and display the switch console command (CLI) prompt (the default display).
ProCurve#
> 2. At the prompt, enter the setup command to display the Switch Setup screen. The Setup screen with the default settings is
shown below.
> 6. Connect a Console to the Switch
> The console can be accessed through these methods:
> ■ Out-of-band: The switch comes with a console cable for connecting a PC or VT-100 terminal directly to the Console port on
the front of the switch. The console cable is a DB-9 to RJ45 connector.
> ■ In-Band: Access the console using Telnet from a PC or UNIX station on the network, and a VT-100 terminal emulator.
This method requires that you first configure the switch with an IP address and subnet mask by using either out-of-band console
access or through DHCP/Bootp.
> The Switch can simultaneously support one out-of-band console session through the Console Port and one in-band Telnet console
session.
Dokument: 2810-QIG-June2006-59913844.pdf
Es gibt auch ein komplettes Manual. Such einfach nach hp procurve 2810 manual
Gruß Netman
Warum hat der Switch von 2006 keine Console?
So steht es im Quick Manual:
> Using the Console Setup Screen
> The quickest and easiest way to minimally configure the switch for management and password protection in your network is to
use a direct console connection to the switch, start a console session, and access the Switch Setup screen.
> 1. Connect a terminal device to the console port and display the switch console command (CLI) prompt (the default display).
ProCurve#
> 2. At the prompt, enter the setup command to display the Switch Setup screen. The Setup screen with the default settings is
shown below.
> 6. Connect a Console to the Switch
> The console can be accessed through these methods:
> ■ Out-of-band: The switch comes with a console cable for connecting a PC or VT-100 terminal directly to the Console port on
the front of the switch. The console cable is a DB-9 to RJ45 connector.
> ■ In-Band: Access the console using Telnet from a PC or UNIX station on the network, and a VT-100 terminal emulator.
This method requires that you first configure the switch with an IP address and subnet mask by using either out-of-band console
access or through DHCP/Bootp.
> The Switch can simultaneously support one out-of-band console session through the Console Port and one in-band Telnet console
session.
Dokument: 2810-QIG-June2006-59913844.pdf
Es gibt auch ein komplettes Manual. Such einfach nach hp procurve 2810 manual
Gruß Netman
Ich habe ja auch gesagt das der "HP ProCurve 1810G - 24 GE" keine Console hat und nicht der "HP Procurve 2810-24g".
War vielleicht etwas umständlich geschrieben.
Aber wer den ganzen Therd hier liest hat ja schon mitbekommen das ich einige Sachen aus der Console von den "HP Procurve 2810-24g" gepostet habe.
So, hier das Resultat vom Laboraufbau gemäß deines Designs:
Beachtet man das alles sieht die Konfiguration dieses sehr simplen Designs so aus:
Switch 1:
Switch-2 dann entsprechend:
Das Szenario funktioniert fehlerfrei !
Wenn man die Firewall "simuliert" mit einem Switch und so den Loop in VLAN 111 dann geht erwartungsgemäß der Port 20 an Switch 2 in den Blocking Mode.
Traffic im VLAN 111 an Switch-2 was an die Firewall geht läuft also so über den Switch-Uplink Port 25 auf Switch-1 und dann dort via Port 20 an die Firewall.
Simuliert man den Ausfall vom Firewall Port 20 an Switch 1 schaltet RSTP sofort um auf Port 20 an Switch-2 wie es soll.
Ein zusätzliches sh mac-address vlan 111 zeigt dies eindeutig wie die Mac Adressen auf den Ports verteilt durch sind durch die RSTP Topologie.
Ein in den Testports 21 und 22 angeschlossener Laptop zeigt wunderbar die durchgängige Verbindung der LANs in VLAN-1 und VLAN-111 (Ping der Router- und Firewall IP Adresse) sowie VLAN-112.
Ein Ping der Routerports in den VLANs 111 und 112 ist fehlerlos möglich. Der HSRP/VRRP Status der Router zeigt sauber Master und Slave Seite an was auch die korrekt funktionierende HSRP/VRRP Funktion dokumentiert.
Ein simples Standardszenario was genau macht was es soll...
Wo genau ist denn nun noch dein Problem... ??
- 2 HP Switches per tagged Uplink verbunden an Port 25 (entspricht deinem Port 24)
- Tagged Router Uplink für die VLANs 111 und 112 an jedem Switch zum jeweiligen Router an Port 23
- Je einen untagged Testport pro Switch in jedem VLAN um die Connectivity in den VLANs sicher zu testen. 21=VLAN-111, 22=VLAN-112
- Firewall Port untagged in VLAN 111 an Port 20 (entspricht deinem Port 22)
- RSTP Spanning Tree aktiviert, denn das ist zwingend erforderlich, da die Firewall Verbindung auf dem beide Switches hängen sonst einen Loop erzeugen würde. Spanning Tree zu aktivieren ist hier also essentiell. Achtung: Einer der Switches sollte hier immer RSTP Rootbridge sein, was man mit der Spanning Tree Priority festlegt in Modulo 4096er Schritten !! spanning-tree force-version rstp-operation priority 3 ist hier das Kommando auf Switch-1. Switch-2 behält die Default Priority 8. Wenn möglich sollte am Firewall Switchport auch RSTP aktiviert sein. Muss aber nicht zwingend wenn der Firewall Switch RSTP Pakete "durchschleift" ! Dies ist zwingend zu prüfen !! Keinesfalls darf die Firewall RSTP Pakete der Switches blocken, denn das erhöht die Gefahr eines Loops im Netz !!
Beachtet man das alles sieht die Konfiguration dieses sehr simplen Designs so aus:
Switch 1:
hostname "HP-Switch-1"
time timezone 60
time daylight-time-rule Western-Europe
no cdp run
interface 20
name "Firewall"
exit
interface 21
name "Testport_VLAN-111"
exit
interface 22
name "Testport_VLAN-112"
exit
interface 23
name "Tagged_Uplink_Router"
exit
interface 25
name "Uplink_Switch-2"
exit
ip default-gateway 192.168.100.254
sntp server 130.149.17.21 4
timesync sntp
sntp unicast
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-19,23-26
ip address 192.168.100.1 255.255.255.0
no untagged 20-22
ip igmp
exit
vlan 111
name "Data"
untagged 20-21
tagged 23,25
exit
vlan 112
name "Voice"
untagged 22
tagged 23,25
exit
spanning-tree
spanning-tree priority 3 hostname "HP-Switch-2"
time timezone 60
time daylight-time-rule Western-Europe
no cdp run
interface 20
name "Firewall"
exit
interface 21
name "Testport_VLAN-111"
exit
interface 22
name "Testport_VLAN-112"
exit
interface 23
name "Tagged_Uplink_Router"
exit
interface 25
name "Uplink_Switch-1"
exit
ip default-gateway 192.168.100.254
sntp server 130.149.17.21 4
timesync sntp
sntp unicast
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 1-19,23-26
ip address 192.168.100.2 255.255.255.0
no untagged 20-22
ip igmp
exit
vlan 111
name "Data"
untagged 20-21
tagged 23,25
exit
vlan 112
name "Voice"
untagged 22
tagged 23,25
exit
spanning-tree Das Szenario funktioniert fehlerfrei !
Wenn man die Firewall "simuliert" mit einem Switch und so den Loop in VLAN 111 dann geht erwartungsgemäß der Port 20 an Switch 2 in den Blocking Mode.
Traffic im VLAN 111 an Switch-2 was an die Firewall geht läuft also so über den Switch-Uplink Port 25 auf Switch-1 und dann dort via Port 20 an die Firewall.
Simuliert man den Ausfall vom Firewall Port 20 an Switch 1 schaltet RSTP sofort um auf Port 20 an Switch-2 wie es soll.
Ein zusätzliches sh mac-address vlan 111 zeigt dies eindeutig wie die Mac Adressen auf den Ports verteilt durch sind durch die RSTP Topologie.
Ein in den Testports 21 und 22 angeschlossener Laptop zeigt wunderbar die durchgängige Verbindung der LANs in VLAN-1 und VLAN-111 (Ping der Router- und Firewall IP Adresse) sowie VLAN-112.
Ein Ping der Routerports in den VLANs 111 und 112 ist fehlerlos möglich. Der HSRP/VRRP Status der Router zeigt sauber Master und Slave Seite an was auch die korrekt funktionierende HSRP/VRRP Funktion dokumentiert.
Ein simples Standardszenario was genau macht was es soll...
Wo genau ist denn nun noch dein Problem... ??
3
Hallo aqui Danke für einen Test und die Erklärung.
Ich habe jetzt mal den Port der Firewall wie du als "untagged" gesetzt und das VLAN auf der Firewall raus geworfen und als ganz normalen ETH Schnittstelle Konfiguriert.
Momentan Funktioniert es noch nicht aber was noch fehlt ist
Auf dem Switch 1.
Kann ich das im Laufenden betrieb ändern ohne das es Auswirkungen auf die anderen gesteckten Komponenten usw. hat so das es zu keinen Verbindungsabbrüchen kommt wegen eventueller neu Konfiguration.
Was Meinst du mit "Wenn möglich sollte am Firewall Switchport auch RSTP aktiviert sein" ?
Wenn ich
auf dem Switch 1 ausführe ist das doch Global gesetzt auf allen Ports auf dem Switch 1.
Und Switch 2 soll doch so bleiben wie es ist. Oder verstehe ich da jetzt was falsch?
Und was meinst du mit "in Modulo 4096er Schritten"?
* RSTP Spanning Tree aktiviert, denn das ist zwingend erforderlich, da die Firewall Verbindung auf dem beide Switches hängen
sonst einen Loop erzeugen würde. Spanning Tree zu aktivieren ist hier also essentiell. Achtung: Einer der Switches sollte
hier immer RSTP Rootbridge sein, was man mit der Spanning Tree Priority festlegt in Modulo 4096er Schritten !! spanning-tree
force-version rstp-operation priority 3 ist hier das Kommando auf Switch-1. Switch-2 behält die Default Priority 8.
Wenn möglich sollte am Firewall Switchport auch RSTP aktiviert sein. Muss aber nicht zwingend wenn der Firewall Switch RSTP
Pakete "durchschleift" ! Dies ist zwingend zu prüfen !! Keinesfalls darf die Firewall RSTP Pakete der Switches
blocken, denn das erhöht die Gefahr eines Loops im Netz !!
sonst einen Loop erzeugen würde. Spanning Tree zu aktivieren ist hier also essentiell. Achtung: Einer der Switches sollte
hier immer RSTP Rootbridge sein, was man mit der Spanning Tree Priority festlegt in Modulo 4096er Schritten !! spanning-tree
force-version rstp-operation priority 3 ist hier das Kommando auf Switch-1. Switch-2 behält die Default Priority 8.
Wenn möglich sollte am Firewall Switchport auch RSTP aktiviert sein. Muss aber nicht zwingend wenn der Firewall Switch RSTP
Pakete "durchschleift" ! Dies ist zwingend zu prüfen !! Keinesfalls darf die Firewall RSTP Pakete der Switches
blocken, denn das erhöht die Gefahr eines Loops im Netz !!
Wo genau ist denn nun noch dein Problem... ??
Ich habe jetzt mal den Port der Firewall wie du als "untagged" gesetzt und das VLAN auf der Firewall raus geworfen und als ganz normalen ETH Schnittstelle Konfiguriert.
Momentan Funktioniert es noch nicht aber was noch fehlt ist
spanning-tree force-version rstp-operation priority 3Kann ich das im Laufenden betrieb ändern ohne das es Auswirkungen auf die anderen gesteckten Komponenten usw. hat so das es zu keinen Verbindungsabbrüchen kommt wegen eventueller neu Konfiguration.
Was Meinst du mit "Wenn möglich sollte am Firewall Switchport auch RSTP aktiviert sein" ?
Wenn ich
spanning-tree force-version rstp-operation priority 3Und Switch 2 soll doch so bleiben wie es ist. Oder verstehe ich da jetzt was falsch?
Und was meinst du mit "in Modulo 4096er Schritten"?
Kann ich das im Laufenden betrieb ändern ohne das es Auswirkungen auf die anderen gesteckten Komponenten usw. hat
Ja, das kannst du. Es wird zwar einen kurzen Topology Change geben aber das geht so schnell das Endgeräte das nicht merken.Was mit der Firewall und RSTP gemeint ist ist klar. Die Firewall wird vermutlich einen embedded Switch im Gerät haben, oder ?
Also das deren LAN Port z.B. ein 4er Port Switch mit RJ45 Ports sind.
Muss ja auch irgendwie so sein, denn deine Firewall wird mit dem LAN Port ja an BEIDE Switches angeschlossen. Folglich muss sie also mindestens 2 RJ-45 Ports haben die an ihrem LAN Port hängen. Diese 2 Ports müssen dann als Bridge oder Switch definiert sein also in einer gemeinsamen Layer 2 Domain stecken.
Über diese beiden Ports und dann mit der Verbindung der beiden Switches hättest du jetzt ohne Spanning Tree einen L2 Loop gesteckt und dein Netzwerk würde loopen und kollabieren !!
Deshalb ist hier irgendeine Art von Spanning Tree zwingend erforderlich um den Loop zu verhindern.
Wenn die FW nun selber Spanning Tree kann (an den 2 RJ-45 Ports) umso besser, dann kann sie aktiv am Spanning Tree partizipieren.
Oft können (billige) Firewalls das aber nicht. Dann musst du aber sicherstellen das BPDU Pakete (STP Pakete) über die 2 Ports passieren können, damit der STP sauber funktionieren kann. Oft wird das STP oder BPDU "Flooding" genannt.
Wenn du das Kommando "spanning-tree force-version rstp-operation priority 3" gilt das in der Tat global für den gesamten Switch.
Diese Billigswitches von HP supporten kein STP per VLAN.
Auf dem Switch 2 bleibt das in der Default Einstellung !
Ein show spanning tree sollte dir aber auf BEIDEN Switches zeigen das der Spanning Tree aktiv ist also entsprechenden Output anzeigen !
Hallo aqui,
ich glaube mit der Firewall reden wir irgendwie aneinander vorbei.
Ich habe zwei Firewalls (WatchGurd XTM850) die als eine Firewall fungieren.
Diese sind im HA Verbund (Cluster) eine läuft aktive (Master) die andere passiv (Slave).
Jetzt ist ein Kabel von der Master Firewall (ETH7) auf Switch 1 (Port 22) gesteckt und ein Kabel von der Salve Firewall (ETH7) auf Switch 2 (Port 22) gesteckt.
Ich habe "spanning-tree force-version rstp-operation priority 3" noch nicht ausgeführt.
Mit show spanning tree bekomme ich schön angezeigt was auf "Forwarding" ist usw.
Bei dem Switch2 steht bei Port 2,3,4,5,6,7,13 und 24 momentan "Blocking" und auf Switch1 bei diesen Ports "Forwarding" ausnehme ist Port 1 da steht bei beiden "Forwarding" obwohl die Verbindung nicht anders ist als Port 2-6.
ich glaube mit der Firewall reden wir irgendwie aneinander vorbei.
Ich habe zwei Firewalls (WatchGurd XTM850) die als eine Firewall fungieren.
Diese sind im HA Verbund (Cluster) eine läuft aktive (Master) die andere passiv (Slave).
Jetzt ist ein Kabel von der Master Firewall (ETH7) auf Switch 1 (Port 22) gesteckt und ein Kabel von der Salve Firewall (ETH7) auf Switch 2 (Port 22) gesteckt.
Ich habe "spanning-tree force-version rstp-operation priority 3" noch nicht ausgeführt.
Mit show spanning tree bekomme ich schön angezeigt was auf "Forwarding" ist usw.
Bei dem Switch2 steht bei Port 2,3,4,5,6,7,13 und 24 momentan "Blocking" und auf Switch1 bei diesen Ports "Forwarding" ausnehme ist Port 1 da steht bei beiden "Forwarding" obwohl die Verbindung nicht anders ist als Port 2-6.
OK, dann sind die FW nur einbeinig angebunden. Das war aus deiner obigen Schilderung und der Zeichnung nicht so ganz klar, deshalb der Hinweis. Den kannst du dann aber ignorieren. Bei einbeiniger Anbindung natürlich kein Loop...klar !
Du kannst mit "sh span det" auch sehen welcher Switch der Root Switch bzw. Root Bridge ist. Wenn du das Kommando "spanning-tree force-version rstp-operation priority 3" dort ausführst passiert rein gar nichts, denn dann bleibt der Root Root und es passiert keinerlei Topo Change. Das soll ja nur im Spanning Tree festlegen wer die Root Bridge ist.
Da die Loop Ports auf Switch 1 auf Forwarding stehen kannst du davon ausgehen das der 1 auch die Root Bridge ist. Kannst du aber am "sh span det" auch an der Mac Adresse sehen !
Generell komisch ist das aber schon das die Ports 2,3,4,5,6,7,13 und 24 auf Blocking stehen !!!
Gerade bei 24 darf das niemals der Fall sein, denn das ist ja der Uplink zwischen den beiden Switches !
Leider schreibst du nicht WAS an 2,3,4,5,6,7 und 13 angeschlossen ist aber es muss ja etwas sein was einen Loop im Netzwerk erzeugt ?!
Wie gesagt das kann normal sein in einem Redundanz Szenario aber niemals in deinem Schaubild mit nur den 2 Switches die du oben aufgemalt hast.
Wenn die Firewalls wie du sagst nur einbeinig dran sind kann es niemals in diesem design ein Loopszenario geben. Hier erzählst du uns also nur die halbe Wahrheit, denn die geblockten Ports lassen darauf schliessen das das noch mehr redundante Links im Spiel sind.
Wie gesagt gerade der Port 24 kann und darf nicht sein, denn sonst nehmen ALLE Verbindungen in die VLANs 1, 111 und 112 vollkommen andere Wege die NICHT über die von dir angegebenen Ports laufen !
Bevor wir hier weitermachen solltest du also dringenst nochmal was zur Netzwerk Topologie hier posten, denn so einfach wie du die darstellt ist sie garantiert nicht, das zeigen deine show Outputs !!
Es muss also ein himmelweiter Unterschied sein zwischen den Ports 1 und 2-6 !!!
WAS also ist da WIE angeschlossen !
Du kannst mit "sh span det" auch sehen welcher Switch der Root Switch bzw. Root Bridge ist. Wenn du das Kommando "spanning-tree force-version rstp-operation priority 3" dort ausführst passiert rein gar nichts, denn dann bleibt der Root Root und es passiert keinerlei Topo Change. Das soll ja nur im Spanning Tree festlegen wer die Root Bridge ist.
Da die Loop Ports auf Switch 1 auf Forwarding stehen kannst du davon ausgehen das der 1 auch die Root Bridge ist. Kannst du aber am "sh span det" auch an der Mac Adresse sehen !
Generell komisch ist das aber schon das die Ports 2,3,4,5,6,7,13 und 24 auf Blocking stehen !!!
Gerade bei 24 darf das niemals der Fall sein, denn das ist ja der Uplink zwischen den beiden Switches !
Leider schreibst du nicht WAS an 2,3,4,5,6,7 und 13 angeschlossen ist aber es muss ja etwas sein was einen Loop im Netzwerk erzeugt ?!
Wie gesagt das kann normal sein in einem Redundanz Szenario aber niemals in deinem Schaubild mit nur den 2 Switches die du oben aufgemalt hast.
Wenn die Firewalls wie du sagst nur einbeinig dran sind kann es niemals in diesem design ein Loopszenario geben. Hier erzählst du uns also nur die halbe Wahrheit, denn die geblockten Ports lassen darauf schliessen das das noch mehr redundante Links im Spiel sind.
Wie gesagt gerade der Port 24 kann und darf nicht sein, denn sonst nehmen ALLE Verbindungen in die VLANs 1, 111 und 112 vollkommen andere Wege die NICHT über die von dir angegebenen Ports laufen !
Bevor wir hier weitermachen solltest du also dringenst nochmal was zur Netzwerk Topologie hier posten, denn so einfach wie du die darstellt ist sie garantiert nicht, das zeigen deine show Outputs !!
Es muss also ein himmelweiter Unterschied sein zwischen den Ports 1 und 2-6 !!!
WAS also ist da WIE angeschlossen !
Guten Morgen zusammen,
so ich habe soeben bei dem Switch 1 folgenden befehl ausgeführt.
Hat leider auch nicht die erwünschte Änderung gebracht.
Ich habe es zwar schon mal geschrieben was da sonst alles dran hängt aber tue es gerne wieder aber jetzt mal ausführlicher
Kompletter Aufbau der Switche.
Port 1-13 sind Untagged für das Default VLAN
Port 22 ist Untagged für das VLAN 111
Port 23-24 sind Tagged für VLAN 111 und 112
Aber ich bin immer noch der Meinung das es egal ist was ich bis Port 13 da mache da das ganze ja über andere VLAN's läuft.
so ich habe soeben bei dem Switch 1 folgenden befehl ausgeführt.
spanning-tree force-version rstp-operation priority 3Ich habe es zwar schon mal geschrieben was da sonst alles dran hängt aber tue es gerne wieder aber jetzt mal ausführlicher
Kompletter Aufbau der Switche.
MS = Master Switch
SS = Sub Switch
Switch 1 = MS1
Switch 2 = MS2
#-MS1-#
Port 1 <-> SS1
Port 2 <-> SS2
Port 3 <-> SS3
Port 4 <-> SS4
Port 5 <-> SS5
Port 6 <-> SS6
Port 7 <-> Firewall ETH2
Port 13 <-> MS2
Port 22 <-> Firewall ETH7
Port 23 <-> Cisco Router (.60)
Port 24 <-> MS2 - TAGGT VLAN 111 + 112
#-MS2-#
Port 1 <-> SS1
Port 2 <-> SS2
Port 3 <-> SS3
Port 4 <-> SS4
Port 5 <-> SS5
Port 6 <-> SS6
Port 7 <-> Firewall ETH2
Port 13 <-> MS1
Port 22 <-> Firewall ETH7
Port 23 <-> Cisco Router (.61)
Port 24 <-> MS1 - TAGGT VLAN 111 + 112Port 1-13 sind Untagged für das Default VLAN
Port 22 ist Untagged für das VLAN 111
Port 23-24 sind Tagged für VLAN 111 und 112
Aber ich bin immer noch der Meinung das es egal ist was ich bis Port 13 da mache da das ganze ja über andere VLAN's läuft.
Allein der Begriff default VLAN sollte dir schon richtig viel zu denken geben.
Aus deiner Sicht sit das das erste VLAN, das es eben gibt und was da ist.
Aber es ist etwas anderes und ein default VLAN sollte nicht für die Endgeräte benutzt werden. Das ist etwas für die Infrastruktur.
Also es ist alles, nur nicht egal.
Gruß
Netman
Aus deiner Sicht sit das das erste VLAN, das es eben gibt und was da ist.
Aber es ist etwas anderes und ein default VLAN sollte nicht für die Endgeräte benutzt werden. Das ist etwas für die Infrastruktur.
Also es ist alles, nur nicht egal.
Gruß
Netman
Sind diese Switches ALLES HP Switches ?? Und....
Sind alle die Sub Switches irgendwie redundant angebunden so wie in einen klassichen Design wie hier:
Core wäre hier MS und Access SS. Oder sind die alle nur einbeinig zusammengesteckt ohne jegliche Redundanz ??
Nach deine o.a. Aufstellung nein denn die SS Switche sind alle beidbeinig an die MS angeschlossen und damit dann alles redundant nach der o.a. Zeichnung, richtig ??
Da wäre es dann auch vollkommen kontraproduktiv wenn einer der Access Switches eine höhere Prio hat. Das solltest du dann schnellstens wieder entfernen !!
Einer der MS Master oder Root Switches MUSS hier die Root Bridge sein und der 2te Master die Backup Root ! NICHT die SS Switches ! Die haben Default STP Prio.
Hier musst du also einen auf Priority 4096 setzen und den anderen auf Priority 8192 (immer Modulo 4096) die Access Teile sollten alle in der Default Priority verbleiben !!
Grund der Frage: Hast du durchgängig ein Single Span Spanning Tree im Einsatz (HP Default) oder sind die Master Switches irgend ein anderes Fabrikat ??
Du musst wasserdicht sicherstellen das du durchgängig im gesamten Netz ein Single Span Spanning Tree einsetzt. Und...es muss durchgängig RSTP (Rapid STP) aktiviert sein !
Es dürfen nirgends irgendwelche Switches sein die ein Per VLAN STP laufen haben PVSTP oder Cisco PVSTP+ oder auch MSTP die sind nicht kompaibel und können zu unvorhergesehenen Topologie Änderungen führen.
Checke also akribisch ob das so umgesetzt ist auf den Switches sonst kommen wir hier nicht weiter.
Irgendwas ist dort nämlich inkonsistent bei dir im STP wenn auf deinem Access Switch so viele Ports in den Blocking Mode gehen !!
Es sind ja die Ports 1 bis 13 was vermuten lässt das da irgendwas nicht stimmt mit dem STP.
Sind alle die Sub Switches irgendwie redundant angebunden so wie in einen klassichen Design wie hier:
Core wäre hier MS und Access SS. Oder sind die alle nur einbeinig zusammengesteckt ohne jegliche Redundanz ??
Nach deine o.a. Aufstellung nein denn die SS Switche sind alle beidbeinig an die MS angeschlossen und damit dann alles redundant nach der o.a. Zeichnung, richtig ??
Da wäre es dann auch vollkommen kontraproduktiv wenn einer der Access Switches eine höhere Prio hat. Das solltest du dann schnellstens wieder entfernen !!
Einer der MS Master oder Root Switches MUSS hier die Root Bridge sein und der 2te Master die Backup Root ! NICHT die SS Switches ! Die haben Default STP Prio.
Hier musst du also einen auf Priority 4096 setzen und den anderen auf Priority 8192 (immer Modulo 4096) die Access Teile sollten alle in der Default Priority verbleiben !!
Grund der Frage: Hast du durchgängig ein Single Span Spanning Tree im Einsatz (HP Default) oder sind die Master Switches irgend ein anderes Fabrikat ??
Du musst wasserdicht sicherstellen das du durchgängig im gesamten Netz ein Single Span Spanning Tree einsetzt. Und...es muss durchgängig RSTP (Rapid STP) aktiviert sein !
Es dürfen nirgends irgendwelche Switches sein die ein Per VLAN STP laufen haben PVSTP oder Cisco PVSTP+ oder auch MSTP die sind nicht kompaibel und können zu unvorhergesehenen Topologie Änderungen führen.
Checke also akribisch ob das so umgesetzt ist auf den Switches sonst kommen wir hier nicht weiter.
Irgendwas ist dort nämlich inkonsistent bei dir im STP wenn auf deinem Access Switch so viele Ports in den Blocking Mode gehen !!
Es sind ja die Ports 1 bis 13 was vermuten lässt das da irgendwas nicht stimmt mit dem STP.
Genau wie in deiner Zeichnung sind die Switche verbunden (Redundant)
Die Master oder Root Switche sind beide HP ProCurve 2810-24G
und die 6 Sub Switche sind alle HP ProCurve 1810G-24GE
Bei den 1810G gibt es leider keine Console. Spanning Tree kann ich da nicht finden aber (Loop Protection) ist bei allen Disabled.
Die Master oder Root Switche sind beide HP ProCurve 2810-24G
und die 6 Sub Switche sind alle HP ProCurve 1810G-24GE
Bei den 1810G gibt es leider keine Console. Spanning Tree kann ich da nicht finden aber (Loop Protection) ist bei allen Disabled.
Moin,
die 1810G unterstützen kein STP, bei HP fängt das redundante Leben erst mit den 2xx0er Switchen an.
VG,
Thomas
die 1810G unterstützen kein STP, bei HP fängt das redundante Leben erst mit den 2xx0er Switchen an.
VG,
Thomas
Da rächt sich dann wieder die Wahl vom Billigheimer HP. Der Cisco SG-200 hat wenigstens beide Arten von Spanning Tree und das sogar beim 8 Port Modell...aber egal...
Damit schliesst sich dann ein redundantes Szeanrio mit dem 1810er Gurken aus. Die darf man dann nur einbeinig anschliessen oder... muss absolut sicher stellen das die BPDU Pakete transparent durchswitchen. Das machen nicht alle....
Wenn sie es nicht machen, dann sollte man niemals mit redundanten Links arbeiten mit der HW. Solche Homeuser Teile haben auch nichts in einem redundanten Firmennetzwerk zu suchen !! Löst aber natürlich nicht das Problem.
Du solltest also erstmal checken ob die BPDUs der anderen Switches passieren lassen, dann kann man sie gefahrlos einsetzen, sonst nicht.
Es entbindet dich aber auch nicht die beiden "MS" Switches als Root Bridge und Backup Root Bridge zu definieren. Im Gegenteil es macht das noch zwingender erforderlich. Das ist ein Muss in so einem redundanten Design !
Damit schliesst sich dann ein redundantes Szeanrio mit dem 1810er Gurken aus. Die darf man dann nur einbeinig anschliessen oder... muss absolut sicher stellen das die BPDU Pakete transparent durchswitchen. Das machen nicht alle....
Wenn sie es nicht machen, dann sollte man niemals mit redundanten Links arbeiten mit der HW. Solche Homeuser Teile haben auch nichts in einem redundanten Firmennetzwerk zu suchen !! Löst aber natürlich nicht das Problem.
Du solltest also erstmal checken ob die BPDUs der anderen Switches passieren lassen, dann kann man sie gefahrlos einsetzen, sonst nicht.
Es entbindet dich aber auch nicht die beiden "MS" Switches als Root Bridge und Backup Root Bridge zu definieren. Im Gegenteil es macht das noch zwingender erforderlich. Das ist ein Muss in so einem redundanten Design !
Ich habe die Einstellung nochmal zurück gestellt.
So sieht die SPT Config der beiden 2810 aus
Switch 1
und Switch2
Bei dem 1. Switch steht bei CST Root Port: This switch is root, und bei dem 2. Port 1, was wohl der Grund ist warum vieles geblockt wird.
Die frage ist jetzt wie stelle ich es um? Einmal, welche befehle brauch ich auf der Console und wie mache ich es vom designe her? Alles auf Port 24 oder Port 13 oder geht es auch das es doch mehrer Ports sind und ich kann einmal Port 13 und einmal Port 24 Nutzen?
So sieht die SPT Config der beiden 2810 aus
Switch 1
TS-MS1-S6-IP1# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-1ad7e0
Switch Priority : 12288
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 59
Time Since Last Change : 6 secs
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 12288
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 0018fe-1ad7e0
IST Regional Root Priority : 12288
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
24 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Nound Switch2
TS-MS2-S6-IP2# show spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-d32300
Switch Priority : 32768
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 6
Time Since Last Change : 3 days
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 12288
CST Root Path Cost : 20000
CST Root Port : 1
IST Regional Root MAC Address : 0018fe-d32300
IST Regional Root Priority : 32768
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-d32300 2 Yes Yes
24 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes NoBei dem 1. Switch steht bei CST Root Port: This switch is root, und bei dem 2. Port 1, was wohl der Grund ist warum vieles geblockt wird.
Die frage ist jetzt wie stelle ich es um? Einmal, welche befehle brauch ich auf der Console und wie mache ich es vom designe her? Alles auf Port 24 oder Port 13 oder geht es auch das es doch mehrer Ports sind und ich kann einmal Port 13 und einmal Port 24 Nutzen?
OK, das sieht einigermaßen OK aus...allerdings nur einigermaßen, den mit deiner Beschreibung oben welcher Switch WO angeschlossen ist kann es nicht übereinstimmen !
Bei Switches SW1 und SW2 sind ja jeweils redundant mit ihren beiden Uplinks je an MS1 und MS2 verbunden.
Gehen wier mal davon aus das MS1 der Root Switch ist mit der höchsten Priority wie es sein sll und MS2 mit der zweithöchsten also Backup Root und alles Access Switches haben die Standard Prio.
Angeschlossen sind sie ja wie oben im "14:06" Bild !
Wenn die Anschlüsse so stimmen und der STP so richtig definiert ist dann müssten auf dem SW1 UNF auch auf SW2 jeweils die Ports an denen der Uplink zu MS2 angeschlossen ist in den Blocking Status gehen, denn diese Ports haben aus STP Sicht die schlechtesten Costs.
Genau DAS ist aber bei dir nicht der Fall !!
Vielmehr ist bei SW1 jeder Port im Forwarding Mode was so niemals sein kann sollte deine Angabe stimmen.
Und bei SW2 ist fast alles relevante im Blocking Mode...auch das kann so nach deiner Netzdesign Beschreibung nicht stimmen !
Irgendwas ist also noch oberfaul in deinem Desin und/oder deiner Verkabelung !
Außerdem zeigen die Switches nun oben MSTP an statt RSTP ?!
Hast du jetzt alles global auf MSTP Spanning Tree umgestellt statt RSTP ??
Wenn ja arbeitest du da ggf. dann mit unterschiedlichen Priottities in den einzelnen MSTP Instances ??
Du machst der Community hier echt das Leben schwer denn mit jedem Posting zeigst du hier gravierende sich widersprechende Netzwerk Konfigs so das man immer wieder aufs neue anfangen muss, was etwas frustrierend ist.
Nimmt man sich jetzt nur mal deinen beiden Master (Core) Switches vor mit den beiden relevanten Switches 1 und 2 dann sollte das Design gemäß deiner o.a. Port Verkabelungsliste ja so aussehen, richtg ?!:
Fraglich laut deiner Port Liste ist der Port 24 der zusammen mit dem Port 13 beide Master Switches verbindet. Das aber witzigerweise nur für die VLANs 111 und 112.
Sinnvoll fragt man sich was der Unsinn soll ??
Es macht doch viel mehr Sinn den Port 13 UND den Port 24 auf beiden MS Switches in einen Trunk (Link Aggregation) zusammenzuführen und den für ALLE VLANs als Uplink zwischen den beiden Core Switches einzurichten wie es auch allgemein in einem Standard Redundanz Szenario so üblich ist.
Strukturell sähe dasdann so aus:
Das nämlich verhindert gefürchtete STP Inkonsistenzen zw. den verschiedenen VLANs und löst durch Trunking und der damit verbundenen Bandbreitenerhöhung zw.den Core Switches auch evtl. Performance Engpässe hier, da ein L2 Forwarding ja nur auf dem Root Switch im Core passiert. Auch das ein simples Standardszenario.
Wenn du also alles so eingerichtet hast wie in der o.a. Zeichnung müsstest du auch das dazu korrespondierende STP Blocking Verhalten sehen. Was übrigens identisch ist für alle so angebundenen "SS" Switches !
Fazit: Du musst also hier den Verkabelungs bzw. STP Kincken finden sonst drehen wir uns hier weiter im Kreis !
Bei Switches SW1 und SW2 sind ja jeweils redundant mit ihren beiden Uplinks je an MS1 und MS2 verbunden.
Gehen wier mal davon aus das MS1 der Root Switch ist mit der höchsten Priority wie es sein sll und MS2 mit der zweithöchsten also Backup Root und alles Access Switches haben die Standard Prio.
Angeschlossen sind sie ja wie oben im "14:06" Bild !
Wenn die Anschlüsse so stimmen und der STP so richtig definiert ist dann müssten auf dem SW1 UNF auch auf SW2 jeweils die Ports an denen der Uplink zu MS2 angeschlossen ist in den Blocking Status gehen, denn diese Ports haben aus STP Sicht die schlechtesten Costs.
Genau DAS ist aber bei dir nicht der Fall !!
Vielmehr ist bei SW1 jeder Port im Forwarding Mode was so niemals sein kann sollte deine Angabe stimmen.
Und bei SW2 ist fast alles relevante im Blocking Mode...auch das kann so nach deiner Netzdesign Beschreibung nicht stimmen !
Irgendwas ist also noch oberfaul in deinem Desin und/oder deiner Verkabelung !
Außerdem zeigen die Switches nun oben MSTP an statt RSTP ?!
Hast du jetzt alles global auf MSTP Spanning Tree umgestellt statt RSTP ??
Wenn ja arbeitest du da ggf. dann mit unterschiedlichen Priottities in den einzelnen MSTP Instances ??
Du machst der Community hier echt das Leben schwer denn mit jedem Posting zeigst du hier gravierende sich widersprechende Netzwerk Konfigs so das man immer wieder aufs neue anfangen muss, was etwas frustrierend ist.
Nimmt man sich jetzt nur mal deinen beiden Master (Core) Switches vor mit den beiden relevanten Switches 1 und 2 dann sollte das Design gemäß deiner o.a. Port Verkabelungsliste ja so aussehen, richtg ?!:
Fraglich laut deiner Port Liste ist der Port 24 der zusammen mit dem Port 13 beide Master Switches verbindet. Das aber witzigerweise nur für die VLANs 111 und 112.
Sinnvoll fragt man sich was der Unsinn soll ??
Es macht doch viel mehr Sinn den Port 13 UND den Port 24 auf beiden MS Switches in einen Trunk (Link Aggregation) zusammenzuführen und den für ALLE VLANs als Uplink zwischen den beiden Core Switches einzurichten wie es auch allgemein in einem Standard Redundanz Szenario so üblich ist.
Strukturell sähe dasdann so aus:
Das nämlich verhindert gefürchtete STP Inkonsistenzen zw. den verschiedenen VLANs und löst durch Trunking und der damit verbundenen Bandbreitenerhöhung zw.den Core Switches auch evtl. Performance Engpässe hier, da ein L2 Forwarding ja nur auf dem Root Switch im Core passiert. Auch das ein simples Standardszenario.
Wenn du also alles so eingerichtet hast wie in der o.a. Zeichnung müsstest du auch das dazu korrespondierende STP Blocking Verhalten sehen. Was übrigens identisch ist für alle so angebundenen "SS" Switches !
Fazit: Du musst also hier den Verkabelungs bzw. STP Kincken finden sonst drehen wir uns hier weiter im Kreis !
Laut der aktuellen Konfig vom TO stimmt m.M.n. die Switch Priority vom Switch 2 nicht, die ist noch auf dem Default Wert 32768.
Ich denke nicht, dass wir hier ohne eine detailgenaue Skizze weiterkommen, wie @aqui schon länger meint.
Ist denn sichergestellt, dass BPDU-Pakete die Uplinks transparent passieren können?
Auch ein Auszug der aktuell laufenden Konfig auf beiden Switchen wäre sicher nützlich (sh run)
Ich denke nicht, dass wir hier ohne eine detailgenaue Skizze weiterkommen, wie @aqui schon länger meint.
Ist denn sichergestellt, dass BPDU-Pakete die Uplinks transparent passieren können?
Auch ein Auszug der aktuell laufenden Konfig auf beiden Switchen wäre sicher nützlich (sh run)
@daniel.shl
Vorsicht das du das hier nicht verwechselst oder durcheinander bringst !!!
Die Switch Priority muss ausschliesslich nur bei den MS Switches also den beiden Core Switches angegeben werden genau wie es in der o.a. Topologieskizze geschschildert ist. Z.B. MS1=Root=4096 und MS2"=Backup Root=8192
Die mit "SS" bezeichneten Access Switches können allesamt mit der Standard Prio arbeiten, denn der Root Path des STP Protokolls wird so zwingend duch die Root und Backup Root vorgegeben !!
Das macht natürlich nur Sinn wenn alle "SS" Switches so wie in der "14:06 Zeichnung" oben beidbeinig an die MS Switches angeschlossen sind, was ja der Fall ist wenn man der Liste des TOs hier trauen kann !
Für einbeinig angebundenen Geräte ist das irrelevant da hier natürlich kein STP wirkt.
Vorsicht das du das hier nicht verwechselst oder durcheinander bringst !!!
Die Switch Priority muss ausschliesslich nur bei den MS Switches also den beiden Core Switches angegeben werden genau wie es in der o.a. Topologieskizze geschschildert ist. Z.B. MS1=Root=4096 und MS2"=Backup Root=8192
Die mit "SS" bezeichneten Access Switches können allesamt mit der Standard Prio arbeiten, denn der Root Path des STP Protokolls wird so zwingend duch die Root und Backup Root vorgegeben !!
Das macht natürlich nur Sinn wenn alle "SS" Switches so wie in der "14:06 Zeichnung" oben beidbeinig an die MS Switches angeschlossen sind, was ja der Fall ist wenn man der Liste des TOs hier trauen kann !
Für einbeinig angebundenen Geräte ist das irrelevant da hier natürlich kein STP wirkt.
Hi @aqui,
laut deiner Skizze stimmt das mit den STP-Prios schon
Die letzten Auszüge aus den Konfigurationen der Switches 1 und 2 vom TO, welche ich einfach mal als aktuell laufend bezeichnen würde, zeigen, dass beim Switch 1 (MS-1) die STP Prio auf 12288 steht,
beim Switch 2 (MS-2) auf dem default Wert 32768. Somit dürften alle relevanten Switche nur eine Root Bridge und keine Backup Root sehen...
Viele Grüße
laut deiner Skizze stimmt das mit den STP-Prios schon
Die letzten Auszüge aus den Konfigurationen der Switches 1 und 2 vom TO, welche ich einfach mal als aktuell laufend bezeichnen würde, zeigen, dass beim Switch 1 (MS-1) die STP Prio auf 12288 steht,
beim Switch 2 (MS-2) auf dem default Wert 32768. Somit dürften alle relevanten Switche nur eine Root Bridge und keine Backup Root sehen...
Viele Grüße
So wie ich das verstanden habe hat der TO hier aber NICHT die MS Switches gepostet sondern das sind Konfigs der Switches SS1 und SS2.
Aber auch wenn das der Fall wäre, wäre dann diese STP Prio ebenfalls FALSCH.
Du hast also so oder so Recht !!
Zur Sicherheit sollte das der TO aber nochmal selber klären und ggf. korrigieren.
Sofern er denn überhaupt noch Internesse an einer Lösung dieses Problems interessiert ist.
Das Feedback von ihm geht ja mittlerweile leider gegen Null...
Aber auch wenn das der Fall wäre, wäre dann diese STP Prio ebenfalls FALSCH.
Du hast also so oder so Recht !!
Zur Sicherheit sollte das der TO aber nochmal selber klären und ggf. korrigieren.
Sofern er denn überhaupt noch Internesse an einer Lösung dieses Problems interessiert ist.
Das Feedback von ihm geht ja mittlerweile leider gegen Null...
Das denke ich auch, ohne Feedback vom TO wird das hier nichts bzw. mehr oder weniger Schüsse ins Blaue...
Ich bin noch an einer Lösung Interessiert. Ich schaue mir das Morgen nochmal alles an und schreibe was dazu. Bin die ganze Zeit leider nicht dazu gekommen.
Hier erst mal eine Skizze wie was angebunden ist.
Ich habe jetzt auf beiden 2810-G24 Switchen Spanning Tree auf RSTP-operation gestellt und die Prio geändert.
Die Verbindung auf Port 13 habe ich entfernt und habe Port 24 jetzt auch für das Default VLAN tagged.
Die Switche die auf Port 1-6 Hängen können kein Spanning Tree erst ab Version2, Wir haben aber Version1.
Folgendes Habe ich dazu gefunden.
Spanning Tree (PR_0000050043)— Note that the 1810G switches do not support Spanning Tree; this item
describes the behavior related to BPDU passing. Prior to this fix, spanning tree BPDUs are flooded out all ports
regardless of VLAN membership. This fix implements a strategy where BPDUs are only flooded out all ports on the
VLAN from which they are received
Hier der Auszug von sh spanning-tree
Switch 1 (Root)
Switch 2 (Backup)
Wie ihr seht wird weiterhin über Port 1 übertragen und nicht über Port 24. Macht es Sinn BPDU Protection für Port 1-6 zu Aktivieren?
Und der Auszug aus sh run (snmp und smtp Einstellungen habe ich raus gelöscht)
Switch 1 (Root)
Switch 2 (Backup)
Ich habe jetzt auf beiden 2810-G24 Switchen Spanning Tree auf RSTP-operation gestellt und die Prio geändert.
Die Verbindung auf Port 13 habe ich entfernt und habe Port 24 jetzt auch für das Default VLAN tagged.
Die Switche die auf Port 1-6 Hängen können kein Spanning Tree erst ab Version2, Wir haben aber Version1.
Folgendes Habe ich dazu gefunden.
Spanning Tree (PR_0000050043)— Note that the 1810G switches do not support Spanning Tree; this item
describes the behavior related to BPDU passing. Prior to this fix, spanning tree BPDUs are flooded out all ports
regardless of VLAN membership. This fix implements a strategy where BPDUs are only flooded out all ports on the
VLAN from which they are received
Hier der Auszug von sh spanning-tree
Switch 1 (Root)
TS-MS1-S6-IP1# sh spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-1ad7e0
Switch Priority : 0
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 111
Time Since Last Change : 9 secs
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 0
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 0018fe-1ad7e0
IST Regional Root Priority : 0
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
24 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
TS-MS1-S6-IP1#Switch 2 (Backup)
TS-MS2-S6-IP2# sh spanning-tree
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-d32300
Switch Priority : 4096
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 27
Time Since Last Change : 20 secs
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 0
CST Root Path Cost : 20000
CST Root Port : 1
IST Regional Root MAC Address : 0018fe-d32300
IST Regional Root Priority : 4096
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-d32300 2 Yes Yes
24 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
TS-MS2-S6-IP2#Wie ihr seht wird weiterhin über Port 1 übertragen und nicht über Port 24. Macht es Sinn BPDU Protection für Port 1-6 zu Aktivieren?
Und der Auszug aus sh run (snmp und smtp Einstellungen habe ich raus gelöscht)
Switch 1 (Root)
TS-MS1-S6-IP1# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.25
hostname "TS-MS1-S6-IP1"
interface 24
lacp Passive
exit
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18
ip address 192.168.100.1 255.255.255.0
tagged 24
no untagged 19-23
exit
vlan 111
name "DATA"
untagged 20,22
ip address 192.168.1.56 255.255.255.240
tagged 23-24
exit
vlan 112
name "VOICE"
untagged 19
ip address 192.168.1.40 255.255.255.240
tagged 21,23-24
exit
spanning-tree
spanning-tree priority 0 force-version RSTP-operation
password manager
TS-MS1-S6-IP1#Switch 2 (Backup)
TS-MS2-S6-IP2# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.25
hostname "TS-MS2-S6-IP2"
interface 24
lacp Passive
exit
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18
ip address 192.168.100.2 255.255.255.0
tagged 24
no untagged 19-23
exit
vlan 111
name "DATA"
untagged 20,22
ip address 192.168.1.57 255.255.255.240
tagged 23-24
exit
vlan 112
name "VOICE"
untagged 19
ip address 192.168.1.41 255.255.255.240
tagged 21,23-24
exit
spanning-tree
spanning-tree priority 1 force-version RSTP-operation
password manager
TS-MS2-S6-IP2#
Hi,
abgesehen davon, dass du die STP Prios nicht wie von @aqui vorgeschlagen mit 4096 für die Root Bridge und 8192 für die Backup-Root Bridge vergeben hast,
verstehe ich eines nicht:
Laut deiner Zeichnung sind deine beiden "Core-Switche" MS-1 und MS-2 direkt über das Interface 24 verbunden.
Switch 2 blockt diese Verbindung aufgrund eines Loops und sieht als seinen Root-Port (also quasi aktiven Uplink) Interface 1.
Bist du wirklich sicher, dass alle Switches so verbunden sind, wie in deiner Zeichnung?
Falls ja, würde ich testhalber folgendes versuchen:
1.) das Kommando lacp passive für das Interface 24 herausnehmen (warum ist das eigentlich aktiv?)
2.) die redundante Verbindung zu den 1810-er Gurken trennen und schauen, ob dann alles rennt, wie gewünscht.
btw: die Firmware auf den 2810ern ist hornalt, da würde ich ggf. mal ein aktuelles Release aufspielen.
abgesehen davon, dass du die STP Prios nicht wie von @aqui vorgeschlagen mit 4096 für die Root Bridge und 8192 für die Backup-Root Bridge vergeben hast,
verstehe ich eines nicht:
Laut deiner Zeichnung sind deine beiden "Core-Switche" MS-1 und MS-2 direkt über das Interface 24 verbunden.
Switch 2 blockt diese Verbindung aufgrund eines Loops und sieht als seinen Root-Port (also quasi aktiven Uplink) Interface 1.
Bist du wirklich sicher, dass alle Switches so verbunden sind, wie in deiner Zeichnung?
Falls ja, würde ich testhalber folgendes versuchen:
1.) das Kommando lacp passive für das Interface 24 herausnehmen (warum ist das eigentlich aktiv?)
2.) die redundante Verbindung zu den 1810-er Gurken trennen und schauen, ob dann alles rennt, wie gewünscht.
btw: die Firmware auf den 2810ern ist hornalt, da würde ich ggf. mal ein aktuelles Release aufspielen.
Guten Morgen,
ich habe die Prio nochmal angepasst.
Ja die sind genau so Verbunden wie in der Skizze
LACP habe ich komplett raus genommen. Das war noch von dem Versuch das über einen Trunk zu machen. (Wobei da alle Funktioniert hat wie es sollte)
Die Firmware habe ich auf die neuste Version gehoben.
Habe die Verbindung zu den 1810 Switchen getrennt an dem Backup Switch ( TS-MS2-S6-IP2 ) und siehe da es läuft über Port 24 und Funktioniert wie es soll.
Nur jetzt sind die 1810 nur an einem Switch dran.
Wie stelle ich das jetzt an das es auch Funktioniert wenn ich die wieder aufstecke? Sobald ich das erste SS Switch auf Port 1 am Backup Switch stecke springt das ganze nochmal rum. Komme ich da eventuell mit BPDU Protection weiter?
hier nochmal der Aktuelle Auszug aus sh sp
Switch1 (Root)
und Switch2 (Backup)
ich habe die Prio nochmal angepasst.
Ja die sind genau so Verbunden wie in der Skizze
LACP habe ich komplett raus genommen. Das war noch von dem Versuch das über einen Trunk zu machen. (Wobei da alle Funktioniert hat wie es sollte)
Die Firmware habe ich auf die neuste Version gehoben.
Habe die Verbindung zu den 1810 Switchen getrennt an dem Backup Switch ( TS-MS2-S6-IP2 ) und siehe da es läuft über Port 24 und Funktioniert wie es soll.
Nur jetzt sind die 1810 nur an einem Switch dran.
Wie stelle ich das jetzt an das es auch Funktioniert wenn ich die wieder aufstecke? Sobald ich das erste SS Switch auf Port 1 am Backup Switch stecke springt das ganze nochmal rum. Komme ich da eventuell mit BPDU Protection weiter?
hier nochmal der Aktuelle Auszug aus sh sp
Switch1 (Root)
TS-MS1-S6-IP1# sh sp
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-1ad7e0
Switch Priority : 4096
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 94
Time Since Last Change : 11 mins
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 0018fe-1ad7e0
IST Regional Root Priority : 4096
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
7 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
24 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
TS-MS1-S6-IP1#und Switch2 (Backup)
TS-MS2-S6-IP2# sh sp
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : MSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-d32300
Switch Priority : 8192
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 22
Time Since Last Change : 4 mins
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 20000
CST Root Port : 24
IST Regional Root MAC Address : 0018fe-d32300
IST Regional Root Priority : 8192
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | Auto 128 Disabled |
2 100/1000T | Auto 128 Disabled |
3 100/1000T | Auto 128 Disabled |
4 100/1000T | Auto 128 Disabled |
5 100/1000T | Auto 128 Disabled |
6 100/1000T | Auto 128 Disabled |
7 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-d32300 2 Yes Yes
24 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
TS-MS2-S6-IP2#
Dein Root Switch 1 hat immer noch eine falsche Priority !!! Switch Priority : 0
Das musst du ändern ! Der Root Switch muss die Priority 4096 haben und der Backup die 8192 ! Du darfst keine Priority 0 haben, denn das ist im STP nicht definiert und kann zu unvorhersehbaren Zuständen führen.
Weiterhin zeigen die beiden Core Systeme immer noch MSTP Spanning Tree an, denn man kann immer nich die Instances sehen. MSTP musst du abschalten !
Ansonsten sieht das STP Verfahren schon besser aus. Da die 1810er Billigsysteme kein aktives STP können "schleifen" die durch. Das heisst BPDU STP Packete sehen den einfach als Kabel das durchgeht, deshalb sind die redundanten Links am 2ten Core alle auf Blocking wie erwartet. Port 1 MUSS hier auch auf Blocking gehen, da die Anbindung ja vollkommen identisch ist zu den anderen 1810ern, es hier also keinerlei Unterschiede geben darf !!
Abgesehen von einer Lösung haben solche Billigsystem die nichtmal ein minimalstes Spanning Tree supporten in so einen Redundanzszenario gar nichts zu suchen !!
Was hat dich bloß geritten so einen Schrott da reinzudesignen, denn diese Teile können jetzt nicht aktiv am STP teilnehmen. Damit konterkariert man vollkommen so ein eigentlich sehr sinnvolles und redundantes Szenario.
Beispiel mal die Billigswitches von Cisco der SG-200 oder SF 200er Serie haben allesamt STP an Bord sogar bis runter zum kleinsten 8Port Modell. Wenn das die 1810er nicht mal können ist das Schrott und eigentlich ein NoGo für das Design..
Aber nungut wir bekommen das schon zum Fliegen
Das musst du ändern ! Der Root Switch muss die Priority 4096 haben und der Backup die 8192 ! Du darfst keine Priority 0 haben, denn das ist im STP nicht definiert und kann zu unvorhersehbaren Zuständen führen.
Weiterhin zeigen die beiden Core Systeme immer noch MSTP Spanning Tree an, denn man kann immer nich die Instances sehen. MSTP musst du abschalten !
Ansonsten sieht das STP Verfahren schon besser aus. Da die 1810er Billigsysteme kein aktives STP können "schleifen" die durch. Das heisst BPDU STP Packete sehen den einfach als Kabel das durchgeht, deshalb sind die redundanten Links am 2ten Core alle auf Blocking wie erwartet. Port 1 MUSS hier auch auf Blocking gehen, da die Anbindung ja vollkommen identisch ist zu den anderen 1810ern, es hier also keinerlei Unterschiede geben darf !!
Abgesehen von einer Lösung haben solche Billigsystem die nichtmal ein minimalstes Spanning Tree supporten in so einen Redundanzszenario gar nichts zu suchen !!
Was hat dich bloß geritten so einen Schrott da reinzudesignen, denn diese Teile können jetzt nicht aktiv am STP teilnehmen. Damit konterkariert man vollkommen so ein eigentlich sehr sinnvolles und redundantes Szenario.
Beispiel mal die Billigswitches von Cisco der SG-200 oder SF 200er Serie haben allesamt STP an Bord sogar bis runter zum kleinsten 8Port Modell. Wenn das die 1810er nicht mal können ist das Schrott und eigentlich ein NoGo für das Design..
Aber nungut wir bekommen das schon zum Fliegen
Wieso 0 ? Ist doch 4096
und
Die Neuauflage (v2) kann es nur die die wir haben eben nicht.
Ich habe die nicht gekauft geschweigenden ausgesucht, aber das hilft mir jetzt auch nicht weiter.
Was die halt können ist Loop Protraktion.
Switch Priority : 4096Switch Priority : 8192
CST Root Priority : 4096Ich habe die nicht gekauft geschweigenden ausgesucht, aber das hilft mir jetzt auch nicht weiter.
Was die halt können ist Loop Protraktion.
Ok MSTP muss ich nochmal umstellen haben die wohl nach dem Firmware update geändert.
Nein, sorry musst du nicht. die HP 28er Serie kann nix anderes als MSTP aber solange die alle in der Default Instance drin sind sind die kompatibel zu RSTP
ftp://ftp-boi.external.hp.com/pub/networking/software/2810-AdvTrafficMgmt-July2007-59914733.pdf Kapitel 5
Was aber wichtig ist ist das Switch 1 (Root) auf priority 1 gesetzt ist und Switch 2 (Backup Root) auf priority 2
Damit hat der eine Root dann 4096 und der Backup 8192 wie es sein soll. Das wäre der erste Schritt.
2ter Fehler der noch besteht:
Port 24 ist ja jetzt richtig der einzige Verbindungsport zwischen den beiden Switches. Natürlich kannst du mit 2 Ports hier auch eine Link Aggreagtion mit LACP machen was fehlerfrei klappt, aber lass das erstmal das können wir machen wenn der Rest sauber funktioniert.
Erstmal so wenig parallele Baustellen wie nötig...!!
Port 24 das hast du..
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18
ip address 192.168.100.2 255.255.255.0
tagged 24
no untagged 19-23
exit
Das tagged 24 auf den Switches 1 und 2 ist etwas ungewöhnlich bei HP ProCurves, denn in der Regel können die das Default VLAN, und das ist ja hier den VLAN 1, nicht taggen auf einem Uplink Trunk. Es wird immer untagged übertragen.
Du solltest also nochmal ganz sicher stellen das dein VLAN 1 auch HIER über diesen Port 24 zwischne den beiden Switches 1 und 2 übertragen werden.
Passiert das nicht rennen sie als "Umweg" über den Uplink eines der Uplink Switches TS-SSx was natürlich dann wieder eine Loop Gefahr mit sich bringt da diese kein STP können.
Ziehe also dazu auf dem Root Switch mal alle Uplinks ab und checke ob due VLAN 1 Connectivity hast zw. den Switches 1 und 2 indem du da mal pingst auf Systemen die im VLAN hängen.
Das Abziehen musst du deshalb machen damit du den "Umweg" unterbrichst und damit VLAN 1 Traffic zwingend nur über Port 24 gehen kann.
Du kannst das auch sehen mit dem Kommando sh mac das dir dann alle Ziel Mac Adressen auf Switch 2 nur via Port 24 anzeigt ! Dann ist alles richtig mit Port 24
Ist das erforlgreich kannst du die Access switch Uplinks wieder aufstecken.
Router Anbindung mit Port 23 jeweils tagged in VLAN 111 und 112 ist OK !
Etwas unklar ist noch die Ports für die Firewall die du in der Zeichnung nicht richtig beschriftet hast.
Es sieht so aus das jeweils der Port 7 aus dem VLAN 1 beider Switches untagged auf das FW Cluster geht und...
Jeweils der Port 22 aus dem VLAN 111 untagged auf das FW Cluster, richtig ?
Auf die Uplink Ports 1 bis 6 der beiden Switches gehen ja nur die 1810er Ports die so oder so nur einzig im VLAN 1 sind. An diesen Switches angeschlossene Clients "sehen" also nur das VLAN 1
Diese Ports 1 bis 6 müssen alle auf dem Backup Root Switch ins Blocking gehen, auf dem Root Switch ins Forwarding. So wäre es mit der Prio 1 und 2 auf den zwei 2810ern zu erwarten.
Ein ungelöstes Kardinalsproblem hast du noch auf den beiden 2810er Switches !!
Normal routen diese Switches als zentrale Instanz zwischen den VLANs. Du hast ihnen ja dafür auch eine IP Adresse im VLAN gegeben !
Da du aber nun 2 aktive Gateway IPs hast auf den Switches hast du nun ein gateway Problem für die Endgeräte, denn welches willst du jetzt nehmen ?? SW1 oder SW2 ??
Normalerweise löst man das mit VRRP und einer virtuellen IP Adresse die wandern kann falls einer der Switches mal ausfällt.
http://www.hp.com/rnd/support/manuals/pdf/release_06628_07110/Bk2_Ch12_ ...
Ob die 2810er das supporten musst du im Manual nachsehen !
Sollten sie kein VRRP oder irgendeine andere Art der Gateway Redundanz supporten kannst du auf dem Backup Root Switch komplett außer VLAN 1 (Switch Managment) die IPs entfernen und das Gateway auf die Root Switch IPs legen. Logisch, denn dann bringt einen Layer 3 Gateway Redundanz nix.
Wie gesagt das ist nur erforderlich wenn die Switches auch zwischen den VLANs oder nur einigen VLANs routen sollen.
Wenn du NICHT zentral routen willst mit den VLAN Switches sondern das extern über die Firewalls erledigen willst dann darfst du natürlich KEINE IP Adressen in den VLANs 111 und 112 auf den Switches 1 und 2 definieren !!!
Warum nicht ?!:
Sowie du das gemacht hast, fungiert der Switch sofort als Router und hebelt dir damit dann deine Firewall Sicherheit aus, denn ein Client kann dann problemlos OHNE jede FW Zugriffsbeschränkung über die HPs in andere VLANs routen.
Wenn du das also nicht willst: WEG mit den IPs auf den beiden Switches 1 und 2.
Einzig nur die IP im Default VLAN 1 sollte und muss bleiben damit du den Switch managen kannst !
Soll nur zwischen Voice 112 und VLAN 1 geroutet werden auf den Switches, entfernst du einfach die IP nur im Data VLAN. Alles darus muss dann über die FW routen da es nichts anderes gibt...logisch.
Regel: Alles was zwingend über die FW geroutet werden soll oder muss darf NICHT eine IP auf den beiden Switches bekommen !
Achtung: Routen die Switches oder routen sie einen Teil der VLANs dann müssen sie beide eine Default Route auf Router oder Firewall bekommen je nachdem wer im lokalen Netzwerk bei dir das zentrale Routing macht zw. den VLAN bzw. IP Segmenten und ins Internet.
Hier musst du dich also entscheiden...
Wenn das alles sicher geklärt und angepasst ist in der Konfig, ist soweit alles sauber in der Switch Konfig 1 und 2.
Folgende Tests müssen dann klappen:
ftp://ftp-boi.external.hp.com/pub/networking/software/2810-AdvTrafficMgmt-July2007-59914733.pdf Kapitel 5
Was aber wichtig ist ist das Switch 1 (Root) auf priority 1 gesetzt ist und Switch 2 (Backup Root) auf priority 2
Damit hat der eine Root dann 4096 und der Backup 8192 wie es sein soll. Das wäre der erste Schritt.
2ter Fehler der noch besteht:
Port 24 ist ja jetzt richtig der einzige Verbindungsport zwischen den beiden Switches. Natürlich kannst du mit 2 Ports hier auch eine Link Aggreagtion mit LACP machen was fehlerfrei klappt, aber lass das erstmal das können wir machen wenn der Rest sauber funktioniert.
Erstmal so wenig parallele Baustellen wie nötig...!!
Port 24 das hast du..
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18
ip address 192.168.100.2 255.255.255.0
tagged 24
no untagged 19-23
exit
Das tagged 24 auf den Switches 1 und 2 ist etwas ungewöhnlich bei HP ProCurves, denn in der Regel können die das Default VLAN, und das ist ja hier den VLAN 1, nicht taggen auf einem Uplink Trunk. Es wird immer untagged übertragen.
Du solltest also nochmal ganz sicher stellen das dein VLAN 1 auch HIER über diesen Port 24 zwischne den beiden Switches 1 und 2 übertragen werden.
Passiert das nicht rennen sie als "Umweg" über den Uplink eines der Uplink Switches TS-SSx was natürlich dann wieder eine Loop Gefahr mit sich bringt da diese kein STP können.
Ziehe also dazu auf dem Root Switch mal alle Uplinks ab und checke ob due VLAN 1 Connectivity hast zw. den Switches 1 und 2 indem du da mal pingst auf Systemen die im VLAN hängen.
Das Abziehen musst du deshalb machen damit du den "Umweg" unterbrichst und damit VLAN 1 Traffic zwingend nur über Port 24 gehen kann.
Du kannst das auch sehen mit dem Kommando sh mac das dir dann alle Ziel Mac Adressen auf Switch 2 nur via Port 24 anzeigt ! Dann ist alles richtig mit Port 24
Ist das erforlgreich kannst du die Access switch Uplinks wieder aufstecken.
Router Anbindung mit Port 23 jeweils tagged in VLAN 111 und 112 ist OK !
Etwas unklar ist noch die Ports für die Firewall die du in der Zeichnung nicht richtig beschriftet hast.
Es sieht so aus das jeweils der Port 7 aus dem VLAN 1 beider Switches untagged auf das FW Cluster geht und...
Jeweils der Port 22 aus dem VLAN 111 untagged auf das FW Cluster, richtig ?
Auf die Uplink Ports 1 bis 6 der beiden Switches gehen ja nur die 1810er Ports die so oder so nur einzig im VLAN 1 sind. An diesen Switches angeschlossene Clients "sehen" also nur das VLAN 1
Diese Ports 1 bis 6 müssen alle auf dem Backup Root Switch ins Blocking gehen, auf dem Root Switch ins Forwarding. So wäre es mit der Prio 1 und 2 auf den zwei 2810ern zu erwarten.
Ein ungelöstes Kardinalsproblem hast du noch auf den beiden 2810er Switches !!
Normal routen diese Switches als zentrale Instanz zwischen den VLANs. Du hast ihnen ja dafür auch eine IP Adresse im VLAN gegeben !
Da du aber nun 2 aktive Gateway IPs hast auf den Switches hast du nun ein gateway Problem für die Endgeräte, denn welches willst du jetzt nehmen ?? SW1 oder SW2 ??
Normalerweise löst man das mit VRRP und einer virtuellen IP Adresse die wandern kann falls einer der Switches mal ausfällt.
http://www.hp.com/rnd/support/manuals/pdf/release_06628_07110/Bk2_Ch12_ ...
Ob die 2810er das supporten musst du im Manual nachsehen !
Sollten sie kein VRRP oder irgendeine andere Art der Gateway Redundanz supporten kannst du auf dem Backup Root Switch komplett außer VLAN 1 (Switch Managment) die IPs entfernen und das Gateway auf die Root Switch IPs legen. Logisch, denn dann bringt einen Layer 3 Gateway Redundanz nix.
Wie gesagt das ist nur erforderlich wenn die Switches auch zwischen den VLANs oder nur einigen VLANs routen sollen.
Wenn du NICHT zentral routen willst mit den VLAN Switches sondern das extern über die Firewalls erledigen willst dann darfst du natürlich KEINE IP Adressen in den VLANs 111 und 112 auf den Switches 1 und 2 definieren !!!
Warum nicht ?!:
Sowie du das gemacht hast, fungiert der Switch sofort als Router und hebelt dir damit dann deine Firewall Sicherheit aus, denn ein Client kann dann problemlos OHNE jede FW Zugriffsbeschränkung über die HPs in andere VLANs routen.
Wenn du das also nicht willst: WEG mit den IPs auf den beiden Switches 1 und 2.
Einzig nur die IP im Default VLAN 1 sollte und muss bleiben damit du den Switch managen kannst !
Soll nur zwischen Voice 112 und VLAN 1 geroutet werden auf den Switches, entfernst du einfach die IP nur im Data VLAN. Alles darus muss dann über die FW routen da es nichts anderes gibt...logisch.
Regel: Alles was zwingend über die FW geroutet werden soll oder muss darf NICHT eine IP auf den beiden Switches bekommen !
Achtung: Routen die Switches oder routen sie einen Teil der VLANs dann müssen sie beide eine Default Route auf Router oder Firewall bekommen je nachdem wer im lokalen Netzwerk bei dir das zentrale Routing macht zw. den VLAN bzw. IP Segmenten und ins Internet.
Hier musst du dich also entscheiden...
Wenn das alles sicher geklärt und angepasst ist in der Konfig, ist soweit alles sauber in der Switch Konfig 1 und 2.
Folgende Tests müssen dann klappen:
- Ping von Clients im VLAN 1 untereinander egal wo sie angeschlossen sind 2810 oder 1810
- Ping von einem Client in VLAN 1 an die HP IP 192.168.100.1 und .2
- Ping von einem Client in VLAN 1 an Firewall IP sofern dort Ping (ICMP) erlaubt ist !
- Ping von Clients im "Data" VLAN 111 an den 2810ern und zur Firewall
- Ping von Clients im "Voice" VLAN 112 untereinander und zu beiden HP IPs.
Guten Morgen,
doch die können RSTP. Was ist nur mit der Prio ? die habe ich doch genau so eingestellt.
Ich habe die beiden Master Switche aber nochmal auf RSTP gestellt und nochmal die Prio mit angegeben.
Und das auf dem Backup Switch
Port 24 habe ich jetzt mal umgestellt auf untagged und für die VLANs DATA und VOICE die IP Adressen wieder raus genommen.
Hier sh run rum Root Switch
und zum Backup
Läst sich soweit alles Pingen wie es soll. Was mache ich jetzt nur mit den 1810 die sonst am Backup gehongen haben? Sobald ich den ersten auf Port 1 am Backup Switch aufstecke springt Port 1 am Backup auf Forwarding und Port 24 ins Blocking.
doch die können RSTP. Was ist nur mit der Prio ? die habe ich doch genau so eingestellt.
Ich habe die beiden Master Switche aber nochmal auf RSTP gestellt und nochmal die Prio mit angegeben.
TS-MS1-S6-IP2(config)# sp force rstp
TS-MS1-S6-IP2(config)# sp prio 1
TS-MS1-S6-IP2(config)# exit
TS-MS1-S6-IP1# sh sp
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-1ad7e0
Switch Priority : 4096
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 95
Time Since Last Change : 6 mins
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 0018fe-1ad7e0
IST Regional Root Priority : 4096
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
2 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
3 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
4 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
5 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
6 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
7 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
24 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
TS-MS1-S6-IP1#Und das auf dem Backup Switch
TS-MS2-S6-IP2(config)# sp force rstp
TS-MS2-S6-IP2(config)# sp prio 2
TS-MS2-S6-IP2(config)# exit
TS-MS2-S6-IP2# sh sp
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-d32300
Switch Priority : 8192
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 25
Time Since Last Change : 21 secs
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 20000
CST Root Port : 24
IST Regional Root MAC Address : 0018fe-d32300
IST Regional Root Priority : 8192
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | Auto 128 Disabled |
2 100/1000T | Auto 128 Disabled |
3 100/1000T | Auto 128 Disabled |
4 100/1000T | Auto 128 Disabled |
5 100/1000T | Auto 128 Disabled |
6 100/1000T | Auto 128 Disabled |
7 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-d32300 2 Yes Yes
24 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
TS-MS2-S6-IP2#Port 24 habe ich jetzt mal umgestellt auf untagged und für die VLANs DATA und VOICE die IP Adressen wieder raus genommen.
Hier sh run rum Root Switch
TS-MS1-S6-IP1# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.69
hostname "TS-MS1-S6-IP1"
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18,24
ip address 192.168.100.1 255.255.255.0
no untagged 19-23
exit
vlan 111
name "DATA"
untagged 20,22
no ip address
tagged 23-24
exit
vlan 112
name "VOICE"
untagged 19
no ip address
tagged 21,23-24
exit
spanning-tree
spanning-tree priority 1 force-version RSTP-operation
password manager
TS-MS1-S6-IP1#und zum Backup
TS-MS2-S6-IP2# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.69
hostname "TS-MS2-S6-IP2"
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18,24
ip address 192.168.100.2 255.255.255.0
no untagged 19-23
exit
vlan 111
name "DATA"
untagged 20,22
no ip address
tagged 23-24
exit
vlan 112
name "VOICE"
untagged 19
no ip address
tagged 21,23-24
exit
spanning-tree
spanning-tree priority 2 force-version RSTP-operation
password manager
TS-MS2-S6-IP2#Läst sich soweit alles Pingen wie es soll. Was mache ich jetzt nur mit den 1810 die sonst am Backup gehongen haben? Sobald ich den ersten auf Port 1 am Backup Switch aufstecke springt Port 1 am Backup auf Forwarding und Port 24 ins Blocking.
Nein, RSTP native können die Switches nicht. Die arbeiten immer fest auf MSTP...siehe Handbuch !
MSTP kann aber im STP oder RSTP Modus laufen. Das kannst du mit dem "force" Kommando erzwingen. RSTP ist natürlich hier erste Wahl, was du ja auch gemacht hast.
Aber egal... es sieht ja jetzt genau so aus wie es soll und funktioniert auch sauber !! Genau das wollten wir !
Port 24 STP Problem:
Das ist ein erwartetes Verhalten...leider, weil die sch... 1810er das Grundübel sind.
Die beidbeinige Verbindung über die 1810er ist ja aus STP Sicht quasi inexistent weil die 1810er ja kein STP unterstützen und das wie bei einem direkten Draht nur "durchschleifen". Aus STP Sicht ist das also quasi ein paralleles Kabel zum Port 24 wo du den Port 1 von Switch 1 mit dem Port 1 von Switch 2 direkt verbindest. Den 1810 dazwischen "sieht" STP nicht.
Da der SW1 Root ist und SW2 Backup Root ist der Port 24 am SW2 der Port, der "am weitesten weg" ist vom Root Switch und folglich hat der die schlechteste Cost und geht damit in Blocking Mode. "Works as designed" also.
Nicht gut, zeigt aber das generell das STP sauber rennt.
Man bekommt das aber ganz einfach mit entspr. Konfig gefixt:
Du konfigurierst einfach eine bessere Path Cost auf dem Port 24:
spanning-tree <port-list> path-cost xyz
Also final spanning-tree eth24 path-cost 10000 was du auf beiden Seiten also SW1 und SW2 konfigurierst sollte das Problem fixen.
ftp://ftp-boi.external.hp.com/pub/networking/software/2810-AdvTrafficMgmt-July2007-59914733.pdf Seite 5-24
Damit gaukelst du eine bessere Leitung vor und wenn du nun die Backup Links der 1810er aufsteckst sollten diese am SW2 in den Blocking Mode gehen.
Soviel zum Thema 1810er Schrottswitches....
Gut das es Workarounds gibt um diesen Mist wenigstens halbwegs zu integrieren...
MSTP kann aber im STP oder RSTP Modus laufen. Das kannst du mit dem "force" Kommando erzwingen. RSTP ist natürlich hier erste Wahl, was du ja auch gemacht hast.
Aber egal... es sieht ja jetzt genau so aus wie es soll und funktioniert auch sauber !! Genau das wollten wir !
Port 24 STP Problem:
Das ist ein erwartetes Verhalten...leider, weil die sch... 1810er das Grundübel sind.
Die beidbeinige Verbindung über die 1810er ist ja aus STP Sicht quasi inexistent weil die 1810er ja kein STP unterstützen und das wie bei einem direkten Draht nur "durchschleifen". Aus STP Sicht ist das also quasi ein paralleles Kabel zum Port 24 wo du den Port 1 von Switch 1 mit dem Port 1 von Switch 2 direkt verbindest. Den 1810 dazwischen "sieht" STP nicht.
Da der SW1 Root ist und SW2 Backup Root ist der Port 24 am SW2 der Port, der "am weitesten weg" ist vom Root Switch und folglich hat der die schlechteste Cost und geht damit in Blocking Mode. "Works as designed" also.
Nicht gut, zeigt aber das generell das STP sauber rennt.
Man bekommt das aber ganz einfach mit entspr. Konfig gefixt:
Du konfigurierst einfach eine bessere Path Cost auf dem Port 24:
spanning-tree <port-list> path-cost xyz
Also final spanning-tree eth24 path-cost 10000 was du auf beiden Seiten also SW1 und SW2 konfigurierst sollte das Problem fixen.
ftp://ftp-boi.external.hp.com/pub/networking/software/2810-AdvTrafficMgmt-July2007-59914733.pdf Seite 5-24
Damit gaukelst du eine bessere Leitung vor und wenn du nun die Backup Links der 1810er aufsteckst sollten diese am SW2 in den Blocking Mode gehen.
Soviel zum Thema 1810er Schrottswitches....
Gut das es Workarounds gibt um diesen Mist wenigstens halbwegs zu integrieren...
Hallo nochmal,
so habe es auf beiden so eingestellt.
Root
Backup
so sieht spanning-ree run jetzt aus
Root
und Backup
Und nach dem Aufstecken alle Switche auf den Backup Switch sieht show spanning-tree so aus.
Root
Und auf dem Backup
Jetzt Funktioniert alles so wie es soll.
Vielen Dank für eure Hilfe (vor allem danke ich dir aqui) und eure Geduld mit mir und meinem Problem.
so habe es auf beiden so eingestellt.
Root
TS-MS1-S6-IP2# config
TS-MS1-S6-IP2(config)# spanning-tree ethernet 24 path-cost 10000Backup
TS-MS2-S6-IP2# config
TS-MS2-S6-IP2(config)# spanning-tree ethernet 24 path-cost 10000so sieht spanning-ree run jetzt aus
Root
TS-MS1-S6-IP1# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.69
hostname "TS-MS1-S6-IP1"
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18,24
ip address 192.168.100.1 255.255.255.0
no untagged 19-23
exit
vlan 111
name "DATA"
untagged 20,22
no ip address
tagged 23-24
exit
vlan 112
name "VOICE"
untagged 19
no ip address
tagged 21,23-24
exit
spanning-tree
spanning-tree 24 path-cost 10000
spanning-tree priority 1 force-version RSTP-operation
password manager
TS-MS1-S6-IP1#und Backup
TS-MS2-S6-IP2# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.69
hostname "TS-MS2-S6-IP2"
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-23
untagged 1-18,24
ip address 192.168.100.2 255.255.255.0
no untagged 19-23
exit
vlan 111
name "DATA"
untagged 20,22
no ip address
tagged 23-24
exit
vlan 112
name "VOICE"
untagged 19
no ip address
tagged 21,23-24
exit
spanning-tree
spanning-tree 24 path-cost 10000
spanning-tree priority 2 force-version RSTP-operation
password managerUnd nach dem Aufstecken alle Switche auf den Backup Switch sieht show spanning-tree so aus.
Root
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-1ad7e0
Switch Priority : 4096
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 126
Time Since Last Change : 12 mins
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 0018fe-1ad7e0
IST Regional Root Priority : 4096
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
24 100/1000T | 10000 128 Forwarding | 0018fe-1ad7e0 2 Yes NoUnd auf dem Backup
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-d32300
Switch Priority : 8192
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 28
Time Since Last Change : 31 mins
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 10000
CST Root Port : 24
IST Regional Root MAC Address : 0018fe-d32300
IST Regional Root Priority : 8192
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | Auto 128 Disabled |
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
23 100/1000T | 200000 128 Forwarding | 0018fe-d32300 2 Yes Yes
24 100/1000T | 10000 128 Forwarding | 0018fe-1ad7e0 2 Yes NoJetzt Funktioniert alles so wie es soll.
Vielen Dank für eure Hilfe (vor allem danke ich dir aqui) und eure Geduld mit mir und meinem Problem.
Was ich eben noch vergessen hatte.
@ aqui Die Firewall ist genau so angeschlossen wie du es oben vermutet hast.
@ aqui Die Firewall ist genau so angeschlossen wie du es oben vermutet hast.
Jetzt Funktioniert alles so wie es soll.
Gewusst wie... !! Bei Administrator.de verstehen wir unser Handwerk....!
OK, gibts jetzt noch irgendwelche Hindernisse ?? Jetzt ist ja alles im Lack und du kannst weitermachen, oder ?
Jetzt ist alles wie es sein soll und ich kann beginnen alles nach und nach auf die neue Anbindung rum zu heben. Und das VPN platt machen.
Eins steht ja noch aus damits perfekt wird....!!!
Ggf. jetzt nochmal den Trunk testen zw. SW1 und SW2 zur Bandbreitenerhöhung zw. den Switches
!!!
Also an Port 25 (wenn der frei ist) genau die gleichen Konfigs machen in den VLANs wie an 24 an beiden 2810 Switches.
Dann...
ProCurve(config)# interface 24-25 lacp active
eingeben auf beiden Switches und eine Strippe ziehen zwischen beiden auf Port 25 genau wie 24.
Und.... vergiss die Spanning Tree Cost 10000 nicht für den 2ten LACP Trunk Link !!! Dieser muss vollkommen identisch sein zu dem von Port 24 !!!
Fertisch....
Dann checken mit show lacp oder show trunk ob sich der 2er Trunk sauber gebildet hat.
Und das nächste Mal kaufst du hoffentlich KEINE schrottigen 1810er mehr für so ein Design !!!
Wenn der Trunk dann auch noch rennt Zeit also den "Monsterthread" hier langsam zu schliessen
Wie kann ich einen Beitrag als gelöst markieren?
Und....
zu guter Letzt solltest du eigentlich dem "zwichen" oben in der Überschrift noch final ein "s" gönnen. Verdient hat es das !!
(Geht mit Klick auf "Bearbeiten")
Ggf. jetzt nochmal den Trunk testen zw. SW1 und SW2 zur Bandbreitenerhöhung zw. den Switches
!!!
Also an Port 25 (wenn der frei ist) genau die gleichen Konfigs machen in den VLANs wie an 24 an beiden 2810 Switches.
Dann...
ProCurve(config)# interface 24-25 lacp active
eingeben auf beiden Switches und eine Strippe ziehen zwischen beiden auf Port 25 genau wie 24.
Und.... vergiss die Spanning Tree Cost 10000 nicht für den 2ten LACP Trunk Link !!! Dieser muss vollkommen identisch sein zu dem von Port 24 !!!
Fertisch....
Dann checken mit show lacp oder show trunk ob sich der 2er Trunk sauber gebildet hat.
Und das nächste Mal kaufst du hoffentlich KEINE schrottigen 1810er mehr für so ein Design !!!
Wenn der Trunk dann auch noch rennt Zeit also den "Monsterthread" hier langsam zu schliessen
Wie kann ich einen Beitrag als gelöst markieren?
Und....
zu guter Letzt solltest du eigentlich dem "zwichen" oben in der Überschrift noch final ein "s" gönnen. Verdient hat es das !!
(Geht mit Klick auf "Bearbeiten")
OK das S habe ich noch dazu gepackt. Als GELÖST habe ich den doch schon lange markiert. Wie gesagt ich habe die Dinger nicht gekauft, habe das aber meinem IT Manager schon um die Ohren gehauen.
Port 25 habe ich nicht geht nur bis 24, auf Port 20 könnte ich das z.B. packen aber das teste ich nächste Woche aus. Danke nochmal für die Hilfe!
Port 25 habe ich nicht geht nur bis 24, auf Port 20 könnte ich das z.B. packen aber das teste ich nächste Woche aus. Danke nochmal für die Hilfe!
Der "IT Manager" sollte wirklich nochmal auf die Manager Schule und lernen was IT ist...
Tip zum LAG: Nimm besser zusammenhängende Ports ! Das ist vom Management einfacher und manche Billig HW supportet auseinanderliegende Ports im LAG nicht. Um dem bei HP gleich vorzubeugen solltest du ggf. den Port 23 "umlegen" auf Port 20 und den LAG dann mit 23 und 24 machen.
OK, dann harren wir mal auf die nächste Woche und den LAG Test...es bleibt also noch etwas spannend hier
Tip zum LAG: Nimm besser zusammenhängende Ports ! Das ist vom Management einfacher und manche Billig HW supportet auseinanderliegende Ports im LAG nicht. Um dem bei HP gleich vorzubeugen solltest du ggf. den Port 23 "umlegen" auf Port 20 und den LAG dann mit 23 und 24 machen.
OK, dann harren wir mal auf die nächste Woche und den LAG Test...es bleibt also noch etwas spannend hier
Hallo nochmal, der Vollständigkeit halber Poste ich mal noch die erfolgreiche Konfiguration vom Trunk.
Die Router habe ich jetzt auf Port 20 angeschlossen.
Hier alles zu Switch 1 (Root)
Und alles zu Switch 2 (Backup)
Danke nochmal an alle für eure Hilfe.
Die Router habe ich jetzt auf Port 20 angeschlossen.
Hier alles zu Switch 1 (Root)
TS-MS1-S6-IP1# sh trunks
Load Balancing
Port | Name Type | Group Type
---- + -------------------------------- --------- + ----- -----
23 | 100/1000T | Trk1 Trunk
24 | 100/1000T | Trk1 TrunkTS-MS1-S6-IP1# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.69
hostname "TS-MS1-S6-IP1"
trunk 23-24 Trk1 Trunk
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-22
untagged 1-18,Trk1
ip address 192.168.100.1 255.255.255.0
no untagged 19-22
exit
vlan 111
name "DATA"
untagged 22
no ip address
tagged 20,Trk1
exit
vlan 112
name "VOICE"
untagged 19
no ip address
tagged 20-21,Trk1
exit
spanning-tree
spanning-tree 24 path-cost 10000
spanning-tree Trk1 priority 1
spanning-tree priority 1 force-version RSTP-operation
password managerTS-MS1-S6-IP1# sh sp
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-1ad7e0
Switch Priority : 4096
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 164
Time Since Last Change : 6 mins
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 0
CST Root Port : This switch is root
IST Regional Root MAC Address : 0018fe-1ad7e0
IST Regional Root Priority : 4096
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | 200000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-1ad7e0 2 Yes Yes
Trk1 | 20000 16 Forwarding | 0018fe-1ad7e0 2 Yes NoUnd alles zu Switch 2 (Backup)
TS-MS2-S6-IP2# sh trunks
Load Balancing
Port | Name Type | Group Type
---- + -------------------------------- --------- + ----- -----
23 | 100/1000T | Trk1 Trunk
24 | 100/1000T | Trk1 TrunkTS-MS2-S6-IP2# sh run
Running configuration:
; J9021A Configuration Editor; Created on release #N.11.69
hostname "TS-MS2-S6-IP2"
trunk 23-24 Trk1 Trunk
ip default-gateway 192.168.100.253
timesync sntp
sntp unicast
vlan 1
name "DEFAULT_VLAN"
forbid 21-22
untagged 1-18,Trk1
ip address 192.168.100.2 255.255.255.0
no untagged 19-22
exit
vlan 111
name "DATA"
untagged 22
no ip address
tagged 20,Trk1
exit
vlan 112
name "VOICE"
untagged 19
no ip address
tagged 20-21,Trk1
exit
spanning-tree
spanning-tree 24 path-cost 10000
spanning-tree Trk1 priority 1
spanning-tree priority 2 force-version RSTP-operation
password managerTS-MS2-S6-IP2# sh sp
Multiple Spanning Tree (MST) Information
STP Enabled : Yes
Force Version : RSTP-operation
IST Mapped VLANs : 1-4094
Switch MAC Address : 0018fe-d32300
Switch Priority : 8192
Max Age : 20
Max Hops : 20
Forward Delay : 15
Topology Change Count : 33
Time Since Last Change : 8 mins
CST Root MAC Address : 0018fe-1ad7e0
CST Root Priority : 4096
CST Root Path Cost : 20000
CST Root Port : Trk1
IST Regional Root MAC Address : 0018fe-d32300
IST Regional Root Priority : 8192
IST Regional Root Path Cost : 0
IST Remaining Hops : 20
Root Guard Ports :
TCN Guard Ports :
Protected Ports :
Filtered Ports :
| Prio | Designated Hello
Port Type | Cost rity State | Bridge Time PtP Edge
----- --------- + --------- ----- ---------- + ------------- ----- --- ----
1 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
2 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
3 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
4 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
5 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
6 100/1000T | 20000 128 Blocking | 0018fe-1ad7e0 2 Yes No
7 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
8 100/1000T | Auto 128 Disabled |
9 100/1000T | Auto 128 Disabled |
10 100/1000T | Auto 128 Disabled |
11 100/1000T | Auto 128 Disabled |
12 100/1000T | Auto 128 Disabled |
13 100/1000T | Auto 128 Disabled |
14 100/1000T | Auto 128 Disabled |
15 100/1000T | Auto 128 Disabled |
16 100/1000T | Auto 128 Disabled |
17 100/1000T | Auto 128 Disabled |
18 100/1000T | Auto 128 Disabled |
19 100/1000T | Auto 128 Disabled |
20 100/1000T | 200000 128 Forwarding | 0018fe-d32300 2 Yes Yes
21 100/1000T | Auto 128 Disabled |
22 100/1000T | 20000 128 Forwarding | 0018fe-d32300 2 Yes Yes
Trk1 | 20000 16 Forwarding | 0018fe-1ad7e0 2 Yes NoDanke nochmal an alle für eure Hilfe.
