juliaugust
Goto Top

Netzwerk Erweiterung und Überarbeitung

Netzwerk-Upgrade: Tipps und Optimierungen gesucht

Hallo zusammen,

mein Heimnetzwerk wächst stetig, und die Ports an meinen aktuellen Cisco SG350 und SG300 reichen nicht mehr aus. Daher habe ich mir einen weiteren gebrauchten SG350 zugelegt und möchte die Gelegenheit nutzen, mein Netzwerk zu optimieren. Der kleine SG350-10MP und der SG300-20 sollen entfallen und nur noch der größere Cisco SG350-28MP soll verwendet werden.

Aktuelle Konfiguration (siehe Bild im Anhang):

Internet: FritzBox mit zwei Verbindungen zum SG350 (Router):
Vlan1 (Home)
Vlan5 (Guest)
Switch: Der Cisco SG350 verwaltet die Vlans 2–5 und fungiert als DHCP-Server.
DNS: Alle DNS-Anfragen außer für das Guest-Vlan laufen über ein Pi-hole.
ACLs: Derzeit sind keine Regeln eingerichtet.

Geplante Funktionen / Überlegungen:

Zugriff vom Vlan1 (Home) auf das AppleTV und Cloud Vlan4 (Multicast-TV?).
Voller Zugriff für OpenHAB auf alle Vlans.
Einrichtung eines RADIUS-Servers zur dynamischen Vlan-Port-Zuweisung (statt statischer Konfiguration).
Sinnvolle ACL-Regeln für mehr Sicherheit.
Vlan1 (Home) ggf. von der FritzBox trennen – macht das in meinem Fall Sinn?


Weitere Überlegungen:

Soll ich ein separates Vlan für die Kinder einrichten?
Macht es Sinn, Drucker in ein eigenes Vlan zu packen, das für alle zugänglich ist?
Welche Vorschläge habt ihr für neue Access Points? Meine Cisco Aironet stoßen langsam an ihre Grenzen (max. 200 Mbps).

Ich bin offen für Vorschläge, wie ich mein Netzwerk sicherer und effizienter gestalten kann. Über eine Diskussion und eure Unterstützung bei der Umsetzung würde ich mich sehr freuen!

Vielen Dank und viele Grüße
Julian
home

Content-ID: 670038

Url: https://administrator.de/forum/netzwerk-erweiterung-und-ueberarbeitung-670038.html

Ausgedruckt am: 22.02.2025 um 08:02 Uhr

Visucius
Visucius 07.12.2024 aktualisiert um 06:46:02 Uhr
Goto Top
Soll ich ein separates Vlan für die Kinder einrichten? Macht es Sinn, Drucker in ein eigenes Vlan zu packen, das für alle zugänglich ist?
Wie soll das jemand externes beurteilen? Was bezweckst Du damit?

Welche Vorschläge habt ihr für neue Access Points? Meine Cisco Aironet stoßen langsam an ihre Grenzen (max. 200 Mbps).
Wasn das für ne Aussage? 200 Mbit am Client? Im Garten? Neben dem AP? Und wofür willst Du wie viel mehr?! Oder gehts nur um große Zahlen? Imho machen Updates aktuell doch max. bzgl Latenzen Sinn – und das muss sich im Setup vor Ort auch erst erweisen.

Ich halte diese übermäßige Aufteilung von Netzwerken (iot, Strom, Solar, TV …) im Homebereich ja sowieso für „Gschaftlhuberei“, Fluchtreflex oder Großmachtphantasie einiger Familienväter 😏

Auf Grund von WAF, haste vermutlich global die mdns-Reflektoren aktiviert?

Mir erschließt sich halt der Mehrwert so gar nicht, wenn ich davor ne Fritze sehe, die mir diese vLANs nicht mal theoretisch mit dedizierten Firewalls absichern könnte!? Macht das bei Dir der Switch? Oder wie muss ich mir das vorstellen?
Headcrach
Headcrach 07.12.2024 um 07:05:05 Uhr
Goto Top
Moin,

das ist immer eine Frage die andere Dir nicht beantworten können. Da Du bist der Admin und Du bestimmst die Regeln.

Wie @Visucius geschrieben hat würde ich würde ich den ganzen Smarthome und Media Kram in ein VLAN packen.

Soll ich ein separates Vlan für die Kinder einrichten?

Du hast doch den PiHole damit kannst DU doch die Rechner von Deinen Kinder gut einrichten was Sie dürfen und was nicht.

Sinnvolle ACL-Regeln für mehr Sicherheit.

Hier könntest Du ja auch noch die Zugriff verfeinern.

Gibt doch ein tollen Spruch:

so viel wie möglich so wenig wie nötig

Den solltest Du Dir immer vor den Augen halten.

Gruß
aqui
aqui 07.12.2024 um 09:13:48 Uhr
Goto Top
die mir diese vLANs nicht mal theoretisch mit dedizierten Firewalls absichern könnte!?
Das erledigt ja sein neuer Cisco350er mit Accesslisten! face-wink
In Summe ein klassisches VLAN Konzept an dem es nichts auszusetzen gibt. Den geplanten Radius Server kann man problemlos mit auf den PiHole / Adguard legen.
Wieviel Segmentierung letztlich möglich und nötig ist muss der TO anhand seiner eigenen Security Policy entscheiden.
Visucius
Visucius 07.12.2024 aktualisiert um 11:19:54 Uhr
Goto Top
Das erledigt ja sein neuer Cisco350er mit Accesslisten! face-wink
Apropos:
ACLs: Derzeit sind keine Regeln eingerichtet.

😉

PS: Aber Weihnachten steht ja an. Da hat man mehrere Tage Zeit um den Haussegen nachhaltig zu prüfen 😏
JuliAugust
JuliAugust 07.12.2024 aktualisiert um 13:44:31 Uhr
Goto Top
Hallo, vielen Dank für eure Antworten.

Klar ist es schon ein bisschen übertrieben. Jedoch möchte ich es als Übungsobjekt für mich sehen und hierdurch mein Wissen erweitern.

@Headcrach: Gibt es eine Anleitung unter PiHole wie ich gewisse Clints stärker einschränken kann. Dachte deshalb an ein eigenes Vlan um hier das ganze VLan zu reglementieren. Bietet ja auch ein bisschen Virensicherheit, oder?

@aqui: Was hälst du vom Radius den der Cisco zu Verfügung stellt? Welche ACLs sind deiner Meinung nach Elementar, grundlegen Wichtig, nice to have ....
Es ist auch noch ein kleiner Mikrotik hEX PoE vorhanden. Den könnte ich auch nutzen für gewissen Konfigurationen.
Zentral auf dem Cisco wäre mir natürlich am liebsten.

@Visucius: Lieber im Büro als auf dem Sofa. Meine Familie ist hier schon einiges gewohnt.
Bezüglich Wlan APs. Die über 15 Jahre alten Aironet Geräte lassen sich leider nicht über eine WEB GUI Parametrieren. Daher suche ich nach adäquaten Ersatzgeräte die ich einfache einstellen kann. Am liebsten natürlich von Cisco. face-wink Wifi 6 usw. sind ja auch immer wieder Schlagworte, die man so hört.

Gruß Julian
aqui
aqui 07.12.2024 aktualisiert um 14:18:04 Uhr
Goto Top
ACLs: Derzeit sind keine Regeln eingerichtet.
Was nicht ist kann ja beim TO noch werden...! 😉
wie ich gewisse Cli(e)nts stärker einschränken kann.
Das machst du ganz einfach über deine geplante Segmentierung und indem du die Accesslisten am L3 Switch in Bezug auf DNS für diese Clients customized.
Idealer wäre der Adguard Home, der das zusätzlich über sein GUI kann. Zusätzlich hat er eine deutlich bessere Blocking Option in seinem GUI für Schnüffelapps wie Facebook & Co. On Top bietet er verschlüsseltes DNS mit DoT oder DoH für seine Uplink DNS was der PiHole gar nicht kann. Es lohnt also der Blick über den Tellerrand!
Der DNS Filter darf dazu natürlich keinen Trunk nutzen sondern sollte im Uplink Netz zur Fritte liegen. Dort kommt ja sämtlicher Traffic von allen VLANs "vorbei" bei einem klassischen L3 Konzept wie du es planst.
vom Radius den der Cisco zu Verfügung stellt?
Wäre dann ideal, denn der erspart dir ein dann überflüssiges zusätzliches Gerät. face-wink
lassen sich leider nicht über eine WEB GUI Parametrieren.
Das ist so nicht richtig. Es macht ggf. aber dennoch Sinn, wenn du eh umstrukturierst, diese auch gleich durch 2 mal Cisco 3702l zu ersetzen, die einigermaßen aktuelle Standards supporten und auch ein WebGUI haben. Es gibt sie für kleines Geld auf den einschlägigen Plattformen. Du bleibst bei Cisco und ein hiesiges Tutorial erklärt dir haarklein wie man sie im Heimnetz handhabt. 😉
Eine bessere Alternative wäre ggf. HIER Da müsstest du aber auf Cisco verzichten, gewinnst aber ein zentralisiertes WLAN Management. 😉
JuliAugust
JuliAugust 07.12.2024 um 15:03:54 Uhr
Goto Top
@aqui
Das L3 Konzept ist super erklärt vielen Dank. Wie sähe hier die integration des AdGuard aus. Dieser müsste ja dann in das .99 Koppelnetzwerk.

Falls der Weihnachtsmann ein bisschen mehr Geld vorbeibringt, was wäre die nächstmoderne alternative zu den 3702i.
Ggf. mit integriertem Wlan Controller.

Sehe schon ich darf mich hier ein bisschen einlesen face-wink und die ein oder andere Frage wird bestimmt noch auftauchen. Aber es macht ja sehr viel Spaß.
Visucius
Visucius 07.12.2024 aktualisiert um 16:01:27 Uhr
Goto Top
Naja, trenne doch erstmal die Netze? Nen halbes Dutzend vLANs alleine sind ja (üblicher Weise) kein Selbstzweck! Der Trick von sowas ist ja, dass Du einzelne Geräte oder einzelne Gruppen von Geräten entweder voneinander trennst und/oder ihnen den Zugang zum pösen Internet verbieten willst. Erst dann wird ja erst irgendwas "sicherer" – Dein erklärtes Ziel. Mit allen Konsequenzen für Bequemlichkeit und Haussegen.

Ohne ACLs (bzw. Firewall) kann doch jedes Gerät jedes andere Gerät in allen vLANs über IP ansprechen und jedes Gerät ungeprüft nach Hause telefonieren?! Und auch mit dem Adguard/Pihole kannste max. die DNS-Abfragen blocken.
Oder habe ich da jetzt was übersehen? Und vermutlich wirst Du dann erstmal umgruppieren, weil der Verwaltungsaufwand sonst übermäßig ansteigt.

Ich würde mir übrigens nicht die Cisco sondern eher die Ruckus z.B. R350 ansehen. Wifi können die bestimmt nicht schlechter als die Cisco aber vor allem ist das Webinterface und die integrierte Controllerfunktion in so nem 2er Setup ein Träumchen. Der Vorgänger baut auch extremst kompakt und gefällig – was im heimischen Umfeld bestimmt kein Nachteil ist. Den kannste Dir aktuell übrigens immer mal wieder recht günstig organisieren um das auszuprobieren (50 bis 70 EUR/Stck):
Ruckus R320 aktuell günstig
Headcrach
Headcrach 07.12.2024 um 16:19:11 Uhr
Goto Top
Moin,

hier ist ein Video bei Youtube: https://www.youtube.com/watch?v=macKDeUj6Cg

Gruß
aqui
aqui 07.12.2024 aktualisiert um 16:40:35 Uhr
Goto Top
Dieser müsste ja dann in das .99 Koppelnetzwerk.
Das wäre am intelligentesten wenn du zig Accesslisten im L3 Switch vermeiden willst.
Zum Thema WLAN hat Kollege @Visucius ja schon alles gesagt. face-wink
https://www.youtube.com/watch?v=kqYLWkwrCUQ
JuliAugust
JuliAugust 10.12.2024 um 07:02:07 Uhr
Goto Top
Morgen, hab mir nun zwei Ruckus R310 organisiert die in den kommenden Tagen eintreffen sollten.
Lohnt es sich ggf. Noch ein bisschen mehr Geld in die Hand zu nehmen für die R320. Hab hier nen preis von knapp 190€ pro Stück.

Gruß Julian
Visucius
Visucius 10.12.2024 aktualisiert um 10:09:59 Uhr
Goto Top
Um Gottes Willen, 190 EUR für nen bald 10 Jahre alten Wifi-Standard? Für das gleiche Geld bekommste nen niegelnagelneuen Unifi 7Pro – auch wenn einige hier bei dem Vergleich Pusteln kriegen 😏

Also deutlicher als in den beiden Beiträgen kann ich es nun wirklich nicht schreiben: 50 bis 70 EUR Stück für den r320. Ja, es gibt auch Mondpreise – muss man halt mal etwas warten. Wie gesagt auch in den Kleinanzeigen. Man kann auch informiert werden, wenn etwas angeboten wird. Ist alles kein Hexenwerk. Vielleicht ist Vorweihnachten da auch nicht optimal.

R320 unterstützt ac Wave2:
https://www.notebookcheck.com/WLAN-So-profitieren-sie-von-schnellem-802- ...

Ich kann bei sowas warten. Aber Du kannst ja schon mal sehen ob Du mit der Konfiguration zurecht kommst.
JuliAugust
JuliAugust 10.12.2024 um 10:14:01 Uhr
Goto Top
Perfekt.
Danke.

Das hilft weiter. Dann versuche ich mich bei den erworbenen R310 mit der Konfiguration und dem Handling und dann halte ich die Augen offen für die R320.
Danke
aqui
aqui 10.12.2024, aktualisiert am 11.12.2024 um 09:24:43 Uhr
Goto Top
Dann versuche ich mich bei den erworbenen R310 mit der Konfiguration und dem Handling
Das ist ein Kinderspiel. Beachte das deine R310 mit der Unleashed Firmware geflasht sind bevor du sie konfigurierst.
Bei Unleashed kaspern die APs automatisch einen aus der die zentrale Controller Funktion im WLAN übernimmt und dann dein WLAN zentral managed. In der Regel ist das der erste AP den du fertig konfiguriert ins Netz bringst. Den anderen steckst du dann einfach dazu und der holt sich dann automatisch seine Konfig vom Controller AP und fertig ist der Lack.
Die aktuellste Unleashed Firmware (200.7.10.202.145) für den R310 bekommst du mit einem Gastaccount im Ruckus Support Portal. Update Anleitungen gibt es zuhauf im Internet wie z.,B. hier. Sollte Unleashed schon drauf sein machst du lediglich ein Update über das GUI.
Das WLAN richtest du dann über das Unleashed GUI mit ein paar Mausklicks ein:
ruckset
Ein Ruckus Unleashed Setup Beispiel findest du u.a. auch in diesem Thread.
Ansonsten einfach hier fragen. face-wink
JuliAugust
JuliAugust 22.12.2024 um 21:58:36 Uhr
Goto Top
Guten Abend,
hab mich nun ein bisschen eingelesen. Leider hat die Post mein Paket mit dem R350 und R550 ein bisschen verbummelt und nun kommt es erst nach Weihnachten.
Der Haussegen bleibt somit länger bestehen. face-wink

Nun noch ne andere Frage:
Welche Switch würdet ihr bevorzugen?

Ruckus ICX 7150-P24
vs.
Cisco SG350-28MP-K9

Gruß und schöne Weihnachten
aqui
aqui 23.12.2024 um 16:15:07 Uhr
Goto Top
Welche Switch würdet ihr bevorzugen?
Wenn du frei wählen kannst und Budget keine Rolle spielt den ICX, denn der kann deutlich mehr.
JuliAugust
JuliAugust 23.12.2024 um 16:32:14 Uhr
Goto Top
Auch wenn dieser in der Buch bereits 5 Jahre alt ist?
aqui
Lösung aqui 23.12.2024 aktualisiert um 16:46:32 Uhr
Goto Top
Gibt ja noch aktuellen Support und Firmware mit dem aktuellen 8er, 9er und 10er Release Train.
https://support.ruckuswireless.com/software
Der Cisco ist ein einfacher Switch aus deren abgekündigter SG SoHo Serie, der ICX aber ein full featured Premium Switch. Der Vergleich hinkt also so oder so schon. Äpfel und Birnen...
Wenn, dann müsstest du den ICX mit einem Cisco Catalyst 3xxx vergleichen denn der ICX ist ein Enterprise L3 Campus Switch.
Auch ein älterer, Scheckheft gewarteter AMG Mercedes ist technisch besser als ein Dacia Jahreswagen. face-wink
JuliAugust
JuliAugust 23.12.2024 um 17:06:35 Uhr
Goto Top
Danke für den Treffenden Vergleich.
Somit steht wohl die nächste Investition in mein Hobby an.
Vielen Dank für die klasse Tipps, auch für einen Hobby ITler.

Vielen dank und schöne Weihnachten.
aqui
aqui 12.01.2025 um 14:03:32 Uhr
Goto Top
Wenn dies denn nun die Lösung war bitte dann nicht vergessen deinen Thread hier auf erledigt zu setzen!
Wie kann ich einen Beitrag als gelöst markieren?
JuliAugust
JuliAugust 15.01.2025 um 22:47:11 Uhr
Goto Top
Guten Abend,

dank der Hilfe von Aqui habe ich nun mein System vereinfacht und mit dem Ruckes ICX7150 zum laufen gebracht. Da ich aktuell weniger Zeit habe würde ich das thema mal shcließen.

Jedoch werden noch die ein oder anderen Fragen kommen.

z.B. Wie ich nun mein "Limit" Vlan so per ACL beschränke, dass die Geräte zwar noch ins Internet kommen aber nicht mehr die anderen Vlans ereeichen und ggf. auch untereinander nicht mehr kommunizieren können.

Ob ich es richtig gemacht habe, dass "Gast" Vlan noch auf dem GastPort der Fritte zu betreiben oder wie man dies korrekt anstellt.

Und weshalb der ICX zwar vom R550 erkannt wird aber als nicht verbunden markiert ist.


Soweit mal vielen Dank an alle die hier aktiv sind.
Grüße
unbenannt
aqui
aqui 16.01.2025, aktualisiert am 17.01.2025 um 09:43:25 Uhr
Goto Top
Ob ich es richtig gemacht habe, dass "Gast" Vlan noch auf dem GastPort der Fritte zu betreiben oder wie man dies korrekt anstellt.
Wie man das korrekt anstellt kannst du u.a. HIER genau nachlesen. face-wink
Und weshalb der ICX zwar vom R550 erkannt wird aber als nicht verbunden markiert ist.
Du redest hier vermutlich nicht vom eigentlichen Switch CLI oder lokalem GUI sondern vom KlickiBunti Interface des Unleashed GUIs auf dem AP was auch die Switches mit verwaltet, oder?? 🤔
Hier gibt es ein paar Dinge zu beachten:
  • Wenn du den Switch im Unleashed GUI hinzufügst musst du einen Admin Namen und Passwort definieren der mit dem von dir gesetzten auf dem Switch übereinstimmt. Das ist der den du mit username ... im Switch definierst!
aaa authentication web-server default local
aaa authentication login default local
username admin password Geheim123!  <=== 
Der Unleashed Management AP loggt sich per SSH automatisiert ein auf dem Switch um die Daten abzufragen. Hast du falsche Admin Credentials scheitert das logischerweise mit den oben von dir geschilderten Auswirkungen.
  • Es ist sehr sinnvoll dem Unleashed Management eine virtuelle, feste IP zu geben. Die Member APs im Unleashed ziehen sich ja eine DHCP IP die dynmaisch ist und wechseln kann. Deshalb ist es sinnvoll immer eine feste, virtuelle IP im Management Netz zu definieren unter dem das Unleashed WLAN Management zu erreichen ist, egal welche dynamischen DHCP IPs die APs haben! ⚠️ 👉🏽 Diese IP darf nicht im Bereich eines DHCP Pools liegen!!!
mgmtap
  • Stelle sicher das du vom Switch diese Unleashed IP pingen kannst und vice versa! Auf dem Switch sind zusätzlich folgende Konfigs zu machen wenn nicht schon geschehen:
logging host 192.168.1.222 udp-port 6514
manager registrar
manager port-list 987 
Bei dir scheitert die Switch Anzeige im Unleashed GUI zu 98% an den falschen SSH Credentials.
Siehe zudem immer mit sh logg ins Switch Log!! Dort steht in der Regel sehr genau warum der Unleashed daran scheitert den Switch zu kontaktieren!
Dort sollte, wenn du alles richtig gemacht hast sollte sowas wie:
Jan 15 16:53:04:N:SSH Server session 1 received key-exchange
im Log stehen und das Unleashed GUI sollte dann so aussehen:
switch
JuliAugust
JuliAugust 16.01.2025 um 21:12:59 Uhr
Goto Top
Abend aqui,

kaum folgt meine deinen Anleitungen Anweisungen funktioniert auch das ClickBunti.
Echt Spitze.
PS: Ein Neustart war notwendig face-wink

Bezgl. GastNetzwerk: Würdets du dies auch so machen, also den Port von der Fritte nehmen oder würdest du dies über eine VLAN machen das eine IP auf dem Router hat und dann aber diese VLAN über ACL Regeln beschränken?

Wenn über ACL wie würden diese aussehen?
ip access-list extended VLAN30_TO_INTERNET
 permit ip 192.168.30.0 0.0.0.255 host 192.168.99.1
 deny ip 192.168.30.0 0.0.0.255 any

ip access-list extended VLAN30_ISOLATION
 deny ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255
 permit ip 192.168.30.0 0.0.0.255 any

ip access-list extended BLOCK_OTHER_TO_VLAN30
 deny ip any 192.168.30.0 0.0.0.255
 permit ip any any

interface vlan 30
 ip access-group VLAN30_TO_INTERNET in
 ip access-group VLAN30_ISOLATION in
!
interface vlan <other_vlan_id>
 ip access-group BLOCK_OTHER_TO_VLAN30 in
!


Grüße
aqui
aqui 17.01.2025 aktualisiert um 10:20:55 Uhr
Goto Top
Bezgl. GastNetzwerk:
Ideal wäre eine Kombination aus beidem. face-wink
  • Das Gastnetzwerk von LAN 4 in das Gast VLAN legen wie HIER beschrieben.
  • ⚠️ Dieses Gast-WLAN VLAN darf keine VLAN IP Adresse auf dem Switch haben so das das Gast VLAN physisch vollkommen getrennt bleibt.
  • Captive Portal Funktion auf dem Unleashed für diese Gast SSID aktivien und das Gastnetz unverschlüsselt lassen.
Damit hast du mehrere Vorteile:
  • Gastnetz ist sowohl vom VLAN als auch routerseitig physisch vollkommen getrennt von deinem privaten Netz.
  • Du musst über Einmalvoucher nicht jedem Gast ein überflüssiges Passwort mitteilen, was so oder so eine Passwort Nutzung ad absurdum führt. Alternativ kannst du "Dynamic Preshared Keys" (DPSK) nutzen im Gast WLAN wo du jedem Nutzer einen individuellen Key zuteilst.
  • Du hast über die Gäste Voucher Funktion oder DPSKs deutlich feinere Möglichkeiten die Gastnutzung zu customizen.
JuliAugust
JuliAugust 17.01.2025 um 10:16:10 Uhr
Goto Top
Hi aqui,
Dann habe ich das mit dem Gastnetz intuitiv richtig gemacht. PUH.
face-wink
aqui
aqui 17.01.2025 aktualisiert um 10:44:53 Uhr
Goto Top
So, die ACL Frage noch fast unterschlagen... face-wink
Die Frage ist WAS genau du für jedes VLAN erreichen willst? Das solltest du dir ggf. VORHER notieren und dann die ACL danach logisch erstellen
  • Die erste ACL "VLAN30_TO_INTERNET" bzw deren Regelwerk ist wie alle ACL selbsterklärend:
    • Clients im .30.0er Subnetz können einzig und allein den Zielhost .99.1 erreichen.
    • Sämtlicher anderer Traffic der .30.0er Clients (außer natürlich im .30er VLAN untereinander) ist verboten.
  • Die zweite ACL "VLAN30_ISOLATION" ist sinnfrei! face-sad
    • Lokaler Layer 2 Traffic innerhalb eines VLANs wird hier an einem Routing Interface nie erfasst, weil der logischerweise gar nicht über ein Routing Interface geht weil er nirgendwo hin geroutet werden muss! Wie auch wenn er nur innerhalb des eigenen Netzes bleibt. Vergiss diese unsinnige ACL also, denn die greift nie weil dieser Traffic dort nie auftaucht.
  • Die dritte ACL "BLOCK_OTHER_TO_VLAN30" ist ebenso Unsinn. face-sad
    • Da du diese ACL Inbound (ip access-group BLOCK_OTHER_TO_VLAN30 in) definiert hast "sieht" sie logischerweise nur Traffic der VOM Netzwerkdraht IN das Routing Interface reinläuft. Ein Ruleset deny ip "any" 192.168.30.0 0.0.0.255 ist dann völlig sinnfrei, denn woher soll ein "any" kommen wenn dort ausschliesslich nur .30.x Traffic inbound eingehen kann?! Mit anderen Worten: Diese Regel greift nie und ist damit dann auch sinnfrei und überflüssig.
  • 2 konsekutive ACLs auf einem Interface ist ebenso wenig sinnvoll, denn das Regelwerk kann man immer intelligent in einer ACL kumulieren.

Wie gesagt: Notieren WAS erreicht werden soll und dann die ACL sinnvoll erstellen. Denke dabei an die 2 grundlegenden Filterregeln:
  • ACL am besten immer nur Inbound. Outboud ACLs sind weniger sicher weil dieser Traffic dann schon im Switch "drin" ist. Dazu kommt das Outbound ACLs in Switches immer Process Switched sind also über die Switch CPU gehen und diese belasten. Gilt auch wenn man die ACL mit einem Logging verknüpft um Missbrauch mitzuloggen.
  • Es gilt: "First match wins"! Sprich bei einem ersten positiven Hit innerhalb des Regelwerkes wird der Rest nicht mehr weiter ausgeführt! Reihenfolge zählt also innerhalb einer ACL!
JuliAugust
JuliAugust 21.01.2025 um 00:22:57 Uhr
Goto Top
Hallo Aqui,

auf deinen Rat hin habe ich die nicht sinnvollen RULES gelöscht.
Leider hab ich noch nicht herausgefunden wie ich bei ICX 10.0.10 die RULE auf das ve30 anwenden kann.
Sprich wir hier im speziellen der cli Befehl lautet.
@Visucius
Inzwischen bin ich aber eurem RAT gefolgt und hab das PiHole durch AdGuard ersetzt. Gibt es hier eine Empfehlung welche Listen etc. ich nutzen sollte und was ggf. noch einzustellen ist.
Diese habe ich aktiv "HaGeZi's Ultimate Blocklist".

Was ich schon sehe, ist das der ICX sehr viele Anfragen feuert. Dies sieht dann so aus.

adguardpng

Gruß und gute Nacht Julian
aqui
aqui 21.01.2025 aktualisiert um 09:33:21 Uhr
Goto Top
wie ich bei ICX 10.0.10 die RULE auf das ve30 anwenden kann.
Das ist doch kinderleicht und geht doch genau so wie du es oben schon selber geschildert hast! Interface auswählen und dort die ACL platzieren, fertisch.
interface vlan 30
 ip access-group <deine_acl> in <===
Irgendwie ist deine Frage deshalb völlig widersprüchlich und unverständlich. 🤔
Nebenbei:
Die alte Interface Bezeichnung "ve xy" wie man sie von den 8er Firmware Releases kennt gibt es bei der 10er Version nicht mehr. Dort heisst das alte "ve" nun vlan! (Genau wie bei Cisco face-wink )
Gibt es hier eine Empfehlung welche Listen etc. ich nutzen sollte und was ggf. noch einzustellen ist.
Wichtig ist die von Steven Black und der Winblows Spy Blocker und in der App Blocking List solltes du alle .ru Dienste und die üblichen SchnüffelApps von Facebook und Co blocken. Ein Bild sagt mehr als 1000 Worte...
list
JuliAugust
JuliAugust 21.01.2025 um 11:02:25 Uhr
Goto Top
Hallo,
den Befehl IP access-group hab ich nicht unter int VE30 gefunden.
Versuche es später mal mit Int vlan30.

Gruß

PS: Was mach ich mit der Domainanfrage ruckuscontroller. …?
aqui
aqui 21.01.2025, aktualisiert am 22.01.2025 um 14:41:56 Uhr
Goto Top
den Befehl IP access-group hab ich nicht unter int VE30 gefunden.
Den gibt es da aber auch wenn man die 8.0.95er Firmware nutzt. Natürlich nur auf dem L3 Image mit dem R im Firmware Namen. face-wink
Das ve Interface taucht in der 8er Firmware nur auf wenn man über in der VLAN Definition ein router-interface ve x konfiguriert.
Wie bereits gesagt: All das entfällt bei einer 10er Firmware Version, da diese immer Layer 3 ist (gibt keine L2 Version mehr) und man das Router Interface nicht mehr extra definieren muss.
Was mach ich mit der Domainanfrage ruckuscontroller. …?
Diese DNS Anfrage senden die Ruckus WLAN Accesspoints automatisch aus um die IP Adresse des WLAN Controllers oder Controller AP herauszubekommen wenn sie nicht im gleichen Layer 2 Netz sind wie der WLAN Controller z.B. Virtual Smartzone.
Das funktioniert nach folgendem Verfahren:
  • AP lernt die Controller IP im gleichen L2 Netz durch Broadcasts des Controllers
  • Alternativ kann man dem AP über den DHCP Server mit der Controller IP versorgen via Option 43.
  • Bleiben die aus z.B. wenn der Controller in einem anderen IP Netz liegt und bekommt der AP die Controller IP nicht per DHCP sendet er als letzte Option einen DNS Request um den in der AP Firmware hardgecodeten Hostnamen ruckuscontroller in die Controller IP aufzulösen. In der Regel löst man das dann mit einem entsprechenden Eintrag im DNS Server oder auch mit statischen Hostnamen ala ip host ruckuscontroller.domain.internal 10.1.1.222 in einem Router oder L3 Switch sofern die ersten beiden Optionen versagen.
Es ist deshalb keine intelligente Idee Infrastruktur Komponenten über einen DNS Filter zu betreiben.
JuliAugust
JuliAugust 21.01.2025, aktualisiert am 22.01.2025 um 01:02:32 Uhr
Goto Top
Hallo aqui,

ich bin auf der FW 10.0.10 unterwegs.
Wie bereits gesagt: All das entfällt bei einer 10er Firmware Version, da diese immer Layer 3 ist (gibt keine L2 Version mehr) und man das Router Interface nicht mehr extra definieren muss. Der Interface Name hat sich in vlan geändert.
Einfache Logik!

und bei mir schaut dies so aus:
SSH@ICX7150-24P#conf t
SSH@ICX7150-24P(config)#interface vlan 30
Invalid input ->vlan 30
Type ? for a list
Node doesn't exist  
SSH@ICX7150-24P(config)#interface vlan30
Invalid input ->vlan30
Type ? for a list
Node doesn't exist  
SSH@ICX7150-24P(config)#int
  cpu          CPU Interface
  ethernet     Ethernet port
  group-ve     Router interfaces associated with a VLAN group
  lag          Lag Interface
  loopback     Loopback port
  management   Management ethernet port
  ve           Virtual port
SSH@ICX7150-24P(config)#int ve30
Unrecognized command
SSH@ICX7150-24P(config)#int ve30
Invalid input ->ve30
Type ? for a list
Node doesn't exist  
SSH@ICX7150-24P(config)#int ve 30
SSH@ICX7150-24P(config-vif-30)#
  acl-logging                   enable logging of deny acl
  bandwidth                     to set and communicate bandwidth value to
                                higher-level protocols like OSPF and OSPFv3
  clear                         Clear table/statistics/keys
  delay-notifications           Time to delay the notification of VE down event
  disable                       Disable the interface
  enable                        Enable the interface
  end                           End Configuration level and go to Privileged
                                level
  exit                          Exit current level
  ip                            IP interface
  ip-mac                        Assign IP MAC address to this interface
  ipv6                          IPV6 interface
  no                            Undo/disable commands
  port-name                     Port name for the interface
  quit                          Exit to User level
  rate-limit                    Apply CAR to interface
  show                          Show system information
  write                         Write running configuration to flash or terminal
  <cr>
SSH@ICX7150-24P(config-vif-30)#

SSH@ICX7150-24P(config-vif-30)#ip
  ip                            IP interface
  ip-mac                        Assign IP MAC address to this interface
  ipv6                          IPV6 interface
SSH@ICX7150-24P(config-vif-30)#ip

Mein "Wlan Controler" ist der R550. Somit habe ich keinen ruckuscontroller in meinem Netzwerk. Die komplette Ruckus HW
ICX7150
R550
R350

sind in einem Netzwerk 192.168.1.XXX


Grüße Julian
aqui
aqui 22.01.2025 aktualisiert um 14:43:31 Uhr
Goto Top
Ich bin auf der FW 10.0.10 unterwegs.
Hoffentlich dann auch mit dem aktuellen f Patch?!
und bei mir schaut dies so aus:
Kann das sein das du in deiner Switch Grundkonfig noch gar kein VLAN 30 in der Layer 2 Konfig angelegt hast und Ports zugewiesen hast?
Ohne ein VLAN 30 kann es ja logischerweise auch kein "VE 30" Router Interface geben?!
JuliAugust
JuliAugust 22.01.2025 um 11:57:25 Uhr
Goto Top
Morgen Aqui,

Hab die Konfiguration nach deinem Beispiel umgesetzt.


SSH@ICX7150-24P#sh run
Current configuration:
!
ver 10.0.10fT213
!
stack unit 1
  module 1 icx7150-24p-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-4-sfp-plus-port-40g-module
  stack-port ethernet 1/3/1
  stack-port ethernet 1/3/3
!
!
!
global-stp
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name SweetHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/5 to 1/1/8 ethe 1/3/1
 no spanning-tree
!                                                    vlan 20 name SmartHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/9 to 1/1/18 ethe 1/3/2
 no spanning-tree
!
vlan 30 name LimitHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/19 ethe 1/3/3
 spanning-tree
!
vlan 99 name FritzKoppel by port
 untagged ethe 1/1/21 ethe 1/1/23
 spanning-tree
!
vlan 179 name GuestHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/20 ethe 1/1/22 ethe 1/1/24
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!                                                    !
ip route 0.0.0.0/0 192.168.99.1
!
!
clock summer-time
clock timezone europe CET
chassis fanless all
jumbo
hostname ICX7150-24P
ip dns domain-list julian.internal
ip dns server-address 192.168.99.5
ip multicast passive
ip multicast version 3
!
!
ntp
 disable serve
 server 192.168.99.1
!
!
!
!
!
!
!                                                    !
!
interface management 1
 ip address 192.168.250.250 255.255.255.0
!
interface ethernet 1/1/1
 port-name R550
 inline power priority 1
!
interface ethernet 1/1/2
 port-name R350
 inline power priority 1
!
interface ethernet 1/1/9
 port-name LG TV
 no inline power
!
interface ethernet 1/1/10
 port-name WD Cloud
 no inline power
!
interface ethernet 1/1/11
 port-name HP LaserJet
 no inline power
!                                                    interface ethernet 1/1/13
 port-name MDT KNX
 no inline power
!
interface ethernet 1/1/14
 port-name Hue Bridge
 no inline power
!
interface ethernet 1/1/15
 port-name OpenHab Raspi
!
interface ethernet 1/1/16
 port-name OpenWB Raspi
 no inline power
!
interface ethernet 1/1/17
 port-name RCT DC8
 no inline power
!
interface ethernet 1/1/18
 port-name SMA TriPower8
 no inline power
!
interface ethernet 1/1/20
 port-name Gast                                      !
interface ethernet 1/1/21
 port-name AdGuard
!
interface ethernet 1/1/22
 port-name Vodafone Raspi
!
interface ethernet 1/1/23
 port-name FritzKoppel
 no inline power
!
interface ethernet 1/1/24
 port-name FritzGast
 no inline power
!
interface ethernet 1/2/2
 port-name Managment
!
interface ve 1
 port-name VLAN-1
 ip address 192.168.1.250 255.255.255.0
!
interface ve 10
 port-name VLAN-10
 ip address 192.168.10.250 255.255.255.0             !
interface ve 20
 port-name VLAN-20
 ip address 192.168.20.250 255.255.255.0
!
interface ve 30
 port-name VLAN-30
 ip address 192.168.30.250 255.255.255.0
!
interface ve 99
 port-name VLAN-99
 ip address 192.168.99.250 255.255.255.0
!
!

ip access-list extended VLAN30_TO_INTERNET
 sequence 10 permit ip 192.168.30.0 0.0.0.255 host 192.168.99.1
 sequence 20 deny ip 192.168.30.0 0.0.0.255 any
!

!
!


                                                     !
!
!
!
!
service local-user-protection
username super Passwort 
username juli password 1 $/
enable user password-masking
!
aaa authentication login default local
aaa authentication login privilege-mode
!
aaa authentication web-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool vlan10
 network 192.168.10.0 255.255.255.0
  lease-count 189
  excluded-address 192.168.10.200 192.168.10.254
 lease 1 0 0
 option routers 192.168.10.250
 option domain-name vlan10.internal                   option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.10.120 54ee.7565.b64e
 static-mac-ip-mapping 192.168.10.50 1231.2b58.b93d
 static-mac-ip-mapping 192.168.10.60 b68e.83a6.ffc8
 static-mac-ip-mapping 192.168.10.61 34e2.fdb1.4d73
 static-mac-ip-mapping 192.168.10.150 c465.1609.af3a
 static-mac-ip-mapping 192.168.10.152 c465.160b.feb2
 static-mac-ip-mapping 192.168.10.153 d8f2.ca99.6ab0
 static-mac-ip-mapping 192.168.10.151 d8f2.ca37.bb80
 static-mac-ip-mapping 192.168.10.155 4a2b.a6e9.d704
 static-mac-ip-mapping 192.168.10.121 08d4.0c27.f880
!
!
ip dhcp-server pool vlan20
 network 192.168.20.0 255.255.255.0
  lease-count 190
  excluded-address 192.168.20.200 192.168.20.254
 lease 1 0 0
 option routers 192.168.20.250
 option domain-name vlan20.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.20.20 b827.eba3.6f57
 static-mac-ip-mapping 192.168.20.60 ecb5.fa08.3748
 static-mac-ip-mapping 192.168.20.51 6495.6c37.c0f1
 static-mac-ip-mapping 192.168.20.30 0021.5a89.1607   static-mac-ip-mapping 192.168.20.80 289c.6e7e.0dcb
 static-mac-ip-mapping 192.168.20.81 0040.ad82.63c6
 static-mac-ip-mapping 192.168.20.22 cc1b.e080.cffe
 static-mac-ip-mapping 192.168.20.50 0090.a937.0fe0
 static-mac-ip-mapping 192.168.20.21 2ccf.67ae.173f
!
!
ip dhcp-server pool vlan30
 network 192.168.30.0 255.255.255.0
  lease-count 197
  excluded-address 192.168.30.200 192.168.30.254
 lease 1 0 0
 option routers 192.168.30.250
 option domain-name vlan30.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.30.21 443d.54d0.1fbe
 static-mac-ip-mapping 192.168.30.20 accc.fc71.5c10
!
!
!
logging host 192.168.1.245 udp-port 6514
!


!                                                    web-management http
!
ip ssh encryption aes128-cbc aes192-cbc aes256-cbc aes256-ctr aes192-ctr aes128-ctr

!


!
telnet server enable vlan 1
!
snmp-server community 2 $U2kyXj1k ro
snmp-server community 2 $aWc4Wnw4fHxRfFdPezhaWThPUW1RM1d8V21t ro
snmp-server contact Sysadmin
snmp-server location LabNet
!
manager registrar
manager port-list 987
!
cli timeout 0
!


!

                                                     !

end
SSH@ICX7150-24P#
aqui
aqui 22.01.2025 aktualisiert um 14:43:58 Uhr
Goto Top
Bitte lade dir die aktuelle Doku für die 10er Firmware runter!! face-wink
https://support.ruckuswireless.com/documents/4478-fastiron-10-0-10-ga-so ...
Dort im fastiron-10010-securityguide.pdf steht es auf Seite 122 ff.
Die ACL Konfig wird in der 10er in der VLAN Definition vorgenommen und nicht direkt am Interface wie in der 8er und 9er SW!
manu
Und sorry mit der L3 Interface Nomenklatur. Du hast natürlich Recht "ve" ist richtig. Hab zuviel mit einer Cisco Konfig verbracht... 🙈
JuliAugust
JuliAugust 02.02.2025 um 11:30:53 Uhr
Goto Top
Hi, mit der ACL bin ich noch nicht weitergekommen.
Aber ich will mich hier die kommenden Tage mal intensive einlesen. Bzw. Tutorials anschauen.
Wenn ich die ACL so wie oben beschrieben in einem V30 aktivieren kommen die Geräte auch nicht mehr ins internet.

Aktuell habe ich aber einen andere Sorge.
Mein OpenHab kann nicht mehr mit ModbusTCP auf den SMA Wechslerichter zugreifen.
Die Ports werden im CLICKBunti auch mit Warnung dargestellt. hat jemand eine Idee?
Aus dem Logging des ICX kann ich nichts rauslesen.

Anbei mal einige Auszüge und Bilder.
error

SSH@ICX7150-24P(config)# show statistics ethernet 1/1/17
Port       Link    State   Dupl Speed Trunk Tag Pvid Pri MAC             Name
1/1/17     Up      Forward Full 100M  None  No  20   0   d4c1.9e23.9143  SMA TriPower8

 Port 1/1/17 Counters:
         InOctets            107643721           OutOctets             27201507
           InPkts                 7151             OutPkts               396612
  InBroadcastPkts                   41    OutBroadcastPkts               375562
  InMulticastPkts                    8    OutMulticastPkts                 7108
    InUnicastPkts                 7103      OutUnicastPkts                13942
        InBadPkts               390624
      InFragments                74187
       InDiscards                    0           OutErrors                    0
              CRC               316437          Collisions                    0
         InErrors               390624      LateCollisions                    0
      InGiantPkts                    0
      InShortPkts                74187
         InJabber                    0         OutDiscards                    0
   InFlowCtrlPkts                    0     OutFlowCtrlPkts                    0
     InBitsPerSec                  216       OutBitsPerSec                 1776
     InPktsPerSec                    0       OutPktsPerSec                    3
    InUtilization                0.00%      OutUtilization                0.00%

SSH@ICX7150-24P(config)#show interfaces ethernet 1/1/17
GigabitEthernet1/1/17 is up, line protocol is up
  Port up for 14 minute(s) 50 second(s)
  Hardware is GigabitEthernet, address is d4c1.9e23.9143 (bia d4c1.9e23.9153)
  Configured speed 100Mbit, actual 100Mbit, configured duplex fdx, actual fdx
  Configured mdi mode AUTO, actual MDIX
  Untagged member of L2 VLAN 20, port state is FORWARDING
  BPDU guard is Disabled, ROOT protect is Disabled, Designated protect is Disabled
  Link Error Dampening is Disabled
  STP configured to ON, priority is level0, mac-learning is enabled
  Openflow is Disabled, Openflow Hybrid mode is Disabled
  Flow Control is config enabled, oper enabled, negotiation disabled
  Mirror disabled, Monitor disabled
  Mac-notification is disabled
  VLAN-Mapping is disabled
  Not member of any active trunks
  Not member of any configured trunks
  Port name is SMA TriPower8
  IPG MII 96 bits-time, IPG GMII 96 bits-time
  MTU 10200 bytes, encapsulation ethernet
  MMU Mode is Store-and-forward
  300 second input rate: 312 bits/sec, 0 packets/sec, 0.00% utilization
  300 second output rate: 1840 bits/sec, 3 packets/sec, 0.00% utilization
  7167 packets input, 107647998 bytes, 0 no buffer
  Received 41 broadcasts, 8 multicasts, 7119 unicasts
  390624 input errors, 316437 CRC, 0 frame, 0 ignored
  74187 runts, 0 giants
  396658 packets output, 27207495 bytes, 0 underruns
  Transmitted 375573 broadcasts, 7109 multicasts, 13976 unicasts
  0 output errors, 0 collisions
  Relay Agent Information option: Enabled (For 0 VLAN(s))
  Protected: No
  MAC Port Security: Disabled
 Flexlink: Disabled

 This port is not being monitored for queue drops
Egress queues:
Queue counters         Queued packets        Dropped Packets
         0               16768                   0
         1                   0                   0
         2                   4                   0
         3                   0                   0
         4              365666                   0
         5                9121                   0
         6                   0                   0
         7                5099                   0

SSH@ICX7150-24P(config)#sh logging
Syslog logging: enabled ( 0 messages dropped, 0 flushes, 0 overruns)
    Buffer logging: level ACDMEINW, 1354 messages logged
    level code: A=alert C=critical D=debugging M=emergency E=error
I=informational N=notification W=warning

Static Log Buffer:
Jan 31 15:36:39:I:System: Stack unit 1 POE  PS 1, Internal Power supply  with 370000 mwatts capacity is up
Jan 31 15:36:43:I:System: Stack unit 1 Fan 1 (Rear Side Right), ok
Jan 31 15:36:43:I:System: Stack unit 1 Fan 2 (Rear Side Left), ok

Dynamic Log Buffer (4000 lines):
Feb 02 12:27:11:I:Security: Web logged out by juli from src IP 192.168.250.50
Feb 02 12:07:27:I:COPY COMPLETED
Feb 02 12:07:27:I:Security: startup-config was changed
Feb 02 12:07:27:I:COPY_CONFIGURATION_TO_FLASH
Feb 02 12:07:27:I:Security: startup-config was changed by root from TELNET
Feb 02 12:07:18:D:dhcpdv4: DHCPACK on 192.168.20.80 to 28:9c:6e:7e:0d:cb via tap2563
Feb 02 12:07:15:I:System: Interface ethernet 1/1/18, state up
Feb 02 12:07:15:I:System: Interface ethernet 1/1/17, state up
Feb 02 12:07:13:I:System: PoE: Power disabled on port 1/1/18 because of admin off.
Feb 02 12:07:12:I:PORT: 1/1/18 enabled
Feb 02 12:07:12:I:PORT: 1/1/17 enabled
Feb 02 12:04:57:D:dhcpdv4: DHCPACK on 192.168.20.50 to 00:90:a9:37:0f:e0 via tap2563
Feb 02 12:04:42:I:COPY COMPLETED
Feb 02 12:04:42:I:Security: startup-config was changed
Feb 02 12:04:42:I:COPY_CONFIGURATION_TO_FLASH
Feb 02 12:04:42:I:Security: startup-config was changed by root from TELNET
Feb 02 12:04:26:I:PORT: 1/1/18 disabled
Feb 02 12:04:26:I:System: Interface ethernet 1/1/18, line protocol down
Feb 02 12:04:26:I:System: Interface ethernet 1/1/18, state down
Feb 02 12:04:26:I:PORT: 1/1/17 disabled
Feb 02 12:04:26:I:System: Interface ethernet 1/1/17, line protocol down
Feb 02 12:04:26:I:System: Interface ethernet 1/1/17, state down
Feb 02 12:03:21:I:Security: Web login by juli from src IP 192.168.250.50
Feb 02 12:02:06:I:COPY COMPLETED
Feb 02 12:02:06:I:Security: startup-config was changed
Feb 02 12:02:06:I:COPY_CONFIGURATION_TO_FLASH
Feb 02 12:02:06:I:Security: startup-config was changed by juli from SSH
Feb 02 11:59:45:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:54:44:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:53:57:I:Security: ssh login by juli from src IP 192.168.250.50, src MAC 9ceb.e8d8.ed62, src PORT 59335 to dest IP 192.168.250.250, dest PORT 22 to USER EXEC mode
Feb 02 11:52:21:I:Security: ssh login by juli from src IP 192.168.250.50, src MAC 9ceb.e8d8.ed62, src PORT 59328 to dest IP 192.168.250.250, dest PORT 22 to USER EXEC mode
Feb 02 11:51:57:I:STP: VLAN 4094 Port 1/1/20 STP State -> FORWARDING (DOT1wTransition)
Feb 02 11:51:57:I:STP: VLAN 4094 Port 1/1/20 STP State -> LEARNING (DOT1wTransition)
Feb 02 11:51:53:I:STP: VLAN 4094 Port 1/1/20 STP State -> BLOCKING (DOT1wTransition)
Feb 02 11:51:53:I:System: Interface ethernet 1/1/20, state up
Feb 02 11:51:50:I:System: Interface ethernet 1/1/20, line protocol down
Feb 02 11:51:49:I:System: Interface ethernet 1/1/20, state down
Feb 02 11:51:49:I:STP: VLAN 4094 Port 1/1/20 STP State -> DISABLED (PortDown)
Feb 02 11:51:49:I:STP: VLAN 4094 Port 1/1/20 STP State -> BLOCKING (DOT1wTransition)
Feb 02 11:51:49:I:STP: VLAN 4094 Port 1/1/20 STP State -> BLOCKING (PortDown)
Feb 02 11:49:42:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:44:40:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:39:38:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:34:36:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:33:37:D:dhcpdv4: DHCPACK on 192.168.10.60 to b6:8e:83:a6:ff:c8 via tap2562
Feb 02 11:29:35:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:24:33:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:19:31:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:14:29:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:09:27:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 11:04:25:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:59:24:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:54:22:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:52:31:D:dhcpdv4: DHCPACK on 192.168.20.95 to a4:7e:fa:1a:d9:1a via tap2563
Feb 02 10:49:20:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:44:18:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:39:16:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:34:14:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:29:13:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:24:28:D:dhcpdv4: DHCPACK on 192.168.20.80 to 28:9c:6e:7e:0d:cb via tap2563
Feb 02 10:24:21:I:System: Interface ethernet 1/1/17, state up
Feb 02 10:24:17:I:System: Interface ethernet 1/1/18, state up
Feb 02 10:24:10:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:23:50:I:System: Interface ethernet 1/1/18, line protocol down
Feb 02 10:23:50:I:System: Interface ethernet 1/1/18, state down
Feb 02 10:23:29:I:System: Interface ethernet 1/1/17, line protocol down
Feb 02 10:23:29:I:System: Interface ethernet 1/1/17, state down
Feb 02 10:19:08:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:14:06:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:09:04:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:04:03:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 10:01:18:I:System: Interface ethernet mgmt1, state up
Feb 02 10:01:15:D:dhcpdv4: DHCPACK on 192.168.10.120 to 54:ee:75:65:b6:4e via tap2562
Feb 02 10:01:14:I:System: Interface ethernet 1/1/6, state up
Feb 02 09:59:01:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:57:19:I:Security: Time is updated by NTP server "192.168.99.1" from  "08:57:20.269 CET Sun Feb 02 2025 " to "08:57:20.164 CET Sun Feb 02 2025 "  
Feb 02 09:54:02:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:49:00:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:43:59:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:38:57:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:33:55:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:28:53:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:27:50:D:dhcpdv4: DHCPACK on 192.168.10.50 to 12:31:2b:58:b9:3d via tap2562
Feb 02 09:27:49:D:dhcpdv4: DHCPACK on 192.168.10.50 to 12:31:2b:58:b9:3d via tap2562
Feb 02 09:23:51:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:18:49:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:13:48:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:08:47:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 09:03:45:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:58:43:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:55:24:D:dhcpdv4: DHCPACK on 192.168.10.50 to 12:31:2b:58:b9:3d via tap2562
Feb 02 08:53:41:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:48:39:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:43:37:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:42:23:D:dhcpdv4: DHCPACK on 192.168.10.52 to aa:7a:03:94:47:ad via tap2562
Feb 02 08:38:36:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:33:34:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:28:32:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:23:30:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:18:29:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:13:27:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:08:25:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 08:03:24:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:58:22:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:53:20:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:48:19:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:43:18:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:38:15:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:33:14:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:28:12:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:23:10:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar
Feb 02 07:18:08:I:MGMT Agent: Switch Registrar Query Failure. Please check DRS/SWR Registrar


Wie kann ich die Warnungen zurücksetzen und ggf die Ports für ModbusTCP freischalten?`

Grüße Julian
aqui
aqui 02.02.2025, aktualisiert am 10.02.2025 um 12:57:43 Uhr
Goto Top
mit der ACL bin ich noch nicht weitergekommen.
Solltest du auch zuerst immer weglassen und erst dann implemetieren wenn alles andere wirklich fehlerfrei funktioniert!
Mein OpenHab kann nicht mehr mit ModbusTCP auf den SMA Wechslerichter zugreifen.
Liegen die zusammen in einem gemeinsamen Layer 2 VLAN ?
Wenn nein, mit welchen Protokollen kommunizieren die?? Wenn das eine Broad- oder Multicast Kommunikation ist wird die prinzipbedingt NICHT bei gerouteten Segmenten übertragen da Router diese Pakete so ohne weiteres bekanntlich nicht weiterleiten.
Diese HAB Protokoll Information wäre also sehr hilfreich und WO in welchen Segmenten die beiden Komponenten arbeiten.
Die dazu aktuelle (anonymisierte) Switchkonfig wäre ebenso hilfreich.
Du hast zudem immer noch ein Konfig Fehler des Managements via Unleashed wie dir die "MGMT Agent: Switch Registrar Query Failure" Meldung ja deutlich zeigt.

Eine Beispiel ACL fürs VLAN 30 wo nur Internet Zugang erlaubt ist sähe z.B. so aus:
 !
ip access-list extended InternetOnly
 remark Nur Internet erlaubt
 sequence 2 permit udp any eq 68 any eq 67
 sequence 4 permit udp 192.168.30.0/24 host 192.168.178.1 eq 53
 sequence 6 permit tcp 192.168.30.0/24 host 192.168.178.1 eq 53
 sequence 10 deny ip 192.168.30.0/24 10.0.0.0/8
 sequence 20 deny ip 192.168.30.0/24 172.16.0.0/12
 sequence 30 deny ip 192.168.30.0/24 192.168.0.0/16
 sequence 40 permit ip 192.168.30.0 0.0.0.255 any
 ! 
vlan 30 name LimitHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/19 ethe 1/3/3
 ip access-group InternetOnly in
 spanning-tree
! 
  • Seq2 = erlaubt DHCP Requests der Clients
  • Seq4,6 = erlaubt DNS Requests der Clients
  • Seq10,20,30 = verbietet alle Zugriffe auf alle lokalen RFC 1918 IP Netze
  • Seq40 = erlaubt den Internet Zugang
JuliAugust
JuliAugust 02.02.2025 aktualisiert um 15:43:02 Uhr
Goto Top
Beide Geräte
OpenHAB
SMA Wechslerichter

liegen im gleichen Vlan 20

Current configuration:
!
ver 10.0.10f_cd1T213
!
stack unit 1
  module 1 icx7150-24p-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-4-sfp-plus-port-40g-module
  stack-port ethernet 1/3/1
  stack-port ethernet 1/3/3
!
!
!
global-stp
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name SweetHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/5 to 1/1/8 ethe 1/3/1
 no spanning-tree
!
vlan 20 name SmartHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/9 to 1/1/18 ethe 1/3/2
 no spanning-tree
!
vlan 30 name LimitHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/19 ethe 1/3/3
 spanning-tree
!
vlan 99 name FritzKoppel by port
 untagged ethe 1/1/21 ethe 1/1/23
 spanning-tree
!
vlan 179 name GuestHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/20 ethe 1/1/22 ethe 1/1/24
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
ip route 0.0.0.0/0 192.168.99.1
!
!
clock summer-time
clock timezone europe CET
chassis fanless all
jumbo
hostname ICX7150-24P
ip dns domain-list julian.internal
ip dns server-address 192.168.99.5
ip multicast passive
ip multicast version 3
!
!
ntp
 disable serve
 server 192.168.99.1
!
!
interface management 1
 ip address 
!
interface ethernet 1/1/1
 port-name R550
 inline power priority 1
!
interface ethernet 1/1/2
 port-name R350
 inline power priority 1
!
interface ethernet 1/1/9
 port-name LG TV
 no inline power
!
interface ethernet 1/1/10
 port-name WD Cloud
 no inline power
!
interface ethernet 1/1/11
 port-name HP LaserJet
 no inline power
!
interface ethernet 1/1/13
 port-name MDT KNX
 no inline power
!
interface ethernet 1/1/14
 port-name Hue Bridge
 no inline power
!
interface ethernet 1/1/15
 port-name OpenHab Raspi
!
interface ethernet 1/1/16
 port-name OpenWB Raspi
 no inline power
!
interface ethernet 1/1/17
 port-name SMA TriPower8
 speed-duplex 100-full
 no inline power
!
interface ethernet 1/1/18
 port-name RCT DC8
 speed-duplex 100-full
 no inline power
!
interface ethernet 1/1/20
 port-name Gast
!
interface ethernet 1/1/21
 port-name AdGuard
!
interface ethernet 1/1/22
 port-name Vodafone Raspi
!
interface ethernet 1/1/23
 port-name FritzKoppel
 no inline power
!
interface ethernet 1/1/24
 port-name FritzGast
 no inline power
!
interface ethernet 1/2/2
 port-name Managment
!
interface ve 1
 port-name VLAN-1
 ip address 192.168.1.250 255.255.255.0
!
interface ve 10
 port-name VLAN-10
 ip address 192.168.10.250 255.255.255.0
!
interface ve 20
 port-name VLAN-20
 ip address 192.168.20.250 255.255.255.0
!
interface ve 30
 port-name VLAN-30
 ip address 192.168.30.250 255.255.255.0
!
interface ve 99
 port-name VLAN-99
 ip address 192.168.99.250 255.255.255.0
!
!

ip access-list standard BLOCK_Internet
!

ip access-list extended VLAN30_TO_INTERNET
 sequence 10 permit ip 192.168.30.0 0.0.0.255 host 192.168.99.5
 sequence 11 permit ip 192.168.30.0 0.0.0.255 host 192.168.99.1
 sequence 20 deny ip 192.168.30.0 0.0.0.255 any
!
!
service local-user-protection

enable user password-masking
!
aaa authentication login default local
aaa authentication login privilege-mode
!
aaa authentication web-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool vlan10
 network 192.168.10.0 255.255.255.0
  lease-count 188
  excluded-address 192.168.10.200 192.168.10.254
 lease 1 0 0
 option routers 192.168.10.250
 option domain-name vlan10.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.10.120 54ee.7565.b64e
 static-mac-ip-mapping 192.168.10.155 4a2b.a6e9.d704
 static-mac-ip-mapping 192.168.10.152 c465.160b.feb2
 static-mac-ip-mapping 192.168.10.60 b68e.83a6.ffc8
 static-mac-ip-mapping 192.168.10.52 aa7a.0394.47ad
 static-mac-ip-mapping 192.168.10.151 d8f2.ca37.bb80
 static-mac-ip-mapping 192.168.10.150 c465.1609.af3a
 static-mac-ip-mapping 192.168.10.50 1231.2b58.b93d
 static-mac-ip-mapping 192.168.10.121 08d4.0c27.f880
 static-mac-ip-mapping 192.168.10.153 d8f2.ca99.6ab0
 static-mac-ip-mapping 192.168.10.61 34e2.fdb1.4d73
!
!
ip dhcp-server pool vlan20
 network 192.168.20.0 255.255.255.0
  lease-count 185
  excluded-address 192.168.20.200 192.168.20.254
 lease 1 0 0
 option routers 192.168.20.250
 option domain-name vlan20.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.20.20 b827.eba3.6f57
 static-mac-ip-mapping 192.168.20.21 2ccf.67ae.173f
 static-mac-ip-mapping 192.168.20.50 0090.a937.0fe0
 static-mac-ip-mapping 192.168.20.51 6495.6c37.c0f1
 static-mac-ip-mapping 192.168.20.60 ecb5.fa08.3748
 static-mac-ip-mapping 192.168.20.85 625b.b063.8dd7
 static-mac-ip-mapping 192.168.20.65 a880.55f3.da97
 static-mac-ip-mapping 192.168.20.80 289c.6e7e.0dcb
 static-mac-ip-mapping 192.168.20.30 0021.5a89.1607
 static-mac-ip-mapping 192.168.20.90 f099.199c.9a5f
 static-mac-ip-mapping 192.168.20.22 cc1b.e080.cffe
 static-mac-ip-mapping 192.168.20.81 0040.ad82.63c6
 static-mac-ip-mapping 192.168.20.100 fc67.1ffe.5c42
 static-mac-ip-mapping 192.168.20.95 a47e.fa1a.d91a
!
!
ip dhcp-server pool vlan30
 network 192.168.30.0 255.255.255.0
  lease-count 197
  excluded-address 192.168.30.200 192.168.30.254
 lease 1 0 0
 option routers 192.168.30.250
 option domain-name vlan30.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.30.21 443d.54d0.1fbe
 static-mac-ip-mapping 192.168.30.20 accc.fc71.5c10
!
!
ip dhcp-server pool vlan1
 network 192.168.1.0 255.255.255.0
  lease-count 254
 lease 1 0 0
 option routers 192.168.1.250
 option domain-name vlan1.internal
 option domain-name-servers 192.168.99.5
!

!
logging host 192.168.1.245 udp-port 6514
!
web-management http
!
ip ssh encryption aes128-cbc aes192-cbc aes256-cbc aes256-ctr aes192-ctr aes128-ctr
!
telnet server enable vlan 1
!
snmp-server community 2 $U2kyXj1k ro
snmp-server community 2 $aWc4Wnw4fHxRfFdPezhaWThPUW1RM1d8V21t ro
snmp-server contact Sysadmin
snmp-server location LabNet
!
manager registrar sw-alternate.ruckuswireless.com
manager port-list 987
!
cli timeout 0
!
end

Die Kommunikation sollte per Modbus TCP auf Port 502 laufen.

Gruß Julian
aqui
aqui 02.02.2025 aktualisiert um 15:57:10 Uhr
Goto Top
liegen im gleichen Vlan 20
Dann ist ein Kommunikationsproblem technisch ausgeschlossen und in dem Falle dann auch völlig egal wie sie kommunizieren weil kein Router dazwischen ist.
Gefährlich und fatal ist das du in einem Single Spannig Tree Umfeld einige VLANs mit und einige ohne Spanning Tree laufen lässt. Gerade auch das 20er!
Sowas ist eine gefährliche Quelle für Netzwerk Loops und ein NoGo. Eine saubere Spanning Tree Konfig sieht anders aus. face-sad
Desweiteren fehlt im VLAN 1 das Excluding der statischen Router IP so das dort eine Doppelvergabe droht!
JuliAugust
JuliAugust 02.02.2025 um 15:57:05 Uhr
Goto Top
ok, was wäre denn die bevorzugte Wahl?
Vermutlich Global.

ist mir grad auch spanisch weshalb das so unterschiedlich aktiv ist.

Wie sollte die beste Config aussehen?
aqui
Lösung aqui 02.02.2025 aktualisiert um 16:07:48 Uhr
Goto Top
Wie sollte die beste Config aussehen?
Beste Konfig für was?? STP?
Durchgängig STP aktivieren natürlich. Nur das schützt vor Loops.
Ist mir grad auch spanisch weshalb das so unterschiedlich aktiv ist.
Weil DU es vergessen hast zu aktivieren...!
DHCP Excluding in VLAN 1 auch korrigieren.
Solche grundlegenden Fauxpas' sollten dir aber beim Durchgehen der Konfig eigentlich schon auffallen. 🧐
IGMP Snooping global fehlt.
ip multicast passive
ip multicast version 3 
Korrekte Zeitzone fehlt. (nur kosmetisch)
clock summer-time
clock timezone europe CET
JuliAugust
JuliAugust 02.02.2025 um 16:37:03 Uhr
Goto Top
clock summer-time
clock timezone europe CET
Sind in der Config drin.

und auch die
ip multicast passive
ip multicast version 3

Sorry DHCP Vlan1 habe ich nun wieder ganz raus hatte das gestern für nen Versuch benötigt.

Hab ich die ggf. in einer falschen Reihenfolge? Oder doch noch was anderes falsch?

Current configuration:
!
ver 10.0.10f_cd1T213
!
stack unit 1
  module 1 icx7150-24p-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-4-sfp-plus-port-40g-module
  stack-port ethernet 1/3/1
  stack-port ethernet 1/3/3
!
!
!
global-stp
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name SweetHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/5 to 1/1/8 ethe 1/3/1
 spanning-tree
!
vlan 20 name SmartHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/9 to 1/1/18 ethe 1/3/2
 spanning-tree
!
vlan 30 name LimitHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/19 ethe 1/3/3
 spanning-tree
!
vlan 99 name FritzKoppel by port
 untagged ethe 1/1/21 ethe 1/1/23
 spanning-tree
!
vlan 179 name GuestHome by port
 tagged ethe 1/1/1 to 1/1/4
 untagged ethe 1/1/20 ethe 1/1/22 ethe 1/1/24
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
ip route 0.0.0.0/0 192.168.99.1
!
!
clock summer-time
clock timezone europe CET
chassis fanless all
jumbo
hostname ICX7150-24P
ip dns domain-list julian.internal
ip dns server-address 192.168.99.5
ip multicast passive
ip multicast version 3
!
!
ntp
 disable serve
 server 192.168.99.1
!
!
!
!
!
!
!
!
!
interface management 1
 ip address 192.168.250.250 255.255.255.0
!
interface ethernet 1/1/1
 port-name R550
 inline power priority 1
!
interface ethernet 1/1/2
 port-name R350
 inline power priority 1
!
interface ethernet 1/1/9
 port-name LG TV
 no inline power
!
interface ethernet 1/1/10
 port-name WD Cloud
 no inline power
!
interface ethernet 1/1/11
 port-name HP LaserJet
 no inline power
!
interface ethernet 1/1/13
 port-name MDT KNX
 no inline power
!
interface ethernet 1/1/14
 port-name Hue Bridge
 no inline power
!
interface ethernet 1/1/15
 port-name OpenHab Raspi
!
interface ethernet 1/1/16
 port-name OpenWB Raspi
 no inline power
!
interface ethernet 1/1/17
 port-name SMA TriPower8
 speed-duplex 100-full
 no inline power
!
interface ethernet 1/1/18
 port-name RCT DC8
 speed-duplex 100-full
 no inline power
!
interface ethernet 1/1/20
 port-name Gast
!
interface ethernet 1/1/21
 port-name AdGuard
!
interface ethernet 1/1/22
 port-name Vodafone Raspi
!
interface ethernet 1/1/23
 port-name FritzKoppel
 no inline power
!
interface ethernet 1/1/24
 port-name FritzGast
 no inline power
!
interface ethernet 1/2/2
 port-name Managment
!
interface ve 1
 port-name VLAN-1
 ip address 192.168.1.250 255.255.255.0
!
interface ve 10
 port-name VLAN-10
 ip address 192.168.10.250 255.255.255.0
!
interface ve 20
 port-name VLAN-20
 ip address 192.168.20.250 255.255.255.0
!
interface ve 30
 port-name VLAN-30
 ip address 192.168.30.250 255.255.255.0
!
interface ve 99
 port-name VLAN-99
 ip address 192.168.99.250 255.255.255.0
!
!

!
!



!
!
!
!
!
service local-user-protection
aaa authentication login default local
aaa authentication login privilege-mode
!
aaa authentication web-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool vlan10
 network 192.168.10.0 255.255.255.0
  lease-count 188
  excluded-address 192.168.10.200 192.168.10.254
 lease 1 0 0
 option routers 192.168.10.250
 option domain-name vlan10.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.10.120 54ee.7565.b64e
 static-mac-ip-mapping 192.168.10.155 4a2b.a6e9.d704
 static-mac-ip-mapping 192.168.10.152 c465.160b.feb2
 static-mac-ip-mapping 192.168.10.60 b68e.83a6.ffc8
 static-mac-ip-mapping 192.168.10.52 aa7a.0394.47ad
 static-mac-ip-mapping 192.168.10.151 d8f2.ca37.bb80
 static-mac-ip-mapping 192.168.10.150 c465.1609.af3a
 static-mac-ip-mapping 192.168.10.50 1231.2b58.b93d
 static-mac-ip-mapping 192.168.10.121 08d4.0c27.f880
 static-mac-ip-mapping 192.168.10.153 d8f2.ca99.6ab0
 static-mac-ip-mapping 192.168.10.61 34e2.fdb1.4d73
!
!
ip dhcp-server pool vlan20
 network 192.168.20.0 255.255.255.0
  lease-count 185
  excluded-address 192.168.20.200 192.168.20.254
 lease 1 0 0
 option routers 192.168.20.250
 option domain-name vlan20.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.20.20 b827.eba3.6f57
 static-mac-ip-mapping 192.168.20.21 2ccf.67ae.173f
 static-mac-ip-mapping 192.168.20.50 0090.a937.0fe0
 static-mac-ip-mapping 192.168.20.51 6495.6c37.c0f1
 static-mac-ip-mapping 192.168.20.60 ecb5.fa08.3748
 static-mac-ip-mapping 192.168.20.85 625b.b063.8dd7
 static-mac-ip-mapping 192.168.20.65 a880.55f3.da97
 static-mac-ip-mapping 192.168.20.80 289c.6e7e.0dcb
 static-mac-ip-mapping 192.168.20.30 0021.5a89.1607
 static-mac-ip-mapping 192.168.20.90 f099.199c.9a5f
 static-mac-ip-mapping 192.168.20.22 cc1b.e080.cffe
 static-mac-ip-mapping 192.168.20.81 0040.ad82.63c6
 static-mac-ip-mapping 192.168.20.100 fc67.1ffe.5c42
 static-mac-ip-mapping 192.168.20.95 a47e.fa1a.d91a
!
!
ip dhcp-server pool vlan30
 network 192.168.30.0 255.255.255.0
  lease-count 197
  excluded-address 192.168.30.200 192.168.30.254
 lease 1 0 0
 option routers 192.168.30.250
 option domain-name vlan30.internal
 option domain-name-servers 192.168.99.5
 static-mac-ip-mapping 192.168.30.21 443d.54d0.1fbe
 static-mac-ip-mapping 192.168.30.20 accc.fc71.5c10
!
!
!
logging host 192.168.1.245 udp-port 6514
!


!
web-management http
!
ip ssh encryption aes128-cbc aes192-cbc aes256-cbc aes256-ctr aes192-ctr aes128-ctr

!


!
telnet server enable vlan 1
!
snmp-server community 2 $U2kyXj1k ro
snmp-server community 2 $aWc4Wnw4fHxRfFdPezhaWThPUW1RM1d8V21t ro
snmp-server contact Sysadmin
snmp-server location LabNet
!
manager registrar sw-alternate.ruckuswireless.com
manager port-list 987
!
cli timeout 0

MGMT Agent: Switch Registrar Query Failure

Der Fehler ist mir auch selbstverständlich aufgefallen. Hatte aber noch keine Zeit und keine Idee ihn zu beheben.
aqui
aqui 02.02.2025 um 19:21:59 Uhr
Goto Top
Oder doch noch was anderes falsch?
Nun passt das alles. 👍
Was den Registrar Fehler anbetrifft:
https://docs.commscope.com/bundle/fastiron-08095-managementguide/page/GU ...