01.09.2024

1047

OPNsense + Dell X Switche VLAN Trunk Setup

Hallo miteinander,
ich habe leider weder mit den Dell X Switchen noch OPNsense bisher VLANs eingerichtet.
So wie ich das verstehe, lege ich an der OPNsense die VLANs unter dem Interface an.
Ich hab hierfür einen LAGG erstellt, aktuell sind darin 2 Interfaces. Wenn alles läuft, sollen da 4x10G rein.
Soweit so gut.
Also in OPNsense das LAGG (LACP) mit den Interfaces angelegt.

Nun ist die Frage, wie richte ich korrekt den VLAN-Trunk auf den Switchen ein via CLI?
Das finde ich da sehr unübersichtlich und die CLI ist sehr eineschränkt und Ich verstehe Sie einfach nicht richtig. Da gibt es, soweit ich das sehe, auch nicht alle Optionen der GUI.
Ich bin hier von der Arbeit die CLI der HPs/FS.COMs gewöhnt, die ja Cisco sehr ähnlich sind. Bei den Dells komplett anders...
Aber auch via GUI verstehe ich das nicht wie ich da ein LAGG mit VLAN-Trunk einrichte.

Plan wäre -> OPNsense 4xSFP+ (LAGG via LACP als VLAN Trunk) -> Dell X4012 4xSFP+ (LAGG via LACP als VLAN Trunk) -> Dell X1052

Grüße
Max

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 667803

Url: https://administrator.de/contentid/667803

Ausgedruckt am: 23.11.2024 um 10:11 Uhr

9 Kommentare

Neuester Kommentar

Nun ist die Frage, wie richte ich korrekt den VLAN-Trunk auf den Switchen ein via CLI?

Einfach mal die Suchfunktion benutzen...!! 😉
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder meinst du mit "Trunk" eine Link Aggregation?? 🤔
Der Begriff "Trunk" ist leider sehr widersprüchlich und höchst doppeldeutig. In Cisco Sprech ist das ein Tagged Uplink und im Rest der Netzwerk Welt ein LACP LAG.
Zu Letzterem findest du alle Informationen hier:
Link Aggregation (LAG) im Netzwerk

Danke schon mal für die Antwort!
Also vielleicht habe ich es ein bisschen unglücklich formuliert.
Ja, ich würde gerne ein LAG via LACP anlegen und über dieses LAG dann gerne einen Uplink für den Switch mit diversen tagged-VLANs bereitstellen.
Ich hab leider in der Ausbildung nur sehr eingeschränkt überhaupt Kontakt mit VLANs gehabt und wenn dann nur Klick-Bunti mit Unifi

Mal in der Berufsschule ein bisschen Cisco oder so.
Also das ist meine bisherige OPNsense Konfig:

Jetzt ist die hauptsächliche Frage, wie ich dann eintsprechend korrekt den LAG / Uplink am Switch einrichte.
Port 11 (am Core bzw. Dell X4012) geht dann entsprechend an ixl2 OPNsense
Port 12 (am Core bzw. Dell X4012) geht dann entsprechend an ixl3 OPNsense

Ich werde einfach nicht aus der Weboberfläche schlau und finde in der CLI au nix.

Dell hat das, wie so oft, bei Cisco (Catalysts) abgekupfert. Es ist also analog zu dem was HIER für den Cisco Catalyst steht:
https://www.dell.com/support/kbdoc/de-de/000121857/anleitung-zum-erstell ...

Du wählst die beiden Memberports an mit interface range gi 11-12 oder gibst es auf jedem physischen Memberport einzelnd ein.
Dann aktivierst du dort mit channel-group 1 mode active den LAG im LACP Mode.
Das Kommando erzeugt dann ein virtuelles Port-Channel Interface "1". Die LAG Gruppennummer "1" korrespondiert dabei mit der im Portkommando channel-group 1 mode active. Benötigt man mehrere LAG Gruppen erhöht man einfach diese Indexnummer. Diese sind übrigens frei wählbar!
Mit show interfaces port-channel 1 kannst du checken ob das Interface korrekt erstellt wurde.
Auf diesem virtuellen Port Channel Interface port-channel 1 konfigurierst du dann wieder wie gewohnt deine VLANs genau so wie auf einem anderen Interface.
LAG Member Ports auf die OPNsense LAG Ports stecken... Fertisch!

So wie es aussieht hast du auch auf der OPNsense beim Erstellen eines Tagged LAG Ports einen Fehler gemacht. Die Reihenfolge geht wie beim Switch:

Zuerst den LAG über die beiden physichen OPNsense Interfaces bilden
Dann das gebildete LAG Interface über das Interface Assignement hinzufügen
Jetzt die VLAN Interfaces anlegen und auf das LAG Interface legen

Nach deinen Screenshots zu urteilen hast du es genau falschrum gemacht (erst VLAN, dann LAG über ein VLAN), aber das ist nur eine Annahme weil leider zu wenig der Konfig oben gepostet ist.

Danke für die viele Hilfe!
Ich habe das LAGG zuerst angelegt und dann on Top die VLANs.
Also LAGG erstellt (aber kein Interface Assignment, jetzt nachgeholt)
Dann VLANs auf dem LAGG angelegt.
Das müsste soweit passen (denke ich?)

Leider sind die CLI-Befehle am Switch nicht verfügbar. Da gibt es so gut wie nichts leider

In der GUI hab ich es mal so angelegt, wie es Sinn gäbe.

Unter Trunk habe ich dann die entsprechenden VLANs ausgewählt und als PVID mein neues Switch-Management-VLAN.

Ich habe jetzt mal eine entsprechende Regel angelegt an der Firewall.

Das Zielnetz ist das Switch Management Netz, welches ich als PVID/Native VLAN hinterlegt habe oben.
Leider kann ich den Switch auch nicht pingen, wenn ich unter Diagnostics an der OPNsense mit der jeweiligen Quell und Ziel IP pinge :/
Die zukünftige IP hab ich im jeweiligen VLAN hinterlegt:

Jetzt einfach der Einfachkeit halber, es geht beim Native VLAN immer ums das VLAN 173, wie hier drüber.

Hier nochmals ein laufendes Praxisbeispiel mit OPNsense und einem Cisco Catalyst mit 2 VLANs 10 und 20 und PVID VLAN.

Inhaltsverzeichnis

OPNsense Basis LAG Setup

OPNsense VLAN Interface m. Mapping auf LAG

Es muss die folgende Reihenfolge eingehalten werden:

LAG Member Interfaces dürfen nicht assigned sein!
Zuerst LAG Setup der Memberinterfaces
Dann VLAN Interfaces anlegen und dem LAG Interface als Parent zuweisen
IP Adresse und DHCP auf dem VLAN Interface anlegen

OPNsense Basis LAG Setup

⚠️ "Hash Layers" sollte man hier alle aktivieren um eine optimale Granularität bei der Verteilung zu bekommen sofern man eine sehr geringe Mac oder IP Address Entropie im Netz hat!

OPNsense VLAN Interface m. Mapping auf LAG

(Beispiel der Übersicht halber nur VLAN 10. VLAN 20 wird analog mit vlan0.20 angelegt.)

VLAN IP Adressierung

(Beispiel der Übersicht halber nur Native VLAN 1 (untagged) und VLAN 10)

LACP Check am Switch

Switch Konfig

interface GigabitEthernet0/23
 description Member LAG PoCh2
 switchport trunk allowed vlan 1,10,20
 switchport mode trunk
 switchport nonegotiate
 channel-group 2 mode active
!
interface GigabitEthernet0/24
 description Member LAG PoCh2
 switchport trunk allowed vlan 1,10,20
 switchport mode trunk
 switchport nonegotiate
 channel-group 2 mode active 
!
interface PortChannel2
description LAG OPNsense
 switchport trunk allowed vlan 1,10,20
 switchport mode trunk 

LAG Status Check

Hier sieht man an der Neighbor Anzeige das die OPNsense sauber per LACP erkannt wurde und der LAG online ist.
👉🏽 Man achte hier auch auf die obige Mac Adresse der OPNsense am lagg0 Port die der LACP Prozess des Cisco's korrekterweise "sieht". 😉

Catalyst#sh int po 2
Port-channel2 is up, line protocol is up (connected)
  Hardware is EtherChannel, address is 0017.5a99.fa17 (bia 0017.5a99.fa17)
  Description: Member 0/23 u. 0/24
  MTU 1500 bytes, BW 200000 Kbit/sec, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Full-duplex, 1000Mb/s, link type is auto, media type is unknown
  input flow-control is off, output flow-control is unsupported
  Members in this channel: Gi0/23 Gi0/24 

Catalyst#sh lacp neigbor
Flags:  S - Device is requesting Slow LACPDUs
        F - Device is requesting Fast LACPDUs
        A - Device is in Active mode       P - Device is in Passive mode

Channel group 2 neighbors

Partner's information:

                  LACP port                        Admin  Oper   Port    Port
Port      Flags   Priority  Dev ID          Age    key    Key    Number  State
Gi0/23    SA      32768     000d.b95a.49ea   5s    0x0    0x146  0x3     0x3D
Gi0/24    SA      32768     000d.b95a.49ea  29s    0x0    0x146  0x4     0x3D

Danke dir, dann hab ich es jetzt soweit ich das sehe korrekt.
Nur was ich nicht verstehe:
Dann wäre ja quasi das Untagged VLAN mein Management VLAN, also das Netz, dass ich auf dem LAG-Interface an der OPNsense hinterlege.
Muss ich dann quasi das 1er VLAN als Management Netz hernehmen?
Ich hab es jetzt auch mal testweise mit dem 1er als Native VLAN auf dem LAG eingerichtet, geht aber leider trotzdem nicht :/

Dann wäre ja quasi das Untagged VLAN mein Management VLAN

Nein, das kann man so nicht sagen. Logisch, denn ein VLAN "1" gibt es in dem Sinne bei ungetaggten Traffic ja gar nicht!
Es ist ja immer die Frage wo bzw. in welchem VLAN DU dein Management Netz definierst. Nur das ist relevant!
Das grundsätzliche Verhalten der OPNsense (und auch pfSense und anderer FWs allgemein) ist nur das das VLAN Parent Interface, egal ob es ein Physisches ist oder ein Virtuelles wie hier, immer die Frames UNtagged sendet. Man muss also auf der Switchseite dafür sorgen das dort das Native VLAN bzw. PVID VLAN entsprechend gesetzt wird wenn man dieses Interface aktiv nutzt.
Der UNtagged Traffic hat ja gar keine VLAN Information an sich. Man bestimmt dann immer auf Switchseite mit dem PVID oder Native VLAN WO man mit diesen unttagged Traffic hinhaben möchte. (Siehe dazu auch VLAN Schnellschulung)
Man kann auch schlicht dem OPNsense Parent Interface keine IP dort setzen, dann gibt es eben keinerlei UNtagged Datentraffic und nur den tagged VLAN Traffic. Das ist etwas unsauber, geht aber auch.

Vorteil des untagged Traffic ist das das Interface immer erreichbar ist. Stimmt einmal etwas nicht mit dem Tagging kann man dies Interface nicht mehr erreichen.