10
Routing HP Aruba Instant On Switch
Hallo,
ich habe bisher immer mit Routern Geroutet oder mit Firewalls. Doch nun soll
ich ein Netzwerk in ein Bestehendes integrieren und dafür wurde ein Layer 3
HP Instant On Switch angeschaft.
Doch ich stehe nun da wie
ein Ochs vorm Berg
Also aktuell ist der Routing Switch ein abgesetzter Netgear M4200 und nun soll
über eine 10GBit leitung ein HP Instant On 1960 Switch ein weiteres Netzwerk
in das alte Netzwerk reinbringen.
Könnt ihr mir vielleicht eine Seite zeigen wo die Konfiguration etwas beschrieben
wird oder mir helfen wie ich das Konfigurieren muß?
Werde mal versuchen euch über eine Zeichnung zu zeigen wie es aktuell Konfiguriert ist:
Also ich möchte nun aus Netzwerk 1und 2 das 172.16.20.0 Netzwerk erreichen und
aus dem 172.16.20.0 Netzwerk möchte ich Netzwerk 1 und 2 erreichen.
Reicht es wenn ich dem port der zum Layer 2 Aruba geht eine IP aus dem Netzwerk 1
gebe und dann eine Statische Route zum Netgear Routing Switch gebe und auf dem
Netgear Routing Switch eine Statische Route zur IP die ich auf dem Layer 3 Aruba
gesetzt habe als der Port wo das Kabel vom Layer 2 Aruba connected ist.
Hoffe ich habe das verständlich beschrieben.
PS: Am Netgear Switch und an dem Aruba Layer 2 Stich sind jeweils Firewalls angeschlossen
die den Zugang zum Internet haben für die genutzen Netzwerke.
ich habe bisher immer mit Routern Geroutet oder mit Firewalls. Doch nun soll
ich ein Netzwerk in ein Bestehendes integrieren und dafür wurde ein Layer 3
HP Instant On Switch angeschaft.
Doch ich stehe nun da wie
ein Ochs vorm Berg Also aktuell ist der Routing Switch ein abgesetzter Netgear M4200 und nun soll
über eine 10GBit leitung ein HP Instant On 1960 Switch ein weiteres Netzwerk
in das alte Netzwerk reinbringen.
Könnt ihr mir vielleicht eine Seite zeigen wo die Konfiguration etwas beschrieben
wird oder mir helfen wie ich das Konfigurieren muß?
Werde mal versuchen euch über eine Zeichnung zu zeigen wie es aktuell Konfiguriert ist:
Also ich möchte nun aus Netzwerk 1und 2 das 172.16.20.0 Netzwerk erreichen und
aus dem 172.16.20.0 Netzwerk möchte ich Netzwerk 1 und 2 erreichen.
Reicht es wenn ich dem port der zum Layer 2 Aruba geht eine IP aus dem Netzwerk 1
gebe und dann eine Statische Route zum Netgear Routing Switch gebe und auf dem
Netgear Routing Switch eine Statische Route zur IP die ich auf dem Layer 3 Aruba
gesetzt habe als der Port wo das Kabel vom Layer 2 Aruba connected ist.
Hoffe ich habe das verständlich beschrieben.
PS: Am Netgear Switch und an dem Aruba Layer 2 Stich sind jeweils Firewalls angeschlossen
die den Zugang zum Internet haben für die genutzen Netzwerke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32757385367
Url: https://administrator.de/contentid/32757385367
Printed on: April 28, 2024 at 08:04 o'clock
10 Comments
Latest comment
Moin,
ich würde ein neues VLAN erstellen mit einem Netzwerk, welches der neue Switch routet.
Zum Beispiel:
VLAN 100
10.100.0.0/24
Und jedem Switch eine IP (virtuelles Interface) aus dem Netz geben und dann auf den anderen Switchen eine statische Route hinterlegen, dass wenn diese in die Netze 1 und 2 möchten über die IP vom neuen Switch gehen müssen. Auf dem neuen Switch musst du dann natürlich eine statische Route für das 172er Netz hinterlegen mit der IP vom Aruba Switch.
Hoffe das war verständlich.
Mfg
ich würde ein neues VLAN erstellen mit einem Netzwerk, welches der neue Switch routet.
Zum Beispiel:
VLAN 100
10.100.0.0/24
Und jedem Switch eine IP (virtuelles Interface) aus dem Netz geben und dann auf den anderen Switchen eine statische Route hinterlegen, dass wenn diese in die Netze 1 und 2 möchten über die IP vom neuen Switch gehen müssen. Auf dem neuen Switch musst du dann natürlich eine statische Route für das 172er Netz hinterlegen mit der IP vom Aruba Switch.
Hoffe das war verständlich.
Mfg
Vielleicht hilft dir ein Thread der diese Einrichtung auf einem Cisco Layer 3 Switch beschreibt...?!
Die grundsätzlichen ToDos sind völlig identisch.
Verständnissproblem Routing mit SG300-28
Die grundsätzlichen ToDos sind völlig identisch.
Verständnissproblem Routing mit SG300-28
Hallo mal zum Verständnis: (Aktuell bin ich echt durch den Wind mit diesem ganzen Hin und her )
Ich habe den einen neuen Switch in das bestehende Netzwerk eingesetzt. Auf diesem Switch erstelle
ich ein VLAN (z.B. VLAN 16) dem VLAN 16 auf diesem Switch gebe ich eine IP aus dem neuen Netzwerk
z.b. 172.16.16.50 welches nun Zugriff bekommen soll zum bestehenden Netzwerk. Dann erstelle ich
passende Statische Routen die dann zu dem neuen Netzwerk führen also z.B.:
Netzwerk Subnetmask Next Hop
172.16.16.0 255.255.255.0 172.16.16.50 (IP für VLN 16 am neuen Switch)
Dann erstelle ich im neuen Netzwerk wo ja der zweite Aruba drin ist eine oder mehrere Routen
die dann aus dem 172.16.16.0 in die alten Netzwerke reinzeigt.
Bin lieber ein Befürworter von Reinen Routern oder wenn schon mehrer Netzwerke geroutet
werden sollen dann auch Routing Protokolle zu nutzen. Aber es nützt aktuell nichts ich muß das
jetzt mit dem Hinbekommen was ich hier habe.
Sehe ich das so richtig vom Ansatz her?
)Ich habe den einen neuen Switch in das bestehende Netzwerk eingesetzt. Auf diesem Switch erstelle
ich ein VLAN (z.B. VLAN 16) dem VLAN 16 auf diesem Switch gebe ich eine IP aus dem neuen Netzwerk
z.b. 172.16.16.50 welches nun Zugriff bekommen soll zum bestehenden Netzwerk. Dann erstelle ich
passende Statische Routen die dann zu dem neuen Netzwerk führen also z.B.:
Netzwerk Subnetmask Next Hop
172.16.16.0 255.255.255.0 172.16.16.50 (IP für VLN 16 am neuen Switch)
Dann erstelle ich im neuen Netzwerk wo ja der zweite Aruba drin ist eine oder mehrere Routen
die dann aus dem 172.16.16.0 in die alten Netzwerke reinzeigt.
Bin lieber ein Befürworter von Reinen Routern oder wenn schon mehrer Netzwerke geroutet
werden sollen dann auch Routing Protokolle zu nutzen. Aber es nützt aktuell nichts ich muß das
jetzt mit dem Hinbekommen was ich hier habe.
Sehe ich das so richtig vom Ansatz her?
Auf diesem Switch erstelle ich ein VLAN (z.B. VLAN 16)
Das ist per se richtig aber was ist mit dem VLAN in dem dein Bestandnetzwerk arbeitet?? Dort benötigst du ja logischerweise auch eine Switch IP um überhaupt erstmal grundsätzlich zwischen diesen 2 IP Netzen routen zu können.Wenn du dem Bestandsnetzwerk kein dediziertes VLAN zugewiesen hast, dann nutzt du bzw. dein Switch dafür das Default VLAN 1 und folglich musst du dann dort auch eine Gateway IP im VLAN 1 auf dem Switch setzen.
(Router IP Adressen platziert man als verantwortungsvoller Netzwerk Admin immer an den Anfang oder das Ende seiner verfügbaren IP Netze und nicht irgendwo "mittendrin", damit sie sich niemals mit Endgeräte IPs überschneiden können (IP Doppelung). bei einem 24er Prefix nutzt man also immer die .1 oder .254 oder eben beide wenn man 2 Router betreibt!
Deine Layer 3 Switch IP Konfig sieht dann z.B. so aus.
Switch VLAN 1:
IP Adresse 172.16.1.254 /24
Switch VLAN 16:
IP Adresse 172.16.16.254 /24
Default Route 0.0.0.0/0 auf dem Switch auf den Internet Router nicht vergessen und entsprechend die statische VLAN 16 IP Route auf dem Internet Router. (Siehe Tutorial)
Endgeräte in den beiden VLANs bekommen dann immer diese Switch IPs als ihr Default Gateway in ihren entsprechenden VLANs und fertig ist der Lack! Simpelstes Layer 3 Switching... 😉
Was ist denn an einem so banalen Setup nun so schwer für dich?! 🤔
Wie das dann genau geht mit dem IP Routing erklärt dir dieses Routing Tutorial im Detail!
Hallo @aqui,
Danke schon mal für deine Antwort. Vielleicht kannst Du mir noch einen Tip
geben. Also ich kann aus dem alten Netzwerk heraus das Gateway im neuen
Netzwerk per Ping und trauert erreichen. Doch wenn ich die beiden Server
Versuche zu erreichen per Ping und Tracert dann bekomme ich keine Antworten
Zurück sobald ich über den Routing Switch hinaus bin. Das Gateway dort im
neuen Netzwerk und den Switch erreiche ich aber.
Hast Du eine Idee wo ich da morgen mal schauen sollte?
Achja, wenn ich mich in dem Netzwerk befinde kann ich auf die Server per Ping
und Tracert zugreifen.
Beste Grüße
Danke schon mal für deine Antwort. Vielleicht kannst Du mir noch einen Tip
geben. Also ich kann aus dem alten Netzwerk heraus das Gateway im neuen
Netzwerk per Ping und trauert erreichen. Doch wenn ich die beiden Server
Versuche zu erreichen per Ping und Tracert dann bekomme ich keine Antworten
Zurück sobald ich über den Routing Switch hinaus bin. Das Gateway dort im
neuen Netzwerk und den Switch erreiche ich aber.
Hast Du eine Idee wo ich da morgen mal schauen sollte?
Achja, wenn ich mich in dem Netzwerk befinde kann ich auf die Server per Ping
und Tracert zugreifen.
Beste Grüße
Also ich kann aus dem alten Netzwerk heraus das Gateway im neuen
Netzwerk per Ping und trauert erreichen.Keine Ahnung was das "trauert" sein soll aber vermutlich meinst du Traceroute.
Das ist schon mal gut und zeigt das dein IP Routing grundsätzlich funktioniert.
Doch wenn ich die beiden Server Versuche zu erreichen per Ping und Tracert dann bekomme ich keine Antworten
Sind das Winblows Rechner??Wenn ja ist dir als kundiger Admin mit Schwerpunkt Windows ja auch klar das die lokale Winblows Firewall per Default immer ICMP (Ping) blockiert!! Das musst du in der Firewall erst zulassen damit es klappt.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Zusätzlich blockt die lokale Windows Firewall grundsätzlich Traffic der aus fremden IP Netzen kommt. Nur Traffic aus dem lokalen LAN lässt sie passieren.
Auch das musst du für die Dienste bzw. Ports die die Server bereitstellen auch anpassen.
wenn ich mich in dem Netzwerk befinde kann ich auf die Server per Ping und Tracert zugreifen.
Mit anderen Worten die Winblows Firewall tut was sie soll! 
Du hast also de facto kein Routing Problem mehr sondern ein Winblows Problem...
Hallo @aqui,
danke für deine Antworten. Also ich habe auf die Windowsfirewall geschaut dort scheint aber soweit alles
ok zu sein. Also ICMP ist erlaubt aus allen Netzwerken. Aktuell denke ich das die Sophos wohl da irgendwie
noch ein Problem macht. Denn wenn ich aus dem alten Netzwerk (ohne aktivierte VPN) einen der Server
anpinge dann sehe ich im Protokoll der Sophos das sie die Rückantwort zu mir Blockiert. Frage mich halt aktuell
warum sie das macht.
danke für deine Antworten. Also ich habe auf die Windowsfirewall geschaut dort scheint aber soweit alles
ok zu sein. Also ICMP ist erlaubt aus allen Netzwerken. Aktuell denke ich das die Sophos wohl da irgendwie
noch ein Problem macht. Denn wenn ich aus dem alten Netzwerk (ohne aktivierte VPN) einen der Server
anpinge dann sehe ich im Protokoll der Sophos das sie die Rückantwort zu mir Blockiert. Frage mich halt aktuell
warum sie das macht.
Aktuell denke ich das die Sophos wohl da irgendwie noch ein Problem macht.
Jepp, nach deinem Fehlerbild ist das die Problematik. Also nicht mehr das Routing an sich.Allerdings fragt man sich wieso Traffic der direkt über einen L3 Switch geht irgendwie an der Sophos ankommt.
Gut, was natürlich sein kann ist das dein Traffic aus dem Originalnetz die Sophos als Default Gateway hat und du auf der Sophos dann eine statische Route auf den Switch gesetzt hast.
Da lauern aber 2 Dinge die vermutlich vergessen wurden anzupassen
- Die Firewall muss entsprechend gesetzt sein das sie lokal gerouteten Traffic nicht anfasst sondern rein nur weiterroutet. Bei OPNsense oder pfSense Firewall ist das als Beispiel hier:
- Im Default blockt die Sophos auch ICMP und damit ICMP Redirects. Die Sophos sollte einen ICMP Redirect an den Client im Originalnetz schicken das der dann seinen Traffic direkt an das Switch Interface schickt und nicht mehr alles als sinnloser "Durchlauferhitzer" über die Firewall rennt.
Passe das entsprechend an, dann rennt das auch wie es soll!
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Hallo Sorry das ich mich erst jetzt zurück melde. Doch das problem wurde gelöst,
der Layer 3 Switch wurde ein Layer 2 Switch und auf den Firewalls wurde für die VPN
Einwahl eine Regel erstellt die NAT macht so das jeder der sich über das Remote VPN
einwählt auch in alle anderen Netzwerke kommen kann.
der Layer 3 Switch wurde ein Layer 2 Switch und auf den Firewalls wurde für die VPN
Einwahl eine Regel erstellt die NAT macht so das jeder der sich über das Remote VPN
einwählt auch in alle anderen Netzwerke kommen kann.
