11
Routing VLAN HP 1920 - Fritzbox 7490
Hallo,
momentan versuche ich folgendes zu realisieren und stehe gerade aufm schlauch...
Ausgangssituation
1. VLAN1 192.168.15.0/24 Gateway/Fritzbox 192.168.15.1 Switch 192.168.15.254 (Port1) DHCP 192.168.15.32 (2012R2)
2. VLAN33 192.168.33.0/24 192.168.33.254 (Port 2-10)
3. VLAN145 192.168.145.0/24 192.168.145.254 (port 11-18)
4. VLAN245 192.168.245.0/24 192.168.245.254 (port 19-24)
Route Switch (HP1920)
0.0.0.0 0.0.0.0 192.168.15.1
Routen Fritzbox
192.168.33.0 255.255.255.0 192.168.15.254
192.168.145.0 255.255.255.0 192.168.15.254
192.168.245.0 255.255.255.0 192.168.15.254
Die Segmente sind im DHCP-Server konfiguriert und der DHCP-Realay ist aktiviert und für die Vlans eingerichtet
Vom Switch aus kann ich alle VLAN´s anpingen, vom Server 192.168.15.35, auf dem auch der DHCP läuft, kann ich gar nix anpingen außer dem 192.168.15.254. Port 1 ist mit allen VLAN´s getaggt, da dies ja der Uplink ins Internet ist. Warum kann ich nüx anpingen!? Hab ich das mit dem Tagging/Untagging evt. falsch gemacht? Darf der Server nicht am Switch des Routers/Fritzbox hängen? Wenn ich mit manueller IP 192.168.33.15 auf den Switch gehe, kann ich zwar mein Gateway des VLAN´s anpingen, mehr aber auch nicht. Kein Internet. Danke für Eure Unterstützung!
momentan versuche ich folgendes zu realisieren und stehe gerade aufm schlauch...
Ausgangssituation
1. VLAN1 192.168.15.0/24 Gateway/Fritzbox 192.168.15.1 Switch 192.168.15.254 (Port1) DHCP 192.168.15.32 (2012R2)
2. VLAN33 192.168.33.0/24 192.168.33.254 (Port 2-10)
3. VLAN145 192.168.145.0/24 192.168.145.254 (port 11-18)
4. VLAN245 192.168.245.0/24 192.168.245.254 (port 19-24)
Route Switch (HP1920)
0.0.0.0 0.0.0.0 192.168.15.1
Routen Fritzbox
192.168.33.0 255.255.255.0 192.168.15.254
192.168.145.0 255.255.255.0 192.168.15.254
192.168.245.0 255.255.255.0 192.168.15.254
Die Segmente sind im DHCP-Server konfiguriert und der DHCP-Realay ist aktiviert und für die Vlans eingerichtet
Vom Switch aus kann ich alle VLAN´s anpingen, vom Server 192.168.15.35, auf dem auch der DHCP läuft, kann ich gar nix anpingen außer dem 192.168.15.254. Port 1 ist mit allen VLAN´s getaggt, da dies ja der Uplink ins Internet ist. Warum kann ich nüx anpingen!? Hab ich das mit dem Tagging/Untagging evt. falsch gemacht? Darf der Server nicht am Switch des Routers/Fritzbox hängen? Wenn ich mit manueller IP 192.168.33.15 auf den Switch gehe, kann ich zwar mein Gateway des VLAN´s anpingen, mehr aber auch nicht. Kein Internet. Danke für Eure Unterstützung!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317597
Url: https://administrator.de/contentid/317597
Ausgedruckt am: 15.11.2024 um 23:11 Uhr
11 Kommentare
Neuester Kommentar
Port 1 ist mit allen VLAN´s getaggt, da dies ja der Uplink ins Internet ist.
Das ist natürlich völliger Blödsinn, denn am Port 1 ist ja gar nichts angeschlossen was ein VLAN Tagging versteht !Kein Wunder das da nix geht.
Die FritzBox kann ja kein Tagging.
Nimm das raus und belasse alle Ports untagged auch dein Port 1 und dann kommt das sofort zum Fliegen.
Ansonsten hast du aber alles richtig gemacht.
Nur was tagged Uplinks sind und was nicht solltest du wohl besser nochmal nachlesen
Den Server kannst du natürlich auch an den embedded Switch der FritzBox hängen wenn er im VLAN 1 arbeitet.
Allerdings gibt es da gravierende Nachteile:
- Jegliche Endgeräte in den VLANs quälen sich jetzt über den einzelnen Link zum Server und wieder zurück der die HP Gurke mit dem Server an der FB verbindet. Das ist aus Performancesicht logischerweise ziemlich kontraproduktiv und es wäre erheblich besser den Server an einem Port direkt am HP Switch anzuklemmen
- Desweiteren solltest du das Koppel VLAN das dein segmentiertes netz mit der FB verbindet niemals mit produktiven Geräten bestücken. Schon gar nicht mit einem Server !
So hast du den WAN / Internet Port sauber getrennt vom internen, produktiven LAN. Zusätzlich könntest du sogar noch Accesslisten auf dem Switch konfigurieren um granularer zu Reglementieren zw. den VLANs und Internet. Natürlich nur sofern die HP Billiggurke sowas überhaupt supportet ?!
Letztlich natürlich alles simple Binsenweisheiten bei LAN Segmentierungen die heute jeder Azubi kennt und du vermutlich auch. Hoffentlich...?!
Hi,
erstmal hat Aqui recht und außerdem würd ich mal behaupten, dass dein Routing nicht richtig konfiguriert ist.
Wie sieht denn dein Routing auf dem Server aus? Hast du die Fritzbox oder den Switch als GW angebeben oder ein Mischkonstukt?
Ist VLAN Routing auf dem Switch aktiv?
Hast du port 1 als Hybrid- oder Trunk-Port konfiguriert?
Kennt deine Fritzbox die Routen in die anderen VLANs?
Am besten postest du mal deine Konfig.
LG
erstmal hat Aqui recht und außerdem würd ich mal behaupten, dass dein Routing nicht richtig konfiguriert ist.
Wie sieht denn dein Routing auf dem Server aus? Hast du die Fritzbox oder den Switch als GW angebeben oder ein Mischkonstukt?
Ist VLAN Routing auf dem Switch aktiv?
Hast du port 1 als Hybrid- oder Trunk-Port konfiguriert?
Kennt deine Fritzbox die Routen in die anderen VLANs?
Am besten postest du mal deine Konfig.
LG
Der Server und alle Clients in den VLANs brauchen kein Routing sondern lediglich ein Default gateway was auf die jeweilige Switch IP im entsprechenden VLAN zeigt. Der Switch arbeitet ja im L3 Mode als Router und routet so zwischen den VLANs.
Der Switch selber bekommt dann schlicht und einfach eine Default Route auf die FB.
Die FB selber dann eine Summary Route auf die VLAN IP Range oder eben Einzelrouten wie der TO es oben gemacht hat.
Das sieht aber so aus als ob der TO hier vorbildlich alles richtig gemacht hat. Jedenfalls hat er es in der Schilderung ja erwähnt !!
Der Knackpunkt ist sein VLAN Tagging an Port 1.
Wenn an Port 1 natürlich der Server oder die FB angeschlossen sind können die herzlich wenig mit 802.1q VLAN Tags in den Paketen anfangen da sie ja selber nur untagged Frames auf ihren Ports akzeptieren. Sie schmeissen die Tagged Frames schlicht und einfach als Fehler weg mit dem Ergebnis was der TO oben sieht...keine Connectivity !
Der Switch selber bekommt dann schlicht und einfach eine Default Route auf die FB.
Die FB selber dann eine Summary Route auf die VLAN IP Range oder eben Einzelrouten wie der TO es oben gemacht hat.
Das sieht aber so aus als ob der TO hier vorbildlich alles richtig gemacht hat. Jedenfalls hat er es in der Schilderung ja erwähnt !!
Der Knackpunkt ist sein VLAN Tagging an Port 1.
Wenn an Port 1 natürlich der Server oder die FB angeschlossen sind können die herzlich wenig mit 802.1q VLAN Tags in den Paketen anfangen da sie ja selber nur untagged Frames auf ihren Ports akzeptieren. Sie schmeissen die Tagged Frames schlicht und einfach als Fehler weg mit dem Ergebnis was der TO oben sieht...keine Connectivity !
Ja wer lesen kann ist klar im Vorteil, schande über mich, hab die Routen dezent übersprungen.
Mit dem Rest hast du natürlich recht.
LG
Mit dem Rest hast du natürlich recht.
LG
Super, vielen Dank! Ich sag ja isch stand aufm schlauch 
Hab es so wie beschrieben gemacht und dann noch den Ports den jeweiligen VLAN´s zugeordnet. Zusätzlich habe ich wie von Dope beschrieben den Port/UP-Link zum Router als Trunk makiert und nun läuft alles so wie ich es mir vorgestellt habe. Jeder Client erhält die korrekte IP passend zum VLAN und hat Zugang zum Internet. Über die Accesslisten werde ich dann den Zugriff zwischen den VLANs unterbinden. Super-Vielen Dank für die Hinweise Jetzt kann ich wieder beruhigt schlafen
Grundsätzlich finde ich bietet der 1920 für den Preis einen ordentlichen Funktionsumfang und vom Handling her ist es auch okay. Nun muss er sich nur noch in der Praxis bewähren.
Hab es so wie beschrieben gemacht und dann noch den Ports den jeweiligen VLAN´s zugeordnet. Zusätzlich habe ich wie von Dope beschrieben den Port/UP-Link zum Router als Trunk makiert und nun läuft alles so wie ich es mir vorgestellt habe. Jeder Client erhält die korrekte IP passend zum VLAN und hat Zugang zum Internet. Über die Accesslisten werde ich dann den Zugriff zwischen den VLANs unterbinden. Super-Vielen Dank für die Hinweise Jetzt kann ich wieder beruhigt schlafen Grundsätzlich finde ich bietet der 1920 für den Preis einen ordentlichen Funktionsumfang und vom Handling her ist es auch okay. Nun muss er sich nur noch in der Praxis bewähren.
Hi,
super das es nun funktioniert!
Da hast du mich zwar falsch verstanden, den Port zur Fritzbox kannst du einfach als access-port mit pvid 1 konfigurieren. Den Link als Trunk zu konfigurieren erfüllt allerdings auch seinen Zweck, weil im Trunk-Mode das Default VLAN ungetaggt übergeben wird. Um die Konfiguration noch sauber zu machen würde ich an deiner Stelle noch den Port auf Access-port ändern.
LG
super das es nun funktioniert!
Da hast du mich zwar falsch verstanden, den Port zur Fritzbox kannst du einfach als access-port mit pvid 1 konfigurieren. Den Link als Trunk zu konfigurieren erfüllt allerdings auch seinen Zweck, weil im Trunk-Mode das Default VLAN ungetaggt übergeben wird. Um die Konfiguration noch sauber zu machen würde ich an deiner Stelle noch den Port auf Access-port ändern.
LG
wie von Dope beschrieben den Port/UP-Link zum Router als Trunk makiert
Sorry aber das ist totaler Quatsch !Auch egal ob du jetzt einen "Trunk" als Link Aggregation siehst, sprich das Bündeln mehrere paralleler Links um die Bandbreite zu erhalten. Oder..
einen "Trunk" als tagged Uplink bezeichnest.
Deine FritzBox supportet weder eine Link Aggregation noch ein VLAN Tagging an seinen LAN Ports.
In folge dessen ist es völliger Unsinn den Port als Trunk zu klassifizieren. Das zeigt eher das deine Switch Konfig an dem Port falsch ist sollte es dennoch gehen.
Die FB versteht dort rein nur untagged Traffic also definitiv kein Trunking.
Die HP Billiggurken sind eher übel. Sowohl von der Performance als auch von der Konfig her. Andere können das weitaus besser.
Aber was erwartet man auch von einem Hersteller dessen Kernkompetenz bei Druckern, Laptops und Servern liegen..?!
Hi,
Wenn ich dich da mal zitieren dürfte: "Auf einem Cisco Trunk Port (wobei hier "Trunk" in Cisco Sprech ein einfacher Tagged Uplink ist, weil der Rest der Netzwerkwelt darunter einen Link Aggreagation Port versteht !) also auf einem Cisco Trunk wird das native VLAN, sprich das Default VLAN (In der Regel VLAN 1) immer untagged übertragen !"
Sieht bei HP siehts genauso aus, daher funktioniert es auch mit dieser etwas unsinnigen Konfiguration.
HP nennt mitlerweile seine tagged Uplink Ports auch Trunks und nennt ihre Interfacebündel nun endlich auch Link-Aggregation
LG
In folge dessen ist es völliger Unsinn den Port als Trunk zu klassifizieren. Das zeigt eher das deine Switch Konfig an dem Port falsch ist sollte es dennoch gehen.
Wenn ich dich da mal zitieren dürfte: "Auf einem Cisco Trunk Port (wobei hier "Trunk" in Cisco Sprech ein einfacher Tagged Uplink ist, weil der Rest der Netzwerkwelt darunter einen Link Aggreagation Port versteht !) also auf einem Cisco Trunk wird das native VLAN, sprich das Default VLAN (In der Regel VLAN 1) immer untagged übertragen !"
Sieht bei HP siehts genauso aus, daher funktioniert es auch mit dieser etwas unsinnigen Konfiguration.
HP nennt mitlerweile seine tagged Uplink Ports auch Trunks und nennt ihre Interfacebündel nun endlich auch Link-Aggregation
LG
wird das native VLAN, sprich das Default VLAN (In der Regel VLAN 1) immer untagged übertragen !"
Das darfst du natürlich gerne zitieren. Aber genau das ist es ja. Den Port als Trunk zu definieren ist völliger Quatsch, denn das überträgt ja die VLANs zusätzlich tagged auf dem Port und diesen unsinnigen Traffic muss die FB dann unnotig droppen muss was sie belastet.
Dadurch das das Default VLAN 1 durchgeht funktioniert es natürlich. Konfigtechnisch ist es aber Blödsinn.
Es würde reichen den Port normal als untagged Port ins VLAN 1 zu hängen.
Der TO muss nirgends mit tagged oder Trunk Ports arbeiten weil er gar keine Endgeräte hat die das supporten oder erkennen können.
Aber wir sind ja einer Meinung das die Konfig des TOs unsinnig ist
Na ja, sie können halt besser Drucker bauen als Netzwerk...
Das ich nicht über solche Endgeräte verfüge ist erst mal ja nur ne Behauptung Das die FB das nicht kann ist klar. Ich werde also den Trunk rausnehmen und den Port ins VLAN1 hängen. Was wäre den die alternative im Preisegment bis 350 € gewesen?
Das die FB das nicht kann ist klar. Ich werde also den Trunk rausnehmen und den Port ins VLAN1 hängen. Was wäre den die alternative im Preisegment bis 350 € gewesen?
Cisco SG-200 oder 300
