Routing zwischen 2 VLANS
Hey Leute,
kurz für den Überblick:
Ich hab in meinem Netzwerk einen L2 Switch an dem alle Clients und die Internetverbindung steckt. (192.168.1.0/24)
nun hab ich am Switch zusätzlich noch einen L3 Switch angesteckt und ein zusätzliches VLAN konfiguriert 192.168.10.0/24)
Soweit klappt das auch und die Netze sind voneinader getrennt etc.
Wenn ich nun einem Gerät im VLAN 2 die IP 192.168.10.x gebe kann ich das Gerät von VLAN 1 nicht erreichen und umgekehrt genauso wenig.
Habe soweit alles konfiguriert, die Route hat mein SG300 ja automatisch gesetzt. Trotzdem funktioniert es einfach nicht.
Habt ihr vielleicht ein paar Tipps woran das liegen könnte?
kurz für den Überblick:
Ich hab in meinem Netzwerk einen L2 Switch an dem alle Clients und die Internetverbindung steckt. (192.168.1.0/24)
nun hab ich am Switch zusätzlich noch einen L3 Switch angesteckt und ein zusätzliches VLAN konfiguriert 192.168.10.0/24)
Soweit klappt das auch und die Netze sind voneinader getrennt etc.
Wenn ich nun einem Gerät im VLAN 2 die IP 192.168.10.x gebe kann ich das Gerät von VLAN 1 nicht erreichen und umgekehrt genauso wenig.
Habe soweit alles konfiguriert, die Route hat mein SG300 ja automatisch gesetzt. Trotzdem funktioniert es einfach nicht.
Habt ihr vielleicht ein paar Tipps woran das liegen könnte?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384341
Url: https://administrator.de/contentid/384341
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
20 Kommentare
Neuester Kommentar
An einem fehlenden Router der zwischen diesen VLANS routet. Anscheinend kann das Dein Switch nicht. Es gibt nämlich L2-Switches, die zwar VLAN können, aber nicht routen und L3-Switches, die Routen und VLANS können. Alelrdings könne ncith alle L3-Switches wirklich routen. Ob Dein Cisco das kann weiß ich nicht, sollte aber im Handbuch stehen.
Ein kleiner Microtik hAP oder hEX (gibt es schon ab 20€) hilft da ungemein.
lks
Hi,
die Clients haben den L3 Switch als default Gateway?
Sind ACLs auf dem Switch gesetzt?
Windows Firewall ggf. berücksichtigt?
Edit:
Er hat doch geschrieben, dass er ein L2 und ein L3 Switch besitzt.
Ich gehe davon aus, dass er Inter-Vlan-Routing korrekt auf dem L3 Switch konfiguriert hat.
Daher vermute ich den Fehler eher bei der Route oder bei der Firewall.
Viele Grüße,
Exception
Habe soweit alles konfiguriert, die Route hat mein SG300 ja automatisch gesetzt.
die Clients haben den L3 Switch als default Gateway?
Sind ACLs auf dem Switch gesetzt?
Windows Firewall ggf. berücksichtigt?
Edit:
An einem fehlenden Router der zwischen diesen VLANS routet. Offensichtlich kann das Dein switch nicht. Es gibt nämlich L2-switches, die zwar VLAN können, aber ncith routen udn L3-switches, die Routen und VLANS können.
Er hat doch geschrieben, dass er ein L2 und ein L3 Switch besitzt.
Ich gehe davon aus, dass er Inter-Vlan-Routing korrekt auf dem L3 Switch konfiguriert hat.
Daher vermute ich den Fehler eher bei der Route oder bei der Firewall.
Viele Grüße,
Exception
Zitat von @129580:
Er hat doch geschrieben, dass er ein L2 und ein L3 Switch besitzt.
Er hat doch geschrieben, dass er ein L2 und ein L3 Switch besitzt.
Nicht jeder L3 kann routen.
Ich gehe davon aus, dass er Inter-Vlan-Routing korrekt auf dem L3 Switch konfiguriert hat.
zur Not nochmal hier
https://community.cisco.com/t5/small-business-switches/cisco-sg300-10-ho ...
reinschauen.
lks
Moin,
Nur weil du deinem Endgerät eine andere IP gibst, ist dieser nicht automatisch einem anderen VLAN zugeordnet.
Du musst beide Switche verbinden und dabei die Ports auf beiden Seiten als Trunk (im Cisco-Umfeld Trunk= Port zum übertragen mehrerer VLAN IDs) definieren und VLAN 2 dort als Tagged deklarieren. Dann alle Ports, deren Endgeräte sich im VLAN1 befinden sollen auf untagged setzen, selbiges für die VLAN2 Geräte.
Was du gemacht hast wäre so, als wenn du Maurer und Putzfrauen trennst, jetzt einem Maurer sagst, er sei Putzmann und solle sich mit seinen Kolleginnen abstimmen, ihm aber nicht die Möglichkeit gibst, zu den Frauen zu gehen. Er sieht weiterhin nur Maurer und ist einsam auf weiter Flure...
Gruß
em-pie
Wenn ich nun einem Gerät im VLAN 2 die IP 192.168.10.x gebe kann ich das Gerät von VLAN 1 nicht erreichen und umgekehrt genauso wenig.
Nur weil du deinem Endgerät eine andere IP gibst, ist dieser nicht automatisch einem anderen VLAN zugeordnet.
Du musst beide Switche verbinden und dabei die Ports auf beiden Seiten als Trunk (im Cisco-Umfeld Trunk= Port zum übertragen mehrerer VLAN IDs) definieren und VLAN 2 dort als Tagged deklarieren. Dann alle Ports, deren Endgeräte sich im VLAN1 befinden sollen auf untagged setzen, selbiges für die VLAN2 Geräte.
Was du gemacht hast wäre so, als wenn du Maurer und Putzfrauen trennst, jetzt einem Maurer sagst, er sei Putzmann und solle sich mit seinen Kolleginnen abstimmen, ihm aber nicht die Möglichkeit gibst, zu den Frauen zu gehen. Er sieht weiterhin nur Maurer und ist einsam auf weiter Flure...
Gruß
em-pie
Das liegt daran, weil sich dein Gerät in VLAN 1 befindet, du aber den Endgerät eine IP aus VLAN2 vergeben hast.
Wenn das so einfach wäre, bräuchte die Welt keine VLANs.
Stell dir vor, du hast ein VLAN (ID=111) für die ganzen Maschinensteuerungen und parallel ein VLAN (ID=211) für ein Gästenetz. Der Gast kennt seine IP (192.168.211.100) und leitet sich dann ein Schema ab: anstatt der 211.100 setzt er sich die 111.99 und ich dann im Netz der Steuerungen?
Nené...
Wenn dein Client aus VLAN1 ins VLAN2 soll, muss du a) die IP am Endgerät ändern und b) den Switchport von untagged VLAN1 auf untagged VLAN2 setzen, sonst wird das nichts...
Wenn das so einfach wäre, bräuchte die Welt keine VLANs.
Stell dir vor, du hast ein VLAN (ID=111) für die ganzen Maschinensteuerungen und parallel ein VLAN (ID=211) für ein Gästenetz. Der Gast kennt seine IP (192.168.211.100) und leitet sich dann ein Schema ab: anstatt der 211.100 setzt er sich die 111.99 und ich dann im Netz der Steuerungen?
Nené...
Wenn dein Client aus VLAN1 ins VLAN2 soll, muss du a) die IP am Endgerät ändern und b) den Switchport von untagged VLAN1 auf untagged VLAN2 setzen, sonst wird das nichts...
Das kann, wie oben schon vermutet, nur an einer falschen bzw. fehlerhaften IP Adressierung der Endgeräte liegen.
So sollte es als Beispiel aussehen:
VLAN 1:
Netzwerk: 192.168.1.0 /24
SG-300 IP in VLAN 1: 192.168.1.254
Endgerät in VLAN 1 IP: 192.168.1.100
Endgerät Gateway IP: 192.168.1.254 (IP SG-300)
VLAN 2:
Netzwerk: 192.168.10.0 /24
SG-300 IP in VLAN 1: 192.168.10.254
Endgerät in VLAN 1 IP: 192.168.10.100
Endgerät Gateway IP: 192.168.10.254 (IP SG-300)
Beim Ping und Zugriff zweier Winblows Clients muss man ggf. die lokale Windows Firewall anpassen, denn die blockt in der Regel ICMP generell und den Zugriff mit Absender IPs aus fremden IP Netzen !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Die beiden Uplinks die die beiden Switches verbinden müssen Tagged sein (außer das default VLAN natürlich)
Ob die VLANs auf beiden Switches sich gegenseitig "sehen" kann man sehr einfach testen indem sich 2 Geräte im gleichen VLAN (gleiche VLAN IP Netzadresse) pingen können !
Wie man den SG300 in einer geroutetn VLAN Umgebung korrekt mit einem Internet Router verheiratet erklärt dir dieser Thread:
Verständnissproblem Routing mit SG300-28
So sollte es als Beispiel aussehen:
VLAN 1:
Netzwerk: 192.168.1.0 /24
SG-300 IP in VLAN 1: 192.168.1.254
Endgerät in VLAN 1 IP: 192.168.1.100
Endgerät Gateway IP: 192.168.1.254 (IP SG-300)
VLAN 2:
Netzwerk: 192.168.10.0 /24
SG-300 IP in VLAN 1: 192.168.10.254
Endgerät in VLAN 1 IP: 192.168.10.100
Endgerät Gateway IP: 192.168.10.254 (IP SG-300)
Beim Ping und Zugriff zweier Winblows Clients muss man ggf. die lokale Windows Firewall anpassen, denn die blockt in der Regel ICMP generell und den Zugriff mit Absender IPs aus fremden IP Netzen !
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Die beiden Uplinks die die beiden Switches verbinden müssen Tagged sein (außer das default VLAN natürlich)
Ob die VLANs auf beiden Switches sich gegenseitig "sehen" kann man sehr einfach testen indem sich 2 Geräte im gleichen VLAN (gleiche VLAN IP Netzadresse) pingen können !
Wie man den SG300 in einer geroutetn VLAN Umgebung korrekt mit einem Internet Router verheiratet erklärt dir dieser Thread:
Verständnissproblem Routing mit SG300-28
Richtig. Ich kann die Router IP vom anderen VLAN vom DHCP aus nicht Lingen.
Jetzt blöd gefragt. Wenn ich kein Router Interface für VLAN 10 bspw. habe, in dem aber mein DHCP steckt . Und für VLAN 20 ein Router Interface genutzt wird, wie verschaffe ich dann denen einen Kommunikationswege?
Die VLAN10 Clients und Server haben als Standard Gateway den MPLS Router hinterlegt.
Die VLAN 20 Client die Router IP vom Core.
Jetzt blöd gefragt. Wenn ich kein Router Interface für VLAN 10 bspw. habe, in dem aber mein DHCP steckt . Und für VLAN 20 ein Router Interface genutzt wird, wie verschaffe ich dann denen einen Kommunikationswege?
Die VLAN10 Clients und Server haben als Standard Gateway den MPLS Router hinterlegt.
Die VLAN 20 Client die Router IP vom Core.
Was ist den Lingen ??
Ist doch logisch. VLANs sind in sich vollkommen isolierte netzwerk Segmente ! Wie willst du ohne einen Router mit solchen Segmenten kommunizieren ?? Geht niemals...
Du muss wenigstens ein Router Bein in dem Segment haben wenn du da irgendwie raus willst oder musst.
Ob das ein L3 Routerbein des Switches selber ist oder ein externes ist dabei völlig Wumpe...
Sowas lernt der Netzwerk Admin aber auch schon in der Routing Grundschule erste Klasse !
Aber das kannst du ganz einfach fixen:
Rufe den Dienstleister an und bitte ihn eine simple statische Route einzutargen, dann klappt das doch sofort !
wie verschaffe ich dann denen einen Kommunikationswege?
Das geht dann nur über einen externen Router. Raspberry Pi, Mikrotik oder was auch immer.Ist doch logisch. VLANs sind in sich vollkommen isolierte netzwerk Segmente ! Wie willst du ohne einen Router mit solchen Segmenten kommunizieren ?? Geht niemals...
Du muss wenigstens ein Router Bein in dem Segment haben wenn du da irgendwie raus willst oder musst.
Ob das ein L3 Routerbein des Switches selber ist oder ein externes ist dabei völlig Wumpe...
Sowas lernt der Netzwerk Admin aber auch schon in der Routing Grundschule erste Klasse !
Die VLAN10 Clients und Server haben als Standard Gateway den MPLS Router hinterlegt.
Sowas ist natürlich krank und machen nur Dummies. Man legt doch niemals Gateway IPs auf Geräte die man nicht selber managen kann. Sorry.Aber das kannst du ganz einfach fixen:
Rufe den Dienstleister an und bitte ihn eine simple statische Route einzutargen, dann klappt das doch sofort !
Was ist den Lingen ??
Ich meinte natürlich pingen - Autokorrektur.Du muss wenigstens ein Router Bein in dem Segment haben wenn du da irgendwie raus willst oder musst.
Ob das ein L3 Routerbein des Switches selber ist oder ein externes ist dabei völlig Wumpe...
Sowas lernt der Netzwerk Admin aber auch schon in der Routing Grundschule erste Klasse !
Ob das ein L3 Routerbein des Switches selber ist oder ein externes ist dabei völlig Wumpe...
Sowas lernt der Netzwerk Admin aber auch schon in der Routing Grundschule erste Klasse !
Ja das ist mir schon klar. Ich habe mich im Eifer des Gefechts nur nicht richtig ausgedrückt.
Der Client im VLAN 20 kann den DHCP Server im VLAN10 pingen, andersherum genauso.
Sowas ist natürlich krank und machen nur Dummies. Man legt doch niemals Gateway IPs auf Geräte die man nicht selber managen kann. Sorry.
Das ist mir bewusst, deshalb möchte ich das ändern.Aber wie Du selbst weißt, kann man selten von heute auf morgen ein ganzes größeres Netz segmentieren.
Ich habe im ersten Schritt das "alte Netz" erst einmal in ein "temporäres" VLAN gepackt und werde nach und nach das Ganze in einem neuen Netz aufbauen, dann natürlich ALLES geroutet auf dem Core Switch und nur Internet Traffic rüber zum MPLS.
Aber das kannst du ganz einfach fixen:
Rufe den Dienstleister an und bitte ihn eine simple statische Route einzutargen, dann klappt das doch sofort !
Wieso statische Route? Das zweite Transfernetz auf dem MPLS ist ja mit dem VLAN TAG 20 versehen und hat ne /24 Subnetzmaske.Rufe den Dienstleister an und bitte ihn eine simple statische Route einzutargen, dann klappt das doch sofort !
Da benötige ich doch keine statische Route vom MPLS zum Core?
Auf dem Core hab ich nur eine: 0.0.0.0 0.0.0.0 10.10.0.254, die dann zum MPLS führt.
Jetzt aber nochmals zum DHCP.
Ich kann von meinem Client wenn ich ne feste IP vergebe, alles einwandfrei pingen, inkl. dem DHCP im anderen VLAN..
Andersherum genauso, vom DHCP lässt sich der Client im anderen VLAN pingen.
Die IP Helper Adresse ist auf dem Core hinterlegt.
Firewall ist auf dem Windows Server deaktiviert.
Wieso bekommt der Client aber dennoch keine IP? Kann es sein, dass mir der MPLS Router da einen Strich durch die Rechnung macht?
Schließlich geht die Anfrage vom Client zum Core, der tauscht die IP mit der IP Helper Address aus, leitet das ganze dann zum MPLS Router, der routet das dann in das bei ihm anliegende VLAN und dann geht das Ganze von da aus theoretisch zum DHCP.
Ich werde wohl morgen mal mit Wireshark prüfen müssen, wo die Pakete landen.
Sonst noch Ideen?
Ich habe im ersten Schritt das "alte Netz" erst einmal in ein "temporäres" VLAN gepackt
Diese Vorgehensweise ist auch absolut richtig ! Du bist auf einem guten und auch richtigen Weg. Der Provider Router ist lediglich das Gateway in die Peripherie und darf niemals eigene Gateway Adressen beherbergen. Damit wird ein geroutetes Netz unmanagebar und damit sehr anfällig für Störungen. Gut, weisst du alles und bist auf dem richtigen Weg das zu fixen...Jetzt aber nochmals zum DHCP.
OK...Ich kann von meinem Client wenn ich ne feste IP vergebe, alles einwandfrei pingen, inkl. dem DHCP im anderen VLAN..
Das ist sehr gut ! Zeigt das es zwischen dem neuen VLAN und dem DHCP Server dann eine IP Verbindung gibt. Soweit so gut...Viel wichtiger ist aber ob due die VLAN IP Adresse des Switches in dem der Client ist vom DHCP Server pingen kannst !!!
Die ist wichtig weil die Helper Funktion diese IP als Absender IP zum DHCP Server nutzt. (siehe oben !) Das sollte also auch wasserdicht klappen.
Wieso bekommt der Client aber dennoch keine IP?
Das ist schwer zu sagen. Wenn du vom DHCP wie gefordert die Switch VLAN IP des Client Segmentes pingen kannst ist das Netz selber nicht mehr die Ursache.Sehr wahrscheinlich hast du vergessen im DHCP Server einen richtigen Adress Scope für dein neues VLAN zu definieren ?? Kann das sein ?
Ansonsten ist es ganz einfach:
Checke mit dem Wireshark oder tcpdump ob die vom Helper geforwardeten DHCP Pakete überhaupt beim DHCP Server ankommen und ob dieser drauf antwortet !!
ch werde wohl morgen mal mit Wireshark prüfen müssen, wo die Pakete landen.
Bingo !Das ist der sicherste Weg !
Guten Morgen,
@aqui du bist Samstags hier aber auch schon früh unterwegs ;)
Das funktioniert auch, gestern noch getestet.
Angelegt habe ich den Scope, prüfe ich später aber nochmals..
Mache ich später und melde mich dann nochmal!
@aqui du bist Samstags hier aber auch schon früh unterwegs ;)
Viel wichtiger ist aber ob due die VLAN IP Adresse des Switches in dem der Client ist vom DHCP Server pingen kannst !!!
Die ist wichtig weil die Helper Funktion diese IP als Absender IP zum DHCP Server nutzt. (siehe oben !) Das sollte also auch wasserdicht klappen.
Die ist wichtig weil die Helper Funktion diese IP als Absender IP zum DHCP Server nutzt. (siehe oben !) Das sollte also auch wasserdicht klappen.
Das funktioniert auch, gestern noch getestet.
Sehr wahrscheinlich hast du vergessen im DHCP Server einen richtigen Adress Scope für dein neues VLAN zu definieren ?? Kann das sein ?
Angelegt habe ich den Scope, prüfe ich später aber nochmals..
Checke mit dem Wireshark oder tcpdump ob die vom Helper geforwardeten DHCP Pakete überhaupt beim DHCP Server ankommen und ob dieser drauf antwortet !!
Mache ich später und melde mich dann nochmal!
Scope überprüft , sieht alles korrekt aus.
Mit Wireshark geprüft.
Das einzige was ich sehe ist ein DHCP Discover von 0.0.0.0 an 255.255.255.255
Mehr nicht.
Habe dann mal auf dem Core für das VLAN in dem der DHCP drin hängt (Gateway war da ja bisher der MPLS) ein Interface hinzugefügt. Habe dann eine Router IP für das VLAN festgelegt und die dann als Standardgateway beim DHCP eingetragen und siehe da, es funktioniert - mein Client bekommt eine IP.
Zwei Fragen:
1) Warum funktioniert es dann nicht wenn mein DHCP als Standardgateway den MPLS Router hat, der aber auch ins andere VLAN routet und ich vom DHCP ja das VLAN Router Interface wo der Client drin hängt pingen kann und andersherum genauso?
2) komme ich da in Schwierigkeiten wenn ich für das eine VLAN wo der Server drin hängt das Standardgateway auf der Router IP belasse und nicht zurück ändere auf die MPLS router IP? Weil ja dann quasi zwei Router das gleiche Netz Routen würden was in meinen Augen völliger Käse ist und höchstwahrscheinlich auch zu Problemen führt?
Mit Wireshark geprüft.
Das einzige was ich sehe ist ein DHCP Discover von 0.0.0.0 an 255.255.255.255
Mehr nicht.
Habe dann mal auf dem Core für das VLAN in dem der DHCP drin hängt (Gateway war da ja bisher der MPLS) ein Interface hinzugefügt. Habe dann eine Router IP für das VLAN festgelegt und die dann als Standardgateway beim DHCP eingetragen und siehe da, es funktioniert - mein Client bekommt eine IP.
Zwei Fragen:
1) Warum funktioniert es dann nicht wenn mein DHCP als Standardgateway den MPLS Router hat, der aber auch ins andere VLAN routet und ich vom DHCP ja das VLAN Router Interface wo der Client drin hängt pingen kann und andersherum genauso?
2) komme ich da in Schwierigkeiten wenn ich für das eine VLAN wo der Server drin hängt das Standardgateway auf der Router IP belasse und nicht zurück ändere auf die MPLS router IP? Weil ja dann quasi zwei Router das gleiche Netz Routen würden was in meinen Augen völliger Käse ist und höchstwahrscheinlich auch zu Problemen führt?
Das einzige was ich sehe ist ein DHCP Discover von 0.0.0.0 an 255.255.255.255
Das ist ja ein Client Broadcast in dem DHCP Server Netz. Der ist vollkommen irrelevant.Was du sniffern musst ist der DHCP Server Port. Dort müssten ja eine Menge an DHCP Requests ankommen.
Unter anderem auch der von deinem L3 Switch der dein Neues VLAN routet.
Den kannst du ganz einfach erkennen, denn der hat als Absender IP Adresse die Switch IP deines L3 Switches mit dem neuen VLAN und als Destination IP den DHCP Server (Helper Adresse).
Wenn du den DHCP Frame nicht siehst, dann funktioniert irgendwas mit der IP Helper Konfig nicht oder ist falsch konfiguriert.
Zu den Fragen:
1.)
Das ist etwas wirr ?? Aber mal der Reihe nach:
Ein DHCP Forwarding aus deinem VLAN Segment kann einzig nur dann funktionieren wenn auch dem Router oder L3 Switch eine DHCP Helper Adresse defniert ist.
Ist ja auch logisch, denn wo sollte der Client denn auch sonst eine IP herbekommen wenn in seinem Segment kein DHCP Server ist. Fazit: DHCP nur mit Helper dort.
Ist dein Switch dann rein L2 konfiguriert und terminiert auf dem MPLS Router, dann muss dieser die Helper Adresse konfiguriert haben. Logisch, denn in dem Falle müsste er den Client DHCP ja an den DHCP Server forwarden.
Da das aber ein fremdadministriertes Gerät ist kannst du davon ausgehen das Provider Dienstleister niemals DHCP Helper definiert haben. Deshalb wird per se ein DHCP Forwarding über den MPLS Router wohl sicher scheitern.
Wie gesagt, das kann man nur raten, denn um das sicher zu sagen müsste manlogischerweise die Konfig kennen.
Auf der anderen Seite willst du ja auch richtigerweise komplett weg von diesem megakranken Konstrukt das du lokale Gateway Adressen auf einem Gerät hast was NICHT in deiner Hoheit ist. Sowas ist generell ein schwerer Fehler im lokalen Design. Den Grund bekomms du ja gerade zu spüren und willst das ja auch richtigerweise ändern.
Ausschlaggebend für die DHCP Funktion ist also immer die Helper Adresse und die Erreichbarkeit des DHCP Servers egal welchen Router du benutzt.
Wenn du natürlich alles statisch einträgst hebelst du ja DHCP komplett aus. Das es dann sauber funktioniert ist klar und zeigt dann auch gleichzeitig das erstens dein Routing richtig ist und zweitens der Fehler klar am DHCP Helper Prozess liegt.
2.)
Nein !
Normalerweise solltest du niemals in Schwierigkeiten kommen.
Ist ja auch logisch, denn dein Layer 3 Core Switch ist immer für ALLE lokalen VLAN Segmente und Server und alle lokalen Endgeräte das Default Gateway. Jeglicher lokaler Fraffic rennt also immer zentral über deinen eigenen L3 Core Switch.
Für alle externen Locations und das Internet ist der MPLS Router das Ziel. Das erreicht man indem nan die zentrale Default Route des L3 Core Switches dann auf den MPLS Router legt.
So wird jeglicher lokaler Traffic auf Geräten unter deiner Hoheit geroutet und forgewardet und nur DU allein bestimmst hier.
Alles andere was nach extern geht (und nur das) schaufelt der L3 Core Switch in Richtung MPLS Router.
Eigentlich doch ein simples und leicht zu durchschauendes Konzept ?!
Ggf. macht es Sinn das du nochmal eine kurze Skizze aus Layer 3 IP Sicht hier postest was derzeit rennt und WIE und was du als Lösung anstrebst.
Das würde ein Troubleshooting erheblich einfacher machen.
Leider kann ich gerade keine Zeichnung erstellen
Derzeitige Situation:
2 VLAN : VLAN10 (172.16.0.0/16) & VLAN20 (10.10.10.0/24).
Das VLAN10 ist das Altnetz und das VLAN20 ist das Netz für WLAN was nicht mit dem internen Netz in Berührung kommen soll.
Das einzige was sein darf ist, dass VLAN20 sich vom DHCP im VLAN10 die IP Adressen holen, aber das mache ich ja dann mit den ACLs.
Die beiden Cores sind mit dem MPLS verbunden.
Auf dem MPLS sind die beiden Transfernetze mit dem jeweiligen VLAN Tag angelegt.
Auf dem Core ist zudem im VLAN20 die IP Helper Address zum DHCP in VLAN10 hinterlegt.
Derzeitig route ich mein VLAN20 über den Core Switch.
Das VLAN10 wird noch vom MPLS geroutet, da wie gesagt damals alles über den MPLS als Standardgateway lief, was wir nun korrigieren wollen.
So. Die DHCP Anfragen des VLAN20 sind aber nie beim DHCP im VLAN10 angekommen, weil wie Du richtig vermutet hast, ich ja das Routing ins VLAN10 noch vom MPLS machen lasse.
Nur die Frage ist, was als nächster Schitt der bessere wäre:
1) Router Interface auf dem Core für das VLAN10 einrichten, damit funktioniert dann auch sofort das mit dem DHCP.
Dann würde aber quasi mein Core das gleiche Netz routen wie der MPLS - nur der MPLS eben die, die ihn als Standardgateway hinterlegt haben und der Core die, die ihn als Standardgateway hinterlegt haben. Kann das zu Problemen führen?
oder
2) IP Helper Address auf dem MPLS anlegen lassen (für VLAN20) und für das VLAN10 (Altnetz) gar kein Router Interface auf dem Core einrichten
In den nächsten Wochen wird dann das neue Netz noch dazukommen das dann wie VLAN20 vollständig über den Core geroutet werden soll. Mit entsprechender Segmentierung. Wir lassen dann zudem eine statische Route (für die 16er Subnetzmaske) vom MPLS auf den Core einrichten. Wenn alles umgestellt ist wird das alte VLAN10 entfernt. Effektiv sollen dann zwei Transfernetze entstehen (eins für intern und eins für extern bzw. Gäste). Plausibel?
Derzeitige Situation:
2 VLAN : VLAN10 (172.16.0.0/16) & VLAN20 (10.10.10.0/24).
Das VLAN10 ist das Altnetz und das VLAN20 ist das Netz für WLAN was nicht mit dem internen Netz in Berührung kommen soll.
Das einzige was sein darf ist, dass VLAN20 sich vom DHCP im VLAN10 die IP Adressen holen, aber das mache ich ja dann mit den ACLs.
Die beiden Cores sind mit dem MPLS verbunden.
Auf dem MPLS sind die beiden Transfernetze mit dem jeweiligen VLAN Tag angelegt.
Auf dem Core ist zudem im VLAN20 die IP Helper Address zum DHCP in VLAN10 hinterlegt.
Derzeitig route ich mein VLAN20 über den Core Switch.
Das VLAN10 wird noch vom MPLS geroutet, da wie gesagt damals alles über den MPLS als Standardgateway lief, was wir nun korrigieren wollen.
So. Die DHCP Anfragen des VLAN20 sind aber nie beim DHCP im VLAN10 angekommen, weil wie Du richtig vermutet hast, ich ja das Routing ins VLAN10 noch vom MPLS machen lasse.
Nur die Frage ist, was als nächster Schitt der bessere wäre:
1) Router Interface auf dem Core für das VLAN10 einrichten, damit funktioniert dann auch sofort das mit dem DHCP.
Dann würde aber quasi mein Core das gleiche Netz routen wie der MPLS - nur der MPLS eben die, die ihn als Standardgateway hinterlegt haben und der Core die, die ihn als Standardgateway hinterlegt haben. Kann das zu Problemen führen?
oder
2) IP Helper Address auf dem MPLS anlegen lassen (für VLAN20) und für das VLAN10 (Altnetz) gar kein Router Interface auf dem Core einrichten
In den nächsten Wochen wird dann das neue Netz noch dazukommen das dann wie VLAN20 vollständig über den Core geroutet werden soll. Mit entsprechender Segmentierung. Wir lassen dann zudem eine statische Route (für die 16er Subnetzmaske) vom MPLS auf den Core einrichten. Wenn alles umgestellt ist wird das alte VLAN10 entfernt. Effektiv sollen dann zwei Transfernetze entstehen (eins für intern und eins für extern bzw. Gäste). Plausibel?
Auf dem MPLS sind die beiden Transfernetze mit dem jeweiligen VLAN Tag angelegt.
Das ist schon der erste Fehler !Es darf nur ein einziges Transfer Netz sein !
Du steckst hier vermutlich in einem Dilemma so das du das IP Design falsch gemacht hast.
Du willst vermutlich vermeiden das das VLAN 20 im Core geroutet wird und vollkommen isoliert von den internen VLANs sein soll. Vermutlich ist das ein Gast VLAN.
Das würde dann ein vollkommen isoliertes Layer 2 VLAN auf den Switches erfordern was KEINE virtuelle Layer 3 VLAN IP Adresse auf den Core Switches haben darf.
Dieses VLAN müsste man dann Layer 2 mässig "durchschleifen" auf die MPLS Router und dort dann mit einer IP Adresse und einem DHCP Helper terminieren. Klar, denn dann darf nur dieser Router als IP Gateway sichtbar sein im VLAN 20.
Die grundsätzliche große Problematik ist dann auch das dann Pakete über den MPLS Router wieder zurück in den lokalen Core geroutet werden müssen für die DHCP Funktion. Mit anderen Worten ein gruseliges Konstrukt und grundfalsch !
Vermutlich willst du genau das nicht weil es dich dann noch weiter in die Management Abhängigkeit auf dem Provider adminstrierten MPLS Router führt. Damit würdes du also genau das Gegenteil erreichen was du anstrebst und dir einen Bärendienst erweisen.
Troubleshooting usw. wären in so einem Konstrukt ebenso unmöglich da kein Zugriff auf den Router.
Mit anderen Worten es so umzusetzen ist Quatsch ! Generell also der völlig falsche Weg.
Du musst also das VLAN 20 auf dem Core L3 Switch mit einem VLAN Interface terminieren. Das birgt dann die Gefahr das das VLAN 20 ins interne Netz geroutet werden kann aber mit ein paar intelligenten Access Listen kann man das wasserdicht unterbinden. Hast du ja auch richtigerweise so geplant !
Dann ENTFÄLLT aber damit auch völlig das Durchschleifen des VLAN 20 auf den MPLS Router !!
Dieser darf dann keinesfalls ein Layer 3 Interface im VLAN 20 haben. Er darf keinerlei Verbindungen in das VLAN 20 haben. Diese müssen vom MPLS Router vollständig entfernt sein !
Die Helper IP zum DHCP Server kommt dann auf dein VLAN 20 IP Interface und gut iss.
Aus Layer 3 Sicht sähe das dann so aus:
Nur so wird ein sauberer IP Schuh aus dem Konstrukt !
Und nur so behält du die voll Kontrolle über das Routing und Forwarding deiner eigenen Campus IP Netze und bist somit völlig unabhängig vom Provider Router !
Danke für die Zeichnung!
Wie mache ich das aber mit dem Altnetz?
Das zeigt ja bisher beim Standardgateway auf den MPLS --> 172.16.0.1 (Transfernetz 172.16.0.0/16)
Verstehe ich das richtig, dass ich jetzt irgendein Netz als Transfernetz definiere? Bspw. 172.15.0.0/30 , sodass die Interface IP vom MPLS bspw. zukünftig 172.15.0.1 ist und die Interface IP beim Core dann 172.15.0.2?
Ich würde das jetzt erstmal so machen, dass ich das neue Transfernetz anlegen lassen würde als VLAN 99 z.B
Entsprechend alles am Core konfiguriere und das Altnetz noch parallel als zweites Transfernetz laufen lasse, bis alles entsprechend umgezogen ist und das anschließend entfernen lasse, oder wie würdest Du vorgehen?
Wie mache ich das aber mit dem Altnetz?
Das zeigt ja bisher beim Standardgateway auf den MPLS --> 172.16.0.1 (Transfernetz 172.16.0.0/16)
Verstehe ich das richtig, dass ich jetzt irgendein Netz als Transfernetz definiere? Bspw. 172.15.0.0/30 , sodass die Interface IP vom MPLS bspw. zukünftig 172.15.0.1 ist und die Interface IP beim Core dann 172.15.0.2?
Ich würde das jetzt erstmal so machen, dass ich das neue Transfernetz anlegen lassen würde als VLAN 99 z.B
Entsprechend alles am Core konfiguriere und das Altnetz noch parallel als zweites Transfernetz laufen lasse, bis alles entsprechend umgezogen ist und das anschließend entfernen lasse, oder wie würdest Du vorgehen?
Wie mache ich das aber mit dem Altnetz?
Ist das "Altnetz" denn gleichzeitig das Transfernetz ?? Müsste ja, wenn das Gateway dort direkt auf den MPLS Router zeigt. Ode rist es per VLAN Tag an den MPLS Router geführt so wie du es fälschlicherweise oben auch mit deinem VLAN 20 gemacht hast ?!Die netztechnisch allerbeste Lösung wäre das Altnetz auch rein NUR auf dem L3 Core Switch zu terminieren und im DHCP für das Altnetz dann die L3 Core VLAN IP anzugeben als Gateway und NICHT den MPLS Router.
Der MPLS Router sollte vollständig aus dem Routing der internen LAN Segmente ausgenommen sein.
Genau DAS willst du ja erreichen um dich aus der Abhängigkeit des MPLS Routers zu befreien !!
Der darf einzig und allein nur über das Transfer Netz/Transfer VLAN zu erreichen sein. Interne Netz dürfen keinesfalls hier mehr anliegen mit der einzigen Ausnahme Transfer Netz in die remoten (MPLS) Locations und Internet.
Letztlich genau so wie es das Bild oben zeigt.
Ist ja auch logisch, denn routest du das Altnetz auf lokal auf dem L3 Core hast du dort auch alle deine lokalen Netz in deiner Routing Hoheit !
Verstehe ich das richtig, dass ich jetzt irgendein Netz als Transfernetz definiere?
Ja, das ist richtig ! Aber nicht gerade 172.15.... denn das ist KEIN privates RFC 1918 IP Netz !!! Besser also die 172.31.31.0 /24 oder sowas. Du müsstest nicht einmal ein /24er Netz nehmen es würde sogar minimal ein /30er reichen, denn es ist ja nur eine Punkt zu Punkt Routing Verbindung zwischen MPLS und L3 Core Switch.In dieses isolierte Transfer VLAN packst du dann das bein des MPLS Routers rein.
Hier musst du dann vom Provider kurz die statischen Routings anpassen lassen. Beispiel:
MPLS Router = 172.31.31.254 /24
L3 Core im Transfer VLAN = 172.31.31.1 /24
ToDos und Statische Routen MPLS Router:
- Anpassen der Koppel Interface IP auf 172.31.31.254 /24
- Statische Route: ip route 172.16.0.0 255.255.0.0 172.31.31.1
- Statische Route: ip route 10.10.0.0 255.255.0.0 172.31.31.1 (Nur wenn weitere 10.10er VLANs geplant sind !)
- Transfer VLAN (z.B. "99") anlegen
- Tagged oder Untagged Member Port anlegen für Router. (Je nachdem ob VLAN 99 Traffic im MPLS getagged oder ungetagged ist. Untagged wäre sinnvoll und reicht)
- Anpassen der Koppel VLAN Interface IP auf 172.31.31.1 /24
- Default Route: ip route 0.0.0.0 0.0.0.0 172.31.31.254
- Fertisch
Das wars, damit hast du dann alles vollständig entkoppelt und bist von den Fesseln des MPLS Routers befreit !
Der Rest ist dann so wie oben im Bild
Die statische 10.10er Router ist nur optional gedacht wenn du weiter Segmentieren willst mit 10.10er Netz und 24 Bit Prefixen.
Das kann natürlich auch 172.17.0.0 /16 seinn wenn dir der 172er Bereich kosmetisch besser gefällt. Durch den /16er Preix in der MPLS Route hast du freie Hand diese VLANs neu anzulegen und weiter zu Segmentieren OHNE das du immer den Provider bitten musst was zu ändern.
dass ich das neue Transfernetz anlegen lassen würde als VLAN 99 z.B
Der perfekte und richtige erste Schritt !! Genau DAS ist die richtige Vorgehensweise.
👍
Viel Erfolg ! Ist das richtige und beste Konzept !
Bleibt dann nur noch:
Wie kann ich einen Beitrag als gelöst markieren?
Viel Erfolg ! Ist das richtige und beste Konzept !
Bleibt dann nur noch:
Wie kann ich einen Beitrag als gelöst markieren?