Switch via tagged Management-VLAN verwalten
Moin,
ich habe eine Firewall mit einem (L2)-Switch verbunden. Auf dem Uplink zwischen Firewall ↔ Switch sind mehrere VLANs getagged, für Clients, IoT-Devices, etc. Auch ein Management VLAN ist dort drauf.
Natürlich sind die VLANs auf den jeweiligen Interfaces für Endgeräte untagged, eben als Access-VLAN.
Der Switch hat im Management VLAN eine IP bekommen und als Default Gateway ist die Adresse des L3-SVIs auf der Firewall eingetragen.
Sieht dann auf dem Switch ca so aus:
Problem: Nun hat der Switch ja nirgendwo eine Access-Variante des Management-VLANs, sondern nur einmal tagged auf dem Firewall-Uplink. Daher kann man den Switch nicht über seine IP im Management-VLAN verwalten.
Das würde nur gehen, wenn ich auf einen der Ports das Management-VLAN untagged setze und entsprechend woanders an der FW verbinde.
Geht das auch anders?
ich habe eine Firewall mit einem (L2)-Switch verbunden. Auf dem Uplink zwischen Firewall ↔ Switch sind mehrere VLANs getagged, für Clients, IoT-Devices, etc. Auch ein Management VLAN ist dort drauf.
Natürlich sind die VLANs auf den jeweiligen Interfaces für Endgeräte untagged, eben als Access-VLAN.
Der Switch hat im Management VLAN eine IP bekommen und als Default Gateway ist die Adresse des L3-SVIs auf der Firewall eingetragen.
Sieht dann auf dem Switch ca so aus:
ip default-gateway 172.17.199.1
vlan 99
name "T0-MGMT"
tagged 1
ip address 172.17.199.10 255.255.255.0
exit
Problem: Nun hat der Switch ja nirgendwo eine Access-Variante des Management-VLANs, sondern nur einmal tagged auf dem Firewall-Uplink. Daher kann man den Switch nicht über seine IP im Management-VLAN verwalten.
Das würde nur gehen, wenn ich auf einen der Ports das Management-VLAN untagged setze und entsprechend woanders an der FW verbinde.
Geht das auch anders?
Please also mark the comments that contributed to the solution of the article
Content-ID: 72131040164
Url: https://administrator.de/contentid/72131040164
Printed on: October 6, 2024 at 17:10 o'clock
40 Comments
Latest comment
Moin,
wo ist das Problem? Ohne den Switch zu kennen hast du doch einfach ein integriertes Management.
Wo du das nun anliegen lässt bleibt doch dir über lassen. Das kann ja anscheinend wie jedes andere VLan konfiguriert werden.
Es sei denn du nennst uns deinen super geheimen Switch. Es soll ja durchaus welche geben die das Management separieren.
Gruß
Spirit
wo ist das Problem? Ohne den Switch zu kennen hast du doch einfach ein integriertes Management.
Wo du das nun anliegen lässt bleibt doch dir über lassen. Das kann ja anscheinend wie jedes andere VLan konfiguriert werden.
Es sei denn du nennst uns deinen super geheimen Switch. Es soll ja durchaus welche geben die das Management separieren.
Gruß
Spirit
Moin,
Also zu Procurve-Zeiten war/ ist es kein Problem, einen Switch anzusprechen, wenn dessen IP nur über Tagged Uplinks erreichbar ist.
Eine Besonderheit gibt es aber, wenn man dem Seitch mitteilt, dass es (s)ein Management-VLAN ist. Denn dann ist der Switch nur innerhalb des VLANs erreichbar (aber weiterhin auch via tagged Ports).
Könnte also sei , dass das beim ArunaOS auch so ist.
Häng mal ein Gerät an einem anderen Switch untagged in das VLAN 99 und prüfe, ob du Zugriff bekommst.
Also zu Procurve-Zeiten war/ ist es kein Problem, einen Switch anzusprechen, wenn dessen IP nur über Tagged Uplinks erreichbar ist.
Eine Besonderheit gibt es aber, wenn man dem Seitch mitteilt, dass es (s)ein Management-VLAN ist. Denn dann ist der Switch nur innerhalb des VLANs erreichbar (aber weiterhin auch via tagged Ports).
Könnte also sei , dass das beim ArunaOS auch so ist.
Häng mal ein Gerät an einem anderen Switch untagged in das VLAN 99 und prüfe, ob du Zugriff bekommst.
Die Kardinalsfrage ist WAS als PVID/Native VLAN am Port eingetragen ist? Generell lässt sich immer auch das Default VLAN 1 taggen. Bei Cisco ist es das Kommando switchport tag native vlan Das dürfte bei den HP Billiggurken ähnlich sein.
Ansonsten ist ja bei einer Firewall das physische Interface an einem Trunk auch immer UNtagged. Es ist doch letztlich völlig Wumpe ob man das tagged oder untagged überträgt. Sofern die HP Gurken es nicht supporten das Default VLAN auch zu taggen. (Siehe dazu auch hier)
Ansonsten ist ja bei einer Firewall das physische Interface an einem Trunk auch immer UNtagged. Es ist doch letztlich völlig Wumpe ob man das tagged oder untagged überträgt. Sofern die HP Gurken es nicht supporten das Default VLAN auch zu taggen. (Siehe dazu auch hier)
Ich dachte, dass es einen grundlegenden Best-Practice dazu gibt.
Nein, kann es nicht geben weil das immer eine rein kosmetische Frage ist wie du das Native VLAN an einem Trunk Port behandelst. Kannst und musst du also selber entscheiden. Technisch gesehen ist es ja auch völlig egal wie man das handhabt.Aber das scheint ja wohl Switch-OS spezifisch zu sein.
Nein, in der Regel nicht. Fast alle Billo Hersteller können das auch.befindet sich im Management-VLAN 99
(Sorry, übersehen im Eifer des Gefechts.)
Die Firewall routet mich nun vom Client VLAN ins MGMT-VLAN und ich sollte über 172.17.199.10 das Webinterface / SSH vom Switch aufrufen können. Das funktioniert aber nicht, siehe Problemstellung.
Technisch ist das korrekt und richtig beschrieben und der Weg der IP Pakete. Entspricht ja auch dem klassischen Setup einer "one armed" Firewall wie HIER im Detail beschrieben.Oftmals werden aber folgende Punkte übersehen:
- Die Management IP Adresse des Switches MUSS dann auch dediziert in das VLAN 99 gemappt sein. Einfache Switches binden diese oft fest ans VLAN1 und erlauben kein Umhängen in andere VLANs. In dem Falle scheitert dann ein Zugriff.
- Bei einem Client Zugriff aus einem anderen IP Netz benötigt der Switch dann zwingend ein Default Gateway auf die IP der Firewall im VLAN99 in seiner Konfig. Ansonsten scheitert die Rückroute.
- Regelwerk für den VLAN 99 Zugriff auf der FW sollte natürlich passen.
Natürlich kann ich einen extra Uplink an der Firewall mit dem Untagged VLAN dran hängen oder auf dem bestehenden Uplink das MGMT-VLAN als untagged drauf hauen, aber das ist nicht die feine Art mMn, besonders, wenn die Switche kaskadiert werden.
zumal das dein PRoblem nicht lösen würde.Du kommst mit dem Client ja immernoch aus einem fremden VLAN/ IP-Segment...
Für den Test: an diesem Switch nichts ändern dafür an einem völlig anderen:
einen Port untagged ins VLAN99 schieben und dich drt mal anstöpseln, sodass du eine IP aus dem VLAN99 hast. Dann man versuchen, auf den entfernten Switch zu gelangen:
Laptop <--> (Port 10, Untagged 99) Switch A (Port 24, Tagged 99) <--> (Port 24, Tagged 99) Switch B
Und vom Laptop dann mal die IP von Switch B erreichen....
@aqui:
Hat er oben, im Ausgangspost doch
befindet sich im Management-VLAN 99
Ohne die Subnetzmasken mitzuteilen ist eine zielführende Hilfe natürlich nicht gerade einfach... Hat er oben, im Ausgangspost doch
ip address 172.17.199.10 255.255.255.0
Es ist doch trivial das du bei verschiedenen Netzen ein Gateway setzen musst. Das hat doch mit dem Switch nichts zu tun.
Oben schreibst du aber folgendes:
Das hat doch wieder nichts mit IP zu tun. Daher war das ganze nicht eindeutig.
Abgesehen von der durchaus korrekten Lösung deines Redit Posts bleibt dir sonst nur von der Firewall aus zu NATen.
Du kannst auch, wenn du alles korrekt trennen willst ein OutOfBand Management nutzen oder zumindest eine separate Routing Instanz auf deinen Switchen. Das können diese da L3 usw.
Oben schreibst du aber folgendes:
Problem: Nun hat der Switch ja nirgendwo eine Access-Variante des Management-VLANs, sondern nur einmal tagged auf dem Firewall-Uplink. Daher kann man den Switch nicht über seine IP im Management-VLAN verwalten.
Das würde nur gehen, wenn ich auf einen der Ports das Management-VLAN untagged setze und entsprechend woanders an der FW verbinde.
Geht das auch anders?
Das würde nur gehen, wenn ich auf einen der Ports das Management-VLAN untagged setze und entsprechend woanders an der FW verbinde.
Geht das auch anders?
Das hat doch wieder nichts mit IP zu tun. Daher war das ganze nicht eindeutig.
Abgesehen von der durchaus korrekten Lösung deines Redit Posts bleibt dir sonst nur von der Firewall aus zu NATen.
Du kannst auch, wenn du alles korrekt trennen willst ein OutOfBand Management nutzen oder zumindest eine separate Routing Instanz auf deinen Switchen. Das können diese da L3 usw.
@em-pie
Der Test funktioniert. Aber mit der Variante wird das Problem ja nur verlagert. Anforderungen sind:
- Management VLAN tagged an den Trunks / Uplinks aber NICHT untagged auf Uplinks / Access-Ports.
Der Test funktioniert. Aber mit der Variante wird das Problem ja nur verlagert. Anforderungen sind:
- Management VLAN tagged an den Trunks / Uplinks aber NICHT untagged auf Uplinks / Access-Ports.
schon klar. Aber der Test sollte zeigen, dass es nicht am tagged/ untagged liegt.
Dann musst du an der Firewall per DNAT arbeiten: ist das Ziel die 172.17.199.0/20, so muss genattet werden, sodass sämtlicher, VLAN-fremder Traffic mit der IP des Interfaces der Firewall, die auch im Subnetz 172.17.199.0/24 liegen muss, ankommt.
@Spirit-of-Eli
Das Problem ist, dass der Switch keinen Zugriff akzeptiert, wenn der Client aus einem anderen IP-Segment/ VLAN kommt.
Management VLAN tagged an den Trunks / Uplinks aber NICHT untagged auf Uplinks / Access-Ports.
Das ist ja auch Blödsinn und kommt an einem Access Port in einem Netzwerk ja auch so gut wie niemals vor. Dort benutzt man ja ausnahmslos immer die Produktiv VLANs aber ja niemals einen Port der als Access Port untagged im Management VLAN steckt. Gut, Ausnhame wäre vielleicht ein ILO Port aber welchen Vorteil hätte es wenn du da taggst?? Ist und bleinbt ja dann auch unsicher, denn einen VLAN Tag kann sich jeder Laie mit einem Mausklick am Laptop setzen.Wenn du da sicherheit willst an den Accessports dann machst du dort immer 802.1x Port Security mit einem sentralen. Radius.
Das Problem ist, dass der Switch keinen Zugriff akzeptiert, wenn der Client aus einem anderen IP-Segment/ VLAN kommt.
Sorry aber auch so eine unreflektierte Killeraussage ist doch Unsinn wenn der Switch ein Default Gateway gesetzt hat. Das kann sogar jeder Chinesen Switch vom Blödmarkt Grabbeltisch. Wie kommst du auf sowas?!Der Zugriff geht nur über einen untagged Port im Management-VLAN oder falls das Management-VLAN tagged ist
Das wäre sehr sehr außergewöhnlich denn bei wirklich jedem Switch auf dem Markt vom Billo Chinesen bis zum Catalysten kann logischerweise der Management Zugang auch nur über einen tagged Uplink erfolgen. Andernfalls wären doch dann solche sinnvollen Konfigs mit getrenntem Management VLAN gar nicht möglich.Man stelle sich mal vor man hat einen 24er Access Switch am L3 Core der nur ein Client VLAN bedient auf seinen 24 Ports und einen Tagged Uplink hat auf den Core. So ein klassisches, millionenfach eigesetztes Szenario wäre nach deiner Theorie dann gar nicht möglich. Das ist natürlich Quatsch, denn genau DAS funktioniert in der Praxis völlig problemlos.
Hier gerade mal auf einer uralten HP ProCurve 25er Gurke getestet und da rennt es absolut fehlerfrei. Wie bei allen anderen VLAN Switches auf der ganzen Welt auch.
Wenn das nicht geht bei dir ist das zu 99,9% ein Konfigurationsfehler!!
Das hiesige VLAN Routing Tutorial beschreibt genau so ein Setup für einen solchen HP Switch!
Zitat von @smxko01:
Der Zugriff geht nur über einen untagged Port im Management-VLAN oder falls das Management-VLAN tagged ist, eben nur per ip route aufs Default Gateway bzw. auf die IP des SVI des VLANs auf der Firewall.
Nöööö...Der Zugriff geht nur über einen untagged Port im Management-VLAN oder falls das Management-VLAN tagged ist, eben nur per ip route aufs Default Gateway bzw. auf die IP des SVI des VLANs auf der Firewall.
Wenn du einen Rechner hast, der auch mit VLANs umgehen kann, dann mach mal folgendes:
NIC untagged 1, tagged 199 und in beiden VLANs eine IP geben
am Switch, an dem der Endpoint (Rechner) hängt: untagged1, tagged 199
jetzt wirst du sehen, dass du über einen tagged Port, welcher sich im management-VLAN befindet, auch auf den Switch zugreifen kannst.
Das ist grundsätzlich kein schlechtes Fearure: Switche lassen sich so nur innerhalb des Management-VLANs administrieren. Wenn ihr also eine VM/ phys. Rechner habt (haben wir z. B. im Serverraum, für örtliche "Notfälle"), die ausreichend abgeschottet ebenfalls im Management-VLAN angesiedelt ist, kommst du wunderbar an deine Switche dran.
Willst du das alles nicht, hängst du die Switche nach wie vor ins VLAN 199, definierst die Interfaces aber nicht als ManagementVLAN. Dann kommst du da auch aus allen anderen Netzen dran (bzw. gemäß Firewall-Regeln/ ACLs)
das hätte gerne etwas früher kommen dürfen. Da gelten ganz andere Manuals.
Sorry, aber in der Config wird der Zugriff über das UNTAGGED Default VLAN 1 abgebildet.
Es ist doch völlig Wumpe auf welches VLAN du die IP Adresse legst!! Soviel "Intelligenz" beim Interpretieren einer Konfig sollte man einem Admin eigentlich auch an einem Freitag 🐟 zutrauen! Das kann natürlich immer auch eins der Tagged VLANs sein.
HP_Switch#
time timezone 60
time daylight-time-rule Middle-Europe-and-Portugal
spanning-tree protocol-version rstp
spanning-tree force-version rstp-operation
ip default-gateway 172.16.99.254
exit
interface 1
name "VLAN Tagged Uplink zur Firewall"
exit
vlan 1
name "DEFAULT_VLAN"
exit
vlan 10
name "Clients"
untagged 2-24
tagged 1
exit
vlan 99
name "Management"
ip address 172.16.99.1 255.255.255.0
tagged 1
exit
Eine IP aufm L2 Switch lege ich nur fürs Management an.
Das ist ja per se richtig! Es geht ja hier aber nur darum in welches VLAN man das IP Interface hängt. An der obigen Konfig kannst du ja sehen das es auch bei HP (wie bei allen anderen Switches auch) Wumpe ist in welches VLAN man das Management IP Interface hängt (Zumindestens den alten Procurve Gurken)! Da das VLAN 99 dann nur tagged am Uplink hängt geht der Management Traffic dann eben mit 99 tagged über den Uplink...einfache Logik.
Zitat von @smxko01:
Zitat von @aqui:
Warum ist das Wumpe? Eine IP aufm L2 Switch lege ich nur fürs Management an, sprich die IP kommt ins Management VLAN und nicht irgendwo hin. Rest L3 macht die FW. Genau das macht doch den alles entscheidenden Unterschied gerade, obs Management-VLAN untagged oder tagged ist.Sorry, aber in der Config wird der Zugriff über das UNTAGGED Default VLAN 1 abgebildet.
Es ist doch völlig Wumpe auf welches VLAN du die IP Adresse legst!! Das kann natürlich auch eins der Tagged VLANs sein.und wenn du jetzt in die anderen Netze auch ne IP am Switch konfigurierst, ist die dann von der Firewall erreichbar?
Zitat von @aqui:
jetzt in die anderen Netze auch ne IP am Switch konfigurierst
Das ist auf einem reinen Layer 2 VLAN Switch technisch gar nicht möglich!!Auch wieder war. Ich hab leider keine L2 Geräte mehr da.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?