smxko01
Goto Top

Switch via tagged Management-VLAN verwalten

Moin,

ich habe eine Firewall mit einem (L2)-Switch verbunden. Auf dem Uplink zwischen Firewall ↔ Switch sind mehrere VLANs getagged, für Clients, IoT-Devices, etc. Auch ein Management VLAN ist dort drauf.
Natürlich sind die VLANs auf den jeweiligen Interfaces für Endgeräte untagged, eben als Access-VLAN.

Der Switch hat im Management VLAN eine IP bekommen und als Default Gateway ist die Adresse des L3-SVIs auf der Firewall eingetragen.

Sieht dann auf dem Switch ca so aus:

ip default-gateway 172.17.199.1

vlan 99
   name "T0-MGMT"  
   tagged 1
   ip address 172.17.199.10 255.255.255.0
   exit

Problem: Nun hat der Switch ja nirgendwo eine Access-Variante des Management-VLANs, sondern nur einmal tagged auf dem Firewall-Uplink. Daher kann man den Switch nicht über seine IP im Management-VLAN verwalten.
Das würde nur gehen, wenn ich auf einen der Ports das Management-VLAN untagged setze und entsprechend woanders an der FW verbinde.
Geht das auch anders?

Content-ID: 72131040164

Url: https://administrator.de/forum/switch-via-tagged-management-vlan-verwalten-72131040164.html

Ausgedruckt am: 28.12.2024 um 08:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 20.03.2024 um 21:55:14 Uhr
Goto Top
Moin,

wo ist das Problem? Ohne den Switch zu kennen hast du doch einfach ein integriertes Management.
Wo du das nun anliegen lässt bleibt doch dir über lassen. Das kann ja anscheinend wie jedes andere VLan konfiguriert werden.

Es sei denn du nennst uns deinen super geheimen Switch. Es soll ja durchaus welche geben die das Management separieren.

Gruß
Spirit
smxko01
smxko01 20.03.2024 aktualisiert um 22:07:15 Uhr
Goto Top
Es geht darum, dass der Switch später per SNMP überwacht werden soll. Auch soll man ihn über später übers Netz administrieren können. Dies passiert dann über die Management-IP, welche in T0-MGMT liegt.

Das geht aber nicht, weil das Management-VLAN nur als tagged auf dem Uplink zur Firewall drauf ist.

Edit: Sind Aruba L3-Switche, welche aber als L2 betrieben werden.
smxko01
smxko01 20.03.2024 aktualisiert um 22:11:51 Uhr
Goto Top
Meine Idee wäre hier, für das MGMT-VLAN in den Routermodus zu wechseln

ip route 172.17.199.0 255.255.255.0 172.17.199.1

Würde das funktionieren?
Spirit-of-Eli
Spirit-of-Eli 21.03.2024 um 06:57:04 Uhr
Goto Top
Welche Aruba L3 Switche?

Dann nutzt du ja das Inband Management. Häng das Netz doch nach belieben untagged oder tagged auf einen weiteren Port.

Was ist deiner Meinung das Problem, dass es nicht geht?
Spirit-of-Eli
Spirit-of-Eli 21.03.2024 um 06:59:34 Uhr
Goto Top
Reden wir jetzt über VLans oder über die Management IP?

Kann hier gerade irgendwie nicht zitieren.
em-pie
em-pie 21.03.2024 um 07:02:34 Uhr
Goto Top
Moin,

Also zu Procurve-Zeiten war/ ist es kein Problem, einen Switch anzusprechen, wenn dessen IP nur über Tagged Uplinks erreichbar ist.
Eine Besonderheit gibt es aber, wenn man dem Seitch mitteilt, dass es (s)ein Management-VLAN ist. Denn dann ist der Switch nur innerhalb des VLANs erreichbar (aber weiterhin auch via tagged Ports).

Könnte also sei , dass das beim ArunaOS auch so ist.

Häng mal ein Gerät an einem anderen Switch untagged in das VLAN 99 und prüfe, ob du Zugriff bekommst.
aqui
aqui 21.03.2024 aktualisiert um 09:48:22 Uhr
Goto Top
Die Kardinalsfrage ist WAS als PVID/Native VLAN am Port eingetragen ist? Generell lässt sich immer auch das Default VLAN 1 taggen. Bei Cisco ist es das Kommando switchport tag native vlan Das dürfte bei den HP Billiggurken ähnlich sein.

Ansonsten ist ja bei einer Firewall das physische Interface an einem Trunk auch immer UNtagged. Es ist doch letztlich völlig Wumpe ob man das tagged oder untagged überträgt. Sofern die HP Gurken es nicht supporten das Default VLAN auch zu taggen. (Siehe dazu auch hier)
smxko01
smxko01 21.03.2024 aktualisiert um 11:41:08 Uhr
Goto Top
Kann hier gerade auch nicht zitieren - aber @Spirit-of-Eli - ich glaube, du verstehst die konkrete Problemstellung leider nicht.

@em-pie - das wird es sein. Wenn ich einen Client untagged ans MGMT-VLAN hänge und mir eine IP aus dem Subnetz gebe, komme ich auf den Switch. So solls ja auch sein, nur eben ohne die Krücke mit dem untagged VLAN.

Ich dachte, dass es einen grundlegenden Best-Practice dazu gibt. Aber das scheint ja wohl Switch-OS spezifisch zu sein.

@aqui das Default VLAN ist untagged, wird aber nicht verwendet. Der Ordentlichkeit halber wollte ich das mit eigenem tagged VLAN machen, den ich, wenn ausgebaut, auch kaskadiert über die Trunks prügeln kann. Untagged sollte nur das nicht verwendete Default VLAN 1 sein.
Spirit-of-Eli
Spirit-of-Eli 21.03.2024 um 11:36:02 Uhr
Goto Top
Deine Beschreibung ist einfach etwas wirre.
Wenn du dich untagged in das MGMT Netz steckst ist doch alles klar.

Wo willst du jetzt hin? Was soll das Ziel sein?
Das Netz kann ja ohne ohne Probleme an mehreren Ports anliegen. Ob tagged oder untagged jat doch völlig wumpe.
aqui
aqui 21.03.2024 um 11:36:23 Uhr
Goto Top
Ich dachte, dass es einen grundlegenden Best-Practice dazu gibt.
Nein, kann es nicht geben weil das immer eine rein kosmetische Frage ist wie du das Native VLAN an einem Trunk Port behandelst. Kannst und musst du also selber entscheiden. Technisch gesehen ist es ja auch völlig egal wie man das handhabt.
Aber das scheint ja wohl Switch-OS spezifisch zu sein.
Nein, in der Regel nicht. Fast alle Billo Hersteller können das auch.
smxko01
smxko01 21.03.2024 aktualisiert um 12:03:26 Uhr
Goto Top
@Spirit-of-Eli Eigentlich war alles deutlich, Codeblöcke lügen nicht ;)
Aber lass es mich noch einmal verdeutlichen:
Die Management IP vom Switch (172.17.199.10) befindet sich im Management-VLAN 99. Das VLAN 99 ist tagged am Switch und an der Firewall (Uplink Firewall / Switch). Über meinen Rechner (welcher logisch an der Firewall hängt) möchte ich den Switch über die Management IP verwalten / auslesen können.
Die Firewall routet mich nun vom Client VLAN ins MGMT-VLAN und ich sollte über 172.17.199.10 das Webinterface / SSH vom Switch aufrufen können. Das funktioniert aber nicht, siehe Problemstellung.
Natürlich kann ich einen extra Uplink an der Firewall mit dem Untagged VLAN dran hängen oder auf dem bestehenden Uplink das MGMT-VLAN als untagged drauf hauen, aber das ist nicht die feine Art mMn, besonders, wenn die Switche kaskadiert werden.

Dieser Thread auf Reddit hats eigentlich gut gelöst, wie schon meine Überlegung oben mit ip route:
https://www.reddit.com/r/ArubaNetworks/comments/rlq4rq/aruba_6100_manage ...

This is what I use if I want 10.5.5.5 to be my management IP on VLAN 5. 10.5.0.1 is my core/gateway

interface vlan 5

ip address 10.5.5.5/16

ip route 0.0.0.0/0 10.5.0.1
aqui
aqui 21.03.2024 aktualisiert um 12:13:01 Uhr
Goto Top
befindet sich im Management-VLAN 99
Ohne die Subnetzmasken mitzuteilen ist eine zielführende Hilfe natürlich nicht gerade einfach...
(Sorry, übersehen im Eifer des Gefechts.)
Die Firewall routet mich nun vom Client VLAN ins MGMT-VLAN und ich sollte über 172.17.199.10 das Webinterface / SSH vom Switch aufrufen können. Das funktioniert aber nicht, siehe Problemstellung.
Technisch ist das korrekt und richtig beschrieben und der Weg der IP Pakete. Entspricht ja auch dem klassischen Setup einer "one armed" Firewall wie HIER im Detail beschrieben.
Oftmals werden aber folgende Punkte übersehen:
  • Die Management IP Adresse des Switches MUSS dann auch dediziert in das VLAN 99 gemappt sein. Einfache Switches binden diese oft fest ans VLAN1 und erlauben kein Umhängen in andere VLANs. In dem Falle scheitert dann ein Zugriff.
  • Bei einem Client Zugriff aus einem anderen IP Netz benötigt der Switch dann zwingend ein Default Gateway auf die IP der Firewall im VLAN99 in seiner Konfig. Ansonsten scheitert die Rückroute.
  • Regelwerk für den VLAN 99 Zugriff auf der FW sollte natürlich passen.
em-pie
em-pie 21.03.2024 um 12:08:51 Uhr
Goto Top
Natürlich kann ich einen extra Uplink an der Firewall mit dem Untagged VLAN dran hängen oder auf dem bestehenden Uplink das MGMT-VLAN als untagged drauf hauen, aber das ist nicht die feine Art mMn, besonders, wenn die Switche kaskadiert werden.
zumal das dein PRoblem nicht lösen würde.
Du kommst mit dem Client ja immernoch aus einem fremden VLAN/ IP-Segment...

Für den Test: an diesem Switch nichts ändern dafür an einem völlig anderen:
einen Port untagged ins VLAN99 schieben und dich drt mal anstöpseln, sodass du eine IP aus dem VLAN99 hast. Dann man versuchen, auf den entfernten Switch zu gelangen:

Laptop <--> (Port 10, Untagged 99) Switch A (Port 24, Tagged 99) <--> (Port 24, Tagged 99) Switch B

Und vom Laptop dann mal die IP von Switch B erreichen....
em-pie
em-pie 21.03.2024 um 12:10:49 Uhr
Goto Top
@aqui:
befindet sich im Management-VLAN 99
Ohne die Subnetzmasken mitzuteilen ist eine zielführende Hilfe natürlich nicht gerade einfach... face-sad

Hat er oben, im Ausgangspost doch
ip address 172.17.199.10 255.255.255.0
Spirit-of-Eli
Spirit-of-Eli 21.03.2024 um 12:16:31 Uhr
Goto Top
Es ist doch trivial das du bei verschiedenen Netzen ein Gateway setzen musst. Das hat doch mit dem Switch nichts zu tun.
Oben schreibst du aber folgendes:
Problem: Nun hat der Switch ja nirgendwo eine Access-Variante des Management-VLANs, sondern nur einmal tagged auf dem Firewall-Uplink. Daher kann man den Switch nicht über seine IP im Management-VLAN verwalten.
Das würde nur gehen, wenn ich auf einen der Ports das Management-VLAN untagged setze und entsprechend woanders an der FW verbinde.
Geht das auch anders?

Das hat doch wieder nichts mit IP zu tun. Daher war das ganze nicht eindeutig.

Abgesehen von der durchaus korrekten Lösung deines Redit Posts bleibt dir sonst nur von der Firewall aus zu NATen.

Du kannst auch, wenn du alles korrekt trennen willst ein OutOfBand Management nutzen oder zumindest eine separate Routing Instanz auf deinen Switchen. Das können diese da L3 usw.
smxko01
smxko01 21.03.2024 aktualisiert um 12:20:15 Uhr
Goto Top
@aqui
Passt alles:

ip default-gateway 172.17.199.1
vlan 99
   name "T0-MGMT"    
   tagged 1
   ip address 172.17.199.10 255.255.255.0
   exit

Korrektes Regelwerk der FW vorausgesetzt. Die 172.17.199.1 ist hier als Gateway das SVI der Firewall.
smxko01
smxko01 21.03.2024 um 12:26:50 Uhr
Goto Top
@em-pie
Der Test funktioniert. Aber mit der Variante wird das Problem ja nur verlagert. Anforderungen sind:
- Management VLAN tagged an den Trunks / Uplinks aber NICHT untagged auf Uplinks / Access-Ports.

Selbst, wenn ich aus dem MGMT-VLAN der Firewall komme, ist der Switch unter der IP nicht erreichbar. Ich kann als Source Interface für ICMP ja das VLAN auswählen.
Spirit-of-Eli
Spirit-of-Eli 21.03.2024 um 14:23:09 Uhr
Goto Top
Deine Firewall hat auch sicher die 172.17.199.1?
Msch doch mal von der Firewall ein ping AIF den Switche.
em-pie
em-pie 21.03.2024 um 14:45:02 Uhr
Goto Top
@em-pie
Der Test funktioniert. Aber mit der Variante wird das Problem ja nur verlagert. Anforderungen sind:
- Management VLAN tagged an den Trunks / Uplinks aber NICHT untagged auf Uplinks / Access-Ports.

schon klar. Aber der Test sollte zeigen, dass es nicht am tagged/ untagged liegt.

Dann musst du an der Firewall per DNAT arbeiten: ist das Ziel die 172.17.199.0/20, so muss genattet werden, sodass sämtlicher, VLAN-fremder Traffic mit der IP des Interfaces der Firewall, die auch im Subnetz 172.17.199.0/24 liegen muss, ankommt.

@Spirit-of-Eli
Das Problem ist, dass der Switch keinen Zugriff akzeptiert, wenn der Client aus einem anderen IP-Segment/ VLAN kommt.
aqui
aqui 21.03.2024 aktualisiert um 17:52:05 Uhr
Goto Top
Management VLAN tagged an den Trunks / Uplinks aber NICHT untagged auf Uplinks / Access-Ports.
Das ist ja auch Blödsinn und kommt an einem Access Port in einem Netzwerk ja auch so gut wie niemals vor. Dort benutzt man ja ausnahmslos immer die Produktiv VLANs aber ja niemals einen Port der als Access Port untagged im Management VLAN steckt. Gut, Ausnhame wäre vielleicht ein ILO Port aber welchen Vorteil hätte es wenn du da taggst?? Ist und bleinbt ja dann auch unsicher, denn einen VLAN Tag kann sich jeder Laie mit einem Mausklick am Laptop setzen.
Wenn du da sicherheit willst an den Accessports dann machst du dort immer 802.1x Port Security mit einem sentralen. Radius.
Das Problem ist, dass der Switch keinen Zugriff akzeptiert, wenn der Client aus einem anderen IP-Segment/ VLAN kommt.
Sorry aber auch so eine unreflektierte Killeraussage ist doch Unsinn wenn der Switch ein Default Gateway gesetzt hat. Das kann sogar jeder Chinesen Switch vom Blödmarkt Grabbeltisch. Wie kommst du auf sowas?!
smxko01
smxko01 21.03.2024 um 19:33:46 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Deine Firewall hat auch sicher die 172.17.199.1?
Msch doch mal von der Firewall ein ping AIF den Switche.
Funktioniert eben nicht.

Zitat von @em-pie:
Dann musst du an der Firewall per DNAT arbeiten: ist das Ziel die 172.17.199.0/20, so muss genattet werden, sodass sämtlicher, VLAN-fremder Traffic mit der IP des Interfaces der Firewall, die auch im Subnetz 172.17.199.0/24 liegen muss, ankommt.
Wäre folgerichtig, wenn ein Ping von der Firewall aus funktionieren würde. Und ja, ich habe drauf geachtet, dass das ausgehende Interface das Management-VLAN ist und die Absenderadresse entsprechend im selben Subnetz liegt.
Spirit-of-Eli
Spirit-of-Eli 22.03.2024 um 08:40:05 Uhr
Goto Top
kannst du mal die Konfig von dem Switch posten? Irgend wo muss da ja der Haken sein.
smxko01
smxko01 22.03.2024 um 08:58:10 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

kannst du mal die Konfig von dem Switch posten? Irgend wo muss da ja der Haken sein.

Ich denke tatsächlich, dass sich ArubaOS hier korrekt bzw. wie vorgesehen verhält. Das Verhalten ist in dem Reddit-Post ja auch zu Tage gekommen. Der Zugriff geht nur über einen untagged Port im Management-VLAN oder falls das Management-VLAN tagged ist, eben nur per ip route aufs Default Gateway bzw. auf die IP des SVI des VLANs auf der Firewall.
aqui
aqui 22.03.2024 aktualisiert um 10:48:56 Uhr
Goto Top
Der Zugriff geht nur über einen untagged Port im Management-VLAN oder falls das Management-VLAN tagged ist
Das wäre sehr sehr außergewöhnlich denn bei wirklich jedem Switch auf dem Markt vom Billo Chinesen bis zum Catalysten kann logischerweise der Management Zugang auch nur über einen tagged Uplink erfolgen. Andernfalls wären doch dann solche sinnvollen Konfigs mit getrenntem Management VLAN gar nicht möglich.
Man stelle sich mal vor man hat einen 24er Access Switch am L3 Core der nur ein Client VLAN bedient auf seinen 24 Ports und einen Tagged Uplink hat auf den Core. So ein klassisches, millionenfach eigesetztes Szenario wäre nach deiner Theorie dann gar nicht möglich. Das ist natürlich Quatsch, denn genau DAS funktioniert in der Praxis völlig problemlos.
Hier gerade mal auf einer uralten HP ProCurve 25er Gurke getestet und da rennt es absolut fehlerfrei. Wie bei allen anderen VLAN Switches auf der ganzen Welt auch.
Wenn das nicht geht bei dir ist das zu 99,9% ein Konfigurationsfehler!!
Das hiesige VLAN Routing Tutorial beschreibt genau so ein Setup für einen solchen HP Switch!
Spirit-of-Eli
Spirit-of-Eli 22.03.2024 um 10:52:42 Uhr
Goto Top
Ich fahre das gleiche Konstrukt hier auf der 8k Serie. Die Software zu den 6k sind kaum unterschiedlich.

Liefer bitte mal die Konfig. Alles andere ist nur raten im Nebel.
smxko01
smxko01 22.03.2024 um 10:54:30 Uhr
Goto Top
Zitat von @aqui:
Das hiesige VLAN Routing Tutorial beschreibt genau so ein Setup für einen solchen HP Switch!
Sorry, aber in der Config wird der Zugriff über das UNTAGGED Default VLAN 1 abgebildet. Sieht man doch direkt. Dort ist VLAN 1 aufm Uplink zur FW untagged. Daher bleibe ich bei meiner Aussage:
Entweder:
- Zugriff über untagged VLAN mit zugewiesener IP & Default Gateway (wie im Tutorial beschrieben)
Oder:
- Zugriff über tagged VLAN mit zugerwiesener IP & Switch im Routermodus mit Default Route aufs SVI

Zitat von @aqui:
denn bei wirklich jedem Switch vom Billo Chinesen bis zum Catalysten kann logischerweise der Management Zugang auch nur über einen tagged Uplink erfolgen.
Ich habs tatsächlich auch bei einem billigen Netgear getestet. Dort kommst mit dem Setup auch nicht mehr ins Management, eben nur, wenn man übers untagged VLAN drauf geht. Das ist dort nur die einzige Möglichkeit, da der kein L3 kann.
em-pie
em-pie 22.03.2024 um 10:55:41 Uhr
Goto Top
Zitat von @smxko01:
Der Zugriff geht nur über einen untagged Port im Management-VLAN oder falls das Management-VLAN tagged ist, eben nur per ip route aufs Default Gateway bzw. auf die IP des SVI des VLANs auf der Firewall.
Nöööö...
Wenn du einen Rechner hast, der auch mit VLANs umgehen kann, dann mach mal folgendes:
NIC untagged 1, tagged 199 und in beiden VLANs eine IP geben
am Switch, an dem der Endpoint (Rechner) hängt: untagged1, tagged 199
jetzt wirst du sehen, dass du über einen tagged Port, welcher sich im management-VLAN befindet, auch auf den Switch zugreifen kannst.

Das ist grundsätzlich kein schlechtes Fearure: Switche lassen sich so nur innerhalb des Management-VLANs administrieren. Wenn ihr also eine VM/ phys. Rechner habt (haben wir z. B. im Serverraum, für örtliche "Notfälle"), die ausreichend abgeschottet ebenfalls im Management-VLAN angesiedelt ist, kommst du wunderbar an deine Switche dran.

Willst du das alles nicht, hängst du die Switche nach wie vor ins VLAN 199, definierst die Interfaces aber nicht als ManagementVLAN. Dann kommst du da auch aus allen anderen Netzen dran (bzw. gemäß Firewall-Regeln/ ACLs)
Spirit-of-Eli
Spirit-of-Eli 22.03.2024 um 10:57:40 Uhr
Goto Top
Wobei, wartet mal. Das Problem wird wirklich daran liegen, dass der @to nur die L2 Serie betreibt.
Die ist nur abgespeckt.

Ich schau bei Zeiten ins Manual dazu.
smxko01
smxko01 22.03.2024 aktualisiert um 11:13:42 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

Ich fahre das gleiche Konstrukt hier auf der 8k Serie. Die Software zu den 6k sind kaum unterschiedlich.

Liefer bitte mal die Konfig. Alles andere ist nur raten im Nebel.
Den relevanten Part hatte ich eigentlich schon gepostet, aber here you go:
; J9776A Configuration Editor; Created on release #YA.16.10.0013
; Ver #14:41.44.00.04.19.02.13.98.82.34.61.18.28.f3.84.9c.63.ff.37.27:05
hostname "HP-2530-24G"  
ip default-gateway 172.17.199.1
snmp-server community "public"  
vlan 1
   no untagged 1-28
   name "DEFAULT_VLAN"  
   no ip address
   exit
vlan 2
   name "T2-User"  
   tagged 1
   untagged 2-20
   no ip address
   exit
vlan 3
   name "T2-IoT"  
   no ip address
   exit
vlan 5
   name "T2-Gast"  
   no ip address
   exit
vlan 99
   name "T0-MGMT"    
   tagged 1
   ip address 172.17.199.10 255.255.255.0
   exit
no tftp server
no dhcp config-file-update
no dhcp image-file-update
password manager
Spirit-of-Eli
Spirit-of-Eli 22.03.2024 aktualisiert um 11:06:13 Uhr
Goto Top
hostname "HP-2530-24G"

hast du jetzt einen 6100 oder einen HP 2530-24G??

habe jetzt nicht nach der Software gesucht.
smxko01
smxko01 22.03.2024 um 11:08:34 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

hostname "HP-2530-24G"

hast du jetzt einen 6100 oder einen HP 2530-24G??

habe jetzt nicht nach der Software gesucht.

Hostname ist das korrekte Modell. Die 6100 kam nur vom Reddit-Post.
Spirit-of-Eli
Spirit-of-Eli 22.03.2024 um 11:11:59 Uhr
Goto Top
Zitat von @smxko01:
Hostname ist das korrekte Modell. Die 6100 kam nur vom Reddit-Post.

das hätte gerne etwas früher kommen dürfen. Da gelten ganz andere Manuals.
smxko01
smxko01 22.03.2024 um 11:13:01 Uhr
Goto Top
Zitat von @em-pie:

Zitat von @smxko01:
Der Zugriff geht nur über einen untagged Port im Management-VLAN oder falls das Management-VLAN tagged ist, eben nur per ip route aufs Default Gateway bzw. auf die IP des SVI des VLANs auf der Firewall.
Nöööö...
Wenn du einen Rechner hast, der auch mit VLANs umgehen kann, dann mach mal folgendes:
NIC untagged 1, tagged 199 und in beiden VLANs eine IP geben
am Switch, an dem der Endpoint (Rechner) hängt: untagged1, tagged 199
jetzt wirst du sehen, dass du über einen tagged Port, welcher sich im management-VLAN befindet, auch auf den >Switch zugreifen kannst.
Ok, dann gelten hier aber ähnliche Voraussetzungen, nämlich, dass mindestens ein VLAN untagged zu sein hat.
aqui
aqui 22.03.2024 aktualisiert um 11:18:18 Uhr
Goto Top
Sorry, aber in der Config wird der Zugriff über das UNTAGGED Default VLAN 1 abgebildet.
Es ist doch völlig Wumpe auf welches VLAN du die IP Adresse legst!! Soviel "Intelligenz" beim Interpretieren einer Konfig sollte man einem Admin eigentlich auch an einem Freitag 🐟 zutrauen! face-wink
Das kann natürlich immer auch eins der Tagged VLANs sein.
HP_Switch#
time timezone 60
time daylight-time-rule Middle-Europe-and-Portugal
spanning-tree protocol-version rstp
spanning-tree force-version rstp-operation
ip default-gateway 172.16.99.254
exit
interface 1
   name "VLAN Tagged Uplink zur Firewall"
exit
vlan 1
   name "DEFAULT_VLAN"
   exit
vlan 10
   name "Clients"
   untagged 2-24
   tagged 1
   exit
vlan 99
   name "Management"
   ip address 172.16.99.1 255.255.255.0
   tagged 1
   exit 
Damit hat man dann zumindestens 2 der vorgeschriebenen untagged VLANs 1 was unbenutzt als native VLAN mit am Uplink hängt und 24 was die Clients bedient.
smxko01
smxko01 22.03.2024 aktualisiert um 11:18:44 Uhr
Goto Top
Zitat von @aqui:

Sorry, aber in der Config wird der Zugriff über das UNTAGGED Default VLAN 1 abgebildet.
Es ist doch völlig Wumpe auf welches VLAN du die IP Adresse legst!! Das kann natürlich auch eins der Tagged VLANs sein.
Warum ist das Wumpe? Eine IP aufm L2 Switch lege ich nur fürs Management an, sprich die IP kommt ins Management VLAN und nicht irgendwo hin. Rest L3 macht die FW. Genau das macht doch den alles entscheidenden Unterschied gerade, obs Management-VLAN untagged oder tagged ist.
aqui
aqui 22.03.2024 aktualisiert um 11:23:18 Uhr
Goto Top
Eine IP aufm L2 Switch lege ich nur fürs Management an.
Das ist ja per se richtig! Es geht ja hier aber nur darum in welches VLAN man das IP Interface hängt. An der obigen Konfig kannst du ja sehen das es auch bei HP (wie bei allen anderen Switches auch) Wumpe ist in welches VLAN man das Management IP Interface hängt (Zumindestens den alten Procurve Gurken)! face-wink
Da das VLAN 99 dann nur tagged am Uplink hängt geht der Management Traffic dann eben mit 99 tagged über den Uplink...einfache Logik.
Spirit-of-Eli
Spirit-of-Eli 22.03.2024 um 11:20:16 Uhr
Goto Top
Zitat von @smxko01:

Zitat von @aqui:

Sorry, aber in der Config wird der Zugriff über das UNTAGGED Default VLAN 1 abgebildet.
Es ist doch völlig Wumpe auf welches VLAN du die IP Adresse legst!! Das kann natürlich auch eins der Tagged VLANs sein.
Warum ist das Wumpe? Eine IP aufm L2 Switch lege ich nur fürs Management an, sprich die IP kommt ins Management VLAN und nicht irgendwo hin. Rest L3 macht die FW. Genau das macht doch den alles entscheidenden Unterschied gerade, obs Management-VLAN untagged oder tagged ist.

und wenn du jetzt in die anderen Netze auch ne IP am Switch konfigurierst, ist die dann von der Firewall erreichbar?
aqui
aqui 22.03.2024 um 11:22:36 Uhr
Goto Top
jetzt in die anderen Netze auch ne IP am Switch konfigurierst
Das ist auf einem reinen Layer 2 VLAN Switch technisch gar nicht möglich!!
Spirit-of-Eli
Spirit-of-Eli 22.03.2024 um 11:31:24 Uhr
Goto Top
Zitat von @aqui:

jetzt in die anderen Netze auch ne IP am Switch konfigurierst
Das ist auf einem reinen Layer 2 VLAN Switch technisch gar nicht möglich!!

Auch wieder war. Ich hab leider keine L2 Geräte mehr da.
aqui
aqui 08.04.2024 um 15:53:58 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?