8
VLAN Konfigurations-Problem
Hallo zusammen!
ich habe ein Problem mit der Konfiguration von VLANs. Etwas vereinfacht dargestellt habe ich einen Switch mit 48 Ports (Dell 5548) und eine Firewall.
Der Switche soll folgende Konfiguration bekommen:
Port 1 bis 41 = Default VLAN ID 1
Port 42 = VLAN ID 2
Port 43 bis 48 = VLAN ID 3 und VLAN ID 3
Der Port 42 hängt an einer Firewall die wiederum keine gettagten Packete erwartet, da an dem Firewall-Port kein VLAN konfiguriert ist
Nun sollen Pakete mit der VLAN ID 2 von den Ports 43-48 über den Port 42 zur Firewall gelangen.
Konfiguriert habe ich auf den Ports 43- 48 Tagged VLAN ID 2 und ID 3 (Dell Einstellung: generell)
Eigentlich müsste ich den Port 42 als Untagged mit VLAN ID 2 konfigurieren, aber ich kann dann nicht zwischen Port 42 und den Ports 43-38 einen Ping-Test machen. Erst wenn ich den Port 42 auf tagged VLAN ID2 setzte, kann zwischen den Ports pingen, aber dann kommen scheinbar meine Pakete nicht zur Firewall.
Habe ich eine Denkfehler gemacht?
ich habe ein Problem mit der Konfiguration von VLANs. Etwas vereinfacht dargestellt habe ich einen Switch mit 48 Ports (Dell 5548) und eine Firewall.
Der Switche soll folgende Konfiguration bekommen:
Port 1 bis 41 = Default VLAN ID 1
Port 42 = VLAN ID 2
Port 43 bis 48 = VLAN ID 3 und VLAN ID 3
Der Port 42 hängt an einer Firewall die wiederum keine gettagten Packete erwartet, da an dem Firewall-Port kein VLAN konfiguriert ist
Nun sollen Pakete mit der VLAN ID 2 von den Ports 43-48 über den Port 42 zur Firewall gelangen.
Konfiguriert habe ich auf den Ports 43- 48 Tagged VLAN ID 2 und ID 3 (Dell Einstellung: generell)
Eigentlich müsste ich den Port 42 als Untagged mit VLAN ID 2 konfigurieren, aber ich kann dann nicht zwischen Port 42 und den Ports 43-38 einen Ping-Test machen. Erst wenn ich den Port 42 auf tagged VLAN ID2 setzte, kann zwischen den Ports pingen, aber dann kommen scheinbar meine Pakete nicht zur Firewall.
Habe ich eine Denkfehler gemacht?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218766
Url: https://administrator.de/contentid/218766
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Merken musst du dir folgende Regel: TAGGED -> TAGGED ; UNTAGGED ->UNTAGGED ...
Sollte es eine Portbasierende VLAN Geschichte sein (und danach sieht es aus) macht das TAGGEN von Pakten nur Sinn wenn du einen sogenannten Trunkport betreibst, sprich: Ein Port über den mehrere VLAN's laufen die Gegenstelle, Beispielweise ein Layer 3 Switch oder Router muss ebenfalls ein trunk, mit den selben VLAN'S haben.
Was hängt denn bei dir an Port 43-48 tagged ? .... Also Pakete von welchem Device sind zu erwarten ?
Sollte es eine Portbasierende VLAN Geschichte sein (und danach sieht es aus) macht das TAGGEN von Pakten nur Sinn wenn du einen sogenannten Trunkport betreibst, sprich: Ein Port über den mehrere VLAN's laufen die Gegenstelle, Beispielweise ein Layer 3 Switch oder Router muss ebenfalls ein trunk, mit den selben VLAN'S haben.
Was hängt denn bei dir an Port 43-48 tagged ? .... Also Pakete von welchem Device sind zu erwarten ?
1
Hallo Yannosch, Danke für Deine Antwort. Im Grunde genommen baue ich eine Konfiguration eines HP-Switches (2900-24G) nach, der ersetzt werden soll.
Dort war der Firewallport (Port 17) auf Untagged VLAN ID 2 gesetzt und die Port2 18-20 haben Tagged VLAN ID 2 und VLAN ID 3
An den Dell Ports 43-48 (bzw. bei HP 18-20) liegen VMWare ESX-Server und zwar die Netzwerkkarten einer DMZ mit VLAN ID 2 und VLAN ID 3. Die VLAN ID 3 soll nur zwischen den Ports 43-48 verfügbar sein (das funktioniert). Über die VLAN ID 2 soll von den VmWareServern SMTP-Traffic über Port 42 an die Firewall gesendet werden.
Wenn ich Deine Regel so interpretiere, dass Tagged nur über Tagged Ports geht, frage ich mich allerdings wie das bisher mit dem HP funktioniert?
Dort war der Firewallport (Port 17) auf Untagged VLAN ID 2 gesetzt und die Port2 18-20 haben Tagged VLAN ID 2 und VLAN ID 3
An den Dell Ports 43-48 (bzw. bei HP 18-20) liegen VMWare ESX-Server und zwar die Netzwerkkarten einer DMZ mit VLAN ID 2 und VLAN ID 3. Die VLAN ID 3 soll nur zwischen den Ports 43-48 verfügbar sein (das funktioniert). Über die VLAN ID 2 soll von den VmWareServern SMTP-Traffic über Port 42 an die Firewall gesendet werden.
Wenn ich Deine Regel so interpretiere, dass Tagged nur über Tagged Ports geht, frage ich mich allerdings wie das bisher mit dem HP funktioniert?
Vielleicht irgendwo ein geringfügiger Unterschied in der Konfiguration ... also angenommen:
SWTICH A (port 48, vlan 1,3,8,10 tagged) SWITCH B (port 47, vlan 1,3,8,10 tagged)
[x_x_x_x_x_x_]----------------------------------------------[x_x_x_x_x_x_]
Wenn nun also ein Kabel zwischen Switch A p. 48 und Switch B p.47 liegt dann müssen die Pakete getagged werden auf beiden Seiten.
Sollte also ein mit vlan 3 getaggtes Packet von Switch A zu Switch B gesendet werden, dann kann das Paket auf Switch B NURNOCH von den Ports verarbeitet werden die das VLAN 3 als untagged drinhaben ...
Ich glaube du musst die Logik dahinter nochmal genauer durchleuchten ...
Liebe Grüße von
Y@nnosch!
SWTICH A (port 48, vlan 1,3,8,10 tagged) SWITCH B (port 47, vlan 1,3,8,10 tagged)
[x_x_x_x_x_x_]----------------------------------------------[x_x_x_x_x_x_]
Wenn nun also ein Kabel zwischen Switch A p. 48 und Switch B p.47 liegt dann müssen die Pakete getagged werden auf beiden Seiten.
Sollte also ein mit vlan 3 getaggtes Packet von Switch A zu Switch B gesendet werden, dann kann das Paket auf Switch B NURNOCH von den Ports verarbeitet werden die das VLAN 3 als untagged drinhaben ...
Ich glaube du musst die Logik dahinter nochmal genauer durchleuchten ...
Liebe Grüße von
Y@nnosch!
Hm, weiß jetzt auch nicht so recht weiter.
Mal grundsätzlich gefragt, wenn meine Firewall, die auf Port 42 liegt, keine getaggten Pakete erwartet, dann müsste ich den Port 42 doch auf Untagged stellen, oder?
Mal grundsätzlich gefragt, wenn meine Firewall, die auf Port 42 liegt, keine getaggten Pakete erwartet, dann müsste ich den Port 42 doch auf Untagged stellen, oder?
Meines Wissens nach schon ... Probieren geht über studieren ...
Stell den Port mal auf Untagged und sag mir dann ob es funktioniert ...
Liebe Grüße von
Y@nnosch!
Stell den Port mal auf Untagged und sag mir dann ob es funktioniert ...
Liebe Grüße von
Y@nnosch!
Unttaged hatte ich den Port 42 schon gestellt, aber dann funktionierte eben das Pingen zwischen den Ports 42 und 43-48 nicht mehr (was bei der Einstallung Tagged funktioniert). Dell unterscheidet allerdings auch noch den "Port VLAN Mode". Hier gibt es noch Einstellungen u.A. zwischen "General" und "Access". Vielleicht liegt hier das Problem?
Probieren kann ich es erst wieder die Tage
Probieren kann ich es erst wieder die Tage
Höchstwarscheinlich, weil du meiner Meinung nach versuchst das ganze VLAN basierend zu machen ... Dann müsste Port VLAN aktiviert sein ... aber dann wird es wieder gerätespezifisch ... Probiers nochmal aus und spiel halt ein wenig mit den Parametern ...
Meld' dich mal
Liebe Grüße von
Y@nnosch!
Meld' dich mal
Liebe Grüße von
Y@nnosch!
Hallo,
schau dir mal das Manual des Switches genauer an.
Und gucke mal was die Modes und die restlichen Einstellungen genau machen. Dann gehe logisch vor und versuche das was du über VLANs weißt in DELL-Sprache umzusetzen.
Hier z.B. ein Absatz zum General Mode aus dem Manual:
RTFM ist bei VLAN konfigurationen in heterogenen Netzwerk-Infrastrukturen immer angebracht.
Also mein Rat:
Lies dir die VLAN-Konfigurationsmöglichkeiten im Handbuch des Switches genau durch.
Gruß,
holyone
schau dir mal das Manual des Switches genauer an.
Und gucke mal was die Modes und die restlichen Einstellungen genau machen. Dann gehe logisch vor und versuche das was du über VLANs weißt in DELL-Sprache umzusetzen.
Hier z.B. ein Absatz zum General Mode aus dem Manual:
Ports set to General mode may be members of multiple VLANs. Each of these VLANs may be configured to be tagged or untagged. This setting applies to transmitted frames. Incoming untagged frames are classified into the VLAN whose VID is the currently configured PVID.
RTFM ist bei VLAN konfigurationen in heterogenen Netzwerk-Infrastrukturen immer angebracht.
Also mein Rat:
Lies dir die VLAN-Konfigurationsmöglichkeiten im Handbuch des Switches genau durch.
Gruß,
holyone
