3
Vlan Routing zwischen 2 VLANs funktioniert nur auf einer Switch
Hallo Zusammen,
ich habe, aus meiner Sicht, ein etwas größeres Problem.
Das will ich machen:
Ich habe zwei Netze, das eine ist ein reines Datennetz und das andere soll ein Voice-Netz sein. Im Einsatz sind 5x H3C S5500-SI Switche. Für die untenstehende Beschreibung gehe ich von 2 Switchen aus.
Die Switche haben KEIN Stacking Modul, bei diesen Geräten gibt es dies anscheinend nicht mehr. Es gäbe noch die Möglichkeit hier 10Gbit Karten zu beschaffen, diese liegen mir leider nicht vor und ich muss bis Freitag hier eine funktionierende Konfiguration stehen haben. Zum Einsatz kommen VoIP Telefone von Avaya. Der DHCP ist so konfiguriert, dass die Telefone in VLAN 20 booten, erhalten in diesem VLAN 20 eine IP eines VoiP-Servers. Die PCs sind über die Telefone angeschlossen und erhalten aus VLAN 1 Ihre IP.
IST Konfiguration:
Neue Switch 1 (POE):
VLAN 1 (default): 192.168.3.0/24 (Datennetz) / untagged
VLAN 1 interface: 192.168.3.248/24
VLAN 20: 192.168.20.0/24 (Voice Netz) / tagged
VLAN 20 interface: 192.168.20.3 255.255.255.0
IP route-static 0.0.0.0 0.0.0.0 Vlan-interface1 192.168.3.3
Voice-Server ist untagged im VLAN 20.
Neue Switch 2 (POE):
VLAN 1 (default): 192.168.3.0/24 (Datennetz) / untagged
VLAN 1 interface: 192.168.3.247/24
VLAN 20: kein Interface erstellt
IP route-static 0.0.0.0 0.0.0.0 Vlan-interface1 192.168.3.3
Die beiden Switche sind per Ethernetkabel verbunden. Trunk / vlan 1
Firewall
IP: 192.168.3.3
Routingeintrag: Destination 192.168.20.0/24 Gateway 192.168.3.248
Bereits vorhandene Switch: 3Com 5500G-EI
VLAN 1 (default): 192.168.3.0/24 (Datennetz) / untagged
VLAN 1 interface: 192.168.3.250/24
VLAN 20: kein Interface erstellt
Nun zum Problem:
Die Firewall stellt die Verbindung zur bereit vorhandenen Switch her. Von dort aus geht es per LWL auf die neue Switch 2, diese ist per Ethernet im Trunk / Vlan 1 mit der neuen Switch 1 verbunden.
Aus dem Datennetz kann ich das Voice Netz erreichen. Alle Telefone funktionieren auf der ersten Switch. Sobald ich ein Telefon auf der zweiten Switch anschließe, funktioniert das routing nicht. VLAN 20 wird vom Telefon nicht erkannt! An allen Switchen werden jedoch VoIP Telefone angeschlossen.
Der bisherige Grund dafür ist zu einem, dass der Eintrag auf der Firewall als Gateway die 192.168.3.248 hat und somit die anderen Switche nicht kennt. Aber sollten an der Stelle nicht die Switche die Aufgabe erledigen?
Muss hier auf den Switchen evtl. noch eine Route eingetragen werden damit ich es ans Laufen bekomme oder wo ist hier der Konfigurationsfehler?
Ich bin um jeden Kommentar und Rat dankbar.
Viele Grüße,
Smu
ich habe, aus meiner Sicht, ein etwas größeres Problem.
Das will ich machen:
Ich habe zwei Netze, das eine ist ein reines Datennetz und das andere soll ein Voice-Netz sein. Im Einsatz sind 5x H3C S5500-SI Switche. Für die untenstehende Beschreibung gehe ich von 2 Switchen aus.
Die Switche haben KEIN Stacking Modul, bei diesen Geräten gibt es dies anscheinend nicht mehr. Es gäbe noch die Möglichkeit hier 10Gbit Karten zu beschaffen, diese liegen mir leider nicht vor und ich muss bis Freitag hier eine funktionierende Konfiguration stehen haben. Zum Einsatz kommen VoIP Telefone von Avaya. Der DHCP ist so konfiguriert, dass die Telefone in VLAN 20 booten, erhalten in diesem VLAN 20 eine IP eines VoiP-Servers. Die PCs sind über die Telefone angeschlossen und erhalten aus VLAN 1 Ihre IP.
IST Konfiguration:
Neue Switch 1 (POE):
VLAN 1 (default): 192.168.3.0/24 (Datennetz) / untagged
VLAN 1 interface: 192.168.3.248/24
VLAN 20: 192.168.20.0/24 (Voice Netz) / tagged
VLAN 20 interface: 192.168.20.3 255.255.255.0
IP route-static 0.0.0.0 0.0.0.0 Vlan-interface1 192.168.3.3
Voice-Server ist untagged im VLAN 20.
Neue Switch 2 (POE):
VLAN 1 (default): 192.168.3.0/24 (Datennetz) / untagged
VLAN 1 interface: 192.168.3.247/24
VLAN 20: kein Interface erstellt
IP route-static 0.0.0.0 0.0.0.0 Vlan-interface1 192.168.3.3
Die beiden Switche sind per Ethernetkabel verbunden. Trunk / vlan 1
Firewall
IP: 192.168.3.3
Routingeintrag: Destination 192.168.20.0/24 Gateway 192.168.3.248
Bereits vorhandene Switch: 3Com 5500G-EI
VLAN 1 (default): 192.168.3.0/24 (Datennetz) / untagged
VLAN 1 interface: 192.168.3.250/24
VLAN 20: kein Interface erstellt
Nun zum Problem:
Die Firewall stellt die Verbindung zur bereit vorhandenen Switch her. Von dort aus geht es per LWL auf die neue Switch 2, diese ist per Ethernet im Trunk / Vlan 1 mit der neuen Switch 1 verbunden.
Aus dem Datennetz kann ich das Voice Netz erreichen. Alle Telefone funktionieren auf der ersten Switch. Sobald ich ein Telefon auf der zweiten Switch anschließe, funktioniert das routing nicht. VLAN 20 wird vom Telefon nicht erkannt! An allen Switchen werden jedoch VoIP Telefone angeschlossen.
Der bisherige Grund dafür ist zu einem, dass der Eintrag auf der Firewall als Gateway die 192.168.3.248 hat und somit die anderen Switche nicht kennt. Aber sollten an der Stelle nicht die Switche die Aufgabe erledigen?
Muss hier auf den Switchen evtl. noch eine Route eingetragen werden damit ich es ans Laufen bekomme oder wo ist hier der Konfigurationsfehler?
Ich bin um jeden Kommentar und Rat dankbar.
Viele Grüße,
Smu
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176725
Url: https://administrator.de/contentid/176725
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
du musst den Uplink der Switches das VLAN20 tagged mitgeben - ansonsten kommt es auf den anderen Swichen erst garnicht an, dann auf den anderen Switchen auch ein VLAN20 einrichten und dort auch dem Trunk/Uplink VLAN20 Tagged mitgeben - dann kommt es auch auf den ersten Switch und der FW an
Aber was anderes, du schreibst das du die PC's am Telefon durchschleifen möchtest, dazu musst du aber die Config am Switch komplett anders einrichten!
Ein paar Grundlegende Sachen:
- alle Ports auf DualMode stellen, damit diese getaggte und ungetaggte Frames akzeptieren (sofern die Switche das können ...)
- einen Port VLAN20 untagged konfigurieren und dort die Telefonanlage anschließen
- alle PoE Ports auf Tagged VLAN20 und untagged default_vlan stellen (man kann es nicht taggen)
- alle Telefone auf Tagged VLAN20 stellen und den UplinkPort aktivieren
- am Switch QoS - am einfachsten mit Layer 3 DifServ einstellen
Alternative zu DualMode:
- VLAN Zuweisung anhand von ACL (Aufwendiger zum einrichten)
Nun kannst du die Telefone am PoE anschließen - bedenke aber das die meisten VoIP Telefon nur 100Mbit Uplink am LAN Port liefern
grobe Config wie es aussehen kann
(ungeprüft aus dem Gedächniss geschrieben)
Im allgemeinen wird dort ein LCAP von Port 1+2 am Switch erstellt, alle Ports mit einem Tagged VLAN 20 versehen und RSPT eingerichret - sollte an Grundconfig reichen (CLI Command variieren aber von Hersteller zu Hersteller)
Edit / Add: VLAN Config zu finden unter: http://www.h3c.com/portal/Technical_Support___Documents/Technical_Docum ...
du musst den Uplink der Switches das VLAN20 tagged mitgeben - ansonsten kommt es auf den anderen Swichen erst garnicht an, dann auf den anderen Switchen auch ein VLAN20 einrichten und dort auch dem Trunk/Uplink VLAN20 Tagged mitgeben - dann kommt es auch auf den ersten Switch und der FW an
Aber was anderes, du schreibst das du die PC's am Telefon durchschleifen möchtest, dazu musst du aber die Config am Switch komplett anders einrichten!
Ein paar Grundlegende Sachen:
- alle Ports auf DualMode stellen, damit diese getaggte und ungetaggte Frames akzeptieren (sofern die Switche das können ...)
- einen Port VLAN20 untagged konfigurieren und dort die Telefonanlage anschließen
- alle PoE Ports auf Tagged VLAN20 und untagged default_vlan stellen (man kann es nicht taggen)
- alle Telefone auf Tagged VLAN20 stellen und den UplinkPort aktivieren
- am Switch QoS - am einfachsten mit Layer 3 DifServ einstellen
Alternative zu DualMode:
- VLAN Zuweisung anhand von ACL (Aufwendiger zum einrichten)
Nun kannst du die Telefone am PoE anschließen - bedenke aber das die meisten VoIP Telefon nur 100Mbit Uplink am LAN Port liefern
grobe Config wie es aussehen kann
conf t
ip address 192.168.3.xx/24
ip default gateway 192.168.3.3
ip dns server x.x.x.x
enable super-user-password xyz
sntp-server x.x.x.x
snmp-server community public ro
snmp-server location Besenkammer
lldp run
vlan 20 name voice
tagged e 1/1 to 1/48
sapnning tree 802.1w
exit
vlan 1 name DEFAULT_VLAN
spanning tree 802.1w
exit
interface ethernet 1/1 to 1/48
trust dscp
dual mode
exit
// Uplink
interface ethernet 1/1 to 1/2
link-aggregation conf key 12000
link-aggregation active
sflow forwarding
exit
write mem / oder copy running-config startup-configIm allgemeinen wird dort ein LCAP von Port 1+2 am Switch erstellt, alle Ports mit einem Tagged VLAN 20 versehen und RSPT eingerichret - sollte an Grundconfig reichen (CLI Command variieren aber von Hersteller zu Hersteller)
Edit / Add: VLAN Config zu finden unter: http://www.h3c.com/portal/Technical_Support___Documents/Technical_Docum ...
Morgen,
mein Kollege hat mich gestern Abend noch auf die gleiche Idee gebracht. Ich hatte die Uplink Ports nicht alle korrekt konfiguriert. Dies habe ich gestern Abend bei einem Wartungsfenster noch machen können - und siehe da, es läuft
Das VLAN 20 war überall bekannt, die Switche konnten nur nichts damit anfangen, da sie halt nicht alle den Trunk Port hatten.
Ich habe es nun so gelöst, dass ich eine Core Switch habe. Auf allen Switchen habe ich die route 0.0.0.0 / 0.0.0.0 / 192.168.3.248 eingetragen, da ich ja auf der Firewall das Netz 192.168.20.0/24 auf die 192.168.3.248 route.
Auf der 192.168.3.248 habe ich natürlich die route zur Firewall hinterlegt: 0.0.0.0 / 0.0.0.0 / 192.168.3.3
Den Rest deiner Erklärung hatte ich bereits, aber es hat noch nicht geklappt, das VLAN 20 als Voice zu deklarieren. Das werde ich mir gleich anschauen.
Vielen Dank für deine spontanen, guten Ausführungen!
Cheers...
mein Kollege hat mich gestern Abend noch auf die gleiche Idee gebracht. Ich hatte die Uplink Ports nicht alle korrekt konfiguriert. Dies habe ich gestern Abend bei einem Wartungsfenster noch machen können - und siehe da, es läuft
Das VLAN 20 war überall bekannt, die Switche konnten nur nichts damit anfangen, da sie halt nicht alle den Trunk Port hatten.
Ich habe es nun so gelöst, dass ich eine Core Switch habe. Auf allen Switchen habe ich die route 0.0.0.0 / 0.0.0.0 / 192.168.3.248 eingetragen, da ich ja auf der Firewall das Netz 192.168.20.0/24 auf die 192.168.3.248 route.
Auf der 192.168.3.248 habe ich natürlich die route zur Firewall hinterlegt: 0.0.0.0 / 0.0.0.0 / 192.168.3.3
Den Rest deiner Erklärung hatte ich bereits, aber es hat noch nicht geklappt, das VLAN 20 als Voice zu deklarieren. Das werde ich mir gleich anschauen.
Vielen Dank für deine spontanen, guten Ausführungen!
Cheers...
Mmmmhhh, ganz korrekt ist deine Beschreibung allerdings nicht.
Wie man ja unschwer sehen kann routet dein Switch 1 ja auch. An dem hast du in beiden VLANs ein IP Interface eingestellt und damit hast du dort auch ein Routing zwischen den beiden VLANs aktiv.
Soll das nicht der Fall sein und willst du ausschliesslich diese beiden VLANs nur über die Firewall routen dann darfst du niemals ein IP Interface ins VLAN 20 konfigurieren !
Ansonsten hast du hier ja einen "Backdoor Router" der dann eine Firewall (und damit die Sicherheit zw. diesen Netzen) völlig überflüssig macht.
Mag aber auch sein das deine o.a. verwirrende Erklärung das durcheinandergewürfelt hat.
Ein paar Beispiele findest du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenns das denn war
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Wie man ja unschwer sehen kann routet dein Switch 1 ja auch. An dem hast du in beiden VLANs ein IP Interface eingestellt und damit hast du dort auch ein Routing zwischen den beiden VLANs aktiv.
Soll das nicht der Fall sein und willst du ausschliesslich diese beiden VLANs nur über die Firewall routen dann darfst du niemals ein IP Interface ins VLAN 20 konfigurieren !
Ansonsten hast du hier ja einen "Backdoor Router" der dann eine Firewall (und damit die Sicherheit zw. diesen Netzen) völlig überflüssig macht.
Mag aber auch sein das deine o.a. verwirrende Erklärung das durcheinandergewürfelt hat.
Ein paar Beispiele findest du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenns das denn war
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
