6
VLAN Struktur mit Tagged und untagged Ports - untereinander erreichbar
Hallo zusammen,
ich habe auf ein paar HP Geräten mehrere VLANs erstellt (VLAN 10, 20, 30, 40). Das hat auch soweit alles wunderbar funktioniert. Folgende Struktur ist momentan vorhanden:
Switch A : Port 1-10 im untagged VLAN 10 Port 11-20 untagged VLAN 20, Port 20-30 untagged VLAN30, Port 30-40 untagged VLAN40. Port 51 SFP Modul mit Trunk Port (tagged VLAN 10,20,30,40).
Switch B : Port 1-10 im untagged VLAN 10 Port 11-20 untagged VLAN 20, Port 20-30 untagged VLAN30, Port 30-40 untagged VLAN40. Port 51 SFP Modul mit Trunk Port (tagged VLAN 10,20,30,40).
Beide Switches sind via dem SFP Port 51 via dem Trunk Port verbunden.
Als Router und Firewall ist eine Sophos UTM im Einsatz, welche auch die IP-Ranges der einzelnen VLANs vergibt.
Soweit hat das Einrichten gut funktioniert und die Endgeräte hängen seperat in ihrem eigenen VLAN mit unterschiedlichen IPs.
Nun ist es aber so das die untagged Ports untereinander kommunizieren können. Sprich ich kann von einem VLAN10 Client in das VLAN20 Netz kommunizieren.
Ist es nicht so, dass Switchports welche mit einem VLAN untagged Port versehen sind nur in diesem VLAN kommunizieren können?
Danke und Gruss
ich habe auf ein paar HP Geräten mehrere VLANs erstellt (VLAN 10, 20, 30, 40). Das hat auch soweit alles wunderbar funktioniert. Folgende Struktur ist momentan vorhanden:
Switch A : Port 1-10 im untagged VLAN 10 Port 11-20 untagged VLAN 20, Port 20-30 untagged VLAN30, Port 30-40 untagged VLAN40. Port 51 SFP Modul mit Trunk Port (tagged VLAN 10,20,30,40).
Switch B : Port 1-10 im untagged VLAN 10 Port 11-20 untagged VLAN 20, Port 20-30 untagged VLAN30, Port 30-40 untagged VLAN40. Port 51 SFP Modul mit Trunk Port (tagged VLAN 10,20,30,40).
Beide Switches sind via dem SFP Port 51 via dem Trunk Port verbunden.
Als Router und Firewall ist eine Sophos UTM im Einsatz, welche auch die IP-Ranges der einzelnen VLANs vergibt.
Soweit hat das Einrichten gut funktioniert und die Endgeräte hängen seperat in ihrem eigenen VLAN mit unterschiedlichen IPs.
Nun ist es aber so das die untagged Ports untereinander kommunizieren können. Sprich ich kann von einem VLAN10 Client in das VLAN20 Netz kommunizieren.
Ist es nicht so, dass Switchports welche mit einem VLAN untagged Port versehen sind nur in diesem VLAN kommunizieren können?
Danke und Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 519004
Url: https://administrator.de/contentid/519004
Printed on: April 26, 2024 at 10:04 o'clock
6 Comments
Latest comment
Ich nehme an du hast das Default VLAN 1, was bei HP Switchen standardmäßig ausgeliefert wird, deaktiviert auf den Ports?
Moin,
Die Subnetze der VLANs sind ja disjunkt, oder?
lg,
Slainte
Ich nehme an du hast das Default VLAN 1, was bei HP Switchen standardmäßig ausgeliefert wird, deaktiviert auf den Ports?
Nicht nötig. Ein Port kann immer nur in einem VLAN untagged sein...VLAN10 Client in das VLAN20 Netz kommunizieren.
Evtl. existiert ein Routing zwischen den VLANs?Die Subnetze der VLANs sind ja disjunkt, oder?
lg,
Slainte
Zitat von @Komabaer:
Ich nehme an du hast das Default VLAN 1, was bei HP Switchen standardmäßig ausgeliefert wird, deaktiviert auf den Ports?
Ich nehme an du hast das Default VLAN 1, was bei HP Switchen standardmäßig ausgeliefert wird, deaktiviert auf den Ports?
Also das native VLAN1 ist überall auf excluded konfiguriert, also deaktiviert.
Evtl. existiert ein Routing zwischen den VLANs?
Soweit ist kein Routing unter den verschiedenen VLANs eingerichtet. Ich müsste mal schauen ob die Sophos standardmässig alle VLANs untereinander verbindet.
Die Subnetze der VLANs sind ja disjunkt, oder?
Was ist disjunkt?
Angenommen, die UTM ist dein Router für alle Netze und dein Switch hat nur eine IP-Adresse im Management-VLAN, dann kann das Problem eigentlich nur auf der UTM liegen.
Was genau heißt denn "kommunizieren" in
Ping? -> Passt die Firewalleinstellung zu ping oder ist die Funktion zum Weiterleiten von Pings über das Gateway aktiv? In dem Fall ginge nur ping durch, kann also als gewünscht ignoriert oder deaktiviert werden.
HTTP/HTTPS? -> Ist der Webfilter aktiv und richtig konfiguriert? Im letzten Reiter gibt es ziemlich mittig einen Haken, der unter Umständen die Kommunikation zwischen deinen Netzen erlaubt, obwohl per Firewall eigentlich nicht zugelassen. Hab die genaue Bezeichnung jetzt nicht im Kopf...
Anderer Traffic? -> Mal ein pcap auf der UTM abziehen und analysieren, ob der Traffic tatsächlich über die UTM läuft. Falls nein, Wireshark auf dem Client und das verwendete Gateway ausfindig machen. Falls ja, Firewallregeln und "automatische Regeln" kontrollieren.
Was genau heißt denn "kommunizieren" in
Zitat von @staybb:
Nun ist es aber so das die untagged Ports untereinander kommunizieren können. Sprich ich kann von einem VLAN10 Client in das VLAN20 Netz kommunizieren.
Nun ist es aber so das die untagged Ports untereinander kommunizieren können. Sprich ich kann von einem VLAN10 Client in das VLAN20 Netz kommunizieren.
Ping? -> Passt die Firewalleinstellung zu ping oder ist die Funktion zum Weiterleiten von Pings über das Gateway aktiv? In dem Fall ginge nur ping durch, kann also als gewünscht ignoriert oder deaktiviert werden.
HTTP/HTTPS? -> Ist der Webfilter aktiv und richtig konfiguriert? Im letzten Reiter gibt es ziemlich mittig einen Haken, der unter Umständen die Kommunikation zwischen deinen Netzen erlaubt, obwohl per Firewall eigentlich nicht zugelassen. Hab die genaue Bezeichnung jetzt nicht im Kopf...
Anderer Traffic? -> Mal ein pcap auf der UTM abziehen und analysieren, ob der Traffic tatsächlich über die UTM läuft. Falls nein, Wireshark auf dem Client und das verwendete Gateway ausfindig machen. Falls ja, Firewallregeln und "automatische Regeln" kontrollieren.
Danke ich werde das auf der UTM alles mal prüfen. Ein Webfilter ist da nicht aktiv.
Mir ging es generell eher um die Grundverständnisfrage bei untagged VLAN Ports, ob diese dann nicht von grund auf untereinander in den verschiedenen untagged VLAN Ports nicht miteinander kommunizieren können, ohne das irgend eine Firewall Regel oder sonstiges aktiv ist.
Mir ging es generell eher um die Grundverständnisfrage bei untagged VLAN Ports, ob diese dann nicht von grund auf untereinander in den verschiedenen untagged VLAN Ports nicht miteinander kommunizieren können, ohne das irgend eine Firewall Regel oder sonstiges aktiv ist.