Vlan über W2k12

Mitglied: thomas-99

thomas-99 (Level 1) - Jetzt verbinden

22.02.2021 um 09:07 Uhr, 302 Aufrufe, 3 Kommentare

Hallo Zusammen,

wir haben ein Netzwerk, was jetzt segmentiert werden soll. Habe dazu einen ersten Test angelegt und stecke fest, bzw. mein Test PC auf Vlan 20 Port bekommt keine IP vom DHCP.

Zur Konfig:
Sophos FW UTM (10.10.0.254 Gateway)
Xenserver7
(vSwitch auf Nic0 mit Vlan 20 angelegt – Nic0 ist auch das produktive Netz)
- DC/AD
--- DHCP 10.10.0.0 (10.10.0.50 – 10.10.0.200)
--- DHCP 10.10.20.0 (10.10.20.50 – 10.10.20.200)
--- Hauptnetz produktiv 10.10.0.1, 10.10.0.254 GW
--- NIC Team erstellt auf Nic0 (Switchunabhänig, Adresshash)
--- Teamschnittstelle Vlan 20 dem DC hinzugefügt – IP 10.10.20.254 kein GW

TPLink Switch T1600G-28TS 3.0
Port 2 Tagged, Port 26 Tagged (Glasfaser)
Layer3 DHCP Ralay und DHCP 2 Relay = aktiv
Interface Config: 10.10.20.254 255.255.255.0 Vlan 20

HPE OfficeConnect Switch 1920S 24G 2SFP PPoE
Port 1 Only Untagged (zum test PC)
Port 26 (Glasfaser zu TP Link Port 26) Only Tagged

NIC Team nimmt den gesamten Traffic entgegen. Sind Pakete dabei die vom Switch mit Vlan 20 markiert sind, übernimmt der DHCP 10.10.20.0 und gibt eine IP aus dem Netz zurück. Klappt allerdings so nicht. Wo ist der Fehler?

Danke für einen Tipp dazu.
Ciao thomas
Mitglied: aqui
22.02.2021, aktualisiert um 09:28 Uhr
NIC Teaming versteht man jetzt als Link Aggregation also einen LACP LAG, ist das richtig ?
Sehr wahrscheinlich hast du hier den falschen LAG Algorithmus verwendet und machst keinen nach 802.3ad Standard konformen LAG mit LACP, kann das ggf sein ?
Der Netzwerk Switch versteht nur LACP LAGs.
Siehe zum Thema LACP LAGs auch diese Threads inkl. Switch Konfigs (auch TP-Link):
https://administrator.de/tutorial/mikrotik-vlan-konfiguration-routeros-v ...
https://administrator.de/tutorial/netzwerk-management-server-raspberry-p ...
Grundlagen zu Link Aggregation auch hier:
https://administrator.de/contentid/271465#comment-1008836

Was ein Layer 2 Switch mit PPPoE zu tun haben soll (HP oben) ist auch etwas unverständlich, denn das ist kein Switch Feature.
Die Anordnung der 2 Switches versteht man jetzt so das der TP-Link als Layer 3 Switch der "Core" ist also zentral zwischen den VLANs routen soll und die HP Gurke nur ein reiner Layer 2 Access Switch ist der mit einem tagged Uplink am TP-Link hängt. Ein klassisches Layer 3 Netzwerk Konzept also wie z.B. in diesem Beispiel zu sehen:
l3 - Klicke auf das Bild, um es zu vergrößern
Ist das so richtig ?
Auf welchem Switch terminiert der LAG ?
Bitte warten ..
Mitglied: thomas-99
22.02.2021 um 14:52 Uhr
Hi aqui,

danke für deine Rückmeldung. Ja das Schema ist korrekt. Der Layer 3 verteilt alles an die HP Switche und die waren schon da, ist nicht meine erste Wahl. Aber gut - er wird es tun. PPPoE brauchen die Access Points. Die bekommen dann ihr eigenes Vlan.
Ein LAG muss immer aus zwei Ports bestehen?
Ich habe auf dem TP-Link nur einen Glasfaser Port. Von da geht die Dark Fiber in eine andere Halle zu den HP Switches. Die haben selber zwei Glasfaser Ports - Port 1 (kommt von TP Link) Port 2 (geht zum nächsten HP Switch) und dann weiter über alle Stockwerke bis in eine weitere Halle.
In deinem Schema sind auf Layer 3 Switch Vlan 20 Ports verfügbar. Das war auch mein Ansatz für heute, um die Core Stufe zu testen. Wenn ich ein Notebook auf einen Vlan 20 einstecke, bekommt es keine IP. Also ist da schon etwas nicht ok!?!?

Ich muss das irgendwie einkreisen. Die Team Schnittstelle Vlan 20 unter W2K12 zeigt an, dass Pakete versendet werden. Empfang immer 0. Habe alle Firewalls Offline geschaltet, selbst die ipTables vom Xenserver sind Off.

Hast du noch eine Idee?
Danke Ciao thomas
Bitte warten ..
Mitglied: aqui
22.02.2021, aktualisiert um 16:28 Uhr
PPPoE brauchen die Access Points. Die bekommen dann ihr eigenes Vlan.
Das ist natürlich technischer Quatsch. Das sind getaggte Ports an denen solche MSSID APs hängen. Kein AP nutzt in einem lokalen LAN PPPoE geschweige denn kann sowas vom Featureset. Guckst du dazu auch hier:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Aber egal...andere Baustelle und nicht das Thema hier.
Ein LAG muss immer aus zwei Ports bestehen?
Nein, nicht zwingend. Nur LAG heisst ja Link Aggregation oder auch Teaming und wie der Name schon sagt das Bündeln von Links.
Es können 2, 3, 4 oder noch mehr sein. Viele Billighersteller begrenzen aber die max. Anzahl an LAB Member Links auf 8.
Nur um es nochmal zu wiederholen....
Du solltest hier dringenst darauf achten das du den Terminus "Trunk" richtig definierst. Der ist hochgradig doppeldeutig.
Trunk in Cisco Bedeutung = Normaler Tagged Uplink zwischen Switches bzw. Endgeräten mit VLAN Tagging
Trunk Bedeutung im Rest der Netzwerk Welt = Eine Link Aggregation (LAG) mit 2 oder mehr Ports
Nicht das wir uns hier alle im Kreis drehen und aneinander vorbeireden weil du die falschen Ausdrücke und Bezeichnungen nutzt, das wäre wenig zielführend für eine Lösung.
So wie du es oben beschreibst ("Ich habe auf dem TP-Link nur einen Glasfaser Port.") handelt es sich hier dann dann um keine Link Aggregation sondern nur um einen simplen Tagged Uplink der die Switches und ihre VLAN Informationen miteinander verbindet wie es HIER die VLAN Schnellschulung beschreibt.
Mit anderen Worten vergiss all den LAG Kram von oben. Was du dann konfigurieren musst sind keine LAGs sondern nur simple Tagged Ports. Verwirrend ist dein "NIC Team" und "Team Schnittstelle" Ausdruck oben...

Der TP-Link Glasfaser Port muss so eingestellt sein:
  • UNtagged Member in VLAN 1
  • PVID 1
  • Tagged Member in allen anderen VLANs

HP LWL Switchports (Beispiel Ports 25 und 26) so (Beispiel mit VLAN 1, 10 und 20):
vlan 1
name "DEFAULT_VLAN"
untagged 1-9, 25-26
ip address 172.16.1.254 255.255.255.0
exit
vlan 10
name "Firma"
untagged 10-11
tagged 25-26
exit
vlan 20
name "Firmen WLAN"
untagged 12-13
tagged 25-26
exit

Damit sollte das dann fehlerfrei klappen.

Nebenbei ist so eine lineare Vernetzung aller Switches nacheinander ein denkbar schlechtes und laienhaftes Netzdesign was leider von wenig Netzwerk KnowHow zeugt. Bei Redundanz kann es da gravierende Nachteile geben.
Ethernet Designs sind immer sternförmig wie du an der Prinzipzeichnung oben ja ersehen kannst. Lineare "Kettenvernetzung" gilt es, wenn irgend möglich, immer zu vermeiden oder wenn dann niemals länger als maximal 3 Switch Hops.
Das aber nur nebenbei.
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
0-day Exploit Chain für Exchange Server - Patches verfügbar
kgbornVor 1 TagInformationExchange Server6 Kommentare

Zur Info: Microsoft warnt vor einer Exploit-Chain, bei der vier 0-day-Schwachstellen für gezielte Angriffe auf Exchange per Outlook Web App kombiniert werden (eine chines. ...

HTML
Ich brauche dringend Hilfe !
gelöst JulianpustVor 15 StundenFrageHTML16 Kommentare

Hallo erstmal, ich habe großen Mist gebaut in der Firma wo ich gerade mal 2 Tage arbeite. Was ist passiert: Ich sollte von Gmail ...

Windows 10
Windows 10 schickt lokale Anfragen an das Gateway - was tun?
gelöst runthegaunzVor 1 TagFrageWindows 1015 Kommentare

Hallo! Ich bin vor ein paar Tagen wieder von Linux auf Windows umgestiegen. Ich hab die Windows 10 Version 20H2 installiert, wurde von Windows ...

Switche und Hubs
23 Cisco Switch einrichten - Wie am einfachsten?
gelöst Freak-On-SiliconVor 1 TagFrageSwitche und Hubs18 Kommentare

Hallo; Ich habe hier 4stk Cisco SX350X-24 9Stk Cisco SG350X-48P 10Stk Cisco SG350X-48 Diese werden aufgeteilt auf 9 Racks, und ersetzen alte HP Switches. ...

Exchange Server
Aktuelle Exchange Sicherheitslücke
jojo0411Vor 1 TagAllgemeinExchange Server11 Kommentare

Hallo Leute, Momentan gibt es da wieder einmal ein schönes neues Thema. Sehe ich das richtig das ich mit Exchange 2016 und CU 19 ...

Hardware
Fritzbox 7590 ändert selbständig die FTP-Adresse nach ca. 24h
Wicky1Vor 1 TagFrageHardware15 Kommentare

Hallöchen, ich habe da ein sehr kurioses Problemchen mit meiner Fritzbox. Doch erst mal eine kurze Beschreibung des Aufbaus: - Fritzbox 7590 (1&1 Edition) ...

Netzwerke
Smarthome Heimnetzwerk absichern
hell.wienVor 1 TagFrageNetzwerke12 Kommentare

Hallo. Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache Überischthalber zur Hardware: Vorhanden: Modem APU4D4 Cisco SG250X-24P Mikrotik cAP ac ...

Windows Server
Windows Firewall: Alle öffentliche IPs sperren bis auf eine
SabSchapVor 1 TagFrageWindows Server7 Kommentare

Hallo, wir haben einen Windows 2019 Server. Wir nutzen diesen als Webserver. Nun haben wir die Webadresse www.test.de und möchten diese für alle öffentlichen ...