VLANs auf HP Aruba Switches
Hallo zusammen,
ich habe eine Frage zu VLANs - speziell auf HP Aruba geräten.
Ich habe zu testzwecken 2 Switches (Layer 3) und möchte über die grenzen der Switches hinweg die Kommunikation der Geräte eingeschränken.
Dazu habe ich 2 VLANs eingerichtet. (siehe Bild).
Mein Problem ist das alle Geräte im VLAN 100 miteinander kommunizieren können und die Geräte auf dem VLAN200 können nur am selben Switch miteinander kommunizieren.
Ich habe das VLAN200 auch schon als tagged VLAN eingerichtet - dann können aber alle Geräte ohne Einschränkungen miteinander kommunizieren - was ja nicht gewünscht ist.
Frage: Habe ich das Thema einfach falsch verstanden oder gibt es bei den HP Geräten etwas spezielles.
ich habe eine Frage zu VLANs - speziell auf HP Aruba geräten.
Ich habe zu testzwecken 2 Switches (Layer 3) und möchte über die grenzen der Switches hinweg die Kommunikation der Geräte eingeschränken.
Dazu habe ich 2 VLANs eingerichtet. (siehe Bild).
Mein Problem ist das alle Geräte im VLAN 100 miteinander kommunizieren können und die Geräte auf dem VLAN200 können nur am selben Switch miteinander kommunizieren.
Ich habe das VLAN200 auch schon als tagged VLAN eingerichtet - dann können aber alle Geräte ohne Einschränkungen miteinander kommunizieren - was ja nicht gewünscht ist.
Frage: Habe ich das Thema einfach falsch verstanden oder gibt es bei den HP Geräten etwas spezielles.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6894404015
Url: https://administrator.de/contentid/6894404015
Ausgedruckt am: 25.11.2024 um 07:11 Uhr
5 Kommentare
Neuester Kommentar
Du hast da definitiv ne Menge falsch verstanden.
Deine Grafik ist die falsch oder richtig? Da steht Link über Port 47 und auf beiden Switches Port 47-48 als Trunk (LAG bei HP). Port 48 soll aber den Router angeschlossen haben? Hä?
Grundsätzlich: Wenn du einen Client in ein VLAN "leitest", dann befindet er sich in diesem einen VLAN. Nicht in zwei VLAN gleichzeitig um in zwei Netzen mit verschiedenen Clients sprechen zu dürfen sondern immer in einem VLAN. Der Traffic kann dann am Router oder unter Umständen auch am Switch geroutet werden aber der Client ist immer nur in einem VLAN.
Es gibt ein untagged VLAN, alle Pakete ohne VLAN-Tag wandern in das untagged VLAN. Pakete mit VLAN-Tag können in tagged VLANs gesendet werden sofern der Port das erlaubt. Dafür muss dann der Client das VLAN selbst anhängen, was i.d.R. nur bei Access Points, Routern, Switches oder einem Hypervisor Sinn macht. Daher müssen die Trunk-Ports und der Uplink zum Router vermutlich VLAN 100 und 200 auf Tagged stehen haben, alle Client Ports haben je ein VLAN auf untagged.
Deine Grafik ist die falsch oder richtig? Da steht Link über Port 47 und auf beiden Switches Port 47-48 als Trunk (LAG bei HP). Port 48 soll aber den Router angeschlossen haben? Hä?
Grundsätzlich: Wenn du einen Client in ein VLAN "leitest", dann befindet er sich in diesem einen VLAN. Nicht in zwei VLAN gleichzeitig um in zwei Netzen mit verschiedenen Clients sprechen zu dürfen sondern immer in einem VLAN. Der Traffic kann dann am Router oder unter Umständen auch am Switch geroutet werden aber der Client ist immer nur in einem VLAN.
Es gibt ein untagged VLAN, alle Pakete ohne VLAN-Tag wandern in das untagged VLAN. Pakete mit VLAN-Tag können in tagged VLANs gesendet werden sofern der Port das erlaubt. Dafür muss dann der Client das VLAN selbst anhängen, was i.d.R. nur bei Access Points, Routern, Switches oder einem Hypervisor Sinn macht. Daher müssen die Trunk-Ports und der Uplink zum Router vermutlich VLAN 100 und 200 auf Tagged stehen haben, alle Client Ports haben je ein VLAN auf untagged.
Hier findest du alles Relevante zu der Thematik was dir auch alle deine Fragen beantwortet:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Lesen und verstehen!
Ggf. hilft auch noch die VLAN Schnellschulung zum besseren Verständnis.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Lesen und verstehen!
Ggf. hilft auch noch die VLAN Schnellschulung zum besseren Verständnis.
müssten ja die Geräte im VLAN200 (untagged) kommunizieren können richtig?
Das ist absolut richtig!Ein Bild sagt mehr als 1000 Worte...
Alle Endgeräte können, korrekte IP Adressierung vorausgesetzt, nur innerhalb ihres VLANs untereinander kommunizieren. Sie können nicht VLAN übergreifend kommunizieren! (Zumindestens nicht bei reinen Layer 2 VLAN Switches wie deinen 2530ern!).
L2 VLANs sind bekanntlich physisch völlig getrennte Broadcast Domains, verhalten sich also wie physische getrennte Switches. Das einfache Prinzip von Layer 2, portbasierten VLANs...
Zitat von @hoomer:
OK - lassen wir den Router mal weg. Wenn ich nur die beiden Switches habe die über Port 47 (trunk)
Du meinst vermutlich Port 47 + 48 oder?OK - lassen wir den Router mal weg. Wenn ich nur die beiden Switches habe die über Port 47 (trunk)
miteinander verbunden sind müssten ja die Geräte im VLAN200 (untagged) kommunizieren können richtig?
Ja wenn der Trunk selbst VLAN 200 tagged gesetzt hat und zwar an beiden Switches auf dem Trunk, nicht auf den Member-Ports.Wenn ich also z.B. jeweils an Port1 ein Notebook anschließe sollten die Geräte sich gegenseitig anpingen können (korrekte IP-Konfiguration vorausgesetzt).
Dann ja.