ingrimmsch
Goto Top

Zwei Lancom GS-315XP Switche VLAN verbinden

Hallo zusammen,

wir haben zwei neue Lancom GS-315XP Switche bekommen. An einem dieser Switche sind Lancom Accesspoints angeschlossen. Ich verzweifel gerade an der Verbindung zwischen den Switchen bzw. VLANs

Wir haben aufgrund von IP knappheit die Netze 192.168.115.xx (Werk2-6) und 192.168.114.xx (Werk3)

Switch2 ist über Port1 mit einem weiteren Switch (DLINK) verbunden. Auf dem DLINK Switch gibt es das VLAN Werk3 (192.168.114.xx) was über Port 49-52 (Tagged) mit den Brocadeswitchen verbunden ist. In diesem VLAN (Werk3) beziehen die Clients IPs aus dem 192.168.114.xx Bereich.

switch1


Switch 1 (DLink) ist im Serverraum Werk 3 und mit den Brocadeswitchen über Glasfaser (Port 49-52) verbunden.
IP: 192.168.115.152

Switch 2 (Lancom) ist im Serverraum Werk 3
IP: 192.168.114.4

Switch 3 (Lancom) ist im Lager
192.168.114.5


Am Switch 3 sind 10 Accesspoints angeschlossen (Port 1-10). Die Switche 2 und 3 sind über ein SFP Modul (Port 49) verbunden.


Ich möchte die Accesspoints in ein eigenes VLAN legen, so das diese wie auf dem DLINK auch IP Adressen aus dem Netz 192.168.114.xx beziehen.

Meine Überlegung wäre nun auf Switch 3 Port 1-10 in das VLAN Werk3 zu legen.

switch4


Dann müsste ich aber doch noch über Port 49 am Switch 2 und 3 das VLAN Werk3 als tagged bekannt machen oder?
so
switch5

oder
switch6
so?


Dann bräuchte ich noch die Verbindung zwischen Switch 1 und Switch 2 was über Port 1 verbunden ist. Auch dieses müsst getagged werden richtig?


Ich hoffe ihr versteht was ich meine und meine Informationen sind ausreichend ;)

Content-Key: 656094

Url: https://administrator.de/contentid/656094

Printed on: May 23, 2024 at 14:05 o'clock

Member: NordicMike
NordicMike Feb 25, 2021 at 09:03:10 (UTC)
Goto Top
Es kommt darauf an, was du erreichen willst. VLAN tagged muss halt überall an denen Switchen anliegen, wo man es benötigt. Wenn der Router für ein VLAN an einem Ende ist und der Client, der in diesem VLAN sein soll, am anderen Ende, brauchen halt alle Switche und dessen Verbindungsports dazwischen dieses VLAN tagged.

Grundsätzlich gild die Regel:

Zwischen den Switchen alle VLANs tagged durch schicken (Ausnahme #1) (Ausnahme #2).
An den Endgeräten das jeweilige VLAN untagged anlegen.
Accesspoints brauchen oft mehrere VLANs, also dort auch die nötigen VLANs tagged anlegen (Ausnahme #2).

Ausnahme #1: Aus Sicherheitsgründen kann man auch einige VLANs weg lassen, wenn sie an der anderen Stelle nicht benötigt werden.
Ausnahme #2: Um die Geräte besser verwalten zu können, wird ein Verwaltungs-VLAN "untagged" mit angelegt, damit sie auch in ihrer Grundkonfiguraqtion sofort erreichbar sind. Gerne wird dafür VLAN 0 bzw VLAN 1 (das erste halt) verwendet.
Member: ingrimmsch
ingrimmsch Feb 25, 2021 updated at 09:25:08 (UTC)
Goto Top
Zitat von @NordicMike:

Es kommt darauf an, was du erreichen willst. VLAN tagged muss halt überall an denen Switchen anliegen, wo man es benötigt. Wenn der Router für ein VLAN an einem Ende ist und der Client, der in diesem VLAN sein soll, am anderen Ende, brauchen halt alle Switche und dessen Verbindungsports dazwischen dieses VLAN tagged.

Somit ist ja Switch 3 das Ende was über Switch 2 und dann zum Switch 1 mit dem Server verbunden ist.
Also müsste ich dann doch am Port 49 am Switch 3 und 2 taggen und dann noch mit dem Port 1 vom Switch 1 zu Switch 2?
Sind das Trunk oder Hybrit Port (Siehe Screenshot oben)

Dann wäre die Komminikation zum Server bzw. IP Bereich 192.168.114.xx gegeben. Da das DLINK Switch ja schon Verbindung hat.


Grundsätzlich gild die Regel:

Zwischen den Switchen alle VLANs tagged durch schicken (Ausnahme #1) (Ausnahme #2).
Switch 1 (Port 1) zu Switch 2 (Port 49) zu Switch 3

An den Endgeräten das jeweilige VLAN untagged anlegen.
Das habe ich gemacht. Switch 3 Port 1-10 untagged.

Accesspoints brauchen oft mehrere VLANs, also dort auch die nötigen VLANs tagged anlegen (Ausnahme #2).

Wie ist das gemeint?
Ausnahme #2: Um die Geräte besser verwalten zu können, wird ein Verwaltungs-VLAN "untagged" mit angelegt, damit sie auch in ihrer Grundkonfiguraqtion sofort erreichbar sind. Gerne wird dafür VLAN 0 bzw VLAN 1 (das erste halt) verwendet.

Dazu würde ich später kommen. Die Accesspoints werden zentral über einen Controller verwaltet.
Member: aqui
aqui Feb 25, 2021 updated at 09:47:37 (UTC)
Goto Top
Meine Überlegung wäre nun auf Switch 3 Port 1-10 in das VLAN Werk3 zu legen.
Das ist OK und kann man so machen ! Ports dann untagged in VLAN 2 (PVID 2) auf dem Switch.
Dann müsste ich aber doch noch über Port 49 am Switch 2 und 3 das VLAN Werk3 als tagged bekannt machen oder?
Ganz genau anders könnte VLAN 2 ja sonst niemals von einem Switch zum anderen gelangen !!
Sind diese 2 Lancom Switches sonst vollständig isoliert ??
Wenn nicht und sie mit dem VLAN 2 (Werk 3) auch irgendwie mit dem Brocade Switches oder dem D-Link verbunden sind, dann musst du natürlich auch den Uplink dorthin mit dem VLAN 2 taggen.
Liest dir die "VLAN Schnellschulung" durch die das gesamten VLAN Verhalten noch einmal im Schnellverfahren beschreibt:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Grundlagen erklärt auch das hiesige VLAN_Tutorial.

Nochwas sehr Wichtiges:
Die Broacde Switches machen im Default ein Spanning Tree PVST (Per VLAN Spanning Tree) Verfahren ! Sprich also pro VLAN je einen dedizierten Spanning Tree Prozess !
Solche PVSTP Verfahren, was auf Premium Switches oft üblich ist, supporten deine D-Link Gurke und auch die Lancoms nicht !!! Die können generell nur Single Span !
Du bekommst dann beim Verbinden dieser Switches ein nicht kompatibles Spanning Tree Design was zu massiven Ausfällen und Unterbrechungen im Netz führen kann, da PVST und Single Span NICHT kompatibel sind.
Das solltest du also immer auf dem Radar haben.
Du musst also die Brocade Switches zwingend auf Single Span konfigurieren und das PVST damit deaktivieren wenn du diese Switches mit Lancom oder D-Link koppelst !
Ebenso sollte global RSTP hier Pflicht sein. Beim Brocade ist das das Kommando spanning-tree 802.3w und NICHT das Kommando spanning-tree rstp !! Achte zwingend darauf !!
Wenn du die Brocades alle auf RSTP Single Spann in der Konfig eingestellt hast, kannst du diesen Hinweis natürlich ignorieren.
Member: ingrimmsch
ingrimmsch Feb 25, 2021 at 09:58:38 (UTC)
Goto Top
Zitat von @aqui:

Meine Überlegung wäre nun auf Switch 3 Port 1-10 in das VLAN Werk3 zu legen.
Das ist OK und kann man so machen ! Ports dann untagged in VLAN 2 (PVID 2) auf dem Switch.
Dann müsste ich aber doch noch über Port 49 am Switch 2 und 3 das VLAN Werk3 als tagged bekannt machen oder?
Ganz genau anders könnte VLAN 2 ja sonst niemals von einem Switch zum anderen gelangen !!
Sind diese 2 Lancom Switches sonst vollständig isoliert ??
Was meinst du damit?
Wenn nicht und sie mit dem VLAN 2 (Werk 3) auch irgendwie mit dem Brocade Switches oder dem D-Link verbunden sind, dann musst du natürlich auch den Uplink dorthin mit dem VLAN 2 taggen.
Sie sind mit dem DLINK über Port 1 verbunden. Das Dlink wiederrum ist mit dem Brocades verbunden und dort läuft VLAN bzw. das Netz 192.168.114.xx drauf.
Deswegen bin ich der Meinung das die Verbindung vom Lancom Switch zu dem Dlink doch aussreichen müsste?!


Solch PVSTP Verfahren was auf Premium Switches oft üblich ist supporten deine D-Link Gurke und auch die Lancoms nicht !!! Die können generell nur Single Span !
Da die Verbindung zwischen Brocade und DLINK schon läuft sollte es ja gehen?!

Wenn du die Brocades alle auf Single Spann in der Konfig eingestellt hast kannst du diesen Hinweis natürlich ignorieren.
Hat ein Dienstleister in Betrieb genommen und ich denke das wird so eingerichtet sein. Da wie oben schon gesagt das DLINK ja mit den Brocades läuft.
Member: aqui
aqui Feb 25, 2021 updated at 10:11:52 (UTC)
Goto Top
Was meinst du damit?
Ob sie in sich nur als isolierte reine 2er Switchverbindung arbeiten oder ob sie noch mit einem oder mehreren Beinen mit dem Brocade oder D-Link verbunden sind !
Deswegen bin ich der Meinung das die Verbindung vom Lancom Switch zu dem Dlink doch aussreichen müsste?!
Ja, da hast du Recht. Diese Uplink zw. D-Link und dem Lancom muss aber sowohl auf D-Link Seite als auch auf Lancom Seite immer tagged für das VLAN 2 definiert sein und untagged (PVID 1) im VLAN 1 liegen, dann ist das korrekt.
Da die Verbindung zwischen Brocade und DLINK schon läuft sollte es ja gehen?!
Nein, wenn die 2 inkompatiblen Spanning Tree Verfahren nutzen ist das tödlich für die Stabilität Netz. Es kommt dann zu unkontrollierten und zufälligen Spanning Tree Blockings was sich in immer wiederkehrenden Unterbrechungen äußert.
Aber dazu müsste man mal deine Brocade Konfig ansehen oder du siehst sie dir mal selber an. Dort sollte zwingend sowas wie hier stehen:
!
spanning-tree single
!
vlan 1 name DEFAULT-VLAN by port
no untagged ethe 1/2/1
spanning-tree
management-vlan
default-gateway 192.168.1.254 1
!
vlan 10 name Gast by port
tagged ethe 1/1/8 ethe 1/2/1 to 1/2/2
untagged ethe 1/1/6 to 1/1/7
spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 12288
==> (Höhere Priority nur beim Spanning Tree Root Switch !)
!

Ein show 802 zeigt dir immer den aktiven Spanning Tree Status auf den Brocades und wer im Netz der STP Root Switch ist. Das sollte tunlichst immer der L3 Core Switch sein.
Wenn das auf deinen Brocades durchgängig so aussieht, sprich du sie auf Single Span eingestellt hast, dann (und nur dann) hast du alles richtig gemacht.
Höhere Priority darf ausschliesslich nur der Root Switch (Core) haben !!
Member: ingrimmsch
ingrimmsch Feb 25, 2021 updated at 11:28:22 (UTC)
Goto Top
Danke euch beiden.

kurze Zusammenfassung wie ich nun vorgehen würde:

Switch 3 im Lager bekommt VLAN (Werk3) von Port 1-10
Über Port 49 mache ich tagged Switch 2 mit Switch 3 bzw. VLAN bekannt.
Über Port 1 mache ich Switch 2 mit Dlink Switch bzw. VLAN bekannt.

Dlink ist schon über Port 49-52 tagged mit Brocade verbunden und somit das VLAN für das Netz 192.168.114.xx bekannt.

Zu prüfen ist ob am Brocade Single Span konfiguriert ist.
(RSTP is not configured. Go to PORT VLAN Page to enable RSTP)

Wenn das alles konfiguriert ist, müssten sich die Accesspoints dann ja vom DHCP Server aus dem IP bereich 192.168.114.xx nach Neustart eine IP ziehen richtig?

Eine letzte Frage noch
Muss es Trunk oder Hybrid am Port 49 sein?
Member: aqui
aqui Feb 25, 2021 updated at 11:48:03 (UTC)
Goto Top
Absolut richtig aber einmal etwas detailierter und eindeutiger beschrieben:
  • Switch 3 im Lager bekommt VLAN ID 2 UNtagged (Werk3 VLAN) auf Port 1-10 gelegt (PVID 2)
  • Switch Uplink Ports 49 = VLAN ID 2 tagged von Switch 2 auf Switch 3 und VLAN 1 untagged
  • Über Uplink Port 1 Lancom Switch 2 auf D-Link Switch und dort ebenso: VLAN ID 2 tagged und VLAN 1 untagged
  • Zu prüfen ist ob am Brocade Single Span konfiguriert ist. WICHTIG !
  • Check an Lancom Switch 3 Ports 1 bis 10 ob dort IP Adressen aus dem VLAN 2 (Werk 3) vergeben werden. Das muss übrigens kein AP sein sondern kann man auch immer mit einem simplen Laptop im DHCP Mode vorab testen.
Muss es Trunk oder Hybrid am Port 49 sein?
Hybrid, denn dein VLAN 1 wird ja immer UNtagged als Native VLAN übertragen
Member: ingrimmsch
ingrimmsch Feb 25, 2021 at 12:01:16 (UTC)
Goto Top
Vielen Dank Aqui,

ich werde das mal vorsichtig alles testen und sobald das lüppt den Beitrag als gelöst taggen ;)
Member: ingrimmsch
ingrimmsch Feb 25, 2021 updated at 12:19:59 (UTC)
Goto Top
Zitat von @aqui:

Absolut richtig aber einmal etwas detailierter und eindeutiger beschrieben:
  • Switch 3 im Lager bekommt VLAN ID 2 UNtagged (Werk3 VLAN) auf Port 1-10 gelegt (PVID 2)
switch1


* Switch Uplink Ports 49 = VLAN ID 2 tagged von Switch 2 auf Switch 3 und VLAN 1 untagged
switch

Wie kann ich denn auf Port 49 ID 2 taggen und VLAN 1 untagged einstellen?
Stell ich dort als port VLAN 2 tagged ein und VLAN1 wird durch Hybrid untagged mit durchgereicht? Weil dort steht ja als Allowed VLAN 1,2

* Über Uplink Port 1 Lancom Switch 2 auf D-Link Switch und dort ebenso: VLAN ID 2 tagged und VLAN 1 untagged
VLAN ID 2 tagged
switch2

VLAN 1 untagged
switch4
Member: aqui
aqui Feb 25, 2021 updated at 12:59:10 (UTC)
Goto Top
Die reinen VLAN 2 Access Ports (1-10) solltest du immer auch auf Ingress UNtagged setzen. Endgeräte können nicht taggen und der Switch sollte hier auch keinerlei Frames mit irgendwelchen Tags annehmen aus Sicherheitsgründen !! Also besser untagged all auf diesen Ports überall außer natürlich auf dem Uplink Port zu den anderen Switches, da ist Tagging logischerweise Pflicht um die VLAN Info mitzuliefern !
Port 49 ist falsch dort darf das Default VLAN 1 nicht getagged werden. Das wird immer untagged übertragen, deshalb auch "hybrid". Der D-Link und auch die Brocades sowie alle anderen Hersteller weltweit übertragen das Default VLAN immer untagged auf den Tagged Uplinks.
Wie kann ich denn auf Port 49 ID 2 taggen und VLAN 1 untagged einstellen?
Ganz einfach: Als Member im Default VLAN 1 untagged belassen (PVID 1) und im VLAN 2 Setting diesen Port einfach auf Tagged (ingress und egress) setzen.
Stell ich dort als port VLAN 2 tagged ein und VLAN1 wird durch Hybrid untagged mit durchgereicht?
Bingo ! face-big-smile
Die beiden letzten Screenshots sind richtig.
Allerdings....die Ports 1-10 sind dort im VLAN 2 nicht auf untagged gesetzt ?? Flüchtigkeitsfehler ??
Irrigerweise nur Port 1 der dann aber falsch auf Tagged.
Ports 1-10 sind weiter Endgeräte Memberports im VLAN 1 ?!?
Member: ingrimmsch
ingrimmsch Feb 25, 2021 updated at 14:09:52 (UTC)
Goto Top
Zitat von @aqui:

Die reinen VLAN 2 Access Ports (1-10) solltest du immer auch auf Ingress UNtagged setzen. Endgeräte können nicht taggen und der Switch sollte hier auch keinerlei Frames mit irgendwelchen Tags annehmen aus Sicherheitsgründen !! Also besser untagged all auf diesen Ports überall außer natürlich auf dem Uplink Port zu den anderen Switches, da ist Tagging logischerweise Pflicht um die VLAN Info mitzuliefern !

Also Port 49 tagged Port 1-10 untagged.

Port 49 ist falsch dort darf das Default VLAN 1 nicht getagged werden. Das wird immer untagged übertragen, deshalb auch "hybrid". Der D-Link und auch die Brocades sowie alle anderen Hersteller weltweit übertragen das Default VLAN immer untagged auf den Tagged Uplinks.
Wie kann ich denn auf Port 49 ID 2 taggen und VLAN 1 untagged einstellen?
Ganz einfach: Als Member im Default VLAN 1 untagged belassen (PVID 1) und im VLAN 2 Setting diesen Port einfach auf Tagged (ingress und egress) setzen.
Also so?
switch

Die beiden letzten Screenshots sind richtig.
Allerdings....die Ports 1-10 sind dort im VLAN 2 nicht auf untagged gesetzt ?? Flüchtigkeitsfehler ??
Irrigerweise nur Port 1 der dann aber falsch auf Tagged.
Also jetzt bringst du mich völlig durcheinander. Wieso soll ich den Port 1-10 auf dem DLINK untagged setzen? Wozu das? Ich habe auf dem DLINK auf Port 1-10 kein VLAN?!
Port 1 (Verbindung zwischen DLINK und Lancom) muss doch auf tagged sein? Wie soll sonst das VLAN durchgereicht werden?
Member: ingrimmsch
ingrimmsch Feb 25, 2021 updated at 15:33:21 (UTC)
Goto Top
Hausnummer um den Paket (Hals) funktioniert nicht... face-sad

Was bisher geschah:

Switch Lager:
  • Am Switch im Lager Port 1-10 VLAN2 zugewiesen (untagged) <- Allowed VLANs 2
  • Port 49 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- Allowed VLANs 1&2

Switch Serverraum:
  • Port 49 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- Allowed VLANs 1&2
  • den Controller der auf Port 48 steckt auf Hybrid gestellt und in VLAN1 belassen <- Allowed VLAN1&2
  • Mein Computer auf Port 47 gesteckt auf Hybrid gestellt und in VLAN1 belassen <- Allowed VLAN 1&2
  • Port 1 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- Allowed VLAN 1&2

Switch DLINK
  • Port 1 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- VLAN1 untagged

Ich erreiche die Accesspoints über Lanconfig nur wenn ich sie auf VLAN2 entferne und in VLAN1 setze face-sad
Member: NordicMike
NordicMike Feb 26, 2021 at 07:09:26 (UTC)
Goto Top
Ich erreiche die Accesspoints über Lanconfig nur wenn ich sie auf VLAN2 entferne und in VLAN1 setze
Dann wird der PC, auf dem Lanconfig läuft, sich nur im VLAN1 befinden.
Member: aqui
aqui Feb 26, 2021 at 08:22:01 (UTC)
Goto Top
Falsche oder keine Gateway IP im VLAN 2 auf den APs. Typischer Flüchtigkeitsfehler.... face-wink
Member: ingrimmsch
ingrimmsch Mar 01, 2021 updated at 14:52:24 (UTC)
Goto Top
So die VLAN sitzen nun. Ich habe alles über Board geworfen und nochmal von vorne konfiguriert. Dann irgendwann lief es...

Jetzt muss ich trotzdem nochmal eine Frage stellen, da wir immer wieder mit Routing hier auf Probleme stoßen.

Wir haben eine Firewall (Lancom) mit der IP: 192.168.115.198
Wir haben Layer 3 Brocade Switche mit der IP: 192.168.115.252 auf diesen sind folgende Routings angelegt.

elnet@Switch2#show ip route
Total number of IP routes: 6
Type Codes - B:BGP D:Connected O:OSPF R:RIP S:Static; Cost - Dist/Metric
BGP  Codes - i:iBGP e:eBGP
OSPF Codes - i:Inter Area 1:External Type 1 2:External Type 2
        Destination        Gateway         Port          Cost          Type Uptime
1       0.0.0.0/0          192.168.115.198 ve 1          1/1           S    82d22h
2       192.168.112.0/24   DIRECT          ve 1          0/0           D    82d22h
3       192.168.113.0/24   DIRECT          ve 3          0/0           D    82d22h
4       192.168.114.0/24   DIRECT          ve 2          0/0           D    10d21h
5       192.168.115.0/24   DIRECT          ve 1          0/0           D    82d22h
6       192.168.116.0/24   DIRECT          ve 1          0/0           D    82d22h
telnet@Switch2#

Am DC und weiteren Servern ist als Gateway das Layer3 Switch (Brocade) mit der IP: 192.168.115.252 hinterlegt.

Wir haben das Problem, dass wir aus dem VLAN2 (192.168.114.xx) z.B. auf gewisse Server aus dem 192.168.115.xx Netz nicht zugreifen können.

Beispiel:
Client 1= 192.168.114.14 / GW 192.168.114.252

kann nicht auf
Server = 192.168.115.190 /GW 192.168.115.198 zugreifen.

Fakt ist das wir hier eine beschissene Umgebung haben die manchmal als GW die Firewall und manchmal die Switche eingetragen haben.

Ich habe mit unserem IT-Dienstleister telefoniert der damals die Layer3 Switche als Gateway hinterlegt hat. Nun hatte ich einen anderen Kollegen dran der sagt das wir lieber überall die Firewall hinterlegen sollen. Da wir ansonsten keine Filter Optionen der Firewall nutzen können.

Nun stelle ich mir gerade die Frage wie ich das nun alles umbauen soll :/
An den Coreswitchen hängen eigentlich alle anderen Geräte über Glasfaser oder Kupfer dran.
Kann ich nicht eine Route einstellen die besagt, dass sich die Clients aus dem 114 Netz zum Server aus dem 192.168.115.xx Netz mit der Firewall als GW verbinden dürfen?

Wir wollen doch eigentlich nur das die Subnetze 192.168.114xx und 192.168.115.xx mit einander kommunizieren können.
Member: aqui
Solution aqui Mar 01, 2021 updated at 15:34:37 (UTC)
Goto Top
So sieht das Routing erstmal sauber aus.
Du sprichst im Plural wenn du von den Brocade Layer 3 Switches sprichst, deshalb die Frage ob diese als Full Stack zusammengeschaltet sind und so zentral Layer 3 machen im lokalen Netz wie es in dieser Skizze dargestellt ist ??
stackdesign
Ist dem so ??
Ohne dein genaues Design und Setup zu kennen ist eine zielführende Hilfe nur sehr schwer. Leuchtet dir vermutlich auch hoffentlich selber ein. Leider fehlte die Brocade Konfig hier im Attachment um das final beurteilen zu können und so müssen wir leider im freien Fall raten was meist wenig zielführend ist. face-sad
Wenn ja, und es so oder so ähnlich aussieht, dann sollte die dazu korrespondierende Switch Konfig auf den Brocade L3 Cores ungefähr so aussehen sofern das ICX Modelle sind. (Auszug nur mit den .114 und .115 Netzen):
!
vlan 114 name VLAN114 by port
tagged ethe 1/1/47
untagged ethe 1/1/14
router-interface ve 114
!
vlan 115 name VLAN115 by port
tagged ethe 1/1/47
untagged ethe 1/1/16
router-interface ve 115
!
interface ve 114
port-name L3 Interface VLAN 114
ip address 192.168.114.252 255.255.255.0
!
interface ve 115
port-name L3 Interface VLAN 115
ip address 192.168.115.252 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.115.198
!

Was etwas auffällt ist die etwas unschöne Gateway Adressierung. Verantwortungsvolle Netzwerker legen diese immer an den Anfang oder Ende der IP Range dieser Netze. Bei einem /24er Prefix dann als immer die .1 oder .254. So vermeidet man vorausschauend Überschneidungen.

Wenn deine Konfig so oder so ähnlich aussieht dann ist sie auch richtig.
Du musst dann nur sicherstellen das alle Clients und Server im .114er Netz immer die .114.252 als Gateway haben und alle Clients und Server im .115er Netz immer die .115.252. und diese Gateway IP und auch die im VLAN 114 auch pingen können.

Der zweite wichtige Punkt sind die Clients im .115.0er Subnetz also im VLAN 115 weil sich hier auch das Internet Gateway .115.189 (vermutlich ?!) befindet.
Clients könnten hier also auch das Internet Gateway als Gateway eingestellt haben, was aber nicht der Fall sein sollte ! Das darf und muss immer nur die Layer 3 Core IP des Brocades sein !
Hier liegt die meiste Gefahr in einer Gateway Fehlkonfig dieser Clients.
Wichtig ist auch das das Internet Gateway im VLAN 115 auch eine entsprechende statische Rückroute in die Switch VLAN IP Netze hat !!
Dort sollte also sowas stehen wie
ip route 192.168.0.0 255.255.128.0 192.168.115.198
Das routet dann alle Subnetze von 192.168.0.0 bis .127.254 an den Layer 3 Brocade Core Switch.

Dieses Layer 3 Schaubild verdeutlicht dir etwas das Routing Verhalten. Das dortige "VLAN 99" entspricht bei dir dem VLAN 115.
l3
Member: ingrimmsch
ingrimmsch Mar 01, 2021 updated at 18:34:37 (UTC)
Goto Top
Aqui danke das du dir immer soviel Zeit nimmst und Mühe machst. Ich habe es (grob) skizziert. Vor der Firewall ist noch ein Vodafone SDSL Gerät und ein Bintec Router für die VDSL Leitung

zeichnung1

Eigentlich ist alles gut und die Switche sind immer abgehend vom Stack mittels LACP verbunden.

brocade
lag
Bei den meisten Endgeräten ist auch das Layer3 Stack (192.168.115.252) hinterlegt.

Die VLANs können auch alle miteinander kommunizieren.
192.168.113.xx erreicht 192.168.115.xx
192.168.114.xx erreicht ebenfalls 192.168.115.xx

Problem ist wenn man z.B. aus dem VLAN2 also dem 192.168.114.xx Netz z.B. die Clientsoftware vom ERP aufrufen möchte. Das ERP System hat als GW die Firewall eingetragen. Dieses mussten wir aufgrund verschiedenen Sicherheitsszenarien so machen.


Du sprichst im Plural wenn du von den Brocade Layer 3 Switches sprichst, deshalb die Frage ob diese als Full Stack zusammengeschaltet sind und so zentral Layer 3 machen im lokalen Netz wie es in dieser Skizze dargestellt ist ??
Ja so ist es

Ohne dein genaues Design und Setup zu kennen ist eine zielführende Hilfe nur sehr schwer. Leuchtet dir vermutlich auch hoffentlich selber ein.
Logisch!

Leider fehlte die Brocade Konfig hier im Attachment um das final beurteilen zu können und so müssen wir leider im freien Fall raten was meist wenig zielführend ist. face-sad
Habe es versucht zu exportieren. Leider ohne Erfolg.

Wenn ja, und es so oder so ähnlich aussieht, dann sollte die dazu korrespondierende Switch Konfig auf den Brocade L3 Cores ungefähr so aussehen sofern das ICX Modelle sind. (Auszug nur mit den .114 und .115 Netzen): !
vlan 114 name VLAN114 by port
tagged ethe 1/1/47
untagged ethe 1/1/14
router-interface ve 114
!
vlan 115 name VLAN115 by port
tagged ethe 1/1/47
untagged ethe 1/1/16
router-interface ve 115
!
interface ve 114
port-name L3 Interface VLAN 114
ip address 192.168.114.252 255.255.255.0
!
interface ve 115
port-name L3 Interface VLAN 115
ip address 192.168.115.252 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.115.198
!

Was etwas auffällt ist die etwas unschöne Gateway Adressierung. Verantwortungsvolle Netzwerker legen diese immer an den Anfang oder Ende der IP Range dieser Netze. Bei einem /24er Prefix dann als immer die .1 oder .254. So vermeidet man vorausschauend Überschneidungen.

Wenn deine Konfig so oder so ähnlich aussieht dann ist sie auch richtig.
Du musst dann nur sicherstellen das alle Clients und Server im .114er Netz immer die .114.252 als Gateway haben und alle Clients und Server im .115er Netz immer die .115.252. und diese Gateway IP und auch die im VLAN 114 auch pingen können.

Ist so. Aber ich frage mich wieso der Dienstleister (neue Mitarbeiter) meint ich solle lieber die Firewall eintragen? Ich sehe es doch richtig, dass die Firewall im Moment nur den Zugriff von Extern nach Intern und umgekehrt regelt richtig? Also das lokalen Netz ist außen vor? Aber ist das ein Problem?

Der zweite wichtige Punkt sind die Clients im .115.0er Subnetz also im VLAN 115 weil sich hier auch das Internet Gateway .115.189 (vermutlich ?!) befindet.
Nur beim ERP. Sonst ebenfalls alle über den Stack
Clients könnten hier also auch das Internet Gateway als Gateway eingestellt haben, was aber nicht der Fall sein sollte ! Das darf und muss immer nur die Layer 3 Core IP des Brocades sein !
Ist so. Entweder über DHCP oder fester IP-Adresse,

Hier liegt die meiste Gefahr in einer Gateway Fehlkonfig dieser Clients.
Wichtig ist auch das das Internet Gateway im VLAN 115 auch eine entsprechende statische Rückroute in die Switch VLAN IP Netze hat !!
Sieht so eigentlich richtig aus?
gpa
Member: aqui
aqui Mar 01, 2021 at 18:40:43 (UTC)
Goto Top
Vor der Firewall ist noch ein Vodafone SDSL Gerät und ein Bintec Router für die VDSL Leitung
Das ist für das lokale LAN irrelevant, da das zentrale Gateway nach draussen ja immer die 192.168.115.198 ist !
Intern kennen die Endgeräte einzig niur die Brocade VLAN IP Adsressen als Gateway und der Brocade selber hat als Default Gateway die 192.168.115.198.
Salopp gesagt alles was die Clients nicht kennen schicken sie an den Brocade, der routet dann alles lokal, alles was er nicht kennt reicht er an die Firewall weiter.
Habe es versucht zu exportieren. Leider ohne Erfolg.
Sorry, aber wie kann man an so etwas banalem scheitern einen simplen Text hier per cut an paste reinzubringen..
  • Per Telnet oder SSH auf den Switch gehen
  • enable eingeben um sich als Admin zu authenthisieren
  • Dann zeigt ein show run dir die Konfig die du dann hier nur noch rein cut and pasten musst
  • Ggf. noch etas anonymisieren (Passwörter etc. rauslöschen)
Sorry aber wenns an solch banalen Dingen schon scheitert.... face-sad
Aber ich frage mich wieso der Dienstleister meint ich solle lieber die Firewall eintragen?
Völliger Quatsch. Zeigt das der keinerlei Fachkenntnisse hat und den solltest du nicht mehr ins Haus lassen.
Sorry, soll nicht böse klingen aber aber so ein simples und einfaches Netzdesign wie bei dir kann der FiSi im ersten Lehrjahr administrieren. Ein Dienstleister sollte das im Schlaf können !
Nur beim ERP. Sonst ebenfalls alle über den Stack
Auch der ERP muss zwingend den Brocade als Gateway haben !! Siehe oben. Alle lokalen Clients kennen nur das Broacde Gateway !!
Member: ingrimmsch
ingrimmsch Mar 01, 2021, updated at Mar 02, 2021 at 07:08:17 (UTC)
Goto Top
* Dann zeigt ein show run dir die Konfig die du dann hier nur noch rein cut and pasten musst
Das das so leicht ist kann ich doch nicht wissen :D Mache das nie über die Konsole.
telnet@Switch2#show run
Current configuration:
!
ver 08.0.40cT213
!
stack unit 1
module 1 icx7250-48-port-management-module
module 2 icx7250-sfp-plus-8port-80g-module
priority 120
stack-port 1/2/1 1/2/3
stack unit 2
module 1 icx7250-48-port-management-module
module 2 icx7250-sfp-plus-8port-80g-module
stack-port 2/2/1 2/2/3
stack enable
stack mac 609c.9f3c.2290
!
!
global-stp
!
lag LAGtoLANCOM-W3 dynamic id 2040
ports ethernet 1/2/8 ethernet 2/2/8
primary-port 1/2/8
lacp-timeout long
deploy
!
lag Werk2-Werk1 dynamic id 1
ports ethernet 1/2/2 ethernet 2/2/2
primary-port 1/2/2
deploy
!
lag Werk3 static id 68
ports ethernet 1/2/6 ethernet 2/2/6
primary-port 1/2/6
deploy
!
!
!
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
spanning-tree
spanning-tree rstp
!
vlan 2 name Werk3 by port
tagged ethe 1/2/6 ethe 1/2/8 ethe 2/2/6 ethe 2/2/8
untagged ethe 2/1/1
router-interface ve 2
!
vlan 3 name Werk1 by port
tagged ethe 1/2/2 ethe 1/2/8 ethe 2/2/2 ethe 2/2/8
untagged ethe 1/1/48
router-interface ve 3
!
!
!
!
!
!
aaa authentication web-server default local
aaa authentication login default local
boot sys fl pri
enable super-user-password .....
hostname Switch2
ip route 0.0.0.0/0 192.168.115.198
!
username admin password .....
!
!
hitless-failover enable
!
!
!
!
!
!
!
interface ethernet 1/1/2
disable
!
interface ethernet 1/1/3
disable
!
interface ethernet 1/1/4
disable
!
interface ethernet 1/2/2
dual-mode
!
interface ethernet 1/2/6
dual-mode
speed-duplex 1000-full
!
interface ethernet 1/2/8
dual-mode
speed-duplex 1000-full
!
interface ve 1
ip address 192.168.112.252 255.255.255.0
ip address 192.168.115.252 255.255.255.0
ip address 192.168.116.198 255.255.255.0
!
interface ve 2
ip address 192.168.114.252 255.255.255.0
ip helper-address 1 192.168.115.1
!
interface ve 3
ip address 192.168.113.252 255.255.255.0
ip helper-address 1 192.168.115.1

Sorry, soll nicht böse klingen aber aber so ein simples und einfaches Netzdesign wie bei dir kann der FiSi im ersten Lehrjahr administrieren. Ein Dienstleister sollte das im Schlaf können !
Du alles gut. Aber man kann auch nicht alles können! Ich glaube ich lasse mich manchmal aber auch zu schnell aus dem Konzept durch die Dienstleister bringen.

Nur beim ERP. Sonst ebenfalls alle über den Stack
Auch der ERP muss zwingend den Brocade als Gateway haben !! Siehe oben. Alle lokalen Clients kennen nur das Broacde Gateway !!
Alles klar. Also im Grundegenommen ist alles easy es muss nur die Gateway am ERP geändert werden. Zum Glück ist das noch nicht im Produktiven Einsatz face-smile


Habe gerade über NMTUI auf den Red Hat Linix die GW auf den Stack geändert und tada der Zugriff vom VLAN2 ist nun auf der ERP Möglich. Ich muss nun noch mal die Firewallregeln checken aber es sollt nun so passen.


Eine letzte Sache noch:

Unser Dienstleister (Elektriker) für die Glasfaser Verbindungen hat eine Strecke (ca 110 Meter) von einem Switch zum anderen Switch gebaut und Multimode (OM3) Kabel genutzt.

Nun sagte ebenfalls unser IT-Dienstleister, dass man dieses Strecke niemals in Betrieb nehmen könnte.

Laut dieser Webseite sollte das doch keine Probleme machen?

https://community.fs.com/de/blog/single-mode-vs-multimode-fiber-whats-th ...

Ich habe die SFP+ Module in die LANCOM Switche gesteckt und die Verbindung steht.

Der Dienstleister meint, dass dieses mit Multimode bei dieser länge niemals konstant laufen wird. Man müsste Singlemode Kabel benutzen. Ist dem wirklich so?
Member: aqui
aqui Mar 02, 2021 updated at 10:27:18 (UTC)
Goto Top
Mache das nie über die Konsole.
"Real networks do CLI" und niemals Klicki Bunti für Dummies ! 😉
OK, zurück zum Thema

Deine Netzwerk Konfig hat mehrere gravierende und grobe Fehler die den Produktivbetrieb stark gefährden ! Diese solltest dringenst beseitigen, denn das sind die Fehler die das Fehlverhalten im Netzwerk bewirken und zu Instabilitäten führen. Ein Wunder das deinem Dienstleister das nicht aufgefallen ist.
Der Reihe nach:
  • Gravierend ist das die Brocades im PVRSTP Verfahren arbeiten. (Per VLAN Spanning Tree). Darauf wurdest du hier schon mehrfach hingewiesen !! Dieses Spanning Tree Protokoll ist NICHT kompatibel zu den STP Protokollen die die D-Link und Lancom Switches verwenden. Diese können nur Single Span ! Du musst also die Brocades zwingend auf Single Span umkonfigurieren.
  • Zweitens MUSS der Brocade Switch eine höhere Spanning Tree Priority haben, da er Root Switch ist. Das ist zwingend erforderlich weil die Uplinks zu diesem Switch niemals in den Blocking Mode gehen dürfen.
  • Ein weiterer grober Fehler ist das STP nur für das VLAN 1 aktiviert wurde nicht aber für die anderen VLANs. Diese sind durch diesen (Flüchtigkeits)fehler damit stark Loop gefährdet was im worst case zum Totalausfall des Netzes führt.
  • Zweitschlimmster Fehler nach dem STP ist das VLAN 1 bzw. das Layer 3 Interface VE 1 !!! Hier fährst du mit 3 (!) IP Netzen auf einem gemeinsamen Draht. Das ist eine vollkommen falsche und nicht Standardkonforme TCP/IP Konfiguration die generell so im TCP/IP nicht supportet ist. IP Adress technisch ein klares NoGo ! Grund ist das keinerlei ICMP Steuerung mehr möglich ist in diesen 3 IP Netzen und viel schlimmer: das Routing passiert komplett in Software und kostet massiv Performance auf dem Layer 3 Switch. Ein böser Kardinalsfehler solche Konfig und auch komplett sinnfrei, denn warum wurden diese nicht in separate VLANs gelegt wie es generell üblich ist ?? Hat das dein gruseliger Dienstleister verbrochen ?

Solange du diese gravierenden Fehler in deiner Konfig nicht beseitigst ist das ein Ritt auf dem Rasiermesser was du da machst in deinem Netz.
Traurig an der ganzen Tatsache ist insgesamt das du mit den Brocades sehr gute und performante Premium Switches mit einem umfangreichen Featureset einsetzt, diese aber mit einer laienhaften, falschen und dillettantischen Konfig so kastrierst das sie auf dem Niveau eines Switches vom Blödmarkt Grabbeltisch laufen und einen latente Gefahr für das Netz darstellen. Eigentlich ein Wunder das in dem Netz noch alles funktioniert.
Mit der 8.0.4er Firmware laufen die Switches zudem auch auf einem nicht mehr supporteten Release. Hier ist vermutlich jahrelang niemals Update und Wartung gemacht worden. face-sad
Warum man so oder so das Netzwerk mit D-Link Billigswitches oder diesem billigen Lancom OEM Taiwan Schrott (Lancom produziert die nicht selber sondern bäppelt da nur den Namen drauf) mischt ist ja auch vollkommen unverständlich. Warum bist du nicht bei der einheitlichen Brocade (jetzt Ruckus) ICX Linie geblieben ?? Das wäre doch das sinnvollste gewesen für einen saubere Netz Infrastruktur ? Aber egal...

Mit anderen Worten es besteht dringender Handlungsbedarf hier um das alles auf Vordermann zu bringen !
Ganz besonders in deinem jetzt gemischten Switch Umfeld musst du zuallererst das Spanning Tree Problem auf Vordermann bringen.
  • STP auf Single Spann in den Brocades umkonfigurieren und...
  • dem Layer 3 Brocade Switches eine globale STP Priority von 8192 vergeben !
Dann dringenst das VLAN 1 in zwei zusätzliche VLANs für die Netze .115.0 und .116.0 aufteilen.
  • vlan 5 = .115.0 /24
  • vlan 6 = .116.0 /24
hat eine Strecke (ca 110 Meter) von einem Switch zum anderen Switch gebaut und Multimode (OM3) Kabel genutzt.
Ein Klassiker also....
dass man dieses Strecke niemals in Betrieb nehmen könnte.
Das ist natürlich Quatsch und kommt dabei raus wenn "Elektriker" sich in Networking versuchen.
OM3 ist ein 50µ Multimode Kabel mit...
  • 1 Gig und Standard SX SFP Optiken kommt man max. 550 Meter weit
  • mit 10 Gig Standard SR SFP+ Optiken kommt man max. 330 Meter weit
Frag ihn mal mal wo er denn denkt das es Probleme gibt ?? Sogar 40 Gig BiDi QSFP Optiken könnte man noch über diese Strecke problemlos laufen lassen. Vergiss den Unsinn also was er da gesagt hat und wechsle lieber schnell den Elektriker, denn der jetzige scheint wenig bis keine Fachkenntniss von LWL Standards zu haben.

Du siehst du hast noch eine Menge zu fixen und umzukonfigurieren an dem Netzwerk ! Ohne die oben angesprochenen dringenden Umkonfigurierungen solltest du niemals in einen geregelten Produktivbetrieb gehen.
Member: ingrimmsch
ingrimmsch Mar 02, 2021 updated at 10:41:36 (UTC)
Goto Top
Ich bin dabei das nach und nach gerade zu biegen. Manches wird man natürlich auf Grund der Bauweise nicht ändern können und es wird so sein, dass auch mal von einem Switch zum anderen Switch gesprungen wird.

* Gravierend ist das die Brocades im PVRSTP Verfahren arbeiten. (Per VLAN Spanning Tree). Darauf wurdest du hier schon mehrfach hingewiesen !! Dieses Spanning Tree Protokoll ist NICHT kompatibel zu den STP Protokollen die die D-Link und Lancom Switches verwenden.
Diese können nur Single Span ! Du musst also die Brocades zwingend auf Single Span umkonfigurieren.
Das ist mir gestern auch aufgefallen. Allerdings nur im VLAN1 richtig?
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
spanning-tree

* Zweitens MUSS der Brocade Switch eine höhere Spanning Tree Priority haben, da er Root Switch ist. Das ist zwingend erforderlich weil die Uplinks zu diesem Switch niemals in den Blocking Mode gehen dürfen.
  • Ein weiterer grober Fehler ist das STP nur für das VLAN 1 aktiviert wurde nicht aber für die anderen VLANs. Diese sind durch diesen (Flüchtigkeits)fehler damit stark Loop gefährdet was im worst case zum Totalausfall des Netzes führt.
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
rstp

* Zweitschlimmster Fehler nach dem STP ist das VLAN 1 bzw. das Layer 3 Interface VE 1 !!! Hier fährst du mit 3 (!) IP Netzen auf einem gemeinsamen Draht.
interface ve 1
ip address 192.168.112.252 255.255.255.0
ip address 192.168.115.252 255.255.255.0
ip address 192.168.116.198 255.255.255.0
!
interface ve 2
ip address 192.168.114.252 255.255.255.0
ip helper-address 1 192.168.115.1
!
interface ve 3
ip address 192.168.113.252 255.255.255.0
ip helper-address 1 192.168.115.1
Ich glaube das sind alte Einträge die ich entfernen kann. Das 192.168.112.252 und 192.168.116.198 sind Netze die garnicht bekannt sind bei uns.

Solange du diese gravierenden Fehler in deiner Konfig nicht beseitigst ist das ein Ritt auf dem Rasiermesser was du da machst in deinem Netz.
Bin ich ja gerade dran.

Traurig an der ganzen Tatsache ist insgesamt das du mit den Brocades sehr gute und performante Premium Switches mit einem umfangreichen Featureset einsetzt, diese aber mit einer laienhaften, falschen und dillettantischen Konfig so kastrierst das sie auf dem Niveau eines Switches vom Blödmarkt Grabbeltisch laufen und einen latente Gefahr für das Netz darstellen. Eigentlich ein Wunder das in dem Netz noch alles funktioniert.
Warum man so oder so das Netzwerk mit D-Link Billigswitches oder diesem billigen Lancom OEM Taiwan Schrott (Lancom produziert die nicht selber sondern bäppelt da nur den Namen drauf) mischt ist ja auch vollkommen unverständlich. Warum bist du nicht bei der einheitlichen Brocade (jetzt Ruckus) ICX Linie geblieben ?? Das wäre doch das sinnvollste gewesen für einen saubere Netz Infrastruktur ? Aber egal...
Finanzieller Aspekt

* STP auf Single Spann in den Brocades umkonfigurieren und...
okay
* dem Layer 3 Brocade Switches eine globale STP Priority von 8192 vergeben !
okay
Dann dringenst das VLAN 1 in zwei zusätzliche VLANs für die Netze .115.0 und .116.0 aufteilen.
  • vlan 5 = .115.0 /24
  • vlan 6 = .116.0 /24
okay

Frag ihn mal mal wo er denn denkt das es Probleme gibt ?? Sogar 40 Gig BiDi QSFP Optiken könnte man noch über diese Strecke problemlos laufen lassen. Vergiss den Unsinn also was er da gesagt hat und wechsle lieber schnell den Elektriker, denn der jetzige scheint wenig bis keine Fachkenntniss von LWL Standards zu haben.
Die Aussage kommt von dem IT-Dienstleister und nicht dem Elektriker

Member: aqui
aqui Mar 02, 2021 at 11:14:51 (UTC)
Goto Top
Allerdings nur im VLAN1 richtig?
Nein, deine grundsätzliche STP Konfig ist falsch und muss global auf Single Spann umkonfiguriert werden. Hier ein Beispiel wie das aussehen muss (Auszug):
ver 08.0.9j
!
spanning-tree single
!
vlan 1 name DEFAULT-VLAN by port
no untagged ethe 1/2/1
spanning-tree
router-interface ve 1
!
vlan 10 name Gast by port
tagged ethe 1/1/8 ethe 1/2/1 to 1/2/2
untagged ethe 1/1/6 to 1/1/7
spanning-tree
router-interface ve 10
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192

!
aaa authentication web-server default local
aaa authentication login default local
aaa authentication login privilege-mode
enable telnet authentication
enable super-user-password Geheim123
enable aaa console
ip dns domain-list wieoderwas.home.arpa
ip dns server-address 192.168.115.254
ip multicast active
ip multicast version 3
!
username admin password Geheim123
!
clock summer-time
clock timezone europe CET
!
ntp
server 192.168.115.189
!
end

Hände weg vom "rstp" Kommando im Spanning Tree !!!
Das ist ein alter Draft und sollte keinesfalls aktiviert werden. Nur "802-1w" ist korrekt !
Das richtige Kommando für dich ist also spanning-tree single 802-1w und nichts anderes.
ch glaube das sind alte Einträge die ich entfernen kann. Das 192.168.112.252 und 192.168.116.198 sind Netze die garnicht bekannt sind bei uns.
Perfekt ! 👍
Dann mache das so schnell wie möglich, denn die 2 weiteren IP Netze dort zwingen den Port in den Process Switching Mode in Software und deaktivieren die ICMP Steuerung.
Mit
conf t
enable
int ve 1
no ip address 192.168.112.252
no ip address 192.168.116.198
<ctrl> z
write mem
entfernst du das im CLI oder für dich dann im Klicki Bunti GUI. face-wink
Finanzieller Aspekt
Völlig falscher Ansatz ! Schalte mal für 1 Tag das gesamte Netz aus und sage dem Entscheider "...tja finanzieller Ansatz !" Mal sehen was der sagt. Das ist sicher derselber der ohne solchen Kommentar dann Windows Lizenzen bezahlt. Unverständlich warum man eine solch unternehmenskritische Resource wie die Netzwerk Infrastruktur mit Füßen tritt aber scheinbar ist den Entscheidern bei euch sowas ja Wumpe. Das ist eher Würstchenbuden Mentalität...aber egal die Einstellung muss man sicher nicht verstehen...
Die Aussage kommt von dem IT-Dienstleister und nicht dem Elektriker
Wie gruselig ! Das war doch auch der der den Unsinn mit der Firewall als Gateway erzählt hat. Der sollte dann wirklich beim nächten Male Hausverbot bekommen. Der hat sich selber diskreditiert.
Vermutlich weiss der Elektriker das dann besser... Oh man, an was für einen Dienstleister bist du da bloß geraten... ?! face-sad Da kann ja sogar der Hausmeister mehr wenn der hier mal 5 Minuten im Forum liest und sich schlau macht. 😉
Member: ingrimmsch
ingrimmsch Mar 02, 2021 at 12:54:12 (UTC)
Goto Top
Also ich versuche mich hier gerade in die Konsole reinzufuchsen.

Um Spanning Tree zu aktivieren:

config t
vlan 1
span
spanning-tree 802-lw

und dann für die anderen VLANs ebenfalls so aktiveren?

Nein, deine grundsätzliche STP Konfig ist falsch und muss global auf Single Spann umkonfiguriert werden.
Wie setzte ich dieses global auf Single Span? Oder wird das durch den Befehl oben hinfällig?


Netze aus VLAN1 entfernen:
config t
int ve 1
no ip address 192.168.112.252
no ip address 192.168.116.198
<ctrl> z
write mem

Spanning Tree an den anderen Switchen wie Lancom und DLINK bleiben aber weiterhin deaktiviert oder?
Member: aqui
aqui Mar 02, 2021 updated at 13:00:03 (UTC)
Goto Top
Um Spanning Tree zu aktivieren:
Das ist falsch ! Du willst ja gerade NICHT VLAN bezogen STP komnfigurieren sondern global !!
Das ist also ein Global Command und nicht VLAN bezogen:
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
Lad dir den Layer 2 Konfig Guide von Ruckus runter da steht alles im Detail.
Den gibts frei über deren Support Portal oder auch frei als PDF wenn man danach sucht. face-wink
Spanning Tree an den anderen Switchen wie Lancom und DLINK bleiben aber weiterhin deaktiviert oder?
Auf keinen Fall !
Sobalt der Single Span am Ruckus/Brocade ICX mit der richtigen Priority rennt dann aktivierst du das dort auch !
Member: ingrimmsch
ingrimmsch Mar 02, 2021 updated at 13:25:52 (UTC)
Goto Top
Hmm habe mir gerade die Layer 2 Konfig Guide von Ruckus runtergeladen:


Enabling or disabling STP globally

Last updated: August 27, 2019

Use the following method to enable or disable STP on a device on which you have not configured port-based VLANs.
Note: When you configure a VLAN, the VLAN inherits the global STP settings. However, once you begin to define a VLAN, you can no longer configure standard STP parameters globally using the CLI. From that point on, you can configure STP only within individual VLANs.

to enable STP for all ports in all VLANs on a RUCKUS ICX device, enter the spanning-tree command.
device(config)# spanning-tree
The spanning-tree command enables a separate spanning tree in each VLAN, including the default VLAN.
To set system maximum value for number of spanning tree instances, enter the command such as the following:

device(config)# system-max spanning-tree 254

Sicher das man das dann überhaupt noch global setzen kann?
Member: aqui
Solution aqui Mar 02, 2021 updated at 15:05:19 (UTC)
Goto Top
Ja, natürlich !
Vergiss bitte den System Max Parameter...den brauchst du nicht !!
Du deaktivierst zuerst global das PVST mit
Switch(config)# no global-stp
Dann setzt du global den Switch in den Single Span Mode:
Switch(config)# spanning-tree single 802-1w
Dann setzt du die Priority mit:
Switch(config)# spanning-tree single 802-1w priority 8192
Und dann setzt du in jedem VLAN den Single Span:
Switch(config-vlan)# spanning-tree
Fertisch !

Auf dem CLI gilt Cisco Syntax ! Du kannst z.B. immer mit dem "?" arbeiten. Ein
Switch(config)# spanning-tree ?
zeigt dir z.B. welche Subkommandos das "spannig-tree" Kommando noch kennt.
Mit der TAB Taste kannst du autokomplettieren Z.B.
Switch(config)# spanning-tree si<tab>
komplettiert dir das Kommando automatisch auf Switch(config)# spanning-tree single
Danach kannst du wieder ein ? eingeben um zu sehen was er noch kennt. Das Fragezeichen ist dein Syntax Helfer !
Was ist daran so schwer ?? face-wink Steht alles HIER in der Rubrik SSTP !
Member: ingrimmsch
ingrimmsch Mar 02, 2021 updated at 20:33:17 (UTC)
Goto Top
Passt so oder? Wenn ja mache ich die Bootfest mit
<ctrl> z
write mem
?

telnet@Switch2(config-vlan-3)#show run
Current configuration:
!
ver 08.0.40cT213
!
stack unit 1
  module 1 icx7250-48-port-management-module
  module 2 icx7250-sfp-plus-8port-80g-module
  priority 120
  stack-port 1/2/1 1/2/3
stack unit 2
  module 1 icx7250-48-port-management-module
  module 2 icx7250-sfp-plus-8port-80g-module
  stack-port 2/2/1 2/2/3
stack enable
stack mac 609c.9f3c.2290
!
!
global-stp
!
lag LAGtoLANCOM-W3 dynamic id 2040
 ports ethernet 1/2/8 ethernet 2/2/8
 primary-port 1/2/8
 lacp-timeout long
 deploy
!
lag Werk2-Werk1 dynamic id 1
 ports ethernet 1/2/2 ethernet 2/2/2
 primary-port 1/2/2
 deploy
!
lag Werk3 static id 68
 ports ethernet 1/2/6 ethernet 2/2/6
 primary-port 1/2/6
 deploy
!
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 router-interface ve 1
 spanning-tree
!
vlan 2 name Werk3 by port
 tagged ethe 1/2/6 ethe 1/2/8 ethe 2/2/6 ethe 2/2/8
 untagged ethe 2/1/1
 router-interface ve 2
 spanning-tree
!
vlan 3 name Werk1 by port
 tagged ethe 1/2/2 ethe 1/2/8 ethe 2/2/2 ethe 2/2/8
 untagged ethe 1/1/48
 router-interface ve 3
 spanning-tree
!
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
aaa authentication web-server default local
aaa authentication login default local
boot sys fl pri
enable super-user-password .....
hostname Switch2
ip route 0.0.0.0/0 192.168.115.198
!
username admin password .....
!
!
hitless-failover enable
!
!
!
!
!
!
!
interface ethernet 1/1/2
 disable
!
interface ethernet 1/1/3
 disable
!
interface ethernet 1/1/4
 disable
!
interface ethernet 1/2/2
 dual-mode
!
interface ethernet 1/2/6
 dual-mode
 speed-duplex 1000-full
!
interface ethernet 1/2/8
 dual-mode
 speed-duplex 1000-full
!
interface ve 1
 ip address 192.168.115.252 255.255.255.0
!
interface ve 2
 ip address 192.168.114.252 255.255.255.0
 ip helper-address 1 192.168.115.1
!
interface ve 3
 ip address 192.168.113.252 255.255.255.0
 ip helper-address 1 192.168.115.1

Danach gehe ich dann an die Switche die mittels Glasfaser / SFP angeschlossen sind und aktiviere dort ebenfalls Spanning Tree? WIe sieht es mit Loop Protection aus?
Member: aqui
aqui Mar 03, 2021 updated at 08:54:48 (UTC)
Goto Top
Passt so oder?
Das sieht sehr gut aus !! 👍
Wenn du jetzt einmal ein show 8 eingibst kannst du die STP Topologie ansehen auf den Uplinks. Sollten alles Root Ports sein auf dem Brocade (Role: DESIGNATED).
Wichtig ist das da sowas steht:

telnet@ICX7150 Switch#sh 8

--- VLAN 4094 [ STP Instance owned by VLAN 4094 ] ---------------------------

Bridge IEEE 802.1W Parameters:

Bridge Bridge Bridge Bridge Force tx
Identifier MaxAge Hello FwdDly Version Hold

Die Instance im VLAN 4094 zeigt dann sic her an das der Singel Span aktiv ist !!
Jetzt kannst du beruhig auch auf allen nicht Brocade Switch RSTP aktivieren was du zur Loop Protection immer machen solltest.
Ein paar kosmetische Dinge noch:
  • Die richtige Uhrzeit einstellen mit:
!
clock summer-time
clock timezone europe CET
!

  • Einen NTP Zeitserver einstellen:
!
ntp
server 192.168.115.x
!

Das kann (bevorzugt) euer lokaler NTP Server sein (Windows) ode reiner aus dem Internet https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
Ansonsten sieht das sehr gut aus und du kannst mit write mem sichern.
und aktiviere dort ebenfalls Spanning Tree? WIe sieht es mit Loop Protection aus?
Richtig !! Achte rauf das es RSTP ist und Priority auf dem Default belassen ! Nur der Brocade hat als Root eine höhere Prio.
Und...?? War das nun so schwer mit dem CLI ? 😉
Member: ingrimmsch
ingrimmsch Mar 03, 2021 at 09:49:45 (UTC)
Goto Top
telnet@Switch2(config-vlan-3)#show 8

--- VLAN 4094 [ STP Instance owned by VLAN 4094 ] ---------------------------

Bridge IEEE 802.1W Parameters:

Bridge           Bridge Bridge Bridge Force    tx
Identifier       MaxAge Hello  FwdDly Version  Hold
hex              sec    sec    sec             cnt
2000609c9f3c2290 20     2      15     Default  3

RootBridge       RootPath  DesignatedBri-   Root      Max Fwd Hel
Identifier       Cost      dge Identifier   Port      Age Dly lo
hex                        hex                        sec sec sec
2000609c9f3c2290 0         2000609c9f3c2290 Root      20  15  2

Port IEEE 802.1W Parameters:

          <--- Config Params --><-------------- Current state ----------------->                                          
Port      Pri PortPath P2P Edge Role       State       Designa-  Designated                                               
Num           Cost     Mac Port                        ted cost  bridge                                                   
1/1/1     128 0        F   F    DISABLED   DISABLED    0         000000000000000                                          0
1/1/2     128 0        F   F    DISABLED   DISABLED    0         000000000000000                                          0
1/1/3     128 0        F   F    DISABLED   DISABLED    0         000000000000000                                          0
1/1/4     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/5     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/6     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/7     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/8     128 200000   F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/9     128 200000   F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/10    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/11    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/12    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/13    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/14    128 200000   F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/15    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/16    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/17    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/18    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/19    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/20    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/21    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/22    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/23    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/24    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/25    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/26    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/27    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/1/28    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/29    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/30    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/31    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/32    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/33    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/34    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/35    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/36    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/37    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/38    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/39    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/40    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/41    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/42    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/43    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/44    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/45    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/46    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/47    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/1/48    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
1/2/2     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/2/4     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/2/5     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/2/6     128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/2/7     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
1/2/8     128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/1     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/2     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/3     128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/4     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/5     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/6     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/7     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/8     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/9     128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/10    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/11    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/12    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/13    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/14    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/15    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/16    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/17    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/18    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/19    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/20    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/21    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/22    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/23    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/24    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/25    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/26    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/27    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/28    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/29    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/30    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/31    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/32    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/33    128 2000000  F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/34    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/35    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/36    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/37    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/38    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/39    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/40    128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/41    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/42    128 200000   F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/1/43    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/44    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/45    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/46    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/47    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/1/48    128 0        F   F    DISABLED   DISABLED    0         0000000000000000
2/2/2     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/2/4     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/2/5     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/2/6     128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/2/7     128 2000     F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290
2/2/8     128 20000    F   F    DESIGNATED FORWARDING  0         2000609c9f3c2290

L2 VLAN 1 to 3  are members of single spanning tree.

Ansonsten sieht das sehr gut aus und du kannst mit write mem sichern.
wofür ist der Befehl deploy?

Und...?? War das nun so schwer mit dem CLI ? 😉
Es geht. Man muss es halt verstehen lernen und die Befehle kennen.
Member: aqui
aqui Mar 03, 2021 at 10:01:26 (UTC)
Goto Top
Perfekt ! Alles richtig !
wofür ist der Befehl deploy?
Der dient zum Aktivieren von LACP LAGs. (Link Aggregation) Der ist depricated und gibt es in neueren Firmware Release nicht mehr bzw. ist automatisiert dort.
Update lohnt also. Was ist das für ein Modell ?
Member: ingrimmsch
ingrimmsch Mar 03, 2021 updated at 21:35:32 (UTC)
Goto Top
Okay soweit so gut.
telnet@Switch2#ntp
Invalid input -> ntp
Type ? for a list
telnet@Switch2#ntp server 192.168.115.1
Invalid input -> ntp server 192.168.115.1
Type ? for a list
telnet@Switch2#! ntp
telnet@Switch2#config t
telnet@Switch2(config)#ntp
telnet@Switch2(config-ntp)#server 192.168.115.1
telnet@Switch2(config-ntp)#show ntp status
 Clock is unsynchronized, no reference clock
 NTP server mode is enabled, NTP client mode is enabled
 NTP master mode is disabled, NTP master stratum is 8
 NTP is not in panic mode

telnet@Switch2(config-ntp)#show ntp ass
  associations   Show NTP Associations
telnet@Switch2(config-ntp)#show ntp associations
   address         ref clock      st  when  poll reach  delay   offset  disp
 ~192.168.115.1   62.116.130.3     3    11    64     3  1.111 -2444965 78.552
* synced, # selected, + candidate, - outlayer, x falseticker, ~ configured

Den Zeitserver konnte ich setzen aber er übernimmt den Befehl für die Zeitzone nicht.
Ich muss doch mit Exit aus dem NTP rausgehen und clock timezone eingeben oder nicht?

Folgendes steht nun aus meiner Sicht an. Ich versuche das Netzwerk homogen zu gestalten und werde einige Switche nach und nach rausschmeißen.

Ablauf:
  • Zeit auf Brocade fest setzen
  • Bei Leerlaufzeit Firmware Updates
  • RSTP auf den anderen Switchen aktivieren
  • Switche nach und nach entfernen (homogenes Netzwerk) bauen

netzwerkplan

Paar Fragen zu dem ganzen Konstrukt:
  • Auf allen Switchen die mit dem Core angeschlossenen sind Spanning Tree aktivieren?
  • Wie kann man am besten den Stack absichern?
  • Firewall habe ich heute schon angefragt und werde wohl ein HA Cluster daraus bauen.
  • Welches Netzwerkmonitoring Tool kann man empfehlen? PRTG, Macmon etc...?
Member: aqui
aqui Mar 04, 2021 updated at 11:11:57 (UTC)
Goto Top
Ich muss doch mit Exit aus dem NTP rausgehen und clock timezone eingeben oder nicht?
Ja, das ist richtig !
Erinnere dich wieder an das Fragezeichen !!! Das ist immer dein bester Freund um zu sehen welche Befehle das CLI kennt und sehen möchte. face-wink
Du gibst ein: "telnet@Switch2(config)#clock ?" oder wenn du schon timezone eingegeben hast auch: "telnet@Switch2(config)#clock timezone ?" und "hangelst" dich so durch bis zum richtigen Kommando. face-wink
Ich versuche das Netzwerk homogen zu gestalten und werde einige Switche nach und nach rausschmeißen.
Sehr vernünftig und der richtige Weg ! Sinnvoll wäre immer bei den ICX Modellen zu bleiben ! Deinen "Ablauf" Punkte sind auch absolut korrekt so außer das man die Uhrzeit (NTP Server) auf allen Switches im Netz setzen sollte, damit in den Logs und anderen Funktionen immer die korrekte Zeit verwendet wird. Essentiell fürs Trouble Shooting.
Ein anderer Punkt ist das was du in der Zeichnung als "LACP SFP" bezeichnet hast. Das ist laut Zeichnung unsinnig, denn dort ist immer nur ein einziger Link eingezeichnet ! Ein LACP LAG hat aber immer mindestens 2 (oder mehr) Links eben zur Redundanz und gleichzeitiger Bandbreiten Erhöhung.
Aber ggf. ist das ja auch nur ein Zeichenfehler in deiner Netzwerk Skizze oben das du vergessen hast den 2ten Link einzutragen. (Siehe Netz Design Skizze oben)
Paar Fragen zu dem ganzen Konstrukt:
1.)
Generell auf allen Switches im gesamten Netz RSTP aktivieren ! (Single Span)
2.)
Was genau meinst du mit "absichern" ??
  • Stack Uplink Absicherung (Daisy Chaining, Stack Trunk etc.) ?
  • Spanning Tree Absicherung ?
  • User Login Absicherung (Radius etc.) ?
  • Port Absicherung (Mac, 802.1x etc.) ?
3.)
Sehr vernünftig !
4.)
PRTG ist schon gut. Sehr gut ist auch im Open Source Bereich Observium oder Zabbix
Ein allgemeinen Überblick findest du u.a. hier
Ruckus Umfeld:
Wenn du eine durchgehende Ruckus/Brocade WLAN Lösung hast kannst du z.B. mit einem Unleashed Accesspoint oder einem WLAN Controller auch alle deine Ruckus Switches nebenbei mit managen ! face-wink
Solltest du vielleicht mal eurem IT fernen Einkäufer stecken !
Member: ingrimmsch
ingrimmsch Mar 04, 2021 updated at 11:31:00 (UTC)
Goto Top
Erinnere dich wieder an das Fragezeichen !!! Das ist immer dein bester Freund um zu sehen welche Befehle das CLI kennt und sehen möchte. face-wink
Du gibst ein: "telnet@Switch2(config)#clock ?" oder wenn du schon timezone eingegeben hast auch: "telnet@Switch2(config)#clock timezone ?" und "hangelst" dich so durch bis zum richtigen Kommando. face-wink

telnet@Switch2(config)#clock timezone gmt gmt+01
telnet@Switch2(config)#show clock
12:27:44.394 GMT+01 Thu Mar 04 2021
telnet@Switch2(config)#

ENDLICH. Nun habe ich es kapiert... Aber finde nirgends den Punkt wo ich die Konfiguration exportieren kann :/

Ein anderer Punkt ist das was du in der Zeichnung als "LACP SFP" bezeichnet hast. Das ist laut Zeichnung unsinnig, denn dort ist immer nur ein einziger Link eingezeichnet ! Ein LACP LAG hat aber immer mindestens 2 (oder mehr) Links eben zur Redundanz und gleichzeitiger Bandbreiten Erhöhung.
Sind 2 Leitungen über die SFP Ports als LACP. Aber halt nur als eine Leitung eingezeichnet. Zeitmanagement und so :P


Paar Fragen zu dem ganzen Konstrukt:
1.)
Generell auf allen Switches im gesamten Netz RSTP aktivieren ! (Single Span)
2.)
Was genau meinst du mit "absichern" ??
Ich meine wenn das Stack abraucht kann ich mich erschießen :D
Member: aqui
aqui Mar 04, 2021 updated at 12:04:27 (UTC)
Goto Top
Aber finde nirgends den Punkt wo ich die Konfiguration exportieren kann
Das geht kinderleicht mit show run
Den Output sicherst du per Cut and Paste als stinknormalen .txt Textfile auf deinem Lieblingsserver mit Datensicherung und gut iss ! face-wink
Kannst du dann in einen nackigen Switch wieder per Cut and Paste reinbringen, et voila...schon ist er wieder fertig konfiguriert. Simpler Klassiker... face-wink

Noch einfacher geht es wenn du im Netz irgendwo einen SSH, TFTP oder HTTPS Server hast. (kleiner Raspberry Pi genügt). Mit...
copy running-config tftp <server_ip> meine-config.txt
schreibt der Switch dir diesen Konfig File dann automatisch auf den Sicherungsserver.
Das geht dann auch mit SCP, HTTPS oder direkt auf einen angesteckten USB Stick (disk0)
telnet@ICX7150-C08P Switch#copy running-config ?
disk0 To an external USB disk file
https To a HTTPS server
scp To a scp file
tftp To a tftp file

Sind 2 Leitungen über die SFP Ports als LACP. Aber halt nur als eine Leitung eingezeichnet.
OK, hast du sicherheitshalber mit show lag auch gecheckt das die LAGs auch alle im OPE Status sind ??! Nur dann sind die auch wirklich aktiv. Immer wichtig zu checken wenn man einen LACP LAG zu einem Fremdhersteller macht ! face-wink
Ich meine wenn das Stack abraucht kann ich mich erschießen
Der Stack ist ein Mann also maskulin ! face-wink
Aber die Pistole kannst du aus mehreren Gründen in der Schublade lassen:
  • Du hast eine Lifetime Warranty mit den ICXen mit next Business Day Ersatz. Wenn also eine Kiste abraucht hast du nächsten morgen eine Neue. Dieser Service ist im Kaufpreis inkludiert, allerdings limitiert auf 5 Jahre. Auch das ein Argument für euren IT unkundigen Einkäufer der nur nach Preis Taiwan Schrott einkauft face-wink
  • Das 2 Stack Member zu gleicher Zeit abrauchen (je nachdem wieviel Maschinen du im Stack hast ?! Max. sind 12 erlaubt pro Stack) ist eher unwahscheinlich. Der Stack macht einen automatischen Failover so das Notbetrieb immer möglich ist.
  • Sinnvollerweise plant man als verantwortungsvoller Netzwerker den Stack immer so das man genug freie Ports hat einen Notbetrieb zu machen wenn eine Komponente ausfällt. Ggf. also den Einkäufer bitten ein zusätzliches Stackmodell als Redundanz zu beschaffen um diesen Status zu erreichen. Bei einer solchen Core Komponente unumgänglich und sagt einem ja auch der gesunde IT Verstand ohne einen Administrator Thread. face-wink
  • Dem Einkäufer bei euch scheint es ja aber Wumpe zu sein wenn das Netz ausfällt. Die Tatsache das er billigste Taiwan Switches auf unterstem Niveau beschafft für ein Unternehmensnetz sagt ja alles. Du solltest also die Pistole in dem Fall dann ganz beruhigt auf seinen Schreibtisch legen !!
Member: ingrimmsch
ingrimmsch Mar 04, 2021 updated at 12:13:11 (UTC)
Goto Top
Das geht kinderleicht mit show run
Ach das langt aus?

Sind 2 Leitungen über die SFP Ports als LACP. Aber halt nur als eine Leitung eingezeichnet.
OK, hast du sicherheitshalber mit show lag auch gecheckt das die LAGs auch alle im OPE Status sind ??! Nur dann sind die auch wirklich aktiv. Immer wichtig zu checken wenn man einen LACP LAG zu einem Fremdhersteller macht ! face-wink
telnet@Switch2#show lag
Total number of LAGs:          3
Total number of deployed LAGs: 3
Total number of trunks created:3 (253 available)
LACP System Priority / ID:     1 / 609c.9f3c.2290
LACP Long timeout:             120, default: 120
LACP Short timeout:            3, default: 3

=== LAG "LAGtoLANCOM-W3" ID 2040 (dynamic Deployed) ===  
LAG Configuration:
   Ports:         e 1/2/8 e 2/2/8
   Port Count:    2
   Primary Port:  1/2/8
   Trunk Type:    hash-based
   LACP Key:      22040
   LACP Timeout:  long
Deployment: HW Trunk ID 3
Port       Link    State   Dupl Speed Trunk Tag Pvid Pri MAC             Name
1/2/8      Up      Forward Full 1G    2040  Yes 1    0   609c.9f3c.2290         
2/2/8      Up      Forward Full 1G    2040  Yes 1    0   609c.9f3c.2290         

Port       [Sys P] [Port P] [ Key ] [Act][Tio][Agg][Syn][Col][Dis][Def][Exp][Ope]
1/2/8           1        1   22040   Yes   L   Agg  Syn  Col  Dis  No   No   Ope
2/2/8           1        1   22040   Yes   L   Agg  Syn  Col  Dis  No   No   Ope


 Partner Info and PDU Statistics
Port          Partner         Partner     LACP      LACP
             System ID         Key     Rx Count  Tx Count
1/2/8    32768-00a0.575b.35a9        2   492633    475853
2/2/8    32768-00a0.575b.35a9        2   492622    475840

=== LAG "Werk2-Werk1" ID 1 (dynamic Deployed) ===  
LAG Configuration:
   Ports:         e 1/2/2 e 2/2/2
   Port Count:    2
   Primary Port:  1/2/2
   Trunk Type:    hash-based
   LACP Key:      20001
Deployment: HW Trunk ID 1
Port       Link    State   Dupl Speed Trunk Tag Pvid Pri MAC             Name
1/2/2      Up      Forward Full 10G   1     Yes 1    0   609c.9f3c.2290         
2/2/2      Up      Forward Full 10G   1     Yes 1    0   609c.9f3c.2290         

Port       [Sys P] [Port P] [ Key ] [Act][Tio][Agg][Syn][Col][Dis][Def][Exp][Ope]
1/2/2           1        1   20001   Yes   L   Agg  Syn  Col  Dis  No   No   Ope
2/2/2           1        1   20001   Yes   L   Agg  Syn  Col  Dis  No   No   Ope


 Partner Info and PDU Statistics
Port          Partner         Partner     LACP      LACP
             System ID         Key     Rx Count  Tx Count
1/2/2    1-609c.9f09.8434    20002   246415    246456
2/2/2    1-609c.9f09.8434    20002   246408    246445

=== LAG "Werk3" ID 68 (static Deployed) ===  
LAG Configuration:
   Ports:         e 1/2/6 e 2/2/6
   Port Count:    2
   Primary Port:  1/2/6
   Trunk Type:    hash-based
Deployment: HW Trunk ID 2
Port       Link    State   Dupl Speed Trunk Tag Pvid Pri MAC             Name
1/2/6      Up      Forward Full 1G    68    Yes 1    0   609c.9f3c.2290         
2/2/6      Up      Forward Full 1G    68    Yes 1    0   609c.9f3c.2290  

Sieht soweit okay aus. LACP zu Werk 3 und Werk 3 Lancom wie Werk1 besteht. Ob es wirklich ein LACP zum Werk2 ist muss ich gleich mal nachschauen. Wenn dann auf jeden Fall über 2x 1Gbit und nicht SFTP

Aber die Pistole kannst du aus mehreren Gründen in der Schublade lassen:
  • Du hast eine Lifetime Warranty mit den ICXen mit next Business Day Ersatz. Wenn also eine Kiste abraucht hast du nächsten morgen eine Neue. Dieser Service ist im Kaufpreis inkludiert, allerdings limitiert auf 5 Jahre. Auch das ein Argument für euren IT unkundigen Einkäufer der nur nach Preis Taiwan Schrott einkauft face-wink
Ich glaube da kann ich mich nicht ganz aus der Schusslinie nehmen. Ich habe zu oft ja und amen gesagt. Aber immerhin habe ich den Fehler nun erkannt und werde es ändern.
* Das 2 zu gleicher Zeit abrauchen (je nachdem wieviel Maschinen du im Stack hast ?! Max. sind 12 erlaubt pro Stack) ist eher unwahscheinlich. Der Stack macht einen automatischen Failover so das Notebetrieb immer möglich ist.
gut zu wissen.

* Sinnvollerweise plant man den Stack so das man genug freie Ports hat einen Notebetrieb zu machen wenn eine Komponente ausfällt. Gf. also den Einkäufer bitten ein zusätzliche Stackmodell zu beschaffen um den Status zu erreichen. Bei einer solchen Core Komponente unumgänglich und sagt einen auch der gesunde IT Verstand ohne einen Administrator Thread. face-wink
Ja mein IT Verstand hat mich darauf hingewiesen, aber ich brauchte den Administrator Thread um diese Gedanken zu verstärken :D
Member: aqui
aqui Mar 04, 2021 updated at 12:23:56 (UTC)
Goto Top
Ach das langt aus?
Schon seit Jahrzehnten bei allen Herstellern die ein Cisco ähnliches CLI haben ! face-wink
Wieder ein Argumentationsgrund gegen den Einkäufer und seiner "Taiwan Billig Mentalität" face-wink
LACP zu Werk 3 und Werk 3 Lancom wie Werk1 besteht.
Das wichtigste hast du aber abgeschnitten !! face-sad
Bei LAG 1 und 2 kannst du oben ja wunderbar sehen bei den Member Ports (ganz am Ende) das die da im "OPE" Status sind ! OPE = Operational. Bedeutet das LACP aktiv ist und beide Member Links im Forwarding. Alles bestens also bei LAG 1 und 2...
Bei LAG 3 sieht man es leider nicht. Du vermutlich schon... face-wink
Ich habe zu oft ja und amen gesagt.
Traurig und damit hast du dich als Profi ja eigentlich selber disqualifiziert als Ansprechpartner in Infrastruktur Fragen. Wozu wirst du denn gefragt als Fachkraft und warum so devor ?? Nutze dein Know How doch um das aktiv mitgestalten zu können. In der IT ist sowas doch Usus in Unternehmen...
aber ich brauchte den Administrator Thread um diese Gedanken zu verstärken
Das machen wir doch gerne ! 👍
Member: ingrimmsch
ingrimmsch Mar 04, 2021 updated at 13:11:05 (UTC)
Goto Top
Traurig und damit hast du dich als Profi ja eigentlich selber disqualifiziert als Ansprechpartner in Infrastruktur Fragen. Wozu wirst du denn gefragt als Fachkraft und warum so devor ?? Nutze dein Know How doch um das aktiv mitgestalten zu können.

Ich bin hier in eine historisch gewachsene Umgebung gekommen.
Die Entscheidungen mit dem Coreswitchen, ESX Servern und der Firewall z.B. sind auf meinen Mist gewachsen. Aber diese Billigswitche wurden vorher (Lancom, D-Link) schon du verschiedene Dienstleister geliefert, eingebaut und dann auch empfohlen. Dort hieß es dann "die reichen aus, sind günstig und trotzdem sehr gut, oder die setzen wir schon seit Jahren ein". Wie oben schon erwähnt habe ich mich da wahrscheinlich zu sehr auf die Dienstleister verlassen und wurde verlassen...

Ich habe gerade gestern einen Test gemacht und zwei Dienstleister angerufen mit denen wir zusammen arbeiten und mal nach dem Thema Spanning Tree, Loop Protection usw. gefragt.
Beide haben bestätigt, dass dieses eigentlich nie aktiviert wird. Für mich kam der Eindruck so rüber von wegen schnell verkaufen, schnell einbauen, schnell Rechnung schreiben...

Aber wichtiger ist das die Erkenntnis nun da ist und ich nicht mehr alles abnicken werden. Ich werde so wie es aussieht, mich auch von den einem oder anderen Dienstleister verabschieden. Es soll auch keine Ausrede sein und eine Teilschuld nehme ich definitv auf mich.
Member: aqui
aqui Mar 04, 2021 updated at 15:22:58 (UTC)
Goto Top
Dort hieß es dann "die reichen aus, sind günstig und trotzdem sehr gut, oder die setzen wir schon seit Jahren ein".
Uhhh...spricht auch für die "Qualität" dieser Dienstleister vor deiner Zeit und deren Infrastruktur Horizont....aber egal. Schnee von gestern für dich. Dumm ist nur das sowas bei wenig IT affinen Managern immer hängen bleibt.
Eindruck so rüber von wegen schnell verkaufen, schnell einbauen, schnell Rechnung schreiben...
Oha...ja absolut, entspricht sicher deren "Kunden" Philosophie". Diese Antwort sagt eigentlich alles. Ein NoGo in einem redundant gestalteten Firmennetzwerk. Zumindest die einfache Frage nach dem Netz Design, bevor man solche wenig qualifizierte Antwort gibt, wäre das zu erwartende Minimum gewesen. Da muss man sicher nichts mehr zu kommentieren und solltest du besser nie mehr wieder anrufen. Man kann nur die Kunden bedauern die Opfer solcher "Systemhäuser" sind. Aber allein die Produkte die sie empfehlen sprechen ja auch schon eine deutliche Sprache in dieser Hinsicht.
Du bist auf alle Fälle absolut auf dem richtigen Weg mit dem was du derzeit umgesetzt hast und lasse dich da nicht beirren ! 👍