38
Zwei Lancom GS-315XP Switche VLAN verbinden
Hallo zusammen,
wir haben zwei neue Lancom GS-315XP Switche bekommen. An einem dieser Switche sind Lancom Accesspoints angeschlossen. Ich verzweifel gerade an der Verbindung zwischen den Switchen bzw. VLANs
Wir haben aufgrund von IP knappheit die Netze 192.168.115.xx (Werk2-6) und 192.168.114.xx (Werk3)
Switch2 ist über Port1 mit einem weiteren Switch (DLINK) verbunden. Auf dem DLINK Switch gibt es das VLAN Werk3 (192.168.114.xx) was über Port 49-52 (Tagged) mit den Brocadeswitchen verbunden ist. In diesem VLAN (Werk3) beziehen die Clients IPs aus dem 192.168.114.xx Bereich.
Switch 1 (DLink) ist im Serverraum Werk 3 und mit den Brocadeswitchen über Glasfaser (Port 49-52) verbunden.
IP: 192.168.115.152
Switch 2 (Lancom) ist im Serverraum Werk 3
IP: 192.168.114.4
Switch 3 (Lancom) ist im Lager
192.168.114.5
Am Switch 3 sind 10 Accesspoints angeschlossen (Port 1-10). Die Switche 2 und 3 sind über ein SFP Modul (Port 49) verbunden.
Ich möchte die Accesspoints in ein eigenes VLAN legen, so das diese wie auf dem DLINK auch IP Adressen aus dem Netz 192.168.114.xx beziehen.
Meine Überlegung wäre nun auf Switch 3 Port 1-10 in das VLAN Werk3 zu legen.
Dann müsste ich aber doch noch über Port 49 am Switch 2 und 3 das VLAN Werk3 als tagged bekannt machen oder?
so
oder
so?
Dann bräuchte ich noch die Verbindung zwischen Switch 1 und Switch 2 was über Port 1 verbunden ist. Auch dieses müsst getagged werden richtig?
Ich hoffe ihr versteht was ich meine und meine Informationen sind ausreichend ;)
wir haben zwei neue Lancom GS-315XP Switche bekommen. An einem dieser Switche sind Lancom Accesspoints angeschlossen. Ich verzweifel gerade an der Verbindung zwischen den Switchen bzw. VLANs
Wir haben aufgrund von IP knappheit die Netze 192.168.115.xx (Werk2-6) und 192.168.114.xx (Werk3)
Switch2 ist über Port1 mit einem weiteren Switch (DLINK) verbunden. Auf dem DLINK Switch gibt es das VLAN Werk3 (192.168.114.xx) was über Port 49-52 (Tagged) mit den Brocadeswitchen verbunden ist. In diesem VLAN (Werk3) beziehen die Clients IPs aus dem 192.168.114.xx Bereich.
Switch 1 (DLink) ist im Serverraum Werk 3 und mit den Brocadeswitchen über Glasfaser (Port 49-52) verbunden.
IP: 192.168.115.152
Switch 2 (Lancom) ist im Serverraum Werk 3
IP: 192.168.114.4
Switch 3 (Lancom) ist im Lager
192.168.114.5
Am Switch 3 sind 10 Accesspoints angeschlossen (Port 1-10). Die Switche 2 und 3 sind über ein SFP Modul (Port 49) verbunden.
Ich möchte die Accesspoints in ein eigenes VLAN legen, so das diese wie auf dem DLINK auch IP Adressen aus dem Netz 192.168.114.xx beziehen.
Meine Überlegung wäre nun auf Switch 3 Port 1-10 in das VLAN Werk3 zu legen.
Dann müsste ich aber doch noch über Port 49 am Switch 2 und 3 das VLAN Werk3 als tagged bekannt machen oder?
so
oder
Dann bräuchte ich noch die Verbindung zwischen Switch 1 und Switch 2 was über Port 1 verbunden ist. Auch dieses müsst getagged werden richtig?
Ich hoffe ihr versteht was ich meine und meine Informationen sind ausreichend ;)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 656094
Url: https://administrator.de/contentid/656094
Ausgedruckt am: 05.11.2024 um 06:11 Uhr
38 Kommentare
Neuester Kommentar
Es kommt darauf an, was du erreichen willst. VLAN tagged muss halt überall an denen Switchen anliegen, wo man es benötigt. Wenn der Router für ein VLAN an einem Ende ist und der Client, der in diesem VLAN sein soll, am anderen Ende, brauchen halt alle Switche und dessen Verbindungsports dazwischen dieses VLAN tagged.
Grundsätzlich gild die Regel:
Zwischen den Switchen alle VLANs tagged durch schicken (Ausnahme #1) (Ausnahme #2).
An den Endgeräten das jeweilige VLAN untagged anlegen.
Accesspoints brauchen oft mehrere VLANs, also dort auch die nötigen VLANs tagged anlegen (Ausnahme #2).
Ausnahme #1: Aus Sicherheitsgründen kann man auch einige VLANs weg lassen, wenn sie an der anderen Stelle nicht benötigt werden.
Ausnahme #2: Um die Geräte besser verwalten zu können, wird ein Verwaltungs-VLAN "untagged" mit angelegt, damit sie auch in ihrer Grundkonfiguraqtion sofort erreichbar sind. Gerne wird dafür VLAN 0 bzw VLAN 1 (das erste halt) verwendet.
Grundsätzlich gild die Regel:
Zwischen den Switchen alle VLANs tagged durch schicken (Ausnahme #1) (Ausnahme #2).
An den Endgeräten das jeweilige VLAN untagged anlegen.
Accesspoints brauchen oft mehrere VLANs, also dort auch die nötigen VLANs tagged anlegen (Ausnahme #2).
Ausnahme #1: Aus Sicherheitsgründen kann man auch einige VLANs weg lassen, wenn sie an der anderen Stelle nicht benötigt werden.
Ausnahme #2: Um die Geräte besser verwalten zu können, wird ein Verwaltungs-VLAN "untagged" mit angelegt, damit sie auch in ihrer Grundkonfiguraqtion sofort erreichbar sind. Gerne wird dafür VLAN 0 bzw VLAN 1 (das erste halt) verwendet.
1
Zitat von @NordicMike:
Es kommt darauf an, was du erreichen willst. VLAN tagged muss halt überall an denen Switchen anliegen, wo man es benötigt. Wenn der Router für ein VLAN an einem Ende ist und der Client, der in diesem VLAN sein soll, am anderen Ende, brauchen halt alle Switche und dessen Verbindungsports dazwischen dieses VLAN tagged.
Es kommt darauf an, was du erreichen willst. VLAN tagged muss halt überall an denen Switchen anliegen, wo man es benötigt. Wenn der Router für ein VLAN an einem Ende ist und der Client, der in diesem VLAN sein soll, am anderen Ende, brauchen halt alle Switche und dessen Verbindungsports dazwischen dieses VLAN tagged.
Somit ist ja Switch 3 das Ende was über Switch 2 und dann zum Switch 1 mit dem Server verbunden ist.
Also müsste ich dann doch am Port 49 am Switch 3 und 2 taggen und dann noch mit dem Port 1 vom Switch 1 zu Switch 2?
Sind das Trunk oder Hybrit Port (Siehe Screenshot oben)
Dann wäre die Komminikation zum Server bzw. IP Bereich 192.168.114.xx gegeben. Da das DLINK Switch ja schon Verbindung hat.
Grundsätzlich gild die Regel:
Zwischen den Switchen alle VLANs tagged durch schicken (Ausnahme #1) (Ausnahme #2).
An den Endgeräten das jeweilige VLAN untagged anlegen.
Das habe ich gemacht. Switch 3 Port 1-10 untagged.Accesspoints brauchen oft mehrere VLANs, also dort auch die nötigen VLANs tagged anlegen (Ausnahme #2).
Wie ist das gemeint?Ausnahme #2: Um die Geräte besser verwalten zu können, wird ein Verwaltungs-VLAN "untagged" mit angelegt, damit sie auch in ihrer Grundkonfiguraqtion sofort erreichbar sind. Gerne wird dafür VLAN 0 bzw VLAN 1 (das erste halt) verwendet.
Dazu würde ich später kommen. Die Accesspoints werden zentral über einen Controller verwaltet.
Meine Überlegung wäre nun auf Switch 3 Port 1-10 in das VLAN Werk3 zu legen.
Das ist OK und kann man so machen ! Ports dann untagged in VLAN 2 (PVID 2) auf dem Switch.Dann müsste ich aber doch noch über Port 49 am Switch 2 und 3 das VLAN Werk3 als tagged bekannt machen oder?
Ganz genau anders könnte VLAN 2 ja sonst niemals von einem Switch zum anderen gelangen !!Sind diese 2 Lancom Switches sonst vollständig isoliert ??
Wenn nicht und sie mit dem VLAN 2 (Werk 3) auch irgendwie mit dem Brocade Switches oder dem D-Link verbunden sind, dann musst du natürlich auch den Uplink dorthin mit dem VLAN 2 taggen.
Liest dir die "VLAN Schnellschulung" durch die das gesamten VLAN Verhalten noch einmal im Schnellverfahren beschreibt:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Grundlagen erklärt auch das hiesige VLAN_Tutorial.
Nochwas sehr Wichtiges:
Die Broacde Switches machen im Default ein Spanning Tree PVST (Per VLAN Spanning Tree) Verfahren ! Sprich also pro VLAN je einen dedizierten Spanning Tree Prozess !
Solche PVSTP Verfahren, was auf Premium Switches oft üblich ist, supporten deine D-Link Gurke und auch die Lancoms nicht !!! Die können generell nur Single Span !
Du bekommst dann beim Verbinden dieser Switches ein nicht kompatibles Spanning Tree Design was zu massiven Ausfällen und Unterbrechungen im Netz führen kann, da PVST und Single Span NICHT kompatibel sind.
Das solltest du also immer auf dem Radar haben.
Du musst also die Brocade Switches zwingend auf Single Span konfigurieren und das PVST damit deaktivieren wenn du diese Switches mit Lancom oder D-Link koppelst !
Ebenso sollte global RSTP hier Pflicht sein. Beim Brocade ist das das Kommando spanning-tree 802.3w und NICHT das Kommando spanning-tree rstp !! Achte zwingend darauf !!
Wenn du die Brocades alle auf RSTP Single Spann in der Konfig eingestellt hast, kannst du diesen Hinweis natürlich ignorieren.
Zitat von @aqui:
Sind diese 2 Lancom Switches sonst vollständig isoliert ??
Was meinst du damit?Meine Überlegung wäre nun auf Switch 3 Port 1-10 in das VLAN Werk3 zu legen.
Das ist OK und kann man so machen ! Ports dann untagged in VLAN 2 (PVID 2) auf dem Switch.Dann müsste ich aber doch noch über Port 49 am Switch 2 und 3 das VLAN Werk3 als tagged bekannt machen oder?
Ganz genau anders könnte VLAN 2 ja sonst niemals von einem Switch zum anderen gelangen !!Sind diese 2 Lancom Switches sonst vollständig isoliert ??
Wenn nicht und sie mit dem VLAN 2 (Werk 3) auch irgendwie mit dem Brocade Switches oder dem D-Link verbunden sind, dann musst du natürlich auch den Uplink dorthin mit dem VLAN 2 taggen.
Sie sind mit dem DLINK über Port 1 verbunden. Das Dlink wiederrum ist mit dem Brocades verbunden und dort läuft VLAN bzw. das Netz 192.168.114.xx drauf.Deswegen bin ich der Meinung das die Verbindung vom Lancom Switch zu dem Dlink doch aussreichen müsste?!
Solch PVSTP Verfahren was auf Premium Switches oft üblich ist supporten deine D-Link Gurke und auch die Lancoms nicht !!! Die können generell nur Single Span !
Da die Verbindung zwischen Brocade und DLINK schon läuft sollte es ja gehen?!Wenn du die Brocades alle auf Single Spann in der Konfig eingestellt hast kannst du diesen Hinweis natürlich ignorieren.
Hat ein Dienstleister in Betrieb genommen und ich denke das wird so eingerichtet sein. Da wie oben schon gesagt das DLINK ja mit den Brocades läuft.Was meinst du damit?
Ob sie in sich nur als isolierte reine 2er Switchverbindung arbeiten oder ob sie noch mit einem oder mehreren Beinen mit dem Brocade oder D-Link verbunden sind !Deswegen bin ich der Meinung das die Verbindung vom Lancom Switch zu dem Dlink doch aussreichen müsste?!
Ja, da hast du Recht. Diese Uplink zw. D-Link und dem Lancom muss aber sowohl auf D-Link Seite als auch auf Lancom Seite immer tagged für das VLAN 2 definiert sein und untagged (PVID 1) im VLAN 1 liegen, dann ist das korrekt.Da die Verbindung zwischen Brocade und DLINK schon läuft sollte es ja gehen?!
Nein, wenn die 2 inkompatiblen Spanning Tree Verfahren nutzen ist das tödlich für die Stabilität Netz. Es kommt dann zu unkontrollierten und zufälligen Spanning Tree Blockings was sich in immer wiederkehrenden Unterbrechungen äußert.Aber dazu müsste man mal deine Brocade Konfig ansehen oder du siehst sie dir mal selber an. Dort sollte zwingend sowas wie hier stehen:
!
spanning-tree single
!
vlan 1 name DEFAULT-VLAN by port
no untagged ethe 1/2/1
spanning-tree
management-vlan
default-gateway 192.168.1.254 1
!
vlan 10 name Gast by port
tagged ethe 1/1/8 ethe 1/2/1 to 1/2/2
untagged ethe 1/1/6 to 1/1/7
spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 12288 ==> (Höhere Priority nur beim Spanning Tree Root Switch !)
!
Ein show 802 zeigt dir immer den aktiven Spanning Tree Status auf den Brocades und wer im Netz der STP Root Switch ist. Das sollte tunlichst immer der L3 Core Switch sein.
Wenn das auf deinen Brocades durchgängig so aussieht, sprich du sie auf Single Span eingestellt hast, dann (und nur dann) hast du alles richtig gemacht.
Höhere Priority darf ausschliesslich nur der Root Switch (Core) haben !!
Danke euch beiden.
kurze Zusammenfassung wie ich nun vorgehen würde:
Switch 3 im Lager bekommt VLAN (Werk3) von Port 1-10
Über Port 49 mache ich tagged Switch 2 mit Switch 3 bzw. VLAN bekannt.
Über Port 1 mache ich Switch 2 mit Dlink Switch bzw. VLAN bekannt.
Dlink ist schon über Port 49-52 tagged mit Brocade verbunden und somit das VLAN für das Netz 192.168.114.xx bekannt.
Zu prüfen ist ob am Brocade Single Span konfiguriert ist.
(RSTP is not configured. Go to PORT VLAN Page to enable RSTP)
Wenn das alles konfiguriert ist, müssten sich die Accesspoints dann ja vom DHCP Server aus dem IP bereich 192.168.114.xx nach Neustart eine IP ziehen richtig?
Eine letzte Frage noch
Muss es Trunk oder Hybrid am Port 49 sein?
kurze Zusammenfassung wie ich nun vorgehen würde:
Switch 3 im Lager bekommt VLAN (Werk3) von Port 1-10
Über Port 49 mache ich tagged Switch 2 mit Switch 3 bzw. VLAN bekannt.
Über Port 1 mache ich Switch 2 mit Dlink Switch bzw. VLAN bekannt.
Dlink ist schon über Port 49-52 tagged mit Brocade verbunden und somit das VLAN für das Netz 192.168.114.xx bekannt.
Zu prüfen ist ob am Brocade Single Span konfiguriert ist.
(RSTP is not configured. Go to PORT VLAN Page to enable RSTP)
Wenn das alles konfiguriert ist, müssten sich die Accesspoints dann ja vom DHCP Server aus dem IP bereich 192.168.114.xx nach Neustart eine IP ziehen richtig?
Eine letzte Frage noch
Muss es Trunk oder Hybrid am Port 49 sein?
Absolut richtig aber einmal etwas detailierter und eindeutiger beschrieben:
- Switch 3 im Lager bekommt VLAN ID 2 UNtagged (Werk3 VLAN) auf Port 1-10 gelegt (PVID 2)
- Switch Uplink Ports 49 = VLAN ID 2 tagged von Switch 2 auf Switch 3 und VLAN 1 untagged
- Über Uplink Port 1 Lancom Switch 2 auf D-Link Switch und dort ebenso: VLAN ID 2 tagged und VLAN 1 untagged
- Zu prüfen ist ob am Brocade Single Span konfiguriert ist. WICHTIG !
- Check an Lancom Switch 3 Ports 1 bis 10 ob dort IP Adressen aus dem VLAN 2 (Werk 3) vergeben werden. Das muss übrigens kein AP sein sondern kann man auch immer mit einem simplen Laptop im DHCP Mode vorab testen.
Muss es Trunk oder Hybrid am Port 49 sein?
Hybrid, denn dein VLAN 1 wird ja immer UNtagged als Native VLAN übertragen1
Vielen Dank Aqui,
ich werde das mal vorsichtig alles testen und sobald das lüppt den Beitrag als gelöst taggen ;)
ich werde das mal vorsichtig alles testen und sobald das lüppt den Beitrag als gelöst taggen ;)
Zitat von @aqui:
Absolut richtig aber einmal etwas detailierter und eindeutiger beschrieben:
Absolut richtig aber einmal etwas detailierter und eindeutiger beschrieben:
- Switch 3 im Lager bekommt VLAN ID 2 UNtagged (Werk3 VLAN) auf Port 1-10 gelegt (PVID 2)
* Switch Uplink Ports 49 = VLAN ID 2 tagged von Switch 2 auf Switch 3 und VLAN 1 untagged
Wie kann ich denn auf Port 49 ID 2 taggen und VLAN 1 untagged einstellen?
Stell ich dort als port VLAN 2 tagged ein und VLAN1 wird durch Hybrid untagged mit durchgereicht? Weil dort steht ja als Allowed VLAN 1,2
* Über Uplink Port 1 Lancom Switch 2 auf D-Link Switch und dort ebenso: VLAN ID 2 tagged und VLAN 1 untagged
VLAN ID 2 tagged
VLAN 1 untagged
Die reinen VLAN 2 Access Ports (1-10) solltest du immer auch auf Ingress UNtagged setzen. Endgeräte können nicht taggen und der Switch sollte hier auch keinerlei Frames mit irgendwelchen Tags annehmen aus Sicherheitsgründen !! Also besser untagged all auf diesen Ports überall außer natürlich auf dem Uplink Port zu den anderen Switches, da ist Tagging logischerweise Pflicht um die VLAN Info mitzuliefern !
Port 49 ist falsch dort darf das Default VLAN 1 nicht getagged werden. Das wird immer untagged übertragen, deshalb auch "hybrid". Der D-Link und auch die Brocades sowie alle anderen Hersteller weltweit übertragen das Default VLAN immer untagged auf den Tagged Uplinks.
Die beiden letzten Screenshots sind richtig.
Allerdings....die Ports 1-10 sind dort im VLAN 2 nicht auf untagged gesetzt ?? Flüchtigkeitsfehler ??
Irrigerweise nur Port 1 der dann aber falsch auf Tagged.
Ports 1-10 sind weiter Endgeräte Memberports im VLAN 1 ?!?
Port 49 ist falsch dort darf das Default VLAN 1 nicht getagged werden. Das wird immer untagged übertragen, deshalb auch "hybrid". Der D-Link und auch die Brocades sowie alle anderen Hersteller weltweit übertragen das Default VLAN immer untagged auf den Tagged Uplinks.
Wie kann ich denn auf Port 49 ID 2 taggen und VLAN 1 untagged einstellen?
Ganz einfach: Als Member im Default VLAN 1 untagged belassen (PVID 1) und im VLAN 2 Setting diesen Port einfach auf Tagged (ingress und egress) setzen.Stell ich dort als port VLAN 2 tagged ein und VLAN1 wird durch Hybrid untagged mit durchgereicht?
Bingo ! Die beiden letzten Screenshots sind richtig.
Allerdings....die Ports 1-10 sind dort im VLAN 2 nicht auf untagged gesetzt ?? Flüchtigkeitsfehler ??
Irrigerweise nur Port 1 der dann aber falsch auf Tagged.
Ports 1-10 sind weiter Endgeräte Memberports im VLAN 1 ?!?
Zitat von @aqui:
Die reinen VLAN 2 Access Ports (1-10) solltest du immer auch auf Ingress UNtagged setzen. Endgeräte können nicht taggen und der Switch sollte hier auch keinerlei Frames mit irgendwelchen Tags annehmen aus Sicherheitsgründen !! Also besser untagged all auf diesen Ports überall außer natürlich auf dem Uplink Port zu den anderen Switches, da ist Tagging logischerweise Pflicht um die VLAN Info mitzuliefern !
Die reinen VLAN 2 Access Ports (1-10) solltest du immer auch auf Ingress UNtagged setzen. Endgeräte können nicht taggen und der Switch sollte hier auch keinerlei Frames mit irgendwelchen Tags annehmen aus Sicherheitsgründen !! Also besser untagged all auf diesen Ports überall außer natürlich auf dem Uplink Port zu den anderen Switches, da ist Tagging logischerweise Pflicht um die VLAN Info mitzuliefern !
Also Port 49 tagged Port 1-10 untagged.
Port 49 ist falsch dort darf das Default VLAN 1 nicht getagged werden. Das wird immer untagged übertragen, deshalb auch "hybrid". Der D-Link und auch die Brocades sowie alle anderen Hersteller weltweit übertragen das Default VLAN immer untagged auf den Tagged Uplinks.
Also so?Wie kann ich denn auf Port 49 ID 2 taggen und VLAN 1 untagged einstellen?
Ganz einfach: Als Member im Default VLAN 1 untagged belassen (PVID 1) und im VLAN 2 Setting diesen Port einfach auf Tagged (ingress und egress) setzen.
Die beiden letzten Screenshots sind richtig.
Allerdings....die Ports 1-10 sind dort im VLAN 2 nicht auf untagged gesetzt ?? Flüchtigkeitsfehler ??
Irrigerweise nur Port 1 der dann aber falsch auf Tagged.
Also jetzt bringst du mich völlig durcheinander. Wieso soll ich den Port 1-10 auf dem DLINK untagged setzen? Wozu das? Ich habe auf dem DLINK auf Port 1-10 kein VLAN?!Allerdings....die Ports 1-10 sind dort im VLAN 2 nicht auf untagged gesetzt ?? Flüchtigkeitsfehler ??
Irrigerweise nur Port 1 der dann aber falsch auf Tagged.
Port 1 (Verbindung zwischen DLINK und Lancom) muss doch auf tagged sein? Wie soll sonst das VLAN durchgereicht werden?
Hausnummer um den Paket (Hals) funktioniert nicht... 
Was bisher geschah:
Switch Lager:
Switch Serverraum:
Switch DLINK
Ich erreiche die Accesspoints über Lanconfig nur wenn ich sie auf VLAN2 entferne und in VLAN1 setze
Was bisher geschah:
Switch Lager:
- Am Switch im Lager Port 1-10 VLAN2 zugewiesen (untagged) <- Allowed VLANs 2
- Port 49 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- Allowed VLANs 1&2
Switch Serverraum:
- Port 49 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- Allowed VLANs 1&2
- den Controller der auf Port 48 steckt auf Hybrid gestellt und in VLAN1 belassen <- Allowed VLAN1&2
- Mein Computer auf Port 47 gesteckt auf Hybrid gestellt und in VLAN1 belassen <- Allowed VLAN 1&2
- Port 1 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- Allowed VLAN 1&2
Switch DLINK
- Port 1 auf Hybrid gestellt und VLAN2 zugewiesen (tagged) <- VLAN1 untagged
Ich erreiche die Accesspoints über Lanconfig nur wenn ich sie auf VLAN2 entferne und in VLAN1 setze
Ich erreiche die Accesspoints über Lanconfig nur wenn ich sie auf VLAN2 entferne und in VLAN1 setze
Dann wird der PC, auf dem Lanconfig läuft, sich nur im VLAN1 befinden.
Falsche oder keine Gateway IP im VLAN 2 auf den APs. Typischer Flüchtigkeitsfehler.... 
So die VLAN sitzen nun. Ich habe alles über Board geworfen und nochmal von vorne konfiguriert. Dann irgendwann lief es...
Jetzt muss ich trotzdem nochmal eine Frage stellen, da wir immer wieder mit Routing hier auf Probleme stoßen.
Wir haben eine Firewall (Lancom) mit der IP: 192.168.115.198
Wir haben Layer 3 Brocade Switche mit der IP: 192.168.115.252 auf diesen sind folgende Routings angelegt.
Am DC und weiteren Servern ist als Gateway das Layer3 Switch (Brocade) mit der IP: 192.168.115.252 hinterlegt.
Wir haben das Problem, dass wir aus dem VLAN2 (192.168.114.xx) z.B. auf gewisse Server aus dem 192.168.115.xx Netz nicht zugreifen können.
Beispiel:
Client 1= 192.168.114.14 / GW 192.168.114.252
kann nicht auf
Server = 192.168.115.190 /GW 192.168.115.198 zugreifen.
Fakt ist das wir hier eine beschissene Umgebung haben die manchmal als GW die Firewall und manchmal die Switche eingetragen haben.
Ich habe mit unserem IT-Dienstleister telefoniert der damals die Layer3 Switche als Gateway hinterlegt hat. Nun hatte ich einen anderen Kollegen dran der sagt das wir lieber überall die Firewall hinterlegen sollen. Da wir ansonsten keine Filter Optionen der Firewall nutzen können.
Nun stelle ich mir gerade die Frage wie ich das nun alles umbauen soll :/
An den Coreswitchen hängen eigentlich alle anderen Geräte über Glasfaser oder Kupfer dran.
Kann ich nicht eine Route einstellen die besagt, dass sich die Clients aus dem 114 Netz zum Server aus dem 192.168.115.xx Netz mit der Firewall als GW verbinden dürfen?
Wir wollen doch eigentlich nur das die Subnetze 192.168.114xx und 192.168.115.xx mit einander kommunizieren können.
Jetzt muss ich trotzdem nochmal eine Frage stellen, da wir immer wieder mit Routing hier auf Probleme stoßen.
Wir haben eine Firewall (Lancom) mit der IP: 192.168.115.198
Wir haben Layer 3 Brocade Switche mit der IP: 192.168.115.252 auf diesen sind folgende Routings angelegt.
elnet@Switch2#show ip route
Total number of IP routes: 6
Type Codes - B:BGP D:Connected O:OSPF R:RIP S:Static; Cost - Dist/Metric
BGP Codes - i:iBGP e:eBGP
OSPF Codes - i:Inter Area 1:External Type 1 2:External Type 2
Destination Gateway Port Cost Type Uptime
1 0.0.0.0/0 192.168.115.198 ve 1 1/1 S 82d22h
2 192.168.112.0/24 DIRECT ve 1 0/0 D 82d22h
3 192.168.113.0/24 DIRECT ve 3 0/0 D 82d22h
4 192.168.114.0/24 DIRECT ve 2 0/0 D 10d21h
5 192.168.115.0/24 DIRECT ve 1 0/0 D 82d22h
6 192.168.116.0/24 DIRECT ve 1 0/0 D 82d22h
telnet@Switch2#Am DC und weiteren Servern ist als Gateway das Layer3 Switch (Brocade) mit der IP: 192.168.115.252 hinterlegt.
Wir haben das Problem, dass wir aus dem VLAN2 (192.168.114.xx) z.B. auf gewisse Server aus dem 192.168.115.xx Netz nicht zugreifen können.
Beispiel:
Client 1= 192.168.114.14 / GW 192.168.114.252
kann nicht auf
Server = 192.168.115.190 /GW 192.168.115.198 zugreifen.
Fakt ist das wir hier eine beschissene Umgebung haben die manchmal als GW die Firewall und manchmal die Switche eingetragen haben.
Ich habe mit unserem IT-Dienstleister telefoniert der damals die Layer3 Switche als Gateway hinterlegt hat. Nun hatte ich einen anderen Kollegen dran der sagt das wir lieber überall die Firewall hinterlegen sollen. Da wir ansonsten keine Filter Optionen der Firewall nutzen können.
Nun stelle ich mir gerade die Frage wie ich das nun alles umbauen soll :/
An den Coreswitchen hängen eigentlich alle anderen Geräte über Glasfaser oder Kupfer dran.
Kann ich nicht eine Route einstellen die besagt, dass sich die Clients aus dem 114 Netz zum Server aus dem 192.168.115.xx Netz mit der Firewall als GW verbinden dürfen?
Wir wollen doch eigentlich nur das die Subnetze 192.168.114xx und 192.168.115.xx mit einander kommunizieren können.
So sieht das Routing erstmal sauber aus.
Du sprichst im Plural wenn du von den Brocade Layer 3 Switches sprichst, deshalb die Frage ob diese als Full Stack zusammengeschaltet sind und so zentral Layer 3 machen im lokalen Netz wie es in dieser Skizze dargestellt ist ??
Ist dem so ??
Ohne dein genaues Design und Setup zu kennen ist eine zielführende Hilfe nur sehr schwer. Leuchtet dir vermutlich auch hoffentlich selber ein. Leider fehlte die Brocade Konfig hier im Attachment um das final beurteilen zu können und so müssen wir leider im freien Fall raten was meist wenig zielführend ist.
Wenn ja, und es so oder so ähnlich aussieht, dann sollte die dazu korrespondierende Switch Konfig auf den Brocade L3 Cores ungefähr so aussehen sofern das ICX Modelle sind. (Auszug nur mit den .114 und .115 Netzen):
!
vlan 114 name VLAN114 by port
tagged ethe 1/1/47
untagged ethe 1/1/14
router-interface ve 114
!
vlan 115 name VLAN115 by port
tagged ethe 1/1/47
untagged ethe 1/1/16
router-interface ve 115
!
interface ve 114
port-name L3 Interface VLAN 114
ip address 192.168.114.252 255.255.255.0
!
interface ve 115
port-name L3 Interface VLAN 115
ip address 192.168.115.252 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.115.198
!
Was etwas auffällt ist die etwas unschöne Gateway Adressierung. Verantwortungsvolle Netzwerker legen diese immer an den Anfang oder Ende der IP Range dieser Netze. Bei einem /24er Prefix dann als immer die .1 oder .254. So vermeidet man vorausschauend Überschneidungen.
Wenn deine Konfig so oder so ähnlich aussieht dann ist sie auch richtig.
Du musst dann nur sicherstellen das alle Clients und Server im .114er Netz immer die .114.252 als Gateway haben und alle Clients und Server im .115er Netz immer die .115.252. und diese Gateway IP und auch die im VLAN 114 auch pingen können.
Der zweite wichtige Punkt sind die Clients im .115.0er Subnetz also im VLAN 115 weil sich hier auch das Internet Gateway .115.189 (vermutlich ?!) befindet.
Clients könnten hier also auch das Internet Gateway als Gateway eingestellt haben, was aber nicht der Fall sein sollte ! Das darf und muss immer nur die Layer 3 Core IP des Brocades sein !
Hier liegt die meiste Gefahr in einer Gateway Fehlkonfig dieser Clients.
Wichtig ist auch das das Internet Gateway im VLAN 115 auch eine entsprechende statische Rückroute in die Switch VLAN IP Netze hat !!
Dort sollte also sowas stehen wie
ip route 192.168.0.0 255.255.128.0 192.168.115.198
Das routet dann alle Subnetze von 192.168.0.0 bis .127.254 an den Layer 3 Brocade Core Switch.
Dieses Layer 3 Schaubild verdeutlicht dir etwas das Routing Verhalten. Das dortige "VLAN 99" entspricht bei dir dem VLAN 115.
Du sprichst im Plural wenn du von den Brocade Layer 3 Switches sprichst, deshalb die Frage ob diese als Full Stack zusammengeschaltet sind und so zentral Layer 3 machen im lokalen Netz wie es in dieser Skizze dargestellt ist ??
Ohne dein genaues Design und Setup zu kennen ist eine zielführende Hilfe nur sehr schwer. Leuchtet dir vermutlich auch hoffentlich selber ein. Leider fehlte die Brocade Konfig hier im Attachment um das final beurteilen zu können und so müssen wir leider im freien Fall raten was meist wenig zielführend ist.
Wenn ja, und es so oder so ähnlich aussieht, dann sollte die dazu korrespondierende Switch Konfig auf den Brocade L3 Cores ungefähr so aussehen sofern das ICX Modelle sind. (Auszug nur mit den .114 und .115 Netzen):
!
vlan 114 name VLAN114 by port
tagged ethe 1/1/47
untagged ethe 1/1/14
router-interface ve 114
!
vlan 115 name VLAN115 by port
tagged ethe 1/1/47
untagged ethe 1/1/16
router-interface ve 115
!
interface ve 114
port-name L3 Interface VLAN 114
ip address 192.168.114.252 255.255.255.0
!
interface ve 115
port-name L3 Interface VLAN 115
ip address 192.168.115.252 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.115.198
!
Was etwas auffällt ist die etwas unschöne Gateway Adressierung. Verantwortungsvolle Netzwerker legen diese immer an den Anfang oder Ende der IP Range dieser Netze. Bei einem /24er Prefix dann als immer die .1 oder .254. So vermeidet man vorausschauend Überschneidungen.
Wenn deine Konfig so oder so ähnlich aussieht dann ist sie auch richtig.
Du musst dann nur sicherstellen das alle Clients und Server im .114er Netz immer die .114.252 als Gateway haben und alle Clients und Server im .115er Netz immer die .115.252. und diese Gateway IP und auch die im VLAN 114 auch pingen können.
Der zweite wichtige Punkt sind die Clients im .115.0er Subnetz also im VLAN 115 weil sich hier auch das Internet Gateway .115.189 (vermutlich ?!) befindet.
Clients könnten hier also auch das Internet Gateway als Gateway eingestellt haben, was aber nicht der Fall sein sollte ! Das darf und muss immer nur die Layer 3 Core IP des Brocades sein !
Hier liegt die meiste Gefahr in einer Gateway Fehlkonfig dieser Clients.
Wichtig ist auch das das Internet Gateway im VLAN 115 auch eine entsprechende statische Rückroute in die Switch VLAN IP Netze hat !!
Dort sollte also sowas stehen wie
ip route 192.168.0.0 255.255.128.0 192.168.115.198
Das routet dann alle Subnetze von 192.168.0.0 bis .127.254 an den Layer 3 Brocade Core Switch.
Dieses Layer 3 Schaubild verdeutlicht dir etwas das Routing Verhalten. Das dortige "VLAN 99" entspricht bei dir dem VLAN 115.
1
Aqui danke das du dir immer soviel Zeit nimmst und Mühe machst. Ich habe es (grob) skizziert. Vor der Firewall ist noch ein Vodafone SDSL Gerät und ein Bintec Router für die VDSL Leitung
Eigentlich ist alles gut und die Switche sind immer abgehend vom Stack mittels LACP verbunden.
Bei den meisten Endgeräten ist auch das Layer3 Stack (192.168.115.252) hinterlegt.
Die VLANs können auch alle miteinander kommunizieren.
192.168.113.xx erreicht 192.168.115.xx
192.168.114.xx erreicht ebenfalls 192.168.115.xx
Problem ist wenn man z.B. aus dem VLAN2 also dem 192.168.114.xx Netz z.B. die Clientsoftware vom ERP aufrufen möchte. Das ERP System hat als GW die Firewall eingetragen. Dieses mussten wir aufgrund verschiedenen Sicherheitsszenarien so machen.
Ist so. Aber ich frage mich wieso der Dienstleister (neue Mitarbeiter) meint ich solle lieber die Firewall eintragen? Ich sehe es doch richtig, dass die Firewall im Moment nur den Zugriff von Extern nach Intern und umgekehrt regelt richtig? Also das lokalen Netz ist außen vor? Aber ist das ein Problem?
Eigentlich ist alles gut und die Switche sind immer abgehend vom Stack mittels LACP verbunden.
Die VLANs können auch alle miteinander kommunizieren.
192.168.113.xx erreicht 192.168.115.xx
192.168.114.xx erreicht ebenfalls 192.168.115.xx
Problem ist wenn man z.B. aus dem VLAN2 also dem 192.168.114.xx Netz z.B. die Clientsoftware vom ERP aufrufen möchte. Das ERP System hat als GW die Firewall eingetragen. Dieses mussten wir aufgrund verschiedenen Sicherheitsszenarien so machen.
Du sprichst im Plural wenn du von den Brocade Layer 3 Switches sprichst, deshalb die Frage ob diese als Full Stack zusammengeschaltet sind und so zentral Layer 3 machen im lokalen Netz wie es in dieser Skizze dargestellt ist ??
Ja so ist esOhne dein genaues Design und Setup zu kennen ist eine zielführende Hilfe nur sehr schwer. Leuchtet dir vermutlich auch hoffentlich selber ein.
Logisch!Leider fehlte die Brocade Konfig hier im Attachment um das final beurteilen zu können und so müssen wir leider im freien Fall raten was meist wenig zielführend ist.
Habe es versucht zu exportieren. Leider ohne Erfolg.Wenn ja, und es so oder so ähnlich aussieht, dann sollte die dazu korrespondierende Switch Konfig auf den Brocade L3 Cores ungefähr so aussehen sofern das ICX Modelle sind. (Auszug nur mit den .114 und .115 Netzen): !
vlan 114 name VLAN114 by port
tagged ethe 1/1/47
untagged ethe 1/1/14
router-interface ve 114
!
vlan 115 name VLAN115 by port
tagged ethe 1/1/47
untagged ethe 1/1/16
router-interface ve 115
!
interface ve 114
port-name L3 Interface VLAN 114
ip address 192.168.114.252 255.255.255.0
!
interface ve 115
port-name L3 Interface VLAN 115
ip address 192.168.115.252 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.115.198
!
Was etwas auffällt ist die etwas unschöne Gateway Adressierung. Verantwortungsvolle Netzwerker legen diese immer an den Anfang oder Ende der IP Range dieser Netze. Bei einem /24er Prefix dann als immer die .1 oder .254. So vermeidet man vorausschauend Überschneidungen.
Wenn deine Konfig so oder so ähnlich aussieht dann ist sie auch richtig.
Du musst dann nur sicherstellen das alle Clients und Server im .114er Netz immer die .114.252 als Gateway haben und alle Clients und Server im .115er Netz immer die .115.252. und diese Gateway IP und auch die im VLAN 114 auch pingen können.
vlan 114 name VLAN114 by port
tagged ethe 1/1/47
untagged ethe 1/1/14
router-interface ve 114
!
vlan 115 name VLAN115 by port
tagged ethe 1/1/47
untagged ethe 1/1/16
router-interface ve 115
!
interface ve 114
port-name L3 Interface VLAN 114
ip address 192.168.114.252 255.255.255.0
!
interface ve 115
port-name L3 Interface VLAN 115
ip address 192.168.115.252 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.115.198
!
Was etwas auffällt ist die etwas unschöne Gateway Adressierung. Verantwortungsvolle Netzwerker legen diese immer an den Anfang oder Ende der IP Range dieser Netze. Bei einem /24er Prefix dann als immer die .1 oder .254. So vermeidet man vorausschauend Überschneidungen.
Wenn deine Konfig so oder so ähnlich aussieht dann ist sie auch richtig.
Du musst dann nur sicherstellen das alle Clients und Server im .114er Netz immer die .114.252 als Gateway haben und alle Clients und Server im .115er Netz immer die .115.252. und diese Gateway IP und auch die im VLAN 114 auch pingen können.
Ist so. Aber ich frage mich wieso der Dienstleister (neue Mitarbeiter) meint ich solle lieber die Firewall eintragen? Ich sehe es doch richtig, dass die Firewall im Moment nur den Zugriff von Extern nach Intern und umgekehrt regelt richtig? Also das lokalen Netz ist außen vor? Aber ist das ein Problem?
Der zweite wichtige Punkt sind die Clients im .115.0er Subnetz also im VLAN 115 weil sich hier auch das Internet Gateway .115.189 (vermutlich ?!) befindet.
Nur beim ERP. Sonst ebenfalls alle über den StackClients könnten hier also auch das Internet Gateway als Gateway eingestellt haben, was aber nicht der Fall sein sollte ! Das darf und muss immer nur die Layer 3 Core IP des Brocades sein !
Ist so. Entweder über DHCP oder fester IP-Adresse,Hier liegt die meiste Gefahr in einer Gateway Fehlkonfig dieser Clients.
Wichtig ist auch das das Internet Gateway im VLAN 115 auch eine entsprechende statische Rückroute in die Switch VLAN IP Netze hat !!
Sieht so eigentlich richtig aus?Wichtig ist auch das das Internet Gateway im VLAN 115 auch eine entsprechende statische Rückroute in die Switch VLAN IP Netze hat !!
Vor der Firewall ist noch ein Vodafone SDSL Gerät und ein Bintec Router für die VDSL Leitung
Das ist für das lokale LAN irrelevant, da das zentrale Gateway nach draussen ja immer die 192.168.115.198 ist !Intern kennen die Endgeräte einzig niur die Brocade VLAN IP Adsressen als Gateway und der Brocade selber hat als Default Gateway die 192.168.115.198.
Salopp gesagt alles was die Clients nicht kennen schicken sie an den Brocade, der routet dann alles lokal, alles was er nicht kennt reicht er an die Firewall weiter.
Habe es versucht zu exportieren. Leider ohne Erfolg.
Sorry, aber wie kann man an so etwas banalem scheitern einen simplen Text hier per cut an paste reinzubringen..- Per Telnet oder SSH auf den Switch gehen
- enable eingeben um sich als Admin zu authenthisieren
- Dann zeigt ein show run dir die Konfig die du dann hier nur noch rein cut and pasten musst
- Ggf. noch etas anonymisieren (Passwörter etc. rauslöschen)
Aber ich frage mich wieso der Dienstleister meint ich solle lieber die Firewall eintragen?
Völliger Quatsch. Zeigt das der keinerlei Fachkenntnisse hat und den solltest du nicht mehr ins Haus lassen.Sorry, soll nicht böse klingen aber aber so ein simples und einfaches Netzdesign wie bei dir kann der FiSi im ersten Lehrjahr administrieren. Ein Dienstleister sollte das im Schlaf können !
Nur beim ERP. Sonst ebenfalls alle über den Stack
Auch der ERP muss zwingend den Brocade als Gateway haben !! Siehe oben. Alle lokalen Clients kennen nur das Broacde Gateway !!* Dann zeigt ein show run dir die Konfig die du dann hier nur noch rein cut and pasten musst
Das das so leicht ist kann ich doch nicht wissen :D Mache das nie über die Konsole.telnet@Switch2#show run
Current configuration:
!
ver 08.0.40cT213
!
stack unit 1
module 1 icx7250-48-port-management-module
module 2 icx7250-sfp-plus-8port-80g-module
priority 120
stack-port 1/2/1 1/2/3
stack unit 2
module 1 icx7250-48-port-management-module
module 2 icx7250-sfp-plus-8port-80g-module
stack-port 2/2/1 2/2/3
stack enable
stack mac 609c.9f3c.2290
!
!
global-stp
!
lag LAGtoLANCOM-W3 dynamic id 2040
ports ethernet 1/2/8 ethernet 2/2/8
primary-port 1/2/8
lacp-timeout long
deploy
!
lag Werk2-Werk1 dynamic id 1
ports ethernet 1/2/2 ethernet 2/2/2
primary-port 1/2/2
deploy
!
lag Werk3 static id 68
ports ethernet 1/2/6 ethernet 2/2/6
primary-port 1/2/6
deploy
!
!
!
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
spanning-tree
spanning-tree rstp
!
vlan 2 name Werk3 by port
tagged ethe 1/2/6 ethe 1/2/8 ethe 2/2/6 ethe 2/2/8
untagged ethe 2/1/1
router-interface ve 2
!
vlan 3 name Werk1 by port
tagged ethe 1/2/2 ethe 1/2/8 ethe 2/2/2 ethe 2/2/8
untagged ethe 1/1/48
router-interface ve 3
!
!
!
!
!
!
aaa authentication web-server default local
aaa authentication login default local
boot sys fl pri
enable super-user-password .....
hostname Switch2
ip route 0.0.0.0/0 192.168.115.198
!
username admin password .....
!
!
hitless-failover enable
!
!
!
!
!
!
!
interface ethernet 1/1/2
disable
!
interface ethernet 1/1/3
disable
!
interface ethernet 1/1/4
disable
!
interface ethernet 1/2/2
dual-mode
!
interface ethernet 1/2/6
dual-mode
speed-duplex 1000-full
!
interface ethernet 1/2/8
dual-mode
speed-duplex 1000-full
!
interface ve 1
ip address 192.168.112.252 255.255.255.0
ip address 192.168.115.252 255.255.255.0
ip address 192.168.116.198 255.255.255.0
!
interface ve 2
ip address 192.168.114.252 255.255.255.0
ip helper-address 1 192.168.115.1
!
interface ve 3
ip address 192.168.113.252 255.255.255.0
ip helper-address 1 192.168.115.1
Sorry, soll nicht böse klingen aber aber so ein simples und einfaches Netzdesign wie bei dir kann der FiSi im ersten Lehrjahr administrieren. Ein Dienstleister sollte das im Schlaf können !
Du alles gut. Aber man kann auch nicht alles können! Ich glaube ich lasse mich manchmal aber auch zu schnell aus dem Konzept durch die Dienstleister bringen.Nur beim ERP. Sonst ebenfalls alle über den Stack
Auch der ERP muss zwingend den Brocade als Gateway haben !! Siehe oben. Alle lokalen Clients kennen nur das Broacde Gateway !!
Habe gerade über NMTUI auf den Red Hat Linix die GW auf den Stack geändert und tada der Zugriff vom VLAN2 ist nun auf der ERP Möglich. Ich muss nun noch mal die Firewallregeln checken aber es sollt nun so passen.
Eine letzte Sache noch:
Unser Dienstleister (Elektriker) für die Glasfaser Verbindungen hat eine Strecke (ca 110 Meter) von einem Switch zum anderen Switch gebaut und Multimode (OM3) Kabel genutzt.
Nun sagte ebenfalls unser IT-Dienstleister, dass man dieses Strecke niemals in Betrieb nehmen könnte.
Laut dieser Webseite sollte das doch keine Probleme machen?
https://community.fs.com/de/blog/single-mode-vs-multimode-fiber-whats-th ...
Ich habe die SFP+ Module in die LANCOM Switche gesteckt und die Verbindung steht.
Der Dienstleister meint, dass dieses mit Multimode bei dieser länge niemals konstant laufen wird. Man müsste Singlemode Kabel benutzen. Ist dem wirklich so?
Mache das nie über die Konsole.
"Real networks do CLI" und niemals Klicki Bunti für Dummies ! 😉OK, zurück zum Thema
Deine Netzwerk Konfig hat mehrere gravierende und grobe Fehler die den Produktivbetrieb stark gefährden ! Diese solltest dringenst beseitigen, denn das sind die Fehler die das Fehlverhalten im Netzwerk bewirken und zu Instabilitäten führen. Ein Wunder das deinem Dienstleister das nicht aufgefallen ist.
Der Reihe nach:
- Gravierend ist das die Brocades im PVRSTP Verfahren arbeiten. (Per VLAN Spanning Tree). Darauf wurdest du hier schon mehrfach hingewiesen !! Dieses Spanning Tree Protokoll ist NICHT kompatibel zu den STP Protokollen die die D-Link und Lancom Switches verwenden. Diese können nur Single Span ! Du musst also die Brocades zwingend auf Single Span umkonfigurieren.
- Zweitens MUSS der Brocade Switch eine höhere Spanning Tree Priority haben, da er Root Switch ist. Das ist zwingend erforderlich weil die Uplinks zu diesem Switch niemals in den Blocking Mode gehen dürfen.
- Ein weiterer grober Fehler ist das STP nur für das VLAN 1 aktiviert wurde nicht aber für die anderen VLANs. Diese sind durch diesen (Flüchtigkeits)fehler damit stark Loop gefährdet was im worst case zum Totalausfall des Netzes führt.
- Zweitschlimmster Fehler nach dem STP ist das VLAN 1 bzw. das Layer 3 Interface VE 1 !!! Hier fährst du mit 3 (!) IP Netzen auf einem gemeinsamen Draht. Das ist eine vollkommen falsche und nicht Standardkonforme TCP/IP Konfiguration die generell so im TCP/IP nicht supportet ist. IP Adress technisch ein klares NoGo ! Grund ist das keinerlei ICMP Steuerung mehr möglich ist in diesen 3 IP Netzen und viel schlimmer: das Routing passiert komplett in Software und kostet massiv Performance auf dem Layer 3 Switch. Ein böser Kardinalsfehler solche Konfig und auch komplett sinnfrei, denn warum wurden diese nicht in separate VLANs gelegt wie es generell üblich ist ?? Hat das dein gruseliger Dienstleister verbrochen ?
Solange du diese gravierenden Fehler in deiner Konfig nicht beseitigst ist das ein Ritt auf dem Rasiermesser was du da machst in deinem Netz.
Traurig an der ganzen Tatsache ist insgesamt das du mit den Brocades sehr gute und performante Premium Switches mit einem umfangreichen Featureset einsetzt, diese aber mit einer laienhaften, falschen und dillettantischen Konfig so kastrierst das sie auf dem Niveau eines Switches vom Blödmarkt Grabbeltisch laufen und einen latente Gefahr für das Netz darstellen. Eigentlich ein Wunder das in dem Netz noch alles funktioniert.
Mit der 8.0.4er Firmware laufen die Switches zudem auch auf einem nicht mehr supporteten Release. Hier ist vermutlich jahrelang niemals Update und Wartung gemacht worden.
Warum man so oder so das Netzwerk mit D-Link Billigswitches oder diesem billigen Lancom OEM Taiwan Schrott (Lancom produziert die nicht selber sondern bäppelt da nur den Namen drauf) mischt ist ja auch vollkommen unverständlich. Warum bist du nicht bei der einheitlichen Brocade (jetzt Ruckus) ICX Linie geblieben ?? Das wäre doch das sinnvollste gewesen für einen saubere Netz Infrastruktur ? Aber egal...
Mit anderen Worten es besteht dringender Handlungsbedarf hier um das alles auf Vordermann zu bringen !
Ganz besonders in deinem jetzt gemischten Switch Umfeld musst du zuallererst das Spanning Tree Problem auf Vordermann bringen.
- STP auf Single Spann in den Brocades umkonfigurieren und...
- dem Layer 3 Brocade Switches eine globale STP Priority von 8192 vergeben !
- vlan 5 = .115.0 /24
- vlan 6 = .116.0 /24
hat eine Strecke (ca 110 Meter) von einem Switch zum anderen Switch gebaut und Multimode (OM3) Kabel genutzt.
Ein Klassiker also....dass man dieses Strecke niemals in Betrieb nehmen könnte.
Das ist natürlich Quatsch und kommt dabei raus wenn "Elektriker" sich in Networking versuchen.OM3 ist ein 50µ Multimode Kabel mit...
- 1 Gig und Standard SX SFP Optiken kommt man max. 550 Meter weit
- mit 10 Gig Standard SR SFP+ Optiken kommt man max. 330 Meter weit
Du siehst du hast noch eine Menge zu fixen und umzukonfigurieren an dem Netzwerk ! Ohne die oben angesprochenen dringenden Umkonfigurierungen solltest du niemals in einen geregelten Produktivbetrieb gehen.
Ich bin dabei das nach und nach gerade zu biegen. Manches wird man natürlich auf Grund der Bauweise nicht ändern können und es wird so sein, dass auch mal von einem Switch zum anderen Switch gesprungen wird.
Das ist mir gestern auch aufgefallen. Allerdings nur im VLAN1 richtig?
Ich glaube das sind alte Einträge die ich entfernen kann. Das 192.168.112.252 und 192.168.116.198 sind Netze die garnicht bekannt sind bei uns.
* Gravierend ist das die Brocades im PVRSTP Verfahren arbeiten. (Per VLAN Spanning Tree). Darauf wurdest du hier schon mehrfach hingewiesen !! Dieses Spanning Tree Protokoll ist NICHT kompatibel zu den STP Protokollen die die D-Link und Lancom Switches verwenden.
Diese können nur Single Span ! Du musst also die Brocades zwingend auf Single Span umkonfigurieren.Das ist mir gestern auch aufgefallen. Allerdings nur im VLAN1 richtig?
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
spanning-tree* Zweitens MUSS der Brocade Switch eine höhere Spanning Tree Priority haben, da er Root Switch ist. Das ist zwingend erforderlich weil die Uplinks zu diesem Switch niemals in den Blocking Mode gehen dürfen.
- Ein weiterer grober Fehler ist das STP nur für das VLAN 1 aktiviert wurde nicht aber für die anderen VLANs. Diese sind durch diesen (Flüchtigkeits)fehler damit stark Loop gefährdet was im worst case zum Totalausfall des Netzes führt.
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
rstp* Zweitschlimmster Fehler nach dem STP ist das VLAN 1 bzw. das Layer 3 Interface VE 1 !!! Hier fährst du mit 3 (!) IP Netzen auf einem gemeinsamen Draht.
interface ve 1
ip address 192.168.112.252 255.255.255.0
ip address 192.168.115.252 255.255.255.0
ip address 192.168.116.198 255.255.255.0
!
interface ve 2
ip address 192.168.114.252 255.255.255.0
ip helper-address 1 192.168.115.1
!
interface ve 3
ip address 192.168.113.252 255.255.255.0
ip helper-address 1 192.168.115.1Solange du diese gravierenden Fehler in deiner Konfig nicht beseitigst ist das ein Ritt auf dem Rasiermesser was du da machst in deinem Netz.
Bin ich ja gerade dran.Traurig an der ganzen Tatsache ist insgesamt das du mit den Brocades sehr gute und performante Premium Switches mit einem umfangreichen Featureset einsetzt, diese aber mit einer laienhaften, falschen und dillettantischen Konfig so kastrierst das sie auf dem Niveau eines Switches vom Blödmarkt Grabbeltisch laufen und einen latente Gefahr für das Netz darstellen. Eigentlich ein Wunder das in dem Netz noch alles funktioniert.
Warum man so oder so das Netzwerk mit D-Link Billigswitches oder diesem billigen Lancom OEM Taiwan Schrott (Lancom produziert die nicht selber sondern bäppelt da nur den Namen drauf) mischt ist ja auch vollkommen unverständlich. Warum bist du nicht bei der einheitlichen Brocade (jetzt Ruckus) ICX Linie geblieben ?? Das wäre doch das sinnvollste gewesen für einen saubere Netz Infrastruktur ? Aber egal...
Finanzieller AspektWarum man so oder so das Netzwerk mit D-Link Billigswitches oder diesem billigen Lancom OEM Taiwan Schrott (Lancom produziert die nicht selber sondern bäppelt da nur den Namen drauf) mischt ist ja auch vollkommen unverständlich. Warum bist du nicht bei der einheitlichen Brocade (jetzt Ruckus) ICX Linie geblieben ?? Das wäre doch das sinnvollste gewesen für einen saubere Netz Infrastruktur ? Aber egal...
* STP auf Single Spann in den Brocades umkonfigurieren und...
okay* dem Layer 3 Brocade Switches eine globale STP Priority von 8192 vergeben !
okayDann dringenst das VLAN 1 in zwei zusätzliche VLANs für die Netze .115.0 und .116.0 aufteilen.
okay- vlan 5 = .115.0 /24
- vlan 6 = .116.0 /24
Frag ihn mal mal wo er denn denkt das es Probleme gibt ?? Sogar 40 Gig BiDi QSFP Optiken könnte man noch über diese Strecke problemlos laufen lassen. Vergiss den Unsinn also was er da gesagt hat und wechsle lieber schnell den Elektriker, denn der jetzige scheint wenig bis keine Fachkenntniss von LWL Standards zu haben.
Die Aussage kommt von dem IT-Dienstleister und nicht dem ElektrikerAllerdings nur im VLAN1 richtig?
Nein, deine grundsätzliche STP Konfig ist falsch und muss global auf Single Spann umkonfiguriert werden. Hier ein Beispiel wie das aussehen muss (Auszug): ver 08.0.9j
!
spanning-tree single
!
vlan 1 name DEFAULT-VLAN by port
no untagged ethe 1/2/1
spanning-tree
router-interface ve 1
!
vlan 10 name Gast by port
tagged ethe 1/1/8 ethe 1/2/1 to 1/2/2
untagged ethe 1/1/6 to 1/1/7
spanning-tree
router-interface ve 10
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
aaa authentication web-server default local
aaa authentication login default local
aaa authentication login privilege-mode
enable telnet authentication
enable super-user-password Geheim123
enable aaa console
ip dns domain-list wieoderwas.home.arpa
ip dns server-address 192.168.115.254
ip multicast active
ip multicast version 3
!
username admin password Geheim123
!
clock summer-time
clock timezone europe CET
!
ntp
server 192.168.115.189
!
end
Hände weg vom "rstp" Kommando im Spanning Tree !!!
Das ist ein alter Draft und sollte keinesfalls aktiviert werden. Nur "802-1w" ist korrekt !
Das richtige Kommando für dich ist also spanning-tree single 802-1w und nichts anderes.
ch glaube das sind alte Einträge die ich entfernen kann. Das 192.168.112.252 und 192.168.116.198 sind Netze die garnicht bekannt sind bei uns.
Perfekt ! 👍Dann mache das so schnell wie möglich, denn die 2 weiteren IP Netze dort zwingen den Port in den Process Switching Mode in Software und deaktivieren die ICMP Steuerung.
Mit
conf t
enable
int ve 1
no ip address 192.168.112.252
no ip address 192.168.116.198
<ctrl> z
write mem
entfernst du das im CLI oder für dich dann im Klicki Bunti GUI.
Finanzieller Aspekt
Völlig falscher Ansatz ! Schalte mal für 1 Tag das gesamte Netz aus und sage dem Entscheider "...tja finanzieller Ansatz !" Mal sehen was der sagt. Das ist sicher derselber der ohne solchen Kommentar dann Windows Lizenzen bezahlt. Unverständlich warum man eine solch unternehmenskritische Resource wie die Netzwerk Infrastruktur mit Füßen tritt aber scheinbar ist den Entscheidern bei euch sowas ja Wumpe. Das ist eher Würstchenbuden Mentalität...aber egal die Einstellung muss man sicher nicht verstehen...Die Aussage kommt von dem IT-Dienstleister und nicht dem Elektriker
Wie gruselig ! Das war doch auch der der den Unsinn mit der Firewall als Gateway erzählt hat. Der sollte dann wirklich beim nächten Male Hausverbot bekommen. Der hat sich selber diskreditiert.Vermutlich weiss der Elektriker das dann besser... Oh man, an was für einen Dienstleister bist du da bloß geraten... ?!
Da kann ja sogar der Hausmeister mehr wenn der hier mal 5 Minuten im Forum liest und sich schlau macht. 😉
Also ich versuche mich hier gerade in die Konsole reinzufuchsen.
Um Spanning Tree zu aktivieren:
und dann für die anderen VLANs ebenfalls so aktiveren?
Netze aus VLAN1 entfernen:
Spanning Tree an den anderen Switchen wie Lancom und DLINK bleiben aber weiterhin deaktiviert oder?
Um Spanning Tree zu aktivieren:
config t
vlan 1
span
spanning-tree 802-lwund dann für die anderen VLANs ebenfalls so aktiveren?
Nein, deine grundsätzliche STP Konfig ist falsch und muss global auf Single Spann umkonfiguriert werden.
Wie setzte ich dieses global auf Single Span? Oder wird das durch den Befehl oben hinfällig?Netze aus VLAN1 entfernen:
config t
int ve 1
no ip address 192.168.112.252
no ip address 192.168.116.198
<ctrl> z
write memSpanning Tree an den anderen Switchen wie Lancom und DLINK bleiben aber weiterhin deaktiviert oder?
Um Spanning Tree zu aktivieren:
Das ist falsch ! Du willst ja gerade NICHT VLAN bezogen STP komnfigurieren sondern global !!Das ist also ein Global Command und nicht VLAN bezogen:
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
Lad dir den Layer 2 Konfig Guide von Ruckus runter da steht alles im Detail.
Den gibts frei über deren Support Portal oder auch frei als PDF wenn man danach sucht.
Spanning Tree an den anderen Switchen wie Lancom und DLINK bleiben aber weiterhin deaktiviert oder?
Auf keinen Fall !Sobalt der Single Span am Ruckus/Brocade ICX mit der richtigen Priority rennt dann aktivierst du das dort auch !
Hmm habe mir gerade die Layer 2 Konfig Guide von Ruckus runtergeladen:
Last updated: August 27, 2019
Use the following method to enable or disable STP on a device on which you have not configured port-based VLANs.
Note: When you configure a VLAN, the VLAN inherits the global STP settings. However, once you begin to define a VLAN, you can no longer configure standard STP parameters globally using the CLI. From that point on, you can configure STP only within individual VLANs.
to enable STP for all ports in all VLANs on a RUCKUS ICX device, enter the spanning-tree command.
device(config)# spanning-tree
The spanning-tree command enables a separate spanning tree in each VLAN, including the default VLAN.
To set system maximum value for number of spanning tree instances, enter the command such as the following:
Sicher das man das dann überhaupt noch global setzen kann?
Enabling or disabling STP globally
Last updated: August 27, 2019
Use the following method to enable or disable STP on a device on which you have not configured port-based VLANs.
Note: When you configure a VLAN, the VLAN inherits the global STP settings. However, once you begin to define a VLAN, you can no longer configure standard STP parameters globally using the CLI. From that point on, you can configure STP only within individual VLANs.
to enable STP for all ports in all VLANs on a RUCKUS ICX device, enter the spanning-tree command.
device(config)# spanning-tree
The spanning-tree command enables a separate spanning tree in each VLAN, including the default VLAN.
To set system maximum value for number of spanning tree instances, enter the command such as the following:
device(config)# system-max spanning-tree 254Sicher das man das dann überhaupt noch global setzen kann?
Ja, natürlich !
Vergiss bitte den System Max Parameter...den brauchst du nicht !!
Du deaktivierst zuerst global das PVST mit
Switch(config)# no global-stp
Dann setzt du global den Switch in den Single Span Mode:
Switch(config)# spanning-tree single 802-1w
Dann setzt du die Priority mit:
Switch(config)# spanning-tree single 802-1w priority 8192
Und dann setzt du in jedem VLAN den Single Span:
Switch(config-vlan)# spanning-tree
Fertisch !
Auf dem CLI gilt Cisco Syntax ! Du kannst z.B. immer mit dem "?" arbeiten. Ein
Switch(config)# spanning-tree ?
zeigt dir z.B. welche Subkommandos das "spannig-tree" Kommando noch kennt.
Mit der TAB Taste kannst du autokomplettieren Z.B.
Switch(config)# spanning-tree si<tab>
komplettiert dir das Kommando automatisch auf Switch(config)# spanning-tree single
Danach kannst du wieder ein ? eingeben um zu sehen was er noch kennt. Das Fragezeichen ist dein Syntax Helfer !
Was ist daran so schwer ?? Steht alles HIER in der Rubrik SSTP !
Vergiss bitte den System Max Parameter...den brauchst du nicht !!
Du deaktivierst zuerst global das PVST mit
Switch(config)# no global-stp
Dann setzt du global den Switch in den Single Span Mode:
Switch(config)# spanning-tree single 802-1w
Dann setzt du die Priority mit:
Switch(config)# spanning-tree single 802-1w priority 8192
Und dann setzt du in jedem VLAN den Single Span:
Switch(config-vlan)# spanning-tree
Fertisch !
Auf dem CLI gilt Cisco Syntax ! Du kannst z.B. immer mit dem "?" arbeiten. Ein
Switch(config)# spanning-tree ?
zeigt dir z.B. welche Subkommandos das "spannig-tree" Kommando noch kennt.
Mit der TAB Taste kannst du autokomplettieren Z.B.
Switch(config)# spanning-tree si<tab>
komplettiert dir das Kommando automatisch auf Switch(config)# spanning-tree single
Danach kannst du wieder ein ? eingeben um zu sehen was er noch kennt. Das Fragezeichen ist dein Syntax Helfer !
Was ist daran so schwer ??
Steht alles HIER in der Rubrik SSTP !
Passt so oder? Wenn ja mache ich die Bootfest mit
?
Danach gehe ich dann an die Switche die mittels Glasfaser / SFP angeschlossen sind und aktiviere dort ebenfalls Spanning Tree? WIe sieht es mit Loop Protection aus?
<ctrl> z
write memtelnet@Switch2(config-vlan-3)#show run
Current configuration:
!
ver 08.0.40cT213
!
stack unit 1
module 1 icx7250-48-port-management-module
module 2 icx7250-sfp-plus-8port-80g-module
priority 120
stack-port 1/2/1 1/2/3
stack unit 2
module 1 icx7250-48-port-management-module
module 2 icx7250-sfp-plus-8port-80g-module
stack-port 2/2/1 2/2/3
stack enable
stack mac 609c.9f3c.2290
!
!
global-stp
!
lag LAGtoLANCOM-W3 dynamic id 2040
ports ethernet 1/2/8 ethernet 2/2/8
primary-port 1/2/8
lacp-timeout long
deploy
!
lag Werk2-Werk1 dynamic id 1
ports ethernet 1/2/2 ethernet 2/2/2
primary-port 1/2/2
deploy
!
lag Werk3 static id 68
ports ethernet 1/2/6 ethernet 2/2/6
primary-port 1/2/6
deploy
!
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
spanning-tree
!
vlan 2 name Werk3 by port
tagged ethe 1/2/6 ethe 1/2/8 ethe 2/2/6 ethe 2/2/8
untagged ethe 2/1/1
router-interface ve 2
spanning-tree
!
vlan 3 name Werk1 by port
tagged ethe 1/2/2 ethe 1/2/8 ethe 2/2/2 ethe 2/2/8
untagged ethe 1/1/48
router-interface ve 3
spanning-tree
!
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
aaa authentication web-server default local
aaa authentication login default local
boot sys fl pri
enable super-user-password .....
hostname Switch2
ip route 0.0.0.0/0 192.168.115.198
!
username admin password .....
!
!
hitless-failover enable
!
!
!
!
!
!
!
interface ethernet 1/1/2
disable
!
interface ethernet 1/1/3
disable
!
interface ethernet 1/1/4
disable
!
interface ethernet 1/2/2
dual-mode
!
interface ethernet 1/2/6
dual-mode
speed-duplex 1000-full
!
interface ethernet 1/2/8
dual-mode
speed-duplex 1000-full
!
interface ve 1
ip address 192.168.115.252 255.255.255.0
!
interface ve 2
ip address 192.168.114.252 255.255.255.0
ip helper-address 1 192.168.115.1
!
interface ve 3
ip address 192.168.113.252 255.255.255.0
ip helper-address 1 192.168.115.1Danach gehe ich dann an die Switche die mittels Glasfaser / SFP angeschlossen sind und aktiviere dort ebenfalls Spanning Tree? WIe sieht es mit Loop Protection aus?
Passt so oder?
Das sieht sehr gut aus !! 👍Wenn du jetzt einmal ein show 8 eingibst kannst du die STP Topologie ansehen auf den Uplinks. Sollten alles Root Ports sein auf dem Brocade (Role: DESIGNATED).
Wichtig ist das da sowas steht:
telnet@ICX7150 Switch#sh 8
--- VLAN 4094 [ STP Instance owned by VLAN 4094 ] ---------------------------
Bridge IEEE 802.1W Parameters:
Bridge Bridge Bridge Bridge Force tx
Identifier MaxAge Hello FwdDly Version Hold
Die Instance im VLAN 4094 zeigt dann sic her an das der Singel Span aktiv ist !!
Jetzt kannst du beruhig auch auf allen nicht Brocade Switch RSTP aktivieren was du zur Loop Protection immer machen solltest.
Ein paar kosmetische Dinge noch:
- Die richtige Uhrzeit einstellen mit:
clock summer-time
clock timezone europe CET
!
- Einen NTP Zeitserver einstellen:
ntp
server 192.168.115.x
!
Das kann (bevorzugt) euer lokaler NTP Server sein (Windows) ode reiner aus dem Internet https://www.heise.de/ct/hotline/Oeffentliche-Zeitquellen-322978.html
- Ggf. den Brocade auf ein aktuelles Image updaten beim nächsten Wartungsfenster. Firmware kannst du kostenfrei bei Ruckus downloaden: https://support.ruckuswireless.com
und aktiviere dort ebenfalls Spanning Tree? WIe sieht es mit Loop Protection aus?
Richtig !! Achte rauf das es RSTP ist und Priority auf dem Default belassen ! Nur der Brocade hat als Root eine höhere Prio.Und...?? War das nun so schwer mit dem CLI ? 😉
telnet@Switch2(config-vlan-3)#show 8
--- VLAN 4094 [ STP Instance owned by VLAN 4094 ] ---------------------------
Bridge IEEE 802.1W Parameters:
Bridge Bridge Bridge Bridge Force tx
Identifier MaxAge Hello FwdDly Version Hold
hex sec sec sec cnt
2000609c9f3c2290 20 2 15 Default 3
RootBridge RootPath DesignatedBri- Root Max Fwd Hel
Identifier Cost dge Identifier Port Age Dly lo
hex hex sec sec sec
2000609c9f3c2290 0 2000609c9f3c2290 Root 20 15 2
Port IEEE 802.1W Parameters:
<--- Config Params --><-------------- Current state ----------------->
Port Pri PortPath P2P Edge Role State Designa- Designated
Num Cost Mac Port ted cost bridge
1/1/1 128 0 F F DISABLED DISABLED 0 000000000000000 0
1/1/2 128 0 F F DISABLED DISABLED 0 000000000000000 0
1/1/3 128 0 F F DISABLED DISABLED 0 000000000000000 0
1/1/4 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/5 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/6 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/7 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/8 128 200000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/9 128 200000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/10 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/11 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/12 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/13 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/14 128 200000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/15 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/16 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/17 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/18 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/19 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/20 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/21 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/22 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/23 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/24 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/25 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/26 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/27 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/1/28 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/29 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/30 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/31 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/32 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/33 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/34 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/35 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/36 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/37 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/38 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/39 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/40 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/41 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/42 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/43 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/44 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/45 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/46 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/47 128 0 F F DISABLED DISABLED 0 0000000000000000
1/1/48 128 0 F F DISABLED DISABLED 0 0000000000000000
1/2/2 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/2/4 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/2/5 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/2/6 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/2/7 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
1/2/8 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/1 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/2 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/3 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/4 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/5 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/6 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/7 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/8 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/9 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/10 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/11 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/12 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/13 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/14 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/15 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/16 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/17 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/18 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/19 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/20 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/21 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/22 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/23 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/24 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/25 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/26 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/27 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/28 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/29 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/30 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/31 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/32 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/33 128 2000000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/34 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/35 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/36 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/37 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/38 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/39 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/40 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/41 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/42 128 200000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/1/43 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/44 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/45 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/46 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/47 128 0 F F DISABLED DISABLED 0 0000000000000000
2/1/48 128 0 F F DISABLED DISABLED 0 0000000000000000
2/2/2 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/2/4 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/2/5 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/2/6 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/2/7 128 2000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
2/2/8 128 20000 F F DESIGNATED FORWARDING 0 2000609c9f3c2290
L2 VLAN 1 to 3 are members of single spanning tree.Ansonsten sieht das sehr gut aus und du kannst mit write mem sichern.
wofür ist der Befehl deploy?Und...?? War das nun so schwer mit dem CLI ? 😉
Es geht. Man muss es halt verstehen lernen und die Befehle kennen.
Perfekt ! Alles richtig !
Update lohnt also. Was ist das für ein Modell ?
wofür ist der Befehl deploy?
Der dient zum Aktivieren von LACP LAGs. (Link Aggregation) Der ist depricated und gibt es in neueren Firmware Release nicht mehr bzw. ist automatisiert dort.Update lohnt also. Was ist das für ein Modell ?
Okay soweit so gut.
Den Zeitserver konnte ich setzen aber er übernimmt den Befehl für die Zeitzone nicht.
Ich muss doch mit Exit aus dem NTP rausgehen und clock timezone eingeben oder nicht?
Folgendes steht nun aus meiner Sicht an. Ich versuche das Netzwerk homogen zu gestalten und werde einige Switche nach und nach rausschmeißen.
Ablauf:
Paar Fragen zu dem ganzen Konstrukt:
telnet@Switch2#ntp
Invalid input -> ntp
Type ? for a list
telnet@Switch2#ntp server 192.168.115.1
Invalid input -> ntp server 192.168.115.1
Type ? for a list
telnet@Switch2#! ntp
telnet@Switch2#config t
telnet@Switch2(config)#ntp
telnet@Switch2(config-ntp)#server 192.168.115.1
telnet@Switch2(config-ntp)#show ntp status
Clock is unsynchronized, no reference clock
NTP server mode is enabled, NTP client mode is enabled
NTP master mode is disabled, NTP master stratum is 8
NTP is not in panic mode
telnet@Switch2(config-ntp)#show ntp ass
associations Show NTP Associations
telnet@Switch2(config-ntp)#show ntp associations
address ref clock st when poll reach delay offset disp
~192.168.115.1 62.116.130.3 3 11 64 3 1.111 -2444965 78.552
* synced, # selected, + candidate, - outlayer, x falseticker, ~ configuredDen Zeitserver konnte ich setzen aber er übernimmt den Befehl für die Zeitzone nicht.
Ich muss doch mit Exit aus dem NTP rausgehen und clock timezone eingeben oder nicht?
Folgendes steht nun aus meiner Sicht an. Ich versuche das Netzwerk homogen zu gestalten und werde einige Switche nach und nach rausschmeißen.
Ablauf:
- Zeit auf Brocade fest setzen
- Bei Leerlaufzeit Firmware Updates
- RSTP auf den anderen Switchen aktivieren
- Switche nach und nach entfernen (homogenes Netzwerk) bauen
Paar Fragen zu dem ganzen Konstrukt:
- Auf allen Switchen die mit dem Core angeschlossenen sind Spanning Tree aktivieren?
- Wie kann man am besten den Stack absichern?
- Firewall habe ich heute schon angefragt und werde wohl ein HA Cluster daraus bauen.
- Welches Netzwerkmonitoring Tool kann man empfehlen? PRTG, Macmon etc...?
Ich muss doch mit Exit aus dem NTP rausgehen und clock timezone eingeben oder nicht?
Ja, das ist richtig !Erinnere dich wieder an das Fragezeichen !!! Das ist immer dein bester Freund um zu sehen welche Befehle das CLI kennt und sehen möchte.
Du gibst ein: "telnet@Switch2(config)#clock ?" oder wenn du schon timezone eingegeben hast auch: "telnet@Switch2(config)#clock timezone ?" und "hangelst" dich so durch bis zum richtigen Kommando.
Ich versuche das Netzwerk homogen zu gestalten und werde einige Switche nach und nach rausschmeißen.
Sehr vernünftig und der richtige Weg ! Sinnvoll wäre immer bei den ICX Modellen zu bleiben ! Deinen "Ablauf" Punkte sind auch absolut korrekt so außer das man die Uhrzeit (NTP Server) auf allen Switches im Netz setzen sollte, damit in den Logs und anderen Funktionen immer die korrekte Zeit verwendet wird. Essentiell fürs Trouble Shooting.Ein anderer Punkt ist das was du in der Zeichnung als "LACP SFP" bezeichnet hast. Das ist laut Zeichnung unsinnig, denn dort ist immer nur ein einziger Link eingezeichnet ! Ein LACP LAG hat aber immer mindestens 2 (oder mehr) Links eben zur Redundanz und gleichzeitiger Bandbreiten Erhöhung.
Aber ggf. ist das ja auch nur ein Zeichenfehler in deiner Netzwerk Skizze oben das du vergessen hast den 2ten Link einzutragen. (Siehe Netz Design Skizze oben)
Paar Fragen zu dem ganzen Konstrukt:
1.)Generell auf allen Switches im gesamten Netz RSTP aktivieren ! (Single Span)
2.)
Was genau meinst du mit "absichern" ??
- Stack Uplink Absicherung (Daisy Chaining, Stack Trunk etc.) ?
- Spanning Tree Absicherung ?
- User Login Absicherung (Radius etc.) ?
- Port Absicherung (Mac, 802.1x etc.) ?
Sehr vernünftig !
4.)
PRTG ist schon gut. Sehr gut ist auch im Open Source Bereich Observium oder Zabbix
Ein allgemeinen Überblick findest du u.a. hier
Ruckus Umfeld:
Wenn du eine durchgehende Ruckus/Brocade WLAN Lösung hast kannst du z.B. mit einem Unleashed Accesspoint oder einem WLAN Controller auch alle deine Ruckus Switches nebenbei mit managen !
Solltest du vielleicht mal eurem IT fernen Einkäufer stecken !
Erinnere dich wieder an das Fragezeichen !!! Das ist immer dein bester Freund um zu sehen welche Befehle das CLI kennt und sehen möchte.
Du gibst ein: "telnet@Switch2(config)#clock ?" oder wenn du schon timezone eingegeben hast auch: "telnet@Switch2(config)#clock timezone ?" und "hangelst" dich so durch bis zum richtigen Kommando.
Du gibst ein: "telnet@Switch2(config)#clock ?" oder wenn du schon timezone eingegeben hast auch: "telnet@Switch2(config)#clock timezone ?" und "hangelst" dich so durch bis zum richtigen Kommando.
telnet@Switch2(config)#clock timezone gmt gmt+01
telnet@Switch2(config)#show clock
12:27:44.394 GMT+01 Thu Mar 04 2021
telnet@Switch2(config)#ENDLICH. Nun habe ich es kapiert... Aber finde nirgends den Punkt wo ich die Konfiguration exportieren kann :/
Ein anderer Punkt ist das was du in der Zeichnung als "LACP SFP" bezeichnet hast. Das ist laut Zeichnung unsinnig, denn dort ist immer nur ein einziger Link eingezeichnet ! Ein LACP LAG hat aber immer mindestens 2 (oder mehr) Links eben zur Redundanz und gleichzeitiger Bandbreiten Erhöhung.
Sind 2 Leitungen über die SFP Ports als LACP. Aber halt nur als eine Leitung eingezeichnet. Zeitmanagement und so :PPaar Fragen zu dem ganzen Konstrukt:
1.)Generell auf allen Switches im gesamten Netz RSTP aktivieren ! (Single Span)
2.)
Was genau meinst du mit "absichern" ??
Aber finde nirgends den Punkt wo ich die Konfiguration exportieren kann
Das geht kinderleicht mit show runDen Output sicherst du per Cut and Paste als stinknormalen .txt Textfile auf deinem Lieblingsserver mit Datensicherung und gut iss !
Kannst du dann in einen nackigen Switch wieder per Cut and Paste reinbringen, et voila...schon ist er wieder fertig konfiguriert. Simpler Klassiker...
Noch einfacher geht es wenn du im Netz irgendwo einen SSH, TFTP oder HTTPS Server hast. (kleiner Raspberry Pi genügt). Mit...
copy running-config tftp <server_ip> meine-config.txt
schreibt der Switch dir diesen Konfig File dann automatisch auf den Sicherungsserver.
Das geht dann auch mit SCP, HTTPS oder direkt auf einen angesteckten USB Stick (disk0)
telnet@ICX7150-C08P Switch#copy running-config ?
disk0 To an external USB disk file
https To a HTTPS server
scp To a scp file
tftp To a tftp file
Sind 2 Leitungen über die SFP Ports als LACP. Aber halt nur als eine Leitung eingezeichnet.
OK, hast du sicherheitshalber mit show lag auch gecheckt das die LAGs auch alle im OPE Status sind ??! Nur dann sind die auch wirklich aktiv. Immer wichtig zu checken wenn man einen LACP LAG zu einem Fremdhersteller macht ! Ich meine wenn das Stack abraucht kann ich mich erschießen
Der Stack ist ein Mann also maskulin ! Aber die Pistole kannst du aus mehreren Gründen in der Schublade lassen:
- Du hast eine Lifetime Warranty mit den ICXen mit next Business Day Ersatz. Wenn also eine Kiste abraucht hast du nächsten morgen eine Neue. Dieser Service ist im Kaufpreis inkludiert, allerdings limitiert auf 5 Jahre. Auch das ein Argument für euren IT unkundigen Einkäufer der nur nach Preis Taiwan Schrott einkauft
- Das 2 Stack Member zu gleicher Zeit abrauchen (je nachdem wieviel Maschinen du im Stack hast ?! Max. sind 12 erlaubt pro Stack) ist eher unwahscheinlich. Der Stack macht einen automatischen Failover so das Notbetrieb immer möglich ist.
- Sinnvollerweise plant man als verantwortungsvoller Netzwerker den Stack immer so das man genug freie Ports hat einen Notbetrieb zu machen wenn eine Komponente ausfällt. Ggf. also den Einkäufer bitten ein zusätzliches Stackmodell als Redundanz zu beschaffen um diesen Status zu erreichen. Bei einer solchen Core Komponente unumgänglich und sagt einem ja auch der gesunde IT Verstand ohne einen Administrator Thread.
- Dem Einkäufer bei euch scheint es ja aber Wumpe zu sein wenn das Netz ausfällt. Die Tatsache das er billigste Taiwan Switches auf unterstem Niveau beschafft für ein Unternehmensnetz sagt ja alles. Du solltest also die Pistole in dem Fall dann ganz beruhigt auf seinen Schreibtisch legen !!
Das geht kinderleicht mit show run
Ach das langt aus?Sind 2 Leitungen über die SFP Ports als LACP. Aber halt nur als eine Leitung eingezeichnet.
OK, hast du sicherheitshalber mit show lag auch gecheckt das die LAGs auch alle im OPE Status sind ??! Nur dann sind die auch wirklich aktiv. Immer wichtig zu checken wenn man einen LACP LAG zu einem Fremdhersteller macht ! telnet@Switch2#show lag
Total number of LAGs: 3
Total number of deployed LAGs: 3
Total number of trunks created:3 (253 available)
LACP System Priority / ID: 1 / 609c.9f3c.2290
LACP Long timeout: 120, default: 120
LACP Short timeout: 3, default: 3
=== LAG "LAGtoLANCOM-W3" ID 2040 (dynamic Deployed) ===
LAG Configuration:
Ports: e 1/2/8 e 2/2/8
Port Count: 2
Primary Port: 1/2/8
Trunk Type: hash-based
LACP Key: 22040
LACP Timeout: long
Deployment: HW Trunk ID 3
Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name
1/2/8 Up Forward Full 1G 2040 Yes 1 0 609c.9f3c.2290
2/2/8 Up Forward Full 1G 2040 Yes 1 0 609c.9f3c.2290
Port [Sys P] [Port P] [ Key ] [Act][Tio][Agg][Syn][Col][Dis][Def][Exp][Ope]
1/2/8 1 1 22040 Yes L Agg Syn Col Dis No No Ope
2/2/8 1 1 22040 Yes L Agg Syn Col Dis No No Ope
Partner Info and PDU Statistics
Port Partner Partner LACP LACP
System ID Key Rx Count Tx Count
1/2/8 32768-00a0.575b.35a9 2 492633 475853
2/2/8 32768-00a0.575b.35a9 2 492622 475840
=== LAG "Werk2-Werk1" ID 1 (dynamic Deployed) ===
LAG Configuration:
Ports: e 1/2/2 e 2/2/2
Port Count: 2
Primary Port: 1/2/2
Trunk Type: hash-based
LACP Key: 20001
Deployment: HW Trunk ID 1
Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name
1/2/2 Up Forward Full 10G 1 Yes 1 0 609c.9f3c.2290
2/2/2 Up Forward Full 10G 1 Yes 1 0 609c.9f3c.2290
Port [Sys P] [Port P] [ Key ] [Act][Tio][Agg][Syn][Col][Dis][Def][Exp][Ope]
1/2/2 1 1 20001 Yes L Agg Syn Col Dis No No Ope
2/2/2 1 1 20001 Yes L Agg Syn Col Dis No No Ope
Partner Info and PDU Statistics
Port Partner Partner LACP LACP
System ID Key Rx Count Tx Count
1/2/2 1-609c.9f09.8434 20002 246415 246456
2/2/2 1-609c.9f09.8434 20002 246408 246445
=== LAG "Werk3" ID 68 (static Deployed) ===
LAG Configuration:
Ports: e 1/2/6 e 2/2/6
Port Count: 2
Primary Port: 1/2/6
Trunk Type: hash-based
Deployment: HW Trunk ID 2
Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name
1/2/6 Up Forward Full 1G 68 Yes 1 0 609c.9f3c.2290
2/2/6 Up Forward Full 1G 68 Yes 1 0 609c.9f3c.2290 Sieht soweit okay aus. LACP zu Werk 3 und Werk 3 Lancom wie Werk1 besteht. Ob es wirklich ein LACP zum Werk2 ist muss ich gleich mal nachschauen. Wenn dann auf jeden Fall über 2x 1Gbit und nicht SFTP
Aber die Pistole kannst du aus mehreren Gründen in der Schublade lassen:
Ich glaube da kann ich mich nicht ganz aus der Schusslinie nehmen. Ich habe zu oft ja und amen gesagt. Aber immerhin habe ich den Fehler nun erkannt und werde es ändern.- Du hast eine Lifetime Warranty mit den ICXen mit next Business Day Ersatz. Wenn also eine Kiste abraucht hast du nächsten morgen eine Neue. Dieser Service ist im Kaufpreis inkludiert, allerdings limitiert auf 5 Jahre. Auch das ein Argument für euren IT unkundigen Einkäufer der nur nach Preis Taiwan Schrott einkauft
* Das 2 zu gleicher Zeit abrauchen (je nachdem wieviel Maschinen du im Stack hast ?! Max. sind 12 erlaubt pro Stack) ist eher unwahscheinlich. Der Stack macht einen automatischen Failover so das Notebetrieb immer möglich ist.
gut zu wissen.* Sinnvollerweise plant man den Stack so das man genug freie Ports hat einen Notebetrieb zu machen wenn eine Komponente ausfällt. Gf. also den Einkäufer bitten ein zusätzliche Stackmodell zu beschaffen um den Status zu erreichen. Bei einer solchen Core Komponente unumgänglich und sagt einen auch der gesunde IT Verstand ohne einen Administrator Thread.
Ja mein IT Verstand hat mich darauf hingewiesen, aber ich brauchte den Administrator Thread um diese Gedanken zu verstärken :DAch das langt aus?
Schon seit Jahrzehnten bei allen Herstellern die ein Cisco ähnliches CLI haben ! Wieder ein Argumentationsgrund gegen den Einkäufer und seiner "Taiwan Billig Mentalität"
LACP zu Werk 3 und Werk 3 Lancom wie Werk1 besteht.
Das wichtigste hast du aber abgeschnitten !! Bei LAG 1 und 2 kannst du oben ja wunderbar sehen bei den Member Ports (ganz am Ende) das die da im "OPE" Status sind ! OPE = Operational. Bedeutet das LACP aktiv ist und beide Member Links im Forwarding. Alles bestens also bei LAG 1 und 2...
Bei LAG 3 sieht man es leider nicht. Du vermutlich schon...
Ich habe zu oft ja und amen gesagt.
Traurig und damit hast du dich als Profi ja eigentlich selber disqualifiziert als Ansprechpartner in Infrastruktur Fragen. Wozu wirst du denn gefragt als Fachkraft und warum so devor ?? Nutze dein Know How doch um das aktiv mitgestalten zu können. In der IT ist sowas doch Usus in Unternehmen...aber ich brauchte den Administrator Thread um diese Gedanken zu verstärken
Das machen wir doch gerne ! 👍Traurig und damit hast du dich als Profi ja eigentlich selber disqualifiziert als Ansprechpartner in Infrastruktur Fragen. Wozu wirst du denn gefragt als Fachkraft und warum so devor ?? Nutze dein Know How doch um das aktiv mitgestalten zu können.
Ich bin hier in eine historisch gewachsene Umgebung gekommen.
Die Entscheidungen mit dem Coreswitchen, ESX Servern und der Firewall z.B. sind auf meinen Mist gewachsen. Aber diese Billigswitche wurden vorher (Lancom, D-Link) schon du verschiedene Dienstleister geliefert, eingebaut und dann auch empfohlen. Dort hieß es dann "die reichen aus, sind günstig und trotzdem sehr gut, oder die setzen wir schon seit Jahren ein". Wie oben schon erwähnt habe ich mich da wahrscheinlich zu sehr auf die Dienstleister verlassen und wurde verlassen...
Ich habe gerade gestern einen Test gemacht und zwei Dienstleister angerufen mit denen wir zusammen arbeiten und mal nach dem Thema Spanning Tree, Loop Protection usw. gefragt.
Beide haben bestätigt, dass dieses eigentlich nie aktiviert wird. Für mich kam der Eindruck so rüber von wegen schnell verkaufen, schnell einbauen, schnell Rechnung schreiben...
Aber wichtiger ist das die Erkenntnis nun da ist und ich nicht mehr alles abnicken werden. Ich werde so wie es aussieht, mich auch von den einem oder anderen Dienstleister verabschieden. Es soll auch keine Ausrede sein und eine Teilschuld nehme ich definitv auf mich.
Dort hieß es dann "die reichen aus, sind günstig und trotzdem sehr gut, oder die setzen wir schon seit Jahren ein".
Uhhh...spricht auch für die "Qualität" dieser Dienstleister vor deiner Zeit und deren Infrastruktur Horizont....aber egal. Schnee von gestern für dich. Dumm ist nur das sowas bei wenig IT affinen Managern immer hängen bleibt.Eindruck so rüber von wegen schnell verkaufen, schnell einbauen, schnell Rechnung schreiben...
Oha...ja absolut, entspricht sicher deren "Kunden" Philosophie". Diese Antwort sagt eigentlich alles. Ein NoGo in einem redundant gestalteten Firmennetzwerk. Zumindest die einfache Frage nach dem Netz Design, bevor man solche wenig qualifizierte Antwort gibt, wäre das zu erwartende Minimum gewesen. Da muss man sicher nichts mehr zu kommentieren und solltest du besser nie mehr wieder anrufen. Man kann nur die Kunden bedauern die Opfer solcher "Systemhäuser" sind. Aber allein die Produkte die sie empfehlen sprechen ja auch schon eine deutliche Sprache in dieser Hinsicht.Du bist auf alle Fälle absolut auf dem richtigen Weg mit dem was du derzeit umgesetzt hast und lasse dich da nicht beirren ! 👍
