Frage zur VLAN Konfiguration

[Eleu]

Hallo,

wenn man an einem Switch mehrere VLAN`s konfiguriert, wird dann in dem Moment wo ich die Änderung vornehme an den betroffenen Switchports die Kommunikation kurz geblockt ?

Hintergrund der Frage ist nachfolgender:

Angekommen an einem 24 Port großen Switch sind 8 VLAN konfiguriert.

Alle angeschlossene Teilnehmer dieser 8 VLAN sind in verschiedenen Subnetzen.

Wenn dieser Switch ausgetauscht werden müsste, könnte man diesen neuen Switch doch auch erst mal unkonfiguriert lassen. D.h. alle Teilnehmer wieder in Betrieb nehmen ohne VLAN Konfig. am Switch

Da ja alle Teilnehmer aufgrund der unterschiedlichen Adressierung in separaten Subnetzen sind, müsste das dann doch auch erst mal ohne VLAN Konfig. funktionieren, oder ?

Vorteil: Erst mal läuft alles wieder und man kann nach dem Switch - Austausch in aller Ruhe die VLAN`s am Switch einrichten.

Würde das gehen, oder spricht etwas dagegen ?

Gruß

Eleu

[afo]

Vorweg: Ich weiß es nicht. Aber m.E. stellt sich die Frage ja garnicht. Du kannst ja die Konfiguration sichern und auf dem neuen Switch gleich wieder einspielen.

[Eleu]

Ja, bei baugleiche Switchen.

Unterschiedliche Switche haben aber doch auch unterschiedliche Konfigurationsmöglichkeiten, oder ?

Mit anderen Worten, die gesicherten Daten sind nicht mit dem neuen Switch kompatibel.

Oder ist das genormt ?

[afo]

Ja, bei baugleiche Switchen.

Unterschiedliche Switche haben aber doch auch unterschiedliche Konfigurationsmöglichkeiten, oder ?

Mit anderen Worten, die gesicherten Daten sind nicht mit dem neuen Switch kompatibel.

Wenn das Netz so wichtig ist würde ich den gleichen Switch auf Lager legen.

Oder ist das genormt ?

Nein. ich vermute sogar, dass du beim gleichen Hersteller Probleme bekommen könntest.

Wenn du es ganz genau wissen willst (und uns eh das Fabrikat nicht verraten willst) probier es in einer Testumgebung aus.

Bearbeitet 3. Juli 2012 von afo

[tim.kristof]

Was spricht dagegen, den neuen Switch vor der Inbetriebnahme schon vorzukonfigurieren ? Und wenn es nur einen Ersatzswitch für mehrere unterschiedlich konfigurierte Switche gibt, dann gehört halt eben jede Eventualität vorher darauf konfiguriert und weggesichert. Im Notfall nur noch die passende Konfig drauf ziehen.

[Eleu]

Was spricht dagegen, den neuen Switch vor der Inbetriebnahme schon vorzukonfigurieren ? Und wenn es nur einen Ersatzswitch für mehrere unterschiedlich konfigurierte Switche gibt, dann gehört halt eben jede Eventualität vorher darauf konfiguriert und weggesichert. Im Notfall nur noch die passende Konfig drauf ziehen.

Ja o.k.

Wenn man aber nach dem Austausch ein LAN - Kabel fälschlicherweise in einen falschen Port steckt (falsches VLAN), kommt für diesen Teilnehmer nach der wieder in Betriebnahme erst mal keine Verbindung zustande und man fängt an zu suchen.

Andersherum hat man diesen Fehler erst mal nicht.

[Fraggla]

Müsste es nicht eigentlich so sein, dass der Switch alle angeschlossenen Netze automatisch erkennt und die dahinter liegenden Netze nicht?

Wenn ja, müsste es doch kein Problem sein Routingtabellen etc. von einem switch auf den anderen zu transferieren.

Amarite?

[tim.kristof]

Ja o.k.

Wenn man aber nach dem Austausch ein LAN - Kabel fälschlicherweise in einen falschen Port steckt (falsches VLAN), kommt für diesen Teilnehmer nach der wieder in Betriebnahme erst mal keine Verbindung zustande und man fängt an zu suchen.

Andersherum hat man diesen Fehler erst mal nicht.

Vernünftige Beschriftung der Kabel, akkurates arbeiten, und wenn dann doch ein Teilnehmer keine Verbindung hat, Kabel noch mal überprüfen.

[DocInfra]

Bei einer so wichtigen Komponente:

1. Ersatzgerät vorhalten oder entsprechenden Herstellersupport mit garantierter Wiederherstellungszeit kaufen.

2. Regelmäßig die Konfiguration sichern.

3. DOKUMENTIEREN, DOKUMENTIEREN, BESCHRIFTEN und... ach ja... DOKUMENTIEREN!

Da ja alle Teilnehmer aufgrund der unterschiedlichen Adressierung in separaten Subnetzen sind, müsste das dann doch auch erst mal ohne VLAN Konfig. funktionieren, oder ?

Das hält Broadcasts nicht davon ab sich dann in das gesamte VLAN zu verbreiten.

[lordy]

Mal als Denkanstoss: Wenn du aktuell mehrere VLANs verwendest ist dein Uplink vermutlich ein Trunk. Wenn du dann einen Switch einbaust, der ohne VLANs konfiguriert ist, was passiert dann?

Richtig: Nix geht.

[Nemo]

Man sollte ja auch bedenken, dass diese User mit Netzwerkdaten arbeiten. Diese werden dann über andere VLANs geroutet. Mit dieser Lösung ist kaum Kommunikation gewährleistet, da nur im selben Netz kommuniziert wird. Aber wer will denn schon in der Firma auf den Rechner des Arbeitskollegen zugreifen und so arbeiten? Man arbeitet im Netzwerk. Also, wie bereits erwähnt, sollte die Konfig vor dem Austausch auf das Ersatzgerät eingespielt worden sein.

[Crash2001]

Hallo,

wenn man an einem Switch mehrere VLAN`s konfiguriert, wird dann in dem Moment wo ich die Änderung vornehme an den betroffenen Switchports die Kommunikation kurz geblockt ?

Hintergrund der Frage ist nachfolgender:

Angekommen an einem 24 Port großen Switch sind 8 VLAN konfiguriert.

Alle angeschlossene Teilnehmer dieser 8 VLAN sind in verschiedenen Subnetzen.

Wenn dieser Switch ausgetauscht werden müsste, könnte man diesen neuen Switch doch auch erst mal unkonfiguriert lassen. D.h. alle Teilnehmer wieder in Betrieb nehmen ohne VLAN Konfig. am Switch

Da ja alle Teilnehmer aufgrund der unterschiedlichen Adressierung in separaten Subnetzen sind, müsste das dann doch auch erst mal ohne VLAN Konfig. funktionieren, oder ?

Vorteil: Erst mal läuft alles wieder und man kann nach dem Switch - Austausch in aller Ruhe die VLAN`s am Switch einrichten.

Würde das gehen, oder spricht etwas dagegen ?[...]

Hast du nur einen Switch und sind nach außen hin nur Access-vlans konfiguriert und die Geräte, die dran hängen, spechen kein dot1q, geht das zwar, dann wären jedoch alle Geräte im selben Netz und könnten sich sehen (solange dies nicht durch unterschiedliche Subnetze verhindert wird). Eine eventuelle automatische DHCP-Vergabe der IP-Adresse würde Probleme bereiten.

Wenn mehrere Switche miteinander verbunden sind, dann werden diese normalerweise per Trunk verbunden, auf dem die benötigten vlans vorgehalten werden. Wenn ein Switch nun auf der einen Seite statisch als Trunk und auf der anderen als Accessport konfiguriert ist, kann nur das native vlan gelsen werden (standardmässig vlan 1) und mit allen anderen vlans kann nicht kommuniziert werden. Nur auf diesem vlan kann dann "nach draussen" kommuniziert werden. Ergo eine schlechte Idee.

Ich verstehe aber ehrlich gesagt nicht, wo dein Problem dabei ist.

Entweder du hältst das gleiche Modell vom Switch noch vor, so dass du eine regelmässig gesicherte Config einfach draufspielen kannst und es geht, oder aber du hast ein anderes Austauschgerät vorrätig, das die gleichen Funktionen / das gleiche Featureset beherrscht (L2, L3, Protokolle, ...), so dass du dieses Gerät dann stattdessen nehmen kannst. Port-KOnfiguration kann man 1:1 übernommen werden beim gleichen Hersteller - eventuell müssen halt die Ports angepasst werden (z.B. bei Ciso 2960 Fa0/1-Fa0/24, bei Cisco 4506 Fa2/1-Fa2/24, ...)

Eine Grundkonfiguration für solch einen Switch sollte man dann ebenfalls für die verschiedenen möglichen Einsatzzwecke vorhalten (SNMP-Parameter, AAA-Einstellungen, Defaulteinstellungen für die Ports, IP-Adresse(n), Routing falls vorhanden, Tunnel falls vorhanden, Accesslists, ...)

Einen unkonfigurierten Switch einfach in ein Produktivnetz zu stellen verbietet sich auf jeden Fall von selber. Die Sicherheitslecks sind viel zu hoch und zudem funktioniert nicht wirklich alles. Lieber dann noch eine halbe Stunde länger brauchen, als die Probleme mit einem unkonfigurierten Switch, oder aber einen Switch mit einer falschen konfiguration (von einem anderen Switch z.B.)

[Eleu]

Es sind zwei Etagenverteiler, die mit neuen Switchen ausgerüstet werden.

Das mit dem Trunk - Port am Switch (In dem Fall an jedem SW der LWL-Anschluß) hab ich nicht bedacht.

Wenn der Switch unkonfiguriert auf allen Ports standardmäßig das VLAN 1 abbildet,

kann es ja nicht funktionieren, wenn an einem anderen Etagenverteiler für das betroffene Subnetz ein anderes VLAN konfiguriert ist.

Ziel der Überlegung war eigentlich nur, eine fehlerhaft gesteckte Patch Leitung auf dem falschen VLAN Port beim Umbau, von vornherein auszuschließen.

Im Prinzip die Fehlerhürde minimieren, damit eine reibungslosere IBN ermöglicht wird.

Als noch keine VLAN Technologie gab ging es ja noch.

Aber dann hatte kein einziger SW in der gsamten Infrastruktur ein VLAN.

[Crash2001]

Nunja, man sollte schon wissen, wo man was hinstecken muss. Dafür macht man sich dann aber vorher Pläne/Listen, so dass man einerseits den alten Zustand wieder herstellen könnte (falls die neue Hardware Probleme bereiten sollte), und zusätzlich dann natürlich einen Plan vom Zielsystem, was auf welchen Port kommen soll.

Anders wäre die Migration von z.B: 350 Enduser-Ports (entspricht 2 nicht ganz vollen alten Cisco 6509 Access Switches mit 24 Ports pro Modul) auch nicht problemlos möglich mit Übernahme der Description und des vlans.

Einfach halt nach der Migration Stichproben machen, ob es sichtbare Probleme gibt. Ansonsten erfährt man spätestens am nächsten Arbeitstag, wenn was nicht läuft und muss es dann halt noch umstecken oder umkonfigurieren. Das sind halt die Nacharbeiten, die durch ordentliche Planung (Aufnahme der Ports und Kabelnummern und Verknüpfung untereinander, Generierung der Config für den neuen Switch, patchen und Kabel verlegen) und konzentriertes Arbeiten aber auf ein Minimum reduzierbar ist.

Erschwerend kommt meist noch hinzu, dass längst nicht alle Geräte angeschaltet sind, wenn man am WE Migrationen macht und man somit nicht auf jedem Port schauen kann, ob es funktioniert, oder nicht.

[Eleu]

Nunja, man sollte schon wissen, wo man was hinstecken muss. Dafür macht man sich dann aber vorher Pläne/Listen, so dass man einerseits den alten Zustand wieder herstellen könnte (falls die neue Hardware Probleme bereiten sollte), und zusätzlich dann natürlich einen Plan vom Zielsystem, was auf welchen Port kommen soll.

Die Switche baut unsere EDV ein. Ich war dann letztes WE da und habe alle angeschlossenen Systeme im Anschluß daran hochgefahren und ihre Funktion hinsichtlich der Kommunikation getestet.

Sind unter anderem auch Automatisierungsnetze.

Unsere EDV hat eine gute Arbeit gemacht.

Alles hat sofort funktioniert. Nach 1 1/2 Std. konnt ich schon wieder nach hause fahren.

Die Produktion lief Sonntag Nacht ebenfalls ohne Probleme an.

War ne echt gute Zusammenarbeit.

Da drück ich mir doch glatt ne Träne aus dem Auge :beagolisc