JackC Geschrieben 2. Januar 2014 Geschrieben 2. Januar 2014 Hallo, ich hab ein kleine Problem bei der Konfiguration eines HP 2920-24G Switches. Ich habe einen kleinen Plan vom Netzwerk angehängt. Der Switch ist über Port 1 welches sich im VLAN 1 und VLAN 2 (Tagged) befindet am Interface 1 von der Firewall angeschlossen, welches auch für beide VLANs mit den jeweiligen IP-Adressen 192.168.2.1 und 192.168.1.1 konfiguriert ist. Am Switch sind zwei VLANs konfiguriert mit InterVLAN-Routing. Die VLANs haben jeweils die IP-Adressen 192.168.1.1 und 192.168.2.1. VLAN 1 ist als primäres VLAN konfiguriert und somit ist am Switch der Default Gateway auch die 192.168.1.1. Womit wir auch beim Problem wären. 1. Der default Gateway sollte eigentlich die Firewall sein also die 192.168.1.254 oder die 192.168.2.254. Dies ist aber nicht möglich, wenn ich nämlich den default GW an dem Switch ändern möchte, so ändert sich zugleich auch die InterVLAN IP. Bsp. Ich ändere am Switch den default Gateway in 192.168.1.254. Nun ist die IP Adresse von VLAN 1 die 192.168.1.254 und nicht mehr die 192.168.1.1. 2. Ich habe den letzten Port am Switch so konfiguriert, dass dieser auch in beiden VLANs ist. (Tagged) Wenn ich nun ein Notebook oder PC daran anschließe und eine IP-Adresse vergebe, kann ich weder die 192.168.1.1 noch die 192.168.2.1 pingen, noch eine andere IP in diesem Netz. Wie konfiguriere ich dies am Switch einen Port richtig, dass dieser in mehreren VLANs ist und es funktioniert? Ich weiß noch von älteren Switches, dass man dort Ports untagged in mehrere VLANs stecken konnte. Bei diesem Modell kann ich nur über Tagged den Port in mehrere VLANs bekommen. Zitieren
Gast Geschrieben 4. Januar 2014 Geschrieben 4. Januar 2014 Hallo, was hast du überhaupt vor? Auch wenn ich deine Frage nicht verstehe denke ich, dass dein Hauptproblem in der gedanklichen Trennung von Layer 2 und Layer 3 des OSI-Refernzmodells ist. Wie ist der Switch konfiguriert? Layer2-only oder auch Layer3? Zur Frage 2: Garnicht. Dein Notebook unterstüzt keine VLANs. Es kann schlicht und einfach mit den Frames mit dem VLAN-Tag nichts anfangen. Und zwei VLANs untagged auf einen Port zu konfigurieren funktioniert aus gutem Grund nicht. Dann kannst du dir die Trennung der Netzwerke durch VLANs nämlich gleich sparen. mfg Hendrik232 Zitieren
JackC Geschrieben 7. Januar 2014 Autor Geschrieben 7. Januar 2014 Also... da die Firewall nicht mit unnötigen Traffic belastet werden soll, sollte das Routing zwischen den zwei VLANs innerhalb des Switches geschehen. Ich habe daher InterVLANs konfiguriert mit den jeweiligen IP-Adressen in jedem VLAN. Das klappt dann auch wunderbar und ich kann von einem VLAN ins andere Pingen. Wenn jetzt aber eine Anfrage in ein ganz anderes Netz gehen soll, dann soll diese Anfrage an die Firewall weitergeleitet werden (default gateway). Diese weiß dann weiter wo es hingeht. Und das ist das Problem. Am Switch ist konfiguriert: default Gateway: 192.168.1.1 VLAN 1 (Primär) : 192.168.1.1 VLAN 2: 192.168.2.1 Wenn ich nun den dafault Gateway am Switch auf 192.168.1.254 ändere, dann ändert er auch die IP Adresse von VLAN 1 in 192.168.1.254. Heißt nun hat VLAN 1 die gleiche IP wie die Firewall. Zu Frage 2: Die Idee war eigentlich an einem Port ein PC oder Notebook anzuklemmen, dass in beiden VLANs sein kann, je nachdem was für eine IP-Adresse sich gibt. Zitieren
Crash2001 Geschrieben 8. Januar 2014 Geschrieben 8. Januar 2014 (bearbeitet) Du kannst schon ein Laptop an einem Port nutzen, der dot1q (IEEE802.3Q - ich denke mal, das ist das, was bei HP unter "tagged" versteht) nutzt. Dafür muss der Treiber der Netzwerkkarte dies jedoch unterstützen und es im Betriebssystem entsprechend konfiguriert sein (das BS muss es also auch noch unterstützen - sollte aber eigentlich jedes aktuelle problemlos machen). Ansonsten kann die Netzwerkkarte mit den gekapselten Paketen vermutlich nicht viel anfangen und verwirft sie stattdessen einfach. Die meisten Business-Notebooks unterstützen Dot1Q/IEEE802.3Q afaik mittlerweile - eventuell benötigst du aber andere Treiber als die Defaulttreiber dann. So kannst du das Notebook dann in annähernd beliebig viele vlans packen (abhängig vom Treiber / Betriebssystem, wie viele unterstützt werden) und ihm in jedem vlan auch eine (virtuelle/Sub-) IP-Adresse vergeben oder auch per DHCP automatisch vergeben lassen. Die Technik wird ja z.B. auch oftmals bei Servern genutzt, wenn Links noch Kapazitäten frei haben, oder aber nicht genügend Netzwerkports vorhanden sind. Wie du das Problem mit dem Default-Gateway lösen kannst, weiß ich allerdings auch nicht. eventuell gibt es ja auch noch einen anderen Befehl als "default-gateway" oder aber du kannst eine Defaultroute / Nullroute zusätzlich einrichten. Also z.B. eine IP manuell vergeben und dann die Nullroute / Defaultroute zur Firewall einrichten. Dazu benötigst du dann natürlich auch noch eine zusätzliche Route für die beiden Netze. Ob das mit dem Switch geht, oder ob es eigentlich ein L2-Switch mit minimalen Routerfähigkeiten nur ist, ist dann halt die andere Frage. Bearbeitet 8. Januar 2014 von Crash2001 Zitieren
Gast Geschrieben 8. Januar 2014 Geschrieben 8. Januar 2014 Hallo, nachdem ich deine Frage verstanden habe erinnere ich mich ganz dunkel mal ein ähnliches Problem gehabt zu haben. Wenn ich mich richtig erinnere, dann funktioniert der Befehl "ip default-gateway" nur, wenn der Switch im L2 Modus arbeitet. Wenn der Switch im L3 Modus ist, dann wird dieser Befehl ignoriert. Du solltest, wie Crash2001 schon angedeutet hat, eine Defaultroute zur Firewall einrichten. "ip route 0.0.0.0 0.0.0.0 192.168.1.254". Welches Ziel verfolgst du denn mit dem Port für das Notebook in beiden VLANs? mfg Hendrik232 Zitieren
JackC Geschrieben 9. Januar 2014 Autor Geschrieben 9. Januar 2014 Das Notebook/PC soll nicht in beiden VLANs gleichzeitig drin sein. Es soll nur die Möglichkeit bestehen bei einem Port sich einzustöpseln und dann entweder im einem VLAN zu sein, oder im anderen. Viel wichtiger ist allerdings das mit dem default Gateway Zitieren
Crash2001 Geschrieben 9. Januar 2014 Geschrieben 9. Januar 2014 Wenn es nicht in beiden vlans gleichzeitig sein soll, dann musst du die entsprechenden subinterface entweder manuell anlegen / rausnehmen / deaktivieren auf dem Laptop, oder aber du hast sie immer alle aktiv, sobald du verbunden bist. Wie bei einem Access-Port, dass man sich einfach einstöpselt und NUR in EINEM bestimmten vlan drin ist, geht so jedenfalls nicht, sondern du kannst dann in jedem vlan, das auf dem Port erlaubt ist, dir ein Interface anlegen. Defaultmässig wirst du jedoch in dem vlan landen, was untagged ist, bzw das, was das native vlan ist. (Defaultmässig vlan 1). zum Default-Gateway... Kannst du eine IP-Adresse auf den beiden vlan-Interfaces auf dem Switch anlegen, ohne den Befehl "default-gateway" zu nutzen? Falls ja, dann mach das und richte dann die defaultroute / Nullroute wie oben beschrieben mal ein. Zusätzliche Routen zu den auf dem Switch vorhandenen Netzen benötigst du nicht, solange diese nicht per Routingprotokoll bekannt gegeben werden sollen. Diese Route müsstest du dann auf der Firewall ebenfalls noch eintragen, falls nicht bereits vorhanden oder sie per Routingprotokoll ausgetauscht werden. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.