Eleu Geschrieben 13. Dezember 2016 Geschrieben 13. Dezember 2016 (bearbeitet) Hallo, ich habe eine Verständnisfrage zu Netzwerken, in denen VLAN`s automatisch mittels OSPF Routingprotokoll miteinander verbunden werden? Das OSPF Protokoll wird ja wahrscheinlich eine Eigenschaft der L3 Switchen sein und mittels einer Management Software auch auf diesen verwaltet/konfiguriert, oder? Wenn jetzt der SW Admin möchte, dass aber ein bestimmtes VLAN nicht geroutet werden soll, wie teilt er das dann dem OSPF mit? Ist das OSPF, ganz allgemein gesehen, im Bauch einer proprietären Software enthalten, je nachdem welcher Router Hersteller (Cisco, Juniper etc..?) im Netz verbaut wurde. Wenn es auf den Routern programmiert ist, muss es ja sonst auf allen Routern auch separat verwaltet werden? Für Antworten, schon mal vielen Dank im Voraus. Gruß Eleu Bearbeitet 13. Dezember 2016 von Eleu Zitieren
w40kcadia Geschrieben 13. Dezember 2016 Geschrieben 13. Dezember 2016 Jeh nach Anwendungsfall würde ich OSPF im unternehme nicht auf einem LAYER3 Switch einsetzen. Du Segmentierst ja dein Netz duch die VLAN´s und willst meist eine Abschottung zueinander. Würdest du nun OSPF aktivieren sind sie offen aber die Broadcast Domain ist getrennt. Ich würde eher auf statische Routen auf dem Layer 3 Switch setzen um nur ausgewählte Netze zu verbinden. Oder noch konsequenter das Routing nicht auf einem Layer3 Switch legen, sondern sofern Kapazität vorhanden ist über die Firewall gehen. Dann kannst du gleich nur bestimmte Dienste und gewünschte Kommunikation gestatten. Eventuell hilft dir aber auch folgende vorgehensweiße am bespiel eines Cisco Router…. https://supportforums.cisco.com/discussion/13021391/ospf-denying-specific-static-routes Zitieren
Eleu Geschrieben 13. Dezember 2016 Autor Geschrieben 13. Dezember 2016 Hallo und danke erst mal. Ich finde, dass ist aber nicht sehr komfortabel. Ich hatte es mir so vorgestellt, dass es in einer größeren Umgebung mit mehreren L3 - Switchen einen Hauptswitch gibt und diesem teile ich mit, (Über web Interface, oder CLI) dass es ein neues Subnetz, mit der VLAN ID XY gibt und dass Subnetz soll geroutet werden (ja oder nein). Den Rest macht das OSFP Bei statischen Einträgen muss ich das ja bei allen Layer 3 Switchen im Netz nachpflegen. Gruß Eleu Zitieren
Wuwu Geschrieben 13. Dezember 2016 Geschrieben 13. Dezember 2016 9 hours ago, w40kcadia said: Ich würde eher auf statische Routen auf dem Layer 3 Switch setzen um nur ausgewählte Netze zu verbinden. Oder noch konsequenter das Routing nicht auf einem Layer3 Switch legen, sondern sofern Kapazität vorhanden ist über die Firewall gehen. Dann kannst du gleich nur bestimmte Dienste und gewünschte Kommunikation gestatten. Warum? Du kannst auch einfach OSPF vernuenftig konfigurieren? Dein Anstatz wird spaetestens nach dem 5. VLAN nicht mehr skalierbar... @Eleu, schau Dir doch einfach mal Route Advertisement und Route Distribution an fuer OSPF, das sollte ganz locker Deine Anforderungen erfuellen. Jeder gaengige Enterprise Class Layer 3 Switch sollte OSPF lauffaehig haben und damit auch konfigurierbar sein. Zitieren
Crash2001 Geschrieben 14. Dezember 2016 Geschrieben 14. Dezember 2016 Das geht doch ganz einfach. Einfach die entsprechenden Routen NICHT im OSPF bekannt geben und sie werden auch nicht verteilt. Beispiel, um 2 Netze im OSPF-Prozess 1 hinzuzufügen: router ospf 1 network 1.1.1.0 0.0.0.255 area 0 network 192.168.12.0 0.0.0.255 area 0 Gibt man es so nicht bekannt, nimmt es auch nicht am OSPF-Routing-Prozess teil. Wenn es beim redistribute sein soll, gibt es die Möglichkeit, Filterlisten zu verwenden. Zitieren
Eleu Geschrieben 14. Dezember 2016 Autor Geschrieben 14. Dezember 2016 (bearbeitet) vor 4 Stunden schrieb Crash2001: Das geht doch ganz einfach. Einfach die entsprechenden Routen NICHT im OSPF bekannt geben und sie werden auch nicht verteilt. Guten Morgen und Danke für die Infos: Bedeutet das, dass man ein neues VLAN, welches man an den Layer 2 Switchen portbasiert konfiguriert hat, dem Core Switch (L3 Switch) nicht zwingend bekannt machen muss? Woher weiß dann der L3 Switch, zu welchem VLAN das ankommende IP - Paket gehört? Über die VLAN - ID im IP - Paket? Eine Frage zu area0: Bedeutet "area0" eine Zusammengehörigkeit mehrerer L3 Switche und muss ich ein neues Subnetz, welches via OSPF geroutet werden soll, nur einem der L3 Switche aus "area0" bekannt machen? Die übrigen L3-Switche werden dann über OSPF informiert bzw. synchronisiert? Gruß Eleu Bearbeitet 14. Dezember 2016 von Eleu Zitieren
Crash2001 Geschrieben 14. Dezember 2016 Geschrieben 14. Dezember 2016 Na bekannt machen muss man es schon, damit es geroutet wird. Das kann aber entweder statisch, oder durch ein Routingprotokoll geschehen. Deine Frage war aber ja, wie du es hinbekommst, dass ein bestimmtes vlan eben NICHT geroutet wird. Alternativ statt über OSPF dann z.B. per EIGRP geroutet. Wenn man ein Redistribute macht, kann man auch noch einmal mit FIlterlisten arbeiten, was redistributed wird. Zitieren
Eleu Geschrieben 14. Dezember 2016 Autor Geschrieben 14. Dezember 2016 vor 10 Minuten schrieb Crash2001: Na bekannt machen muss man es schon, damit es geroutet wird. Sorry, ich habe mich unklar ausgedrückt. Ein VLAN welches nicht geroutet werden soll, kann ja innerhalb einer Netzwerkinfrastruktur auf mehrere L2 Switche (Ports) verteilt sein. An den Ports der L2 Switche wird ja das VLAN konfiguriert (Z.B. VLAN 10). Ein einzelnes VLAN muss ja nicht vom L3 Switch geroutet werden. Es ist ja dann eine in sich geschlossene Broadcast Domäne, nur eben auf den Ports der L2 Switche verteilt. Die Frage ist, ob man den L3 Switchen mitteilen muss, dass es das neue VLAN 10 gibt? Zitieren
Crash2001 Geschrieben 14. Dezember 2016 Geschrieben 14. Dezember 2016 Den L3-Switchen musst du es, genauso wie den L2-Switchen, dadurch bekannt machen, dass du das L2-vlan (also kein L3-vlan-Interface) darauf anlegst. Hast du VTP im Client- und Servermodus laufen, so muss das vlan einmal auf dem VTP Server angelegt werden und wird dann automatisch an die VTP Clients verteilt. Es gibt zwar auch noch andere Möglichkeiten, aber die sollten nicht der Standard sein und erhöhen die Komplexität des Netzwerks nur unnötig, falls die Standardmethode genutzt werden kann. Zitieren
RipperFox Geschrieben 14. Dezember 2016 Geschrieben 14. Dezember 2016 @Eleu Mit scheint, Du bringst hier Layer 2 und 3 etwas durcheinander. Dir ist schon klar, dass über OSPF eigentlich nur Routen (IPv4/IPv6) zwischen Routern ausgetauscht werden? Ob das Interface, mit dem die Router untereinander kommunizieren, nun an einem VLAN, Tunnel, Token-Ring oder sonst was hängt spielt eine untergeordnete Rolle. OSPF-Implementierungen kennen üblicherweise einen "passive" Befehl, um OSPF auf einem Interface zu deaktivieren: https://www.safaribooksonline.com/library/view/cisco-ios-cookbook/0596527225/ch08s14.html Man kann auch "passive" als Standard verwenden und OSPF je Interface aktivieren - Bsp. bei Cisco/Zebra/Quagga: router ospf passive-interface default no passive-interface derp1 no passive-interface mylittlevlan10interface ... redistribute connected Zitieren
Eleu Geschrieben 14. Dezember 2016 Autor Geschrieben 14. Dezember 2016 vor 43 Minuten schrieb RipperFox: OSPF-Implementierungen kennen üblicherweise einen "passive" Befehl, um OSPF auf einem Interface zu deaktivieren: Hallo RipperFox, das verstehe ich nicht. Was genau meinst du mit Interface? Ein Etagenswitch (Layer 2) mit 24 Ports könnte theoretisch 24 VLAN beinhalten. Dieser Etagenswitch ist mit dem LWL Port (VLAN Trunk) am L3 Switch (Backbone) angeschlossen. Ist dieser Anschluss am L3 Switch mit Interface gemeint? Nehmen wir mal an, auf dem besagten L2 Switch sollen die Subnetze von Port 1 -12 die zum VLAN 10 gehören via OSPF in alle anderen Subnetze und VLAN`s geroutet werden. Die Ports 13 - 16 vom besagtem Switch gehören aber zum VLAN 20 und sollen nicht geroutet werden. Was macht es dann für einen Sinn, OSPF auf dem Interface vom L3 Switch, an dem dieser L2 Switch angeschlossen ist, zu deaktivieren? Ich benötige OSPF ja für die Ports 1 -12. Gruß Eleu Zitieren
Crash2001 Geschrieben 14. Dezember 2016 Geschrieben 14. Dezember 2016 vor 50 Minuten schrieb Eleu: [...]Ein Etagenswitch (Layer 2) mit 24 Ports könnte theoretisch 24 VLAN beinhalten. [...] Wieso nur 24? Könnte auch genauso vermutlich bis zu 2048 vlans gleichzeitig drauf konfiguriert haben. Auch Access-Switche können Trunk-Ports zu anderen Geräten haben. vor 50 Minuten schrieb Eleu: [...]Dieser Etagenswitch ist mit dem LWL Port (VLAN Trunk) am L3 Switch (Backbone) angeschlossen. Ist dieser Anschluss am L3 Switch mit Interface gemeint? [...] Interface kann sowohl ein physikalisches, als auch ein vlan-Interface sein. vor 50 Minuten schrieb Eleu: Nehmen wir mal an, auf dem besagten L2 Switch sollen die Subnetze von Port 1 -12 die zum VLAN 10 gehören via OSPF in alle anderen Subnetze und VLAN`s geroutet werden. Die Ports 13 - 16 vom besagtem Switch gehören aber zum VLAN 20 und sollen nicht geroutet werden. Was macht es dann für einen Sinn, OSPF auf dem Interface vom L3 Switch, an dem dieser L2 Switch angeschlossen ist, zu deaktivieren? Ich benötige OSPF ja für die Ports 1 -12.[...] In dem Falle wäre wohl eher das vlan-Interface gemeint, da auf dem Uplink es nicht deaktiviert werden sollte, wenn man es nutzen will. Zitieren
RipperFox Geschrieben 14. Dezember 2016 Geschrieben 14. Dezember 2016 vor 5 Stunden schrieb Eleu: Was genau meinst du mit Interface? Ein Interface des Routers, an dem eine IP gebunden ist. Zitat Nehmen wir mal an, auf dem besagten L2 Switch sollen die Subnetze von Port 1 -12 die zum VLAN 10 gehören via OSPF in alle anderen Subnetze und VLAN`s geroutet werden. Das Problem: Ein Layer 2 Switch routet schon mal gar nicht - und kann auch kein OSPF. Zitat Die Ports 13 - 16 vom besagtem Switch gehören aber zum VLAN 20 und sollen nicht geroutet werden. Was macht es dann für einen Sinn, OSPF auf dem Interface vom L3 Switch, an dem dieser L2 Switch angeschlossen ist, zu deaktivieren? Ich benötige OSPF ja für die Ports 1 -12. Nein, so wie das bei Dir aussieht brauchst Du mit einem einzigen Router (Dein Layer 3 Switch) ganz sicher kein OSPF. Irgendwas scheinst Du durcheinander zu bringen.. Router routen IP (Layer 3) und können via OSPF Routinginformationen austauschen (welche Netze über welches Interface erreichbar sind) und damit eine Karte des Netzes aufbauen. Das geschieht auf Layer 3. Deine VLANs sind eine Layer 2 Geschichte - da wird geswitcht und nix geroutet. Mit VLANs kann man virtuelle Ethernet/Layer 2 Netze basteln - Ports über Switches gruppieren und so wie eine eigenständige Broadcastdomain aussehen lassen, einem Port mehrere VLANs zuteilen, etc. pp. Wenn Du von VLAN 1 zu VLAN 2 routen willst, benötigst Du in beiden VLANs getrennte IP-Netze und einen Router, welcher in beiden IP-Netzen und VLANs ist (=ein Interface hat). Das kann man mit einem (1) physikalischen Interface (=da kommt der Stecker rein) machen, in dem man auf diesem physikalischen Interface zwei virtuelle LAN-Interfaces (VLAN) anlegt, welche eben auf Ethernetframes mit dem entsprechenden VLAN-Tag reagieren. Diesen gibt man IPs aus den zu routenden Netzen und man kann IP von einem Netz ins andere schaufeln (=routen), vorausgesetzt die IP-Pakete erreichen den Router auch (die IPs der VLAN-Interfaces ist in den Hosts des VLANs jeweils als Default-Gateway eingetragen oder eine Route wurde hinterlegt.). Sieh dir z.B. mal die Grafik über Inter-VLAN Routing an, dann wird das vielleicht klarer: http://www.cisco.com/c/en/us/support/docs/lan-switching/inter-vlan-routing/41860-howto-L3-intervlanrouting.html OSPF wird wirklich erst interessant, wenn man mehrere Router zusammenstecken will und diese automatisch die an den anderen Routern verfügbaren IP-Netze lernen sollen. Wenn ich jetzt völlig daneben liegen sollte: Mach bitte bitte 'ne Grafik, benenne alles, inkl. deiner IP Subnetze in den VLANs und erklär nochmal, was Du genau vorhast Hth, Ripper Zitieren
Eleu Geschrieben 15. Dezember 2016 Autor Geschrieben 15. Dezember 2016 (bearbeitet) vor 11 Stunden schrieb RipperFox: Router routen IP (Layer 3) und können via OSPF Routinginformationen austauschen (welche Netze über welches Interface erreichbar sind) und damit eine Karte des Netzes aufbauen. Das geschieht auf Layer 3. Deine VLANs sind eine Layer 2 Geschichte - da wird geswitcht und nix geroutet. Guten Morgen, das habe ich soweit verstanden. vor 18 Stunden schrieb RipperFox: OSPF-Implementierungen kennen üblicherweise einen "passive" Befehl, um OSPF auf einem Interface zu deaktivieren Diese Aussage von dir, hat mich etwas verwirrt, weil ich gedacht habe, du meinst damit ausschließlich das physikalische Interface des Layer 3 Switches. vor 16 Stunden schrieb Crash2001: In dem Falle wäre wohl eher das vlan-Interface gemeint, da auf dem Uplink es nicht deaktiviert werden sollte, wenn man es nutzen will. Wenn es sich so verhält, wie Crash2001 es hier anführt, passt es nach meinem Verständnis wieder mit meiner Beschreibung zusammen. vor 16 Stunden schrieb Crash2001: Wieso nur 24? Könnte auch genauso vermutlich bis zu 2048 vlans gleichzeitig drauf konfiguriert haben. Auch Access-Switche können Trunk-Ports zu anderen Geräten haben Das hätte ich jetzt nicht gedacht, das dass an den Kupferports der L2 Switche auch noch möglich ist. Ich dachte, dass kann nur der LWL Link zum L3 Switch. Besten Dank nochmal für die Infos. Gruß Eleu Bearbeitet 15. Dezember 2016 von Eleu Nachtrag Zitieren
Eleu Geschrieben 15. Dezember 2016 Autor Geschrieben 15. Dezember 2016 PS: Vllt. eines noch: Ich arbeite nicht direkt in der EDV, interessiere mich aber für die Thematik, da diese in meinem Fachbereich immer mehr angewendet wird. Ich kann mir in der Praxis bzgl. L3 - Switches leider nichts ansehen oder probieren. Meine Fragen sind daher theoretischer Natur. Zitieren
Crash2001 Geschrieben 15. Dezember 2016 Geschrieben 15. Dezember 2016 vor 44 Minuten schrieb Eleu: [...]Das hätte ich jetzt nicht gedacht, das dass an den Kupferports der L2 Switche auch noch möglich ist. Ich dachte, dass kann nur der LWL Link zum L3 Switch. [...] Es ist erst einmal egal, ob man vom Switch nun einen Uplink zu einem weiteren L2-Switch, oder zu einem L3-Switch macht. Auch Kupferports können Uplinks sein. Es ist einzig von der Konfiguration abhängig, ob ein Port als Access-Port (ein vlan, nach außen kein Tagging, intern einem vlan zugeordnet), oder als Trunk Port (viele vlans, durch Tagging der Pakete (dot1q) einem vlan zugeordnet) läuft. Oftmals werden LWL Links als Uplinks genutzt, da sie eine höhere maximale Reichweite erlauben und zudem oftmals schnellere Übertragungen darüber möglich sind. Beispiel: Ein Kupferkabel darf maximal 115m lang sein, bevor wieder eine aktive Komponente kommen muss. Sonst kann aufgrund Dämpfung, Reflexion, Laufzeit oder was auch immer nicht mehr sichergestellt werden, dass das Signal weiterhin richtig interpretiert wird und es kann zu Übertragungsfehlern kommen. Über Kupferkabel sind maximale Übertragungsraten von 10GBit/s möglich - dies jedoch nur auf kurzen Strecken. Auf 100m somit vermutlich wieder nur 1GBit/s. Bei LWL gibt es verschiedene Spezifikationen für verschiedene Anforderungen. So sind Übertragungsentfernungen von mehreren km problemlos möglich mit den richtigen Kabeln und SFPs. Zudem sind Geschwindigkeiten bis 10GB GBit/s auch mit aktueller Standardhardware möglich - und das auch auf größere Entfernungen. Eleu reagierte darauf 1 Zitieren
RipperFox Geschrieben 15. Dezember 2016 Geschrieben 15. Dezember 2016 @Eleu Wenn du Dir verschiedene Ding mal "aufbauen" willst - Zum Testen von Konfigurationen braucht man heute nicht mehr unbedingt ein kleines Lab mit relativ teurer Hardware, man kann auch rein virtuell ein Netzwerk aufbauen: Von Cisco gibt es die z.B. kostenlose Trainingssoftware Packet Tracer - damit lassen sich virtuelle Cisco Geräte miteinander verkoppeln. Gibt es hier: https://www.netacad.com/about-networking-academy/packet-tracer/ Alternativen gibt es auch von den anderen Ausrüstern wie HP, Juniper, etc. oder aus anderen Projekten wie z.B. https://www.gns3.com/ Der Umgang mit OSPF lässt sich auch mit Linux/*BSD-Maschinen in VMs üben. Software wäre z.B. quagga oder das etwas weniger Cisco-lastige, etwas modernere BIRD (http://bird.network.cz/) Um zu lernen wie das Internet funktioniert (Vernetzung von autonomen Systemen via BGP) kann man sich z.B. das DN42 (https://dn42.net/Home) ansehen und mitmachen. Eleu reagierte darauf 1 Zitieren
Eleu Geschrieben 15. Dezember 2016 Autor Geschrieben 15. Dezember 2016 vor einer Stunde schrieb RipperFox: @Eleu Wenn du Dir verschiedene Ding mal "aufbauen" willst - Zum Testen von Konfigurationen braucht man heute nicht mehr unbedingt ein kleines Lab mit relativ teurer Hardware, man kann auch rein virtuell ein Netzwerk aufbauen: Von Cisco gibt es die z.B. kostenlose Trainingssoftware Packet Tracer - damit lassen sich virtuelle Cisco Geräte miteinander verkoppeln. Gibt es hier: https://www.netacad.com/about-networking-academy/packet-tracer/ Alternativen gibt es auch von den anderen Ausrüstern wie HP, Juniper, etc. oder aus anderen Projekten wie z.B. https://www.gns3.com/ Der Umgang mit OSPF lässt sich auch mit Linux/*BSD-Maschinen in VMs üben. Software wäre z.B. quagga oder das etwas weniger Cisco-lastige, etwas modernere BIRD (http://bird.network.cz/) Um zu lernen wie das Internet funktioniert (Vernetzung von autonomen Systemen via BGP) kann man sich z.B. das DN42 (https://dn42.net/Home) ansehen und mitmachen. Hallo, hab mir den Paket Tracer runtergeladen und er läuft auch auf einem W2k3 Betriebssystem. Hab schon mal ein kleines Netzwerk mit ein paar Rechnern, 2 Switchen und einem Router projektiert. Super Sache. :-) Ich muss mich da erst mal einarbeiten. PC2 kann sich in der Simulation nicht selbst anpingen? Gibt es auch eine Anleitung in Deutsch? Vielen Dank für die nützlichen Tipps Gruß Eleu Zitieren
Eleu Geschrieben 15. Dezember 2016 Autor Geschrieben 15. Dezember 2016 (bearbeitet) Funktioniert jetzt.... Bearbeitet 15. Dezember 2016 von Eleu Zitieren
Wuwu Geschrieben 16. Dezember 2016 Geschrieben 16. Dezember 2016 Wenn Du Englisch nicht als absolut Huerde hast kann ich Dir auch sehr die dcloud ans Herz legen dcloud.cisco.com Eleu reagierte darauf 1 Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.