Managed Switch an Untagged Switch-Port anschließen

[Gast tamerlino]

Hallo zusammen,

normalerweise lese ich immer nur die Antworten in diesem Forum zu anderen Fragen durch. Leider habe ich auf meine Frage nirgends einen passenden Beitrag gefunden.

Kurz zur Info: Ich befinde mich momentan noch in der Ausbildung zum FIFS, von daher entschuldigt bitte, sofern ich etwas ungenau evtl. sogar falsch wiedergebe.

Zur Ausgangssituation. Wir vermieten momentan in unserem Unternehmen Büroflächen an einen Untermieter. Da diese Vermietung nur kurzfristig ist, stellen wir dem Mieter auch unseren Internetzugang bereit. Dazu haben wir ein eigenes VLAN inkl. Netzwerkbereich eingerichtet. Diese Einstellung haben wir an unserer FW-vorgenommen. Nun geht es von der FW per tagged-Port (wo auch unsere VLANs tagged sind) auf unserem Hauptswitch im Serverraum. Von dort geht es per tagged Port (vom Hauptswitch Serverraum) auf einen eigens gestellten Switch (zur Vereinfachung Switch-1 genannt) im Nebengebäude per LWL. Am Switch-1 ist dann der LWL-Port tagged. Die einzelnen Ports für unseren Untermieter,  bzw. deren PCs sind dann auf deren einzelnes VLAN untagged. Das ist ja auch ein ganz legities vorgehen, da der Mieter keinen Zugriff auf den Switch hat und somit nicht eigenständig die Port-Assignments ändern kann.

Jetzt möchte der Mieter selber einen managebaren Switch (zur Vereinfachung Switch-2) bereitstellen in einem weiteren angemieteten Gebäude. 
Hier würde die Verkabelung vom Hauptswitch im Serverraum per LWL zum Switch-2 im Nebengebäude erfolgen.
Folgende Idee meinerseits: Man könnte doch den Port am Hauptswitch im Serverraum, für deren eigenes VLAN untaggen.
Einen unmanaged Switch ohne VLANs könnte man doch jetzt einfach per LWL an den Port am Hauptswitch anschließen und alle wären im gleichen VLAN oder?
Wie sieht dies bei einem mangebaren Switch mit VLAN Funktionalität aus. Hier wären ja standardmäßig alle Ports mit dem default VLAN getagged. Gibt dies ein Problem?

Ich hoffe ich konnte mein Anliegen einigermaßen gut und verständlich erklären. Mein Ausbilder sagte am Anfang, meine Idee würde nicht zum Erfolg führen, war sich zum Schluss aber selber unsicher und ich sollte mich selber mit dem Thema auseinandersetzen. Wie oben schon geschrieben, bitte entschuldigt wenn ich etwas ungenau erklärt habe. Bitte einfach Nachfragen, ich versuche alles bestmöglichst aus meinem Stand zu erklären.

Viele Grüße
tamerlino

 

[eneR]

vor 5 Minuten schrieb Gast tamerlino:

FIFS

FISI?

vor 6 Minuten schrieb Gast tamerlino:

Folgende Idee meinerseits: Man könnte doch den Port am Hauptswitch im Serverraum, für deren eigenes VLAN untaggen.

Gute Idee.

vor 6 Minuten schrieb Gast tamerlino:

Einen unmanaged Switch ohne VLANs könnte man doch jetzt einfach per LWL an den Port am Hauptswitch anschließen und alle wären im gleichen VLAN oder?

Korrekt.

vor 6 Minuten schrieb Gast tamerlino:

Wie sieht dies bei einem mangebaren Switch mit VLAN Funktionalität aus. Hier wären ja standardmäßig alle Ports mit dem default VLAN getagged.

Falsch. Die Ports sind einem default VLAN zugeordnet, ja. Aber das bedeutet nicht das diese tagged sind.
Tagged bedeutet dass Frames ein VLAN Tag mitbekommen, um das jeweiligen Frame einem VLAN zuzuordnen. Die Ports an deinem Switch, Besonderheiten verschiedener Hersteller mal ausgeklammert, sind normal untagged. 

Zusammengefasst, Downlinks zu den Switchen eures Untermieter als untagged konfigurieren. Uplinks der Untermieter-Switche zu eurem Core ebenfalls untagged.

Nebenbei, bei mir würde es so ein spöckes nicht geben, dass ein Untermieter meines Büros teile meiner Netzwerkinfrastruktur nutzt und dann zusätzlich auch noch mit eigenem Managed Switchen dranhängt. Das ganze wird dann noch gekrönt dass diesem „mein“ Internetzugang zur Verfügung gestellt wird. Ich hoffe ihr habt das organisatorisch und rechtlich durchdacht.

 

[Gast tamerlino]

vor 19 Minuten schrieb eneR:

FISI?

Ja, Fachinformatiker Systemintegration. Einer unserer Fachlehrer legt viel Wert auf die Abkürzung FIFS für Fachinformatiker Fachrichtung Systemintegration, dass hat sich bei mir jetzt auch irgendwie so durchgeschlichen.

vor 19 Minuten schrieb eneR:

Falsch. Die Ports sind einem default VLAN zugeordnet, ja. Aber das bedeutet nicht das diese tagged sind.
Tagged bedeutet dass Frames ein VLAN Tag mitbekommen, um das jeweiligen Frame einem VLAN zuzuordnen. Die Ports an deinem Switch, Besonderheiten verschiedener Hersteller mal ausgeklammert, sind normal untagged. 

Zusammengefasst, Downlinks zu den Switchen eures Untermieter als untagged konfigurieren. Uplinks der Untermieter-Switche zu eurem Core ebenfalls untagged.

Danke dir für die Richtigstellung. Ich würde gerne noch einmal kurz zusammenfassen. Also den Port am Hauptswitch im Serverraum würden wir dann auf deren VLAN (Beispielsweiße VLAN-ID:20) untaggen. Jetzt geht es per LWL in das Nebengebäude und dort schließen die Ihren Managed-Switch an (Beispielsweiße an Port A01). Ab hier ergibt sich für mich noch einmal folgende Frage. Müssen die dort ihr eigenes VLAN, also VLAN-ID:20 noch anlegen und damit Port A01 und deren Ports für die PCs untaggen oder reicht es wenn das default-VLAN auf allen Ports an deren Switch untagged ist?

vor 28 Minuten schrieb eneR:

Nebenbei, bei mir würde es so ein spöckes nicht geben, dass ein Untermieter meines Büros teile meiner Netzwerkinfrastruktur nutzt und dann zusätzlich auch noch mit eigenem Managed Switchen dranhängt. Das ganze wird dann noch gekrönt dass diesem „mein“ Internetzugang zur Verfügung gestellt wird. Ich hoffe ihr habt das organisatorisch und rechtlich durchdacht.

Ja, es ist sehr ungewöhnlich, dort stimme ich dir absolut zu. Es gibt viele Faktoren, wie es zu dieser Entscheidung gekommen ist, daran war ich als Auszubildender nicht beteiligt.

 

@eneR Ich danke dir auf jeden Fall für deine ausführliche Antwort oben und das du auch am Wochenende sofort geantwortet hast Dadurch ist für mich schon einmal einiges klarer geworden. 

Ich würde mich sehr freuen, wenn du mir die Frage in diesem Beitrag auch noch beantworten könntest. Dann hätte ich eine sehr stabile Grundlage, mit dieser ich dann zu meinem Ausbilder gehen kann.

[eneR]

vor 2 Stunden schrieb Gast tamerlino:

Also den Port am Hauptswitch im Serverraum würden wir dann auf deren VLAN (Beispielsweiße VLAN-ID:20) untaggen.

Korrekt. Wobei untaggen so lala klingt, auch wenn du das richtige meinst. Nennen wir es untagged-Port oder besser noch Access-Port mit VLAN 20. 

vor 2 Stunden schrieb Gast tamerlino:

Müssen die dort ihr eigenes VLAN, also VLAN-ID:20 noch anlegen und damit Port A01 und deren Ports für die PCs untaggen oder reicht es wenn das default-VLAN auf allen Ports an deren Switch untagged ist?

Technisch müssen die das nicht wobei das dann für die Doku eklig wird, schlechter Stil ist, unschön zu Troubleshooten und demnach nicht deinem zukünftigem Anspruch genügt. :p

Und warum müssen die das nicht? Wenn du Interface untagged in ein VLAN konfigurierst, dann gilt das nur lokal auf dem jeweiligen Switch. Kommen Frames auf diesem Interface herein weiß der Switch dass diese zu dem entsprechend konfigurierten VLAN gehören. Gehen andersherum Frames auf dem Interface heraus, sind diese ja wie von dir gewünscht untagged. Den Daten wird also kein Tag mitgegeben zu welchem VLAN diese jeweils gehören. Wenn diese Daten dann bei eurem Untermieter am Switch ankommen kann deren Switch also gar nicht erkennen ob diese aus VLAN 5, 20 oder 666 kommen. Demnach könnte der Untermieter auf seinem Switch auch einen Access-Port mit einer von euch abweichenden VLAN-ID nutzen. 

[Gast tamerlino]

@eneR Vielen Dank für deine erneut sehr umfangreiche Antwort  

vor 1 Stunde schrieb eneR:

Technisch müssen die das nicht wobei das dann für die Doku eklig wird, schlechter Stil ist, unschön zu Troubleshooten und demnach nicht deinem zukünftigem Anspruch genügt. 😛

Und warum müssen die das nicht? Wenn du Interface untagged in ein VLAN konfigurierst, dann gilt das nur lokal auf dem jeweiligen Switch. Kommen Frames auf diesem Interface herein weiß der Switch dass diese zu dem entsprechend konfigurierten VLAN gehören. Gehen andersherum Frames auf dem Interface heraus, sind diese ja wie von dir gewünscht untagged. Den Daten wird also kein Tag mitgegeben zu welchem VLAN diese jeweils gehören. Wenn diese Daten dann bei eurem Untermieter am Switch ankommen kann deren Switch also gar nicht erkennen ob diese aus VLAN 5, 20 oder 666 kommen. Demnach könnte der Untermieter auf seinem Switch auch einen Access-Port mit einer von euch abweichenden VLAN-ID nutzen. 

Technisch wäre es also Möglich aber definitiv nicht Best-Practise. Ich werde das genau so einmal mitnehmen und berücksichtigen.

vor 1 Stunde schrieb eneR:

Korrekt. Wobei untaggen so lala klingt, auch wenn du das richtige meinst. Nennen wir es untagged-Port oder besser noch Access-Port mit VLAN 20. 

Danke dir für den Hinweis. Ich werde diese Begriffe bei meinem nächsten Beitrag verwenden, damit es sich nicht mehr so schwammig anhört. 

[FBDIMM]

Als wichtig sehe ich noch QoS an als auch eine eigene MSTP Instanz für das entsprechende VLAN. Man muss immer davon ausgehen dass Fremde immer böse sind. Du willst ja nicht dass deine Topologie immer neu converged weil die irgendwelche Switche an ihr VLAN 20 klatschen (Deswegen einzelne MST Instanz für VLAN 20). Weiterhin QoS damit euer Traffic im Falle einer Congestion bevorzugt wird, und die nicht eure Bandbreite voll ausnutzen können, und ihr dann nichts mehr davon habt.

Am besten am Switch ihren Traffic mit DSCP AF11 taggen, und dann WRED auf dem Router nutzen. Am besten noch ein VRF konfigurieren was ja möglich sein sollte bei Cisco, als auch OpenWrt und vielen anderen. Andernfalls ist das Konzept Katastrophe.

Bearbeitet 21. März 2021 von FBDIMM

[eneR]

vor 2 Stunden schrieb FBDIMM:

Man muss immer davon ausgehen dass Fremde immer böse sind.

Dann dürfte man das so wie hier eh nicht aufbauen bzw. ich würde es so nicht bauen.. dürfen ist ja so eine Sache.

[Crash2001]

Am 3/20/2021 um 2:32 PM schrieb eneR:

[...] Und warum müssen die das nicht? Wenn du Interface untagged in ein VLAN konfigurierst, dann gilt das nur lokal auf dem jeweiligen Switch. Kommen Frames auf diesem Interface herein weiß der Switch dass diese zu dem entsprechend konfigurierten VLAN gehören. Gehen andersherum Frames auf dem Interface heraus, sind diese ja wie von dir gewünscht untagged. Den Daten wird also kein Tag mitgegeben zu welchem VLAN diese jeweils gehören. Wenn diese Daten dann bei eurem Untermieter am Switch ankommen kann deren Switch also gar nicht erkennen ob diese aus VLAN 5, 20 oder 666 kommen. Demnach könnte der Untermieter auf seinem Switch auch einen Access-Port mit einer von euch abweichenden VLAN-ID nutzen. 

Ist nicht so ganz richtig. Ist CDP oder LLDP aktiviert auf dem Port, dann sieht man durchaus ein native vlan mismatch auf dem Switch und es wird angezeigt, welches das richtige vlan wäre. 
Möglich ist es aber natürlich schon, auf dem einen Switch vlan 2 zu nehmen und auf dem anderen vlan 3. Ist halt unschön.

Ob nun als Trunk- oder Access-Port ist eigentlich Jacke wie Hose. Muss halt auf beiden Seiten entsprechend konfiguriert werden.

Ich persönlich würde da aber noch eine Firewall zwischensetzen, damit über euren Anschluss kein Schindluder getrieben wird. 

[eneR]

vor 19 Minuten schrieb Crash2001:

Ist nicht so ganz richtig.

Was genau ist nicht ganz richtig?

vor 20 Minuten schrieb Crash2001:

dann sieht man durchaus ein native vlan mismatch auf dem Switch und es wird angezeigt, welches das richtige vlan wäre. 

Joar, korrekt. Aber die Frage war ja ob die andere Seite die gleiche VLAN-ID nehmen müsste oder nicht. Und die Antwort war dass sie es nicht "müssten, aber..".

vor 22 Minuten schrieb Crash2001:

Ob nun als Trunk- oder Access-Port ist eigentlich Jacke wie Hose.

Was genau ist hier Jacke wie Hose?

Zwei Switche, an jedem mindestens ein Client. Switch(A) sind alle Ports in VLAN 2, Switch(B) in VLAN 3. Der Interconnect der Switche ist über Access-Ports realisiert. -> Die beiden Clients können miteinander kommunizieren, ja, auch wenn es unschöne Log-Meldungen gibt. Das man das so nicht macht sollte wohl klar sein.

Wenn die Interconnects als Trunk konfiguriert sind, funktioniert der Spaß offensichtlich nicht. Demnach für mich an der Stelle auch kein Jacke wie Hose.

[Crash2001]

vor 17 Stunden schrieb eneR:

[...]Was genau ist hier Jacke wie Hose?[...]

Ob man nun eine Übergabe als Accessport oder als Trunkport macht. Es muss halt auf der Gegenseite dann entsprechend angepasst werden.

vor 17 Stunden schrieb eneR:

Zwei Switche, an jedem mindestens ein Client. Switch(A) sind alle Ports in VLAN 2, Switch(B) in VLAN 3. Der Interconnect der Switche ist über Access-Ports realisiert. -> Die beiden Clients können miteinander kommunizieren, ja, auch wenn es unschöne Log-Meldungen gibt. Das man das so nicht macht sollte wohl klar sein.

Wenn die Interconnects als Trunk konfiguriert sind, funktioniert der Spaß offensichtlich nicht. Demnach für mich an der Stelle auch kein Jacke wie Hose.

Also mittels "vlan translation" ist es durchaus auch mit einem Trunk möglich, vlan 2 auf Switch A mit vlan 3 auf Switch B zu verbinden... und dann bekommt man sogar keine vlan mismatch Meldungen. Macht aber im Normalfall keinen Sinn so etwas zu nutzen, wenn das andere vlan frei ist auf der Gegenseite.

Generell gilt halt, dass man vlans einheitlich konfigurieren sollte - alleine schon der Übersichtlichkeit halber. Hat man auf Switch A vlan 2 und 3 und auf Switch B auch vlan 2 und 3 und verbindet man nun vlan 2 auf Switch A mit vlan 3 auf Switch B, führt das nur zu Komplikationen, wenn dann mal was nicht geht und man (vor allem mit jemandem anderen zusammen) debuggen will.

[eneR]

vor 24 Minuten schrieb Crash2001:

Also mittels "vlan translation" ist es durchaus auch mit einem Trunk möglich,

Ja gut, stimmt, es gibt immer einen Weg. Ist in diesem Fall wohl eher nicht angebracht.

vor 25 Minuten schrieb Crash2001:

Ob man nun eine Übergabe als Accessport oder als Trunkport macht. Es muss halt auf der Gegenseite dann entsprechend angepasst werden.

Kannst du das genauer erläutern, wie das im in diesem konkreten Fall mittels Trunkport und ohne Translationen funktionieren soll? Vielleicht stehe ich ja auf dem Schlauch und kann hier noch etwas lernen.

vor 28 Minuten schrieb Crash2001:

Generell gilt halt, dass man vlans einheitlich konfigurieren sollte - alleine schon der Übersichtlichkeit halber.

Joar, soweit waren wir schon.

[Crash2001]

vor 19 Minuten schrieb eneR:

[...] Kannst du das genauer erläutern, wie das im in diesem konkreten Fall mittels Trunkport und ohne Translationen funktionieren soll? Vielleicht stehe ich ja auf dem Schlauch und kann hier noch etwas lernen. [...]

Einfach die gleichen vlans auf beiden Seiten des Trunks nutzen?

Ansonsten hat man statt einer L2-Verbindung aber auch noch die Möglichkeit, die beiden vlans per L3-Transfernetz zu verbinden. Hätte gleich mehrere Vorteile, falls (zumindest statisches) Routing vom Switch unterstützt wird.
Die Collision Domain wird separiert in zwei Collision Domains, Spanning-Tree macht keine Probleme und man hat auch keine Probleme mit unterschiedlichen vlan Nummern. Dann kann der andere dahinter L2-seitig eigentlich machen, was er will, ohne dass man Probleme im eigenen Netz bekommt. 

[eneR]

vor 40 Minuten schrieb Crash2001:

Einfach die gleichen vlans auf beiden Seiten des Trunks nutzen?

Offensichtlich. Aber das war ja nicht Kern der Frage des Threadersteller. Es ging ja eher darum das da grundsätzlich Schmu im Netzwerk betrieben wird, im Sinne von einem fremden Untermieter der unmanaged und managed Switche ins Netzwerk einbringen will. Und daraus entstand die Frage ob dieser Kunde seine VLAN-ID zwingend der des Vermieters anpassen muss. Dass das Vorgehen so oder so lala ist haben wir ja auch zu genügend erwähnt..

Das Spiel könnte man jetzt ewig weiter treiben und schreiben wie man es macht und nicht und welchen Workaround es hier und dort gibt. Und ja, L2 und L3 und dann kann man aber auch sagen das z.B CDP zu fremden Switchen gar nicht betrieben werden sollte womit sich auch die VLAN mismatch Meldungen auch wieder erledigt hätten, usw... aber das würde hier in diesem Thread für dieses Problem einfach zweit gehen, im Sinne von Kanonen auf Spatzen, meiner Meinung nach.
 

Aber egal, der „Gast“ hat seine Antwort und wird wahrscheinlich eh nicht mehr hier aufkreuzen. 

[Crash2001]

Als Betreiber würde ich es einfach vorgeben, was ich liefere und wenn man das nutzen will, hat man sich halt an die Vorgaben zu halten. Da würde ich gar nicht weiter rum diskutieren.
Entweder ich stelle die Hardware zur Verfügung, an die die Clients dran kommen, oder ich stelle einen L3-Link zur Verfügung, an den die eigene Hardware dann angeschlossen werden kann.