es ist keine existenzbedrohende Angelegenheit, aber ich stehe anscheinend vor einer Mauer, schaue nicht durch und komme nicht drüber.
Aus einem hier gegebenen Anlass habe ich mir mal einen ProCurve 1700-24 - einen L2 - vorgenommen und mich an der Konfiguration von VLANs gemacht.
Ein einzelnes VLAN zu erstellen ist ja einfach, VLAN 2 hinzufügen, die gewünschenten Ports abhaken, apply, dann noch die Ports in VLAN 1 entfernen. Ich habe die Ports 10, 12, 14, 16 und 24 gewählt, Port 24 als Anschluss an das LAN zum Inetrouter.
Ein zweites VLAN mit den Ports 2, 4, 6, 8 und 24 wurde gebildet, nur, die Ports bekommen anscheined keine Verbindung über Anschluss 24 mit dem Inetrouter.
Ich meine es so gelesen zu haben, ein Port kann mehreren VLANs angehören, es sind sozusagen Schnittmengen bildbar, Überlappungen herstellbar.
Wo liegt mein Gedankenfehler, was mache ich falsch. Ich habe es mit dem Taggen versucht, schaue da aber bisher nicht durch. Wie wird das mit dem Taggen gemacht?
ein Access Port (zum Anschluss von Servern/PCs) kann nur zu einem VLAN gehören. Die Ports heißen bei HP untagged. Daher kein 802.1Q.
Ein Tagged Port (bei Cisco Trunk genannt) kann den Traffic von mehreren VLANs weiterleiten, aber nur ein VLAN ist untagged (Normaler Ethernet Frame). Die anderen VLANs werden getaggt (802.1Q) übertragen.
(Die 1700er kenne ich nicht, ich fange ab 2510er an. )
AFAIK haben die keine CLI, wenn doch, kannst du die config mal posten?
Spielerreien, wie Private VLANs lasse ich erstmal außen vor.
Der "normale" weg wäre.
- VLAN 1 für die erste Portgruppe (z.B. 1-10) als untagged
- VLAN 2 für die zweite Portgruppe (z.B. 11-20) als untagged
- Port 24 wird ein tagged Port, der VLAN 2 tagged und VLAN1 untagged überträgt.
Der Router benötigt dann ein passende config.
Wenn zwischen zwei VLANs Traffic laufen soll, muss entweder geroutet werden, oder mit einem Kabel eine VLAN-Brücke gebaut werden, dies könnte sehr schnell ein L2-Loop werden, also äußerste Vorsicht.
Es lassen sich per Konfiguration Schnittmengen - Port 24 in VLAN 2 und 3- bilden, das wird dann auch in den Systeminformationen richtig angezeigt, nur es funktioniert nicht, es kann anscheinend nur ein VLAN über den (Acess)Port 24 auf den Rest des Netzes zugreifen, zum Server, zum Internetrouter.
Sehr wahrscheinlich geht der eine verfolgte (experimentelle) Gedanke sowieso am Sinn von VLAN vorbei - L2-VLAN ist ja schliessliche keine Firewall - , der Gedanke war ja, baue auf einem Switch ein VLAN für eine Grppe besonderer Rechner zu dessen Schutz. Nur, wenn das VLAN dann einfach mit Proletennetz verbinden wird für den Zugriff auf den Server und den Inerrouter, dann ist ein VLAN doch sinnlos. Solch ein VLAN müsste doch doch dann mit einer Firewall geschützt werden.
Und falls es gelänge zwei VLANS eines Switches miteinander zu verbinden - wie auch immer - , dann könnte man doch gleich alle Rechner in ein (V)LAN stecken und gut wäre es.
.....- VLAN 1 für die erste Portgruppe (z.B. 1-10) als untagged
- VLAN 2 für die zweite Portgruppe (z.B. 11-20) als untagged
- Port 24 wird ein tagged Port, der VLAN 2 tagged und VLAN1 untagged überträgt.....
Wie wird dann die Verbindung der Portgruppen zum Port 24 hergestellt? Muss Port 24 dazu Member beider Gruppen sein?
Ein Menü Trunk gibt es auch, Ports können zu Member eines Trunk konfiguriert werden.
Die Ports 23,24 können zu einem Trunk konfiguriert werden, scheinen ein Sonderfall zu sein, beide aber nicht mit einem anderen Port, die anderen können anscheinend beliebig zu einem Trunk konfiguriert werden.
Ein CLI gibt es leider nicht am 1700, Telnet geht dem Anschein nach nicht, es kann keine Verbindung hergestellt werden mit TCP Port 23, es gibt im GUI auch keine Option für Telnet.
unter Trunks gibt es LACP, Trunks scheint aber nicht das von mir Benötigte zu sein. Aus er Hilfe dafür:
Working with Trunks
You can create multiple links between devices that work as one virtual, aggregate link. A port trunk offers a dramatic increase in bandwidth for network segments where bottlenecks exist, as well as providing a fault-tolerant link between two devices.
Im Setup (802.1Q VLAN Group) werden VLAN erstellt, gelöscht, die Zugehörigkeit von Ports zum VLAN geändert per Checkbox. VLAN 1 ist default, alle Ports sind da drinnen.
Unter Config (802.1Q per Port Configuration) gibt es
- VLAN aware Enabled (Haken gesetzt)
- Ingress Filtering Enabled (Haken nicht gesetzt)
- Packet Typ ALL or Tagged only (ALL)
- PVID (Zur Auswahl None, Nummer des aktuellem VLANS, Auswahlmöglichkeit bei Zugehörigkeit zu mehreren VLANs)
Zitat von Windowsbetatest
Du müsstest ein tagged Interface zum Router haben.
Per Default gehören alle Ports zu VLAN 1, Port 24 ist verbunden mit dem Proleten-LAN, Server, Router, wird 24 dann auf tagged gestellt, gibt es keine Verbindung mehr, der DHCP nicht mehr erreichbar.
