Frage zu VLAN Routing mit Procurve Geräte

[pastors 10]

Hallo,

ist zwar kein Cisco Thema aber vielleicht weiß trotzdem jemand genaueres drüber.

Also, habe mehrere HP 5406zl Geräte. Dies sind alles Layer-3 Geräte. Aufgrund der örtlichen Gegenheiten ist der Aufbau der Geräte als Stern vorgesehen. Ein Gerät ist der zentrale Router und die anderen sind quasi die Zubringer.

Für die Trennung der Netze sind auf allen Switchen VLANs eingetragen. Der zentrale Router hat alle VLANs und die Edge nur die VLANs, die notwendig sind. Auf dem Router hat jedes VLAN auch eine IP Adresse. Bei allen Edge Geräte hat nur das Management der EDV Abteilung eine IP Adresse.

Nun habe ich das Problem, dass ich von meinem PC nicht auf einen Edge Switch über die IP direkt komme. Ich muss immer zuerst über den zentralen Router gehen und anschließend über SSH auf den Edge schalten. Für die Uplinks sind alle notwendigen VLANs getagged.

Muss dazu sagen, mein PC befindet sich nicht in dem Management VLAN.

 

 

Weiß jemand wieso das nicht funktioniert?

[Windowsbetatest 10]

Hallo,

 

 

hast du den eine Route ins Managemant Netz oder wird es (sinnvollerweise) durch eine ACL geschüzt? Sonst könnte ja jeder Nutzer auf die Management IP der Switche.

 

mfg

[pastors 10]

Hallo,

momentan sind keine ACLs gesetzt. Was ich halt nicht verstehe, muss auf jedem Edge Switch zusätlich noch eine Route zum Router gesetzt werden? Kann doch eigentlich nicht sein da das Management VLAN überall im gleichen Subnetz liegt und ich über den Router hinkomme.

 

Beispiel: Mein Rechner ist im VLAN 50, das Management VLAN auf den Router hat die ID 100 mit der IP: 192.168.10.1. Ein Edge Switch hat im Management VLAN die 192.168.10.10.

Ein Ping von meinem Rechner auf 192.168.10.1 funktioniert. Der Ping auf die 192.168.10.10 funktioniert nicht.

[Zoni 10]

Hallo,

haben die Switches mehrere IP-Adressen?

Wenn ja, ist denn der Router in dem Fall auch als Gateway auf der 192.168.10.10 eingetragen?

Gruß

Zoni

[Windowsbetatest 10]

Hallo,

 

da dein Host nicht im Management VLAN ist, benötigen die Switche eine Route in dein Netz. Alternativ eine Dafaultroute, dies könnte aber ohne ACLs sicherheitstechnisch ein Problem sein.

 

So wie ich das shee, kommt das Paket am Edge-Switch an. Dieser kann aber nicht antworten, da er nicht weiß, wie er dich erreichen kann.

 

mfg

[pastors 10]

Hallo,

reicht es in diesem Fall eine ACL auf dem Router zu setzen oder muss auf jedem Edge Switch auch eine ACL gesetzt werden?

[Windowsbetatest 10]

Ohne das Netzwerk und die genauen Anforderungen zu kennen, schwer zu sagen. Aber normalerwiese sollten ACLs auf dem "Router" reichen.

 

mfg

[pastors 10]

Hallo,

langsam bin ich ganz verwirrt. Mit den ACLs regle ich doch nur den Zugriff aber nicht das routen.

Auf dem Router ist das "ip routing" aktiv. Das bedeutet, auf den VLANs mit IP Adresse wird automatisch geroutet insofern keine ACL vorhanden ist.

Mein Router sieht so aus:

default_vlan: 1 - keine IP

Clients: 111 ->192.168.111.0/24 mit IP: 192.168.111.1

server: 112 -> 192.168.112.0/24 mit IP: 192.168.112.1

management: 100 -> 192.168.10.0/24 mit IP: 192.168.10.1

service: 50 -> 192.168.20.0/24 mit IP: 192.168.20.1

 

Ein Edge Switch:

default_vlan - keine IP

management: -> 192.168.10.10

service: -> keine IP

 

Mein PC ist im VLAN Service mit der IP 192.168.20.166 untagged auf dem Router. Der Uplink zwischen Router und Edge sind die VLANs getagged. Also die drei auf dem Edge und dem Router. Die restlichen vom Router stehen auf "No", sind hierfür auch nicht notwendig.

Wenn ich nun von meinem PC einen Ping auf die 192.168.10.10, dem Edge Switch mache, funktioniert dies nicht. Verläuft der Ping nicht: Mein PC -> Router -> Edge -> Router -> Mein PC?

Ping vom Router auf Edge funktioniert.

 

Ein angeschlossenes Gerät am Edge bezieht vom Router (ist auch DHCP) problemlos eine IP. Hier scheint das VLAN Routing zu funktionieren. Alles klappt auch hier der Zugriff auf das Management VLAN nicht.

 

Werde noch ganz kirre weil ich eigentlich dachte ich hätte das mit den VLANs endlich kapiert. :(

[Zoni 10]

Wenn ich nun von meinem PC einen Ping auf die 192.168.10.10, dem Edge Switch mache, funktioniert dies nicht. Verläuft der Ping nicht: Mein PC -> Router -> Edge -> Router -> Mein PC?

Ping vom Router auf Edge funktioniert.

Hallo,

 

der Ping verläuft schon so wie von Dir beschrieben,

aber nur unter der Vorraussetzung dass der Edge Switch die IP vom Router

(192.168.10.1) als Gateway eingetragen hat.

Momentan verläuft der Ping:

Dein PC -> Router -> Edge -> Edge hat keine Ahnung was es mit dem Paket von 192.168.20.166 anfangen soll, da das Ping-Paket nicht aus dem Subnetz von Edge kommt und Edge kein Gateway eingetragen hat, wo es unbekannte Pakete hinleiten kann. Also verwirft Edge das Ping-Paket.

Oder als andere Variante:

Du gibts dem Edge auch im Service-Vlan eine IP-Adresse (z.B. 192.168.20.10).

Wenn Du dann auf die IP 192.168.20.10 pingst, wirst Du auch über den Router hinweg eine Antwort vom Edge bekommen.

Werde noch ganz kirre weil ich eigentlich dachte ich hätte das mit den VLANs endlich kapiert

edit: Hier stand Mist.

Hier gibt's noch einen Artikel von Dell, der sich mit Vlan-Routing beschäftigt.

http://www.dell.com/downloads/global/products/pwcnt/en/app_note_38.pdf

Gruß

Zoni

[pastors 10]

Hallo,

danke Zoni, hattest Recht. Mit einer Rückroute funktioniert alles wie gewünscht :)