Jump to content

Switch Probleme mit VLAN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Zusammen

 

Ich habe in meinem Bastellab einen Zyxel Switch GS-1548 ( low cost) und habe darauf 6 VLANs definiert. Leider werden diese wohl "isoliert" untereinander aber es sieht so aus, dass die Ports nicht zusammenarbeiten wollen so kommen z.bsp. DHCP Requests innerhalb des VLANS nicht an oder die Devices (alles Firewalls oder Server  NICs) sind nicht pingbar und teilweise gehen die Ports auf 100 MB runter (auch wenn ich Serverseitig 1000 GB fix einstelle geht der Port auf "disconnected").

 

Nun meine Frage: Ich kann bei der VLAN konfig noch Tagging oder Untagging konfigurieren ... Leider ist da meine damalige Netzwerktätigkeit schon bald 16 Jahre her :-(. Ich habe einfach die Ports in das richtige VLAN definiert. Aehm muss man da was einstellen ? Der Switch hat keinen "Bruder" im Netz sondern nur Firewall Ports die direkt in das VLAN gesteckt sind. Da sollte mir ja auch VLAN Tagging nichts bringen das wäre ja dafür gedacht, wenn ein mindestens zweiter Switch im Spiel ist ... oder seh ich das falsch ?

 

Oder sieht es so aus, dass dieser Switch eine "Flade" hat (nach 5 Jahren) und ein Ersatz notwendig wird ? (Ich bin eigentlich fast bei dieser Schlussfolgerung angekommen). Firmware ist latest. Nehme ich 6 kleine Repeaterli funktioniert alles wunderbar.

 

Nicht dass ich wegen eigener Dummheit ein Gerät das noch geht entsorge ;-)

 

Grüsse aus CH

 

+mat

Link zu diesem Kommentar

Hallo,

 

ich nehme mal an, es handelt sich um einen L2-Switch. Ist das so richtig? Auf dem Switch sind dann wohl nur portbasierende VLANs einrichbar. Die VLANs selbst bekommen keine Verbindung untereinander. Was Du probieren kannst, ob ein Port mehreren VLANs zuordbar ist ohne Tagging. Falls Tagging erzwungen werden sollte, dann probiert man es eben damit. Falls das Netzwerkinterface des Gerätes VLAN-fähig sein sollte (Erweitert), dann kann man es damit probieren.

 

Tagging wird verwendet i.d.R, bei switchübergreifenden VLANs.

 

Per deafult dürften alle Ports dem VLAN 1 angehören, untagged.

 

Hast Du das Manual gelsen? War das hilfreich? Gibt es im Web eventeuell Beispiele?

 

Was ist dein Ziel bei der Sache?

bearbeitet von lefg
Link zu diesem Kommentar

Hi Zahni und Lefg

 

Ja das ist richtig. Das Routing machen die Firewalls. Jedes VLAN ist an einem Firewall Port und ist ein anderes Permiter (DMZ, Prod, Isolated DMZ etc.). Das funktioniert soweit auch, denn sobald ich den Firewall Port direkt auf die Server NIC verbinide geht's wunderbar. Ist der Switchport dazwischen (z.bsp. Port A Firewall und Port B Server beide in demselben VLAN) ist nicht mal ein Ping möglich (trotz fester IP) und die Karte des Server geht auf 100 runter.

 

Gruss,

+mat

bearbeitet von gysinma1
Link zu diesem Kommentar

 

Ist der Switchport dazwischen (z.bsp. Port A Firewall und Port B Server beide in demselben VLAN) ist nicht mal ein Ping möglich (trotz fester IP) und die Karte des Server geht auf 100 runter.

 

Ich nehme mal an, die Switchports haben die selbe VLAN-ID wie die Interfaces von FW und Server und sind tagged? Oder handelt es sich um nichtgekennzeichnete VLAN?

bearbeitet von lefg
Link zu diesem Kommentar

Es sind beide in demselben VLAN und sind nicht getagged (ich kann beim "Tagging"  Untag und Tag oder auch leer lassen konfigurieren). Ich habe es bei "leer-lassen" belassen. Untag habe ich versucht mit demselben Resultat.

 

Es ist auch nicht zwingend zwischen Firewall und Server Interface sondern auch wenn ich testhalber zwei Server so verbinde. Ich denke deshalb dass es auch nicht am Zusammenspiel FW und Switch liegt. Eher dass der Switch sich am Verabschieden ist. ...

bearbeitet von gysinma1
Link zu diesem Kommentar

Versuche es mal so zu konfigurieren:

 

Ports auf FW und SW (Verbindung Switch und Firewall) Annahme Port 1 zu FW an Port x1.

VLAN 1 (Haupt-VLAN) untagged

VLAN 2 tagged

VLAN 3 tagged

VLAN 4 tagged

VLAN 5 tagged

VLAN 6 tagged

 

Zu den Devices am Besten mit untagged arbeiten. Das musst Du dann auf dem Switch am Port einrichten. Zum Beispiel Port 2 zu Server als untagged.

Wichtig an der Firewall musst du noch den DHCP-Rely für das entsprechende Netz anlegen. Die Netze natürlich auch. Das heißt am Port x1 der FW entsprechene Gateway auch einrichten. Damit sollte das Routing dann auch funktioneren. Sofern man dies auch in der FW so eingestellt hat. Bei machen muss man dies explizit erlauben bzw. verweigern.

 

Ich hoffe das hilft Dir weiter. Ansonsten nochmals fragen.

Link zu diesem Kommentar

Hi da_flo

 

Vielen Dank - Das habe ich alles schon durch leider erfolglos. (Ich habe Untaged zu den Devices und kein Tagging versucht)

 

Routing (sofern man davon reden kann denn zwischen den VLANS ist nur HTTPS erlaubt) geht via den FW Walls wunderbar, denn sobald ich die Geräte direkt auf die FW patche geht das auch. (DHCP Relay benötige ich keinen, da jedes VLAN selbst DHCP Server hat resp. statische IPs hat. Typische DMZs).

 

Wie ich sagte ersetze ich den Switch mit einem Mini Repeater geht's weshalb ich eigentlich eher den  Verdacht habe, dass der Switch das am segnen ist ..  ich möchte mich hier einfach nochmal vergewissern ..

 

lg

+mat

Link zu diesem Kommentar

Mini Repeater das Modell vom Mediamarkt für 19€ mit 4 Ports ...Netgear. Es hat auch ein VLAN von dem ISP da gehen auch die DHCP Requests der WAN Interface nicht durch mit anderen Worten die Firewalls sind alle direkt via sonem Mediamarkt Repeater gepached ....da via Switch keine IP abgerufen wird. Gemäss ISP kommt auch gar kein DHCP Req an.

Link zu diesem Kommentar

So hab mir mal die Dokumentation angesehen. Wenn du die Vlans alle auf untaggend auf das Standard stellst und an den Ports Pvids auch auf das Standard VLan 1 stellst sollte es eigentlich gehen. Sind die Services Bzgl. Dos Attacken aktiviert? wenn das nichts hilft kannst du mal versuchen den SwitCh auf Werkseinstellung zu setzen. Das hat bei mir auch schon geholfen da ich sehr dubiosen Fehler hatte.

Link zu diesem Kommentar

@all

Danke Euch allen. Ich denke das Baby ist put. Ich habe das alles mehr oder weniger schon durch gemacht.

 

@da_flo

Vielen Dank. Die VLANS kann ich nicht verbinden (auf VLAN1) denn das  sind verschiedene DMZ Perimeter. Alle Services sind aus. Factory Reset auch mehrfacht getan. Ich habe soeben auch mal ins SYSlog vom Switch geschaut und da ist alles gerammelt voll Fehler "Failed to open "NVRAM with op=COUNT" (denke ein Problem mit dem Switch Memory).

 

 

Papa gysinma1 hat n neuen ins Budget genommen für den May ... es ist nur meine XXL Spielwiese

 

Gruss aus CH

+mat

Link zu diesem Kommentar

Hallo,

 

ja der Switch hat offenkundig einen Speicherfehler und sollte daher produktiv nicht mehr eingesetzt werden, da zumindest mit Instabilitäten zu rechnen ist.

Dass Deine VLANs nicht funktionieren dürfte aber eher daran liegen, dass Du das Funktions- und Konfigurationsprizip dieses Switches noch nicht durchschaut hast.

Wenn ich Deine Ausführungen richtig verstanden habe, möchtest Du mehrere Securityzonen ("DMZten") auf dem selben Switch abbilden - den großen Switch also virtuell in mehrere kleinere Switche teilen. In den DMZten stehen jeweils einzelne oder mehrere Server, die sich innerhalb der gleichen Sicherheitszone/DMZ durchaus untereinander erreichen können sollen. Zonenübergreifend erfolgt die Kommunikation jedoch über eine Firewall und wird dort entsprechend beregelt. Offenkundig hat diese Firewall auch genügend physische Interfaces, um jeder Sicherheitszone ein dediziertes Interface zuweisen zu können. Soweit richtig?

Dann hier ein Beispiel:

Angenommen Du hast die Sicherheitszonen DMZ10 und DMZ20, welche Du auf die VLANs 10 und 20 abbilden möchtest. VLAN10 umfasst die Switchports 10-19 und VLAN20 die Switchports 20-29. An dem ersten Port hängt jeweils die Firewall mit einem dedizierten Interface und an den restlichen Ports jeweils bis zu 9 Server.

In diesem Szenario sind alle Ports untagged im jeweiligen VLAN. Auch die Firewallports. Tagging findet ausschließlich switchintern - nicht jedoch zu den angeschlossenen Devices hin statt.

Dies konfiguriert man folgendermaßen:

Unter "VLAN" > "IEEE 802.1Q VLAN" werden die jeweiligen VLANs angelegt sowie die Portmitgliedschaft und das Taggingverhalten für den _ausgehenden_ Traffic festgelegt.

Hier konkret:

VAN 10 = Port 10-19 untagged, alle anderen Ports "not Member"

VAN 20 = Port 20-29 untagged, alle anderen Ports "not Member"

Bis hierhin hast Du dies vermutlich auch korrekt eingerichtet gehabt. Wahrscheinlich war Dir aber nicht bewusst, dass dies nur die "halbe Miete" ist, denn neben der Zuordnung der VLANs zu den Ports hast Du dem Switch hiermit lediglich mitgeteilt, dass er die Frames auf diesen Ports ohne VLAN-Tag ausgeben soll. Was Du ihm an dieser Stelle noch nicht gesagt hast ist, in welches VLAN der Switch solchen Traffic stecken soll, der auf diesen Ports ohne explizite Kennzeichnung (also ohne VLAN-Tag / "untagged") _eingeht_!

Dieser Konfigurationsschritt erfolgt unter dem Punkt "Port Configuration" in der Spalte PVID.

Hier konkret:

Port 10-19 = PVID 10

Port 20-29 = PVID 20

Standardmäßig steht hier jeweils das Default-VLAN 1 drin. Weshalb der Switch _eingehenden_ Traffic ohne explizites Tag auch dann noch in das VLAN1 schiebt, wenn die Ports _egress_ in einem anderen VLAN auf untagged gesetzt sind!

 

Anders als bei einigen anderen Herstellern, die dem Admin das Denken abnehmen, lässt es Zyxel (und auch viele andere Hersteller) durchaus zu, dass ein Port _ausgehend_ in mehreren VLAN untagged Member sein kann. Nur _eingehend_ ist es der Natur der Sache nach eine 1-zu-1-Beziehung. Dieses Verhalten entspricht durchaus dem normierten Standard und erlaubt es unter anderem, sog. "asymmetrische VLANs" zu konfigurieren.

 

Dann noch ein Wort zu Deinem Autonegotiation-Problem: Dass der Switch auf 100MBit/s runterschaltet, wenn Du nur die andere Seite fest einstellst, ist kein Fehlverhalten des Switches sondern standardkonform. Ein Gerät, welches auf Autonegotiation eingestellt ist und bei der Aushandlung auf eine Gegenstelle trifft, die nicht verhandelt, schaltet dem Standard entsprechend auf 100 MBit/s Halfduplex herunter. Nicht standardkonform verhält sich bestenfalls die NIC des Servers, denn bei Gigabit Ethernet ist das Anbieten von Autonegotiation eigentlich Pflicht. Selbst wenn man im Treiber fest Gigabit einstellen kann, sollte dies eigentlich so implementiert sein, dass die Karte dennoch Autonegotiation macht, sich aber nur auf Gigabit einigt. Leider hält sich da aber nicht jeder Hersteller dran. 

 

Gruß

sk

bearbeitet von s.k.
Link zu diesem Kommentar
  • 2 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...