Jump to content
Dutch_OnE

VLANs mit mehreren Aruba 2540 Switchen

Recommended Posts

Moin,

ich hoffe, dass mir hier jemand zu meinem Anliegen einen Tipp geben kann.

Vorhanden sind insgesamt 7 Aruba Switche, die über Glasfaser miteinander verbunden sind. An jedem Switch sind Endgeräte vorhanden. Nun benötige ich 2 VLANs (Produktion und Gast)

 

Für Produktion wollte ich das Default-VLAN nutzen. Für das Gast-VLAN habe ich dann auf jedem Switch ein zweites VLAN angelegt und jeweils die Ports wo Gast-Endgeräte stecken vom Default-VLAN ins Gast-VLAN "verschoben".

Default-VLAN hat übertall die ID1, dass Gast-VLAN überall die ID2.

 

Das Default-VLAN ist ein Primary-VLAN, beim Gast-VLAN habe ich weder Primary, noch Management ausgewählt.

Der erste und der letzte Switch haben jeweils einen Glasfaseranschluss, die in der Mitte entsprechend jeweils zwei.

 

Meine Idee ist jetzt zwischen allen Switches einen Trunk (also S1 zu S2, S2 zu S3, S3 zu S4 ...) aufzubauen und diesen dann die beiden VLANs zuzuweisen. Habe ich das soweit richtig verstanden?

Sollte man die Switch in eine Management VLAN bauen?

 

Gruß DO

Share this post


Link to post
Share on other sites
vor 5 Stunden schrieb Dutch_OnE:

Meine Idee ist jetzt zwischen allen Switches einen Trunk (also S1 zu S2, S2 zu S3, S3 zu S4 ...) aufzubauen und diesen dann die beiden VLANs zuzuweisen. Habe ich das soweit richtig verstanden?

Also du willst das dein ganzes Netzwerk ausfällt, wenn ein Switch in der Kette down geht?

Share this post


Link to post
Share on other sites
vor 6 Stunden schrieb Dutch_OnE:

Meine Idee ist jetzt zwischen allen Switches einen Trunk (also S1 zu S2, S2 zu S3, S3 zu S4 ...) aufzubauen und diesen dann die beiden VLANs zuzuweisen. Habe ich das soweit richtig verstanden?

Ja, damit alle VLANs bis zum Letzten durchkommen.

vor 6 Stunden schrieb Dutch_OnE:

Sollte man die Switch in eine Management VLAN bauen?

Ja, für die Sicherheit.

vor 6 Stunden schrieb Dutch_OnE:

Moin,

ich hoffe, dass mir hier jemand zu meinem Anliegen einen Tipp geben kann.

Benutze eine Stern- oder Ringverkabelung. Deine Bustopologie ist hat den Charm von Singe-Point-of-Failure. Spanning-Tree nicht vergessen einzuschalten. 

Share this post


Link to post
Share on other sites

Moin,

das ganze ist ein Produktivnetz und ich habe mich noch nicht getraut etwas einzurichten. Vorher wollte ich mich erkundigen, ob mein Vorhaben so überhaupt funktioniert. 

Werde morgen noch mit dem Elektriker reden, ob Switch 1 noch mit Switch 7 verbunden werden kann, damit es dann ein Ring wird.

 

Noch 2 andere Fragen:

Sind bei Aruba die Glasfaserverbindungen automatisch ein Trunk der alle VLANs durchleitet, oder muss das explizit bestimmt werden?

Bei Cisco gibt es noch ein VLAN für ungetaggte Pakete um dieses ins Nirvana laufen zu lassen, Muss man dies bei Aruba auch noch anlegen?

Share this post


Link to post
Share on other sites

Moin @Dutch_OnE.
Meine Empfehlung: Leg dir auf jeden Fall einen Core-Switch zu.
Der kann full Modular sein oder komplett SFP+.

Dann kannst du alle Access-Switche an deinen Core-Switch per LWL anbinden.

 

Zur Konfiguration:

Erstelle ein neues Default VLAN z.B. auf ID 99 und setz alle nicht benutzten Ports da rein.

Erstelle 2 neue VLANs z.B. ID10 und ID20. Dann kannst du deine benötigten Ports den VLANs (untagged) zuweisen.

Erstell ein Trunk und weis dem Trunk deine SFP+ Interfaces zu (wenn gebündelt -> LACP aktivieren).

Anschließend kannst du deinem Trunk-Interface z.B. Trk1, beide VLANS (ID10 und ID20) zuweisen.

 

image2019-9-16_3-59-1.thumb.png.4f9ca1ca320f2c6107315cb1c27f5f11.png

DEFAULT_VLAN nicht beachten, wird noch angepasst.

Share this post


Link to post
Share on other sites

Guten Morgen,

ja die Infrastruktur war leider schon vorhanden und nach der Methode Nimm hin und Mach mal darf ich das jetzt entsprechend konfigurieren. Danke erstmal für diesen Tipp. Was ich noch nicht verstanden habe, ist die Behandlung der untagged Pakete aus einem VLAN. Bei Cisco wird da sein Pseude VLAN angelegt, oder entspricht das bei Aruba dem Default_Vlan? Gruß DO

Share this post


Link to post
Share on other sites

Wieso nur Prod und Gast VLan? Wenn du das auf VLans aufteilst, dann mach das gleich Zukunftssicher und mehrere Zonen. Z.B. Client, Server, AD, Mangement, ggf. Backup, ggf. DMZ

Ich würde auch das Default VLan nicht nutzen sondern jedes VLan eigen definieren.

Share this post


Link to post
Share on other sites
vor 8 Stunden schrieb falkebo:

Meine Empfehlung: Leg dir auf jeden Fall einen Core-Switch zu.

Dann braucht er auch wieder zwei, sonst haben wir wieder Single-Point-Of-Failure. Wäre auch meine bevorzugte Variante, jedoch ist hier die Grundverkablung wohl das Problem.

 

vor 34 Minuten schrieb Dukel:

Wenn du das auf VLans aufteilst, dann mach das gleich Zukunftssicher und mehrere Zonen. Z.B. Client, Server, AD, Mangement, ggf. Backup, ggf. DMZ

Wir haben uns gegen diese Aufteilung entschieden. Alles muss über den Router rüber und es entsteht bei erhöhtem Traffic ein Flaschenhals.

 

Meine persönliche Empfehlung, die ich bisher auch immer so umgesetzt habe:

 

- VLAN 1, unbenutzte Ports

- VLAN 5, DMZ

- VLAN 10, Server u. Client Netz

- VLAN 20, Telefon

- VLAN 30, WLAN-Infrastruktur

- VLAN 100 -> Management (ILO, Switche etc.)

 

Der Charm dabei ist, dass für die jeweiligen Top-VLANs noch "zwischen" VLANs erstellt werden können, die einfach der Hauptkategorie logisch "zugeordnet" sind. Beispiel: VLAN 11 würde jetzt etwas für Clients oder Server sein. Man würde dies gleich auch so wahrnehmen.

 

Share this post


Link to post
Share on other sites

Ein Paket muss nur dort "getaggt" werden wo auch eine Verwechselungsgefahr bestehen würde. Auf Ports auf denen mehrere VLANs laufen. Ein treffendes Beispiel ist hier ein Uplink. Alle anderen VLAN-Ports sind demnach "untagged".

Share this post


Link to post
Share on other sites

Die Glasfaserverbindungen zwischen den Switchen sind doch "Uplinks", da hier doch die Daten von mehreren VLANs übermittelt werden oder? Ich habe das halt in einem Cisco Tutorial gesehen, dass dort noch ein extra Vlan für untagged Pakete angelegt wurde. Alle unbekannten Pakete werden darüber verworfen. Oder macht Aruba das von alleine?

Edited by Dutch_OnE

Share this post


Link to post
Share on other sites

Ja, das sind Uplinks. Hier muss "getaggt" werden.

 

Es ist natürlich schwer nachzuvollziehen wieso, weshalb und warum das bei Cisco so konfiguriert wurde. Ich bin schon lange kein Cisco Spezi mehr. Bei Aruba (HP, HPE, 3COM) wird das so konfiguriert. 

Share this post


Link to post
Share on other sites

Das ist nicht ciscospezifisch.

Die Idee ist, das man keine ungetaggten Pakete hat wenn man alles richtig konfiguriert hat. Kommt doch eines hat man entweder einen Fehler gemacht, oder jemand hat eigenmächtig ein Gerät ins Netzwerk gebracht. Sicherheitshalber sorgt man jetzt dafür, daß diese Pakete nichts anrichten können und im Nirvana landen. Je nach Anforderung kann man dieses Nirvana auch z. B. In ein QuarantäneVLAN verwandeln und dort z.B. Für einen bestimmten patchstand, Virenscanner etc sorgen. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...