Vlan + nicht-Vlan an einem Port?

[T.I.M.]

hey leute, ich bins schon wieder...
diesmal folgendes problem:
switch 1 ist mit switch 2 in einem anderen gebäude verbunden (ohne vlan)
alle clients an switch 1 kommen so über den adressbereich A ins internet.
nun habe ich die möglichkeit, per vlan einen weiteren adressbereich (B) mit wenigen ips zu erhalten (sinn: adressbereich B hat öffentliche ips für webserver o.ä.)

wie wird das jetzt an einem gemanagten switch (hp procurve 4000m) konfiguriert, dass gleichzeitig adressbereich A und B möglich sind?
adressbereich A und B bekommen jeweils eigene ports am switch.
bisher geht nur das eine oder andere, je nach dem für welches vlan ich den gemeinsamen port zu switch 2 "untagged" konfiguriere.
kann jemand helfen?

 

[marcol1979]

Die Verbindung zwischen den Switchen muss eine Trunk-Leitung sein.
Dann kannst bei jedem Switch Ports vergeben für Bereich A und Bereich B.

Für weitere Anbindung ans Internet brauchst dann aber auch einen Router der VLAN/Trunk beherrscht.

 

[T.I.M.]

trunk bedeutet doch, dass zwei oder mehr vlans über eine leitung gehen?
hier soll aber nur ein vlan verwendet werden, der restliche datenverkehr geht ohne vlan zum anderen switch.
sobald ich die vlan funktion am switch einschalte, entsteht automatisch ein default vlan, welches alle ports untagged konfiguriert und verbindet.
wenn ich nun das zusätzliche vlan einrichte, konfiguriere ich das zweite neue vlan (neben dem default vlan) folgendermaßen:
den port zum anderen switch tagged, den zielport für adressbereich B untagged (dort soll ein webserver angeschlossen werden, welcher ausschließlich das neue vlan benutzt)
alle anderen ports sind per default vlan weiterhin untagged verbunden.
in dieser konfiguration funktioniert das neue vlan nicht (keine verbindung ins internet)
sobald ich das neue vlan am gemeinsamen port untagged konfiguriere, funktioniert das neue vlan mit adressbereich B, aber der restliche datenverkehr über das default vlan geht dann nicht mehr...

 

[Pitt_G.]

Normalerweise ist das "untagged" VLAN immer das Default/Native VLAN, somit VLAN1
Gibt aber Unterschiede glaub zwischen ISL und DOT1Q trunks
Wichtig ist bei Cisco dass die VLANs in der VLAN Database auf beiden Switches drin sind)

Das Default/Native VLAN lässt sich auch ändern!

 

[T.I.M.]

welcher switch auf der gegenseite eingesetzt wird weiß ich nicht.
auf meiner seite steht wie schon gesagt ein hp procurve 4000m.
ich wüsste gerne wie ich das default vlan ändern muss damit mein vorhaben gelingt
an einem port kann immer nur ein untagged vlan sein, richtig?
das default vlan konfiguriert den gemeinsamen port schon als untagged, sodass das "richtige" vlan nicht mehr funktioniert.
löschen lässt sich das default vlan übrigens nicht.

 

[marcol1979]

trunk bedeutet doch, dass zwei oder mehr vlans über eine leitung gehen?

Richtig.

VLAN1 ist wie Pitt schon schreibt das Default VLAN also untagged.

in dieser konfiguration funktioniert das neue vlan nicht (keine verbindung ins internet)

Sobald du 2 oder mehr VLANs nutzt brauchst du einen Router der diese getrennten Netzwerke routet.
Ohne Router kann nur eines der beiden Netz weiter geroutet werden/ ins Internet.

welcher switch auf der gegenseite eingesetzt wird weiß ich nicht.

Ohne Absprache und genaue Planung wird das ein lustiges Rätselraten.

 

[Scharmhorst]

löschen lässt sich das default vlan übrigens nicht.

Ist logisch.
Sonst kommst du nicht mehr auf den Switch über IP.
Heißt ja meistens auch "Management-VLAN".
In nem kleinen Netzwerk kein Problem. Müsstest du in einer Firma mit Consolen-Kabel von Switch zu Switch latschen,
würds dir auf'n Sack gehen.

Sobald du 2 oder mehr VLANs nutzt brauchst du einen Router der diese getrennten Netzwerke routet.
Ohne Router kann nur eines der beiden Netz weiter geroutet werden/ ins Internet.

Richtig.
"Router on a stick" nennt sich das. (zumindestens bei Cisco)
Virtuelle Interfaces an einem physikalischen Interface eines Routers.

Alternative: Layer3-Switch, der "routet" die VLANs selbstständig.

 

[Pitt_G.]

Weiss leide nicht genau, was der da machen will und wie das bei HP geht.
Untagged traffic wird vei Trunk Links normalerweise auf das Native VLAN getagged, was per default VLAN 1 ist, was sich aber ändern lässt behandelt, nur die Config zeigts nicht an.

im Access Port Modus wird untagged Traffic vom Client per default in VLAN 1 verschoben, was aber per switchport access VLAN xyz umgeschrieben wird

Über Voice VLANs lies sich auch getaggter und untaggter Traffic auf Accessports einschleusen.

Ich nehme mal an tagged heisst bei HP trunk

Sprich er muss den Crosslink ports Tagged, (auf beiden switches) und den Zielport untagged aber mit VLAN b konfigurieren

Was er am Anfang beschrieben hat, scheint ein Szenario, bei dem der Uplink as Accessport für VLANa definiert hat, weil mann zu faul war die Accessports auf Switch B untagged auf VLAN A einzustellen.
Dass dann noch das Mgmt VLAN Interface des switches u.U. ein drittes VLAN ist, das auch vorhanden sein muss kommt evtl noch erschwerend hinzu, aber es lässt sich meist auch ändern, nur muss dass dann aber durchdacht werden,( Logging Source interface, TACACS source interface..usw.)

 

[T.I.M.]

zwischen den vlans soll gar nicht geroutet werden!
es sollen zwei völlig voneinander unabhängige netze entstehen.
hier mal zwei screenshots wie es momentan konfiguriert ist:

- an J1 gehts per glasfaser zum switch 2
- an B soll der adressbereich A ankommen
- an A soll der adressbereich B ankommen (der neue adressbereich)
adressbereich A funktioniert (defaul vlan), adressbereich B nicht.
(an den zwei ports hängt jeweils ein rechner mit der jeweiligen ip-konfiguration des vlans, also es ist nicht ein rechner mit zwei nic's o.ä.)

 

[Pitt_G.]

da ist nur ein Screen
...

 

[T.I.M.]

es sind zwei... hab die mal nebeneinander gesetzt.

 

[Pitt_G.]

das schon gelesen? http://www.hp.com/rnd/device_help/help/hpwnd/webhelp/HPJ4813A/configuration_vlan.htm

sag das Port J1 ebenfalls Tagged für VLAN 1 ist

Gleiche natrülich auf dem Port des Switch B der an J1 dran ist

 

[PeterW]

Edit: Hier stand Murks...
Mach doch am besten mal ein Plan, wie das ganze verkabelt ist und wo welche Subnetze anliegen....

 

[Pitt_G.]

Evtl hat er nur eine Glasfaserstrecke, bzw nicht genügend Uplinks ausf Switch B

 

[T.I.M.]

@Pitt_G: ja, richtig. es ist nur eine glasfaserstrecke. darüber müssen beide netze /adressbereichen gehen.
bis jetzt gab es nur ein adressbereich, welcher ohne vlan lief.
für den zweiten adressbereich habe ich folgende info bekommen:
sie können folgendes netz verwenden: xxx.xxx.xxx.xxx/30; vlan 799

edit:

sag das Port J1 ebenfalls Tagged für VLAN 1 ist

so funkioniert keines der vlans

 

[Scharmhorst]

Wie es schon einmal weiter oben gesagt wurde:

Schickst du über eine Leitung (also auch einen Port) mehr als ein VLAN,
dann ist es kein Access-Port mehr, sondern muss zwingend ein Trunk-Port sein.
D.h.: Der Port am anderen Switch muss auch im Trunk-Modus sein.
Der Trunk-Verbindung müssen die VLANs zugeordnet werden.

Du kannst keine ungetaggten Pakete zusammen mit getaggten Paketen über die selbe Leitung schicken. (sollte nicht gehen, kann mich auch irren)
Aber zwischen den Switchen kann es dir im Grunde egal sein, was für ein VLAN-Tag verwendet wird, denn am Access-Port wird eh wieder alles ohne VLAN rausgelassen.

Wenn es bei dir aber wichtig ist, dass an dem einen Access-Port ein VLAN-Tag mit rausgeschickt wird, dann brauchst du wahrscheinlich ein Doppel-Tag-Protokoll.

 

[Pitt_G.]

edit:
so funkioniert keines der vlans

Switch B muss gleiches Setting haben, wie oft soll ichs noch sagen. Der Uplink muss Tagged für VLAN1 und 799 sein.

 

[T.I.M.]

Du kannst keine ungetaggten Pakete zusammen mit getaggten Paketen über die selbe Leitung schicken.

also vlan1(default) ist definitiv untagged, weil sobald ich J1 bei vlan1 auf tagged setze, habe ich keinen zugriff mehr aufs gateway vom adressbereich A.
vlan799 ist aber AUCH untagged, denn mit "tagged" bei J1 vom vlan799 habe ich keinen zugriff aufs gateway vom adressbereich B.
-> je nach dem für welches vlan ich den port J1 auf untagged setze, habe ich beim jeweiligen vlan eine verbindung.

edit:

Switch B muss gleiches Setting haben

keine ahnung welches setting switch B hat, aber ich denke die gegenstelle wird schon wissen was sie tut, switch B steht bei einem großen rechenzentrum.

Der Uplink muss Tagged für VLAN1 und 799 sein.

so sehe ich das auch, aber wieso bekomme ich dann eine verbindung auch ganz ohne vlans? (vlan funktionalität am switch deaktiviert)
wird da vielleicht ein vlan protokoll verwendet mit welchem meine alten switche nicht umgehen können?

 

[Pitt_G.]

Du meinst das?

"bisher geht nur das eine oder andere, je nach dem für welches vlan ich den gemeinsamen port zu switch 2 "untagged" konfiguriere."

die Gegenstelle hat u.U. keinen Trunk sondern nur einen untagged port für VLAN1 konfiguriert und das Gatway auf switch B sitzt dann auch im VLAN1, obwohl der IP Addressbereich ein anderer ist.
Da hat das eine nix mit dem anderen zu tun. Das eine ist L2 das andere L3

Stellts Du nun auf untagged VLAN1 geht der IP Bereich von 1 zu seinem L3 Gateway
Stellst Du auf untagged VLAnN 799 geht alles zum L3 Gateway von VLAN 799.

 

[T.I.M.]

das heißt konkret ich muss der gegenstelle sagen dass sie zwei "tagged" vlans für beide adressbereiche machen sollen?