Ich habe hier mal ein Bild hochgeladen (einfügen kann ich den Link leider nicht)...
http://www.bilder-upload.eu/show.php?fi ... 615701.png
Voirhanden sind 4 Switche. Am Port 1 von Switch1 ist eth1 der BlackDwarf als tagged.
Port 24 geht zu Port 23 von Switch 2 (Trunk)
Von Switch 2 Port 24 gehts nach Switch3 Port1 usw siehe Bild.
Habe ich hier einen Denkfehler?
VLAN Probleme
Moderator: Securepoint
-
mmklein@gmx.de
- Beiträge: 11
- Registriert: Mi 14.08.2013, 12:25
Die VLANS von zB Switch2 kommen nicht auf die VLANS von Switch1. Ich denke da passt was nicht.
-
mmklein@gmx.de
- Beiträge: 11
- Registriert: Mi 14.08.2013, 12:25
Deswegen frage ich ja, ob es richtig ist, dass der Port von eth1 auf den 1. Switch getagged wird und der Trunk Port auch...
-
mmklein@gmx.de
- Beiträge: 11
- Registriert: Mi 14.08.2013, 12:25
Alle VLANS sind auf der Firewall und in allen Switches angelegt. In jedem VLAN auf den Switches ist der TrunkPort und auf Switch1 auch noch der Port1 von der Firewall
Trunkport ist jedoch ein Begriff der in seiner Funktion sehr Herstellerspezifisch ist.
Bei Zyxel Switches wäre ein Vlan Trunk Port zB in dieser Konfiguraton falsch.
Ausserdem ist immer noch nicht klar was genau nicht funktioniert. Ist die Firewall von den Switches aus nicut zu erreichen?
Bei Zyxel Switches wäre ein Vlan Trunk Port zB in dieser Konfiguraton falsch.
Ausserdem ist immer noch nicht klar was genau nicht funktioniert. Ist die Firewall von den Switches aus nicut zu erreichen?
-
mmklein@gmx.de
- Beiträge: 11
- Registriert: Mi 14.08.2013, 12:25
Es handelt sich um zwei TPLink und zwei Netgear. Wenn der Firewall Port nur auf Switch1 ist und es keinen Trunk Port gibt, wie ist dann die Vorgehensweise?
http://www.tp-link.com/us/faq-328.html
Dies ist genau die empfohlene Vorgehensweise. Ich denke aber, dass es so nicht gehen kann, weil ja der VLAN-Switch der Firewall greifen soll....
Dies ist genau die empfohlene Vorgehensweise. Ich denke aber, dass es so nicht gehen kann, weil ja der VLAN-Switch der Firewall greifen soll....
Vlan Switch der Firewall ? was soll das denn bedeuten ?
Also ganz kurz :
Auf der Firewall die vlans anlegen. Dann den einzelnen Interfaces IPs geben und entsprechende Regeln erstellen.
Auf Switch 1 die vlans anlegen, und den entsprechenden Ports zuordnen. Port 1 (fw) und uplink zu Switch 2 alle Vlans Tagged zuordnen, Switch 2 usw gleiches Spiel. Fertig
Also ganz kurz :
Auf der Firewall die vlans anlegen. Dann den einzelnen Interfaces IPs geben und entsprechende Regeln erstellen.
Auf Switch 1 die vlans anlegen, und den entsprechenden Ports zuordnen. Port 1 (fw) und uplink zu Switch 2 alle Vlans Tagged zuordnen, Switch 2 usw gleiches Spiel. Fertig
Genau wie im Wiki beschrieben VLAN-Switch: https://wiki.securepoint.de/UTM/NET/VLAN-Switch
Alle VLANs wurden auf der Firewall angelegt, ebenso auf jeden Switch. Am 1. Port des 1. Switches liegt eth1 von der Firewall an (tagged).
Um sicher zu gehen, dass ja alles erlaubt wird (zum Testen), für jedes VLAN any Regeln erstellt.
Vom 1. Switch, Port 24 eine Uplink Verbindung zum 2. Switch auf 23, Trunk(tagged).
Habe aber auch schon versucht, wie du es schreibst den einezelnen VLAN´s den Uplink-Port und den Switch Verbindungs-Port tagged (nicht als Trunk) zuzuweisen. Kein Erfolg
Alle VLANs wurden auf der Firewall angelegt, ebenso auf jeden Switch. Am 1. Port des 1. Switches liegt eth1 von der Firewall an (tagged).
Um sicher zu gehen, dass ja alles erlaubt wird (zum Testen), für jedes VLAN any Regeln erstellt.
Vom 1. Switch, Port 24 eine Uplink Verbindung zum 2. Switch auf 23, Trunk(tagged).
Habe aber auch schon versucht, wie du es schreibst den einezelnen VLAN´s den Uplink-Port und den Switch Verbindungs-Port tagged (nicht als Trunk) zuzuweisen. Kein Erfolg
Ich verstehe nicht , sind sie die gleiche Person wie der User mit der E-Mailadresse als Username?
Wenn ja, es ist immer noch unklar was NICHT funktioniert. Ich gehe immer noch davon aus das Sie Fehler bei der Switch Konfiguration machen , bei der Firewall kann man nicht viel falsch machen, jedoch solang Ic nicht weiß was eigentlich nicut funktioniert ist das hier zwecklos
Wenn ja, es ist immer noch unklar was NICHT funktioniert. Ich gehe immer noch davon aus das Sie Fehler bei der Switch Konfiguration machen , bei der Firewall kann man nicht viel falsch machen, jedoch solang Ic nicht weiß was eigentlich nicut funktioniert ist das hier zwecklos
Ja, ich bin der Thread-Ersteller! Auf Switch 2 komme ich auf kein einziges VLAN, dass an Switch 1. Stecke ich aber auf den 2. Switch das Kabel, dass zur Firewall führt, geht es auf dem jeweiligen Switch. Meines Erachtens werden die Pakete nicht richtig getagged. Ich hoffe, ich konnte das einigermaßen erklären.....
-
mmklein@gmx.de
- Beiträge: 11
- Registriert: Mi 14.08.2013, 12:25
Nein, wie schon beschrieben:
Uplink Ports mit General,Tag getestet und Trunk, Tag getestet... Ich lade morgen mal an einige Konfig-Bilder hoch, ok?
Uplink Ports mit General,Tag getestet und Trunk, Tag getestet... Ich lade morgen mal an einige Konfig-Bilder hoch, ok?
Jetzt wurde mal eth2 zum Testen genommen. Wahrscheinlich habe ich einen großen Denkfehler - sehe ihn aber nicht.
Anbei ein Plan...
http://www.bilder-upload.eu/show.php?fi ... 648899.png
Firewall-Regeln, dass VLAN-501 auf 502 zugreifen können sind angelegt.
An Switch 2 bekomme ich im 501er Netz einwandfrei via DHCP eine IP
An Switch 1 bekommt das Gerät am 502er Netz KEINE IP.
Dies müsste doch eigentlich der Trunk-Port erledigen, oder?
Anbei ein Plan...
http://www.bilder-upload.eu/show.php?fi ... 648899.png
Firewall-Regeln, dass VLAN-501 auf 502 zugreifen können sind angelegt.
An Switch 2 bekomme ich im 501er Netz einwandfrei via DHCP eine IP
An Switch 1 bekommt das Gerät am 502er Netz KEINE IP.
Dies müsste doch eigentlich der Trunk-Port erledigen, oder?
Dann ist es wohl das Beste, wenn ich einen kleinen 8er Switch dazuhänge, mit dem eth-Port der Firewall da drauf und von da mit jeweils einem Kabel auf jeden Switch gehe, oder!?
Muss dann der Port der von der Firewall kommt getagged sein?
Muss dann der Port der von der Firewall kommt getagged sein?
Nein wozu denn der Quatsch mit dem 8er Switch ? Einfach das vlan mit auf den Firewall Port legen, fertig.
Wie gesagt, am besten noch mal mit den Grundlagen zum Thema vlan beschäftigen.
Hier ein link:
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Wie gesagt, am besten noch mal mit den Grundlagen zum Thema vlan beschäftigen.
Hier ein link:
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Das habe ich schon alles gelesen. Dies ist mir auch grundlegend klar. Nur wie bringe ich den Firewall Port dann auf die restlichen Switche?
Er steckt ja jetztz auf einem Port an Switch 2. Fälschlicherweise wie du ja geschrieben hast, nahm ich an, dass der Trunk-Port dies erledigt...
Wie bringe ich den Firewall-Port ansonsten auf die restlichen Switchte? ----... und Danke für die Geduld!!!
Deswegen bin ich davon ausgegangen, dass dies mit dem Trunk-Port funktioniert. Steht ja auch so im Thomas-Krenn-Wiki....
In Netzwerken ist Trunking eine spezielle Funktion, die einem Port zugewiesen wird. Sie befähigt den Port, den Datenverkehr für jedes oder alle VLANs zu übertragen, die von einem bestimmten Switch aus erreichbar sind. Ein derartiger Port heißt Trunk-Port, im Gegensatz zu einem Access-Port, der nur den Datenverkehr eines jeweils zugewiesenen VLANs überträgt. Ein Trunk-Port markiert Frames bei der Übertragung zwischen Switches mit identifizierenden Tags (entweder ISL- oder 802.1Q-Tags), damit jeder Frame zu seinem VLAN geroutet werden kann. Access-Ports verteilen keine solchen Tags, da ihr VLAN vorher zugewiesen wurde und eine Identifizierung damit überflüssig ist.
Er steckt ja jetztz auf einem Port an Switch 2. Fälschlicherweise wie du ja geschrieben hast, nahm ich an, dass der Trunk-Port dies erledigt...
Wie bringe ich den Firewall-Port ansonsten auf die restlichen Switchte? ----... und Danke für die Geduld!!!
Deswegen bin ich davon ausgegangen, dass dies mit dem Trunk-Port funktioniert. Steht ja auch so im Thomas-Krenn-Wiki....
In Netzwerken ist Trunking eine spezielle Funktion, die einem Port zugewiesen wird. Sie befähigt den Port, den Datenverkehr für jedes oder alle VLANs zu übertragen, die von einem bestimmten Switch aus erreichbar sind. Ein derartiger Port heißt Trunk-Port, im Gegensatz zu einem Access-Port, der nur den Datenverkehr eines jeweils zugewiesenen VLANs überträgt. Ein Trunk-Port markiert Frames bei der Übertragung zwischen Switches mit identifizierenden Tags (entweder ISL- oder 802.1Q-Tags), damit jeder Frame zu seinem VLAN geroutet werden kann. Access-Ports verteilen keine solchen Tags, da ihr VLAN vorher zugewiesen wurde und eine Identifizierung damit überflüssig ist.
Na so ganz scheint die Sache aber leider noch nicht klar...
Also Der Aufbau (laut der Skizze) passt so, es muss nur noch, wie bereits geschrieben, das blaue VLAN tagged mit auf den Firewall Port gelegt werden und schon ist die Sache erledigt
Also Der Aufbau (laut der Skizze) passt so, es muss nur noch, wie bereits geschrieben, das blaue VLAN tagged mit auf den Firewall Port gelegt werden und schon ist die Sache erledigt