Netzwerktrennung mit VLAN + STP

[psyckoman]

Guten Abend,

ich habe da mal eine Verständnisfrage. (Siehe auch das Bild im Anhang.)

Ich habe 2x 48 Port Switche die nicht großartig konfiguriert sind. (Verwaltung)
IP-Einstellungen und das STP auf 28672.
Die beiden Switche sind mit einem Kabel untereinander verbunden (Port 47).

Dann habe ich 2 weitere 16 Port Switche die in einem anderen Netz arbeiten (DMZ). Diese beiden Switche sind auch untereinander verbunden (VLAN31 - Port 15). Folgende Einstellungen wurden hier gemacht:

VLAN 31 erstellt für Port 1-15 (Untagged)
VLAN1 (Default) auf Port 16 belassen.

Das VLAN1 (also Port 16) soll allein für die Konfiguration des Switches dienen. (Verwaltungsnetz).
Solange ich die PVID-Einstellung nicht gesetzt habe ist noch alles transparent. Allerdings greift das STP schon ein.
Je nach Pfadkosten schließt er entweder den Port 15 (Switchverbindung DMZ) oder den Port 16 (Verwaltungsnetz).

Vielleicht kann mir da jemand helfen..
Ist es bei einem VLAN nicht so, dass ich auch 2 verschiedene Netze auf einem Switch aufteilen kann?
Muss ich vielleicht irgendwo (z.B. bei der Switchverbindung DMZ) mit getaggten VLANs arbeiten?

Vielen Dank für eure Hilfe!

 

[Joe Dalton]

Moin,

mit VLAN's kannst Du Deine Switches aufteilen. Bei Spanning-Tree stellt sich jedoch immer die Frage, mit welcher Variante Du arbeiten kannst.
Urspünglich konnte STP wenig mit VLAN's anfangen, aber die "neueren" Versionen haben damit weniger ein Problem.

Grundsätzlich würde ich bei Switchverbindungen die Pakete "tagged" übertragen lassen. Lediglich Access-/Edge-Ports wären untagged.
Trotz allem: zwischen DMZ und dem Rest gehört eine Firewall - egal ob es nur das Management-VLAN oder was anderes ist. Eine direkte Verbindung zwischen DMZ und dem restlichen Netz gehört bestraft.

HTH,
Chris

 

[psyckoman]

Klar sollte man die Verbindung Verwaltung <> DMZ durch FW trennen.
Allerdings habe ich vom Prinzip noch weitere 16 Port Switche (im Paar) die genau so aufgebaut sind (kein DMZ).

Daher wollte ich das ja auf dem Switch trennen, sprich Port 1-15 rein DMZ und der Port 16 nur für das VLAN1 (Verwaltung).
Ist es mir also nicht möglich den Switch in zwei Bereiche aufzuteilen?

 

[Joe Dalton]

Hallo,

Du hast mich wahrscheinlich missverstanden: Es gibt im Idealfall keine direkte Anbindung von DMZ-Switches an das Hausnetz. *Alle* Verbindungen (auch Management) laufen über die Firewall.

Die Switches über VLANs zu segmentieren ist schon möglich, allerdings würde ich dazu die passende STP-Variante wählen (die auch mit VLANs umgehen kann).

Pack doch mal bitte in ein Posting die entsprechenden Switchkonfigurationen und die Switchtypen rein.


Cu,
Chris

 

[psyckoman]

Hallo,

das mit dem DMZ-Netz ist klar, die Verbindung zum Verwaltungsnetz wird gekappt.
Ich habe da aber noch ein weiteres Switchpaar das identisch aufgebaut ist. Dieses Switchpaar ist für VMware Fault Tolerance.

Switche sind folgende:
Verwaltung: 2x Dell 2848
DMZ,FT...: je 2x Dell 2816

Folgende Einstellungen wurden dort gesetzt:

VLAN 51 erstellt für Port 1-15 (Untagged)
VLAN1 (Default) auf Port 16 belassen.

STP
STP enable
STP Operation Mode: Rapid STP
BPDU Handling: Flooding
Path Cost Default: Short
Priority 32768
Helo Time: 2

BridgeID: 32768-MAC
Root-Bridge: 28672-MAC (Verwaltungsswitch)

STP Port Settings
Alle Ports identisch
Fast Link: disable
Root Guard: disable
Path Cost: 4
Priority: 128


VLAN 1
Port16
Untagged

VLAN 51
Port1 - Port15
Untagged


VLAN Port Settings
Port1 - Port16
PVID: 1
Frame Type: Admit All
Ingress Filtering: Enable


Jetzt bin ich mir unsicher ob ich in den Portsettings die Ports auch dem VLAN zuordnen muss, sprich Port 1-15 mit PVID 51 versehen.