Vlan Konfiguration so möglich?

[T.I.M.]

Hallo Experten!
ich wollte einen zweiten switch wegrationalisieren und habe folgende konfiguration ausprobiert:

das funktioniert jedoch nicht wie gewünscht
und zwar habe dann 50% paketverlust ins internet von der firewall aus und die clients kommen gar nicht ins internet.
wenn ich an vlan 2 zwei unabhängige geräte anschließe (welche nicht im netz von vlan 1 sind), können diese untereinander problemlos kommunizieren.
der switch ist ein hp procurve 4000m.
ihr fragt euch bestimmt warum die firewall nicht direkt ins internet geht:
der zweite switch hat ausschließlich als medienkonverter zwischen lwl und rj45 gedient.
warum kommt es zu solchen problemen, wenn man die vlans direkt miteinander verbindet? (die firewall ist eine bridge, keine routingfunktion)
der switch müsste doch wie in der grafik in zwei logische switche aufgeteilt sein.

 

[chrigu]

musst du die firewall nicht zwischen router und switch anhängen?

 

[Masamune2]

Von der Theorie her stimmt das alles so, die Aussage "die Firewall ist eine Bridge" verwirrt mich aber etwas. Was genau setzt du da sein? Da du zwei Netze hast musst du auch routen...

 

[T.I.M.]

das sind nicht zwei netze, auf der firewall läuft zeroshell, die zwei netzwerkkarten sind im bridge-modus verbunden.
vlan 2 dient einzig als medienkonverter (das lwl modul und ein normales 100mbit lan-modul sind damit verbunden)
wenn ich statt vlan 2 einen zweiten switch benutze funktioniert das alles einwandfrei (das war die konfiguration bisher)
der router ist übrigens erst hinter dem uplink (beim rechenzentrum), also alle geräte befinden sich im gleichen subnetz.

 

[Masamune2]

Blockiert deine Firewall denn Broadcasts? Ansonsten hast du damit ja einen Loop gesteckt. Ich weiß nicht was der steinalte 4000M Switch an Management bietet, aber wenn BPDU Filter möglich sind solltest du die auf den beiden Firewallports auch noch aktivieren.

 

[T.I.M.]

die firewall blockiert keine broadcasts.
BPDU filter hat das teil mWn nicht.
ein loop sollte es nicht sein, die beiden vlans sind ja switch-intern getrennt. sie sind nur durch die firewall verbunden.

 

[Knufu]

Zwischen unterschiedlichen VLAN musst du ebenfalls Routen einrichten!

 

[Masamune2]

Broadcasts die von einem Client ausgehen machen nichts aus, die sind durch die VLANs getrennt. Allerdings verschickt der Switch unter umständen selbst BPDU Broadcasts zur Berechnung vom Spanning-Tree und die gehen über VLAN Grenzen hinweg. Wenn es geht blockiere mal Broadcasts auf Ethernet Ebene (also an MAC ff:ff:ff:ff:ff:ff) und schau obs dann besser wird.

Hatte bei einem Kunden mal genau das gleiche Szenario bei dem der Switch als Medienconverter misbraucht wurde und dann über eine Brücke ins normale Netz gepatcht war. Das führte mit dem ersten BPDU Paket zu einem Loop und blieb erst aus als ich mit BPDU Filter die Pakete geblockt hatte. Der Switch war hier ein HP 4100er.

 

[T.I.M.]

es sollten doch gar keine BPDU pakete versendet werden, wenn spanning tree deaktiviert ist?
der hp 4000m ist der einzige gemanagte switch, alle anderen haben keine spanning-tree funktionen

 

[Masamune2]

Sollten nicht, was anderes fällt mir jetzt aber auch nicht ein. Nächster Schritt wäre Wireshark dran zu hängen und dem Traffic mal zuzuschauen.