Hallo,
ich möchte hier noch mal meine Konfiguration beschreiben, denn ich bin nicht sicher ob das wirklich korrekt ist.
Folgendes:
Ein VMware ESX Host auf dem eine Virtuelle Maschine mit mehreren Netzwerkkarten ist. Zwei dieser Karten gehen auf einen Physikalischen Netzwerkadapter. Die erste Karte hat das VLAN Tag 10 und die zweite das VLAN Tag 20.
Die Physikalische Netzwerkkarte ist an einem Allied Telesyn Switch angeschlossen und daran wieder ein OAP-54. Auf dem Switch habe ich auch die VLAN's 10 und 20 definiert und den beiden Ports zugewiesen.
Am OAP-54 ist nun folgendes Konfiguriert:
VLAN Modul an.
VLAN-Tabelle:
VLAN-ID 10 hat Ports LAN-1, P2P-1-1
VLAN-ID 20 hat Ports LAN-1, P2P-1-2
Port-Tabelle:
"Pakete, welche auf diesem Port verschickt werden, sollen ein VLAN-Tag bekommen" an
"Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören" an
Port-VLAN-ID: 0
Port-Tabelle P2P-1-1:
"Weiterleiten unmarkierter Pakere, die auf diesem Port empfangen werden" an
Port-VLAN-ID: 10
Port-Tabelle P2P-1-2:
"Weiterleiten unmarkierter Pakere, die auf diesem Port empfangen werden" an
Port-VLAN-ID: 20
VLAN-ID des Gerätes: 10
Somit sollten eigentlich alles was über die VLAN-ID 10 kommt über die P2P-1-1 übertragen werden und alles was über die VLAN-ID 20 kommt über die P2P-1-2.
Soweit alles korrekt? Oder hat jemand bedenken?
Nun auf der gegenstelle steht ein L-54 dual, bei dem das VLAN Modul ebenfalls aktiviert wurde. Dort ist folgendes eingestellt:
VLAN-Tabelle:
VLAN-ID 10 hat Ports LAN-1, P2P-1-1
VLAN-ID 20 hat Ports LAN-2, P2P-1-2
Port-Tabelle LAN-1:
"Weiterleiten unmarkierter Pakere, die auf diesem Port empfangen werden" an
Port-VLAN-ID: 10
Port-Tabelle LAN-2:
"Weiterleiten unmarkierter Pakere, die auf diesem Port empfangen werden" an
Port-VLAN-ID: 20
Port-Tabelle P2P-1-1:
"Weiterleiten unmarkierter Pakere, die auf diesem Port empfangen werden" an
Port-VLAN-ID: 10
Port-Tabelle P2P-1-2:
"Weiterleiten unmarkierter Pakere, die auf diesem Port empfangen werden" an
Port-VLAN-ID: 20
VLAN-ID des Gerätes: 10
Damit möchte ich erreichen, das Daten die über P2P-1-1 kommen nur über LAN-1 übertragen werden, genauso daten die über P2P-1-2 sollen nur über LAN-2 übertragen werden.
Das VLAN 10 funktioniert auch soweit, ich kann von meiner Virtuellen Maschine aus mit Geräten kommunizieren, die an LAN-1 auf der anderen Seite angeschlossen sind.
Nun möchte ich aber das VLAN 20 in Betrieb nehmen und bekomme da aber keine Kommunikation hin.
Daher die Frage, ist da noch irgendwo ein grober Fehler drin?
Vielen Dank schon mal für die Hilfe!
Gruß
Stefan
Noch mal VLAN
Moderator: Lancom-Systems Moderatoren
Moin,
so auf den ersten Blick sehe ich da keine Fehler, bezüglich VLAN 10 und 20 ist
der Aufbau ja symmetrisch. Die naheliegendste Methode wäre, von der virtuellen
Maschine auf der anderen Seite eine Maschine anzupingen und Stück für Stück
mittels Ethernet/WLAN/Bridge-Trace zu schauen, wo die Pakete stecken bleiben. Am
OAP sollten sie getaggt mit VLAN-ID 20 ankommen, dann auf P2P-1-2 ungetaggt
herausgehen und auf dem L-54dual ungetaggt auf LAN-2 herauskommen - und
die Antworten den ganzen Weg entsprechend zurück...
Gruß Alfred
so auf den ersten Blick sehe ich da keine Fehler, bezüglich VLAN 10 und 20 ist
der Aufbau ja symmetrisch. Die naheliegendste Methode wäre, von der virtuellen
Maschine auf der anderen Seite eine Maschine anzupingen und Stück für Stück
mittels Ethernet/WLAN/Bridge-Trace zu schauen, wo die Pakete stecken bleiben. Am
OAP sollten sie getaggt mit VLAN-ID 20 ankommen, dann auf P2P-1-2 ungetaggt
herausgehen und auf dem L-54dual ungetaggt auf LAN-2 herauskommen - und
die Antworten den ganzen Weg entsprechend zurück...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Raudi
- Beiträge: 577
- Registriert: 16 Jul 2005, 18:25
- Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen
So, ich habe nun mal etwas analysiert:
Ich pinge von einer VM, über das VLAN 20, eine IP auf der anderen Seite der WLAN Strecke an.
In der VM sehe ich im Netzwerk-Monitor Trace nur das ein ARP Request für die entsprechende IP gesendet wird. Auf dem OAP-54, dem Access Point der auf meiner Seite steht sehe ich zu dem Zeitpunkt folgendes:
- Im Bridge Trace nur dieses:
- Im Ethernet trace taucht kein Paket auf, welches von der oben genannten MAC kommt oder die VLAN ID 20 hat.
- Im ARP Trace kommt auch nichts.
- Im WLAN Trace finde ich die MAC auch nicht.
Es sieht so aus, als wüsste der OAP-53 nicht wohin mit den Paketen... Das VLAN 20 scheint am OAP-53 anzukommen, sonst würde das nicht im Bridge Trace auftauchen. Wenn ich über das VLAN 10 eine IP auf der anderen Seite anpinge, dann sieht das so aus:
Wenn ich mir das so anschaue, dann würde im ersten Trace diese Zeile fehlen:
forwarding 64 bytes to ifc P2P-1-2
Muss ich irgendwo das P2P-1-2 noch extra aktivieren? Kann man das irgendwie prüfen? Im LANmonitor sieht man das ja scheinbar nicht.
Gruß
Stefan
Ich pinge von einer VM, über das VLAN 20, eine IP auf der anderen Seite der WLAN Strecke an.
In der VM sehe ich im Netzwerk-Monitor Trace nur das ein ARP Request für die entsprechende IP gesendet wird. Auf dem OAP-54, dem Access Point der auf meiner Seite steht sehe ich zu dem Zeitpunkt folgendes:
- Im Bridge Trace nur dieses:
Code: Alles auswählen
[Bridge] 2007/06/16 17:39:32,270
Bridge frame coming from ifc LAN-1:
00:50:56:95:2e:04 (VMWare 95:2e:04)-->ff:ff:ff:ff:ff:ff
VLAN Id 0x014 Prio 0
-->multi/broadcast
-->forwarding into own LSL stack- Im ARP Trace kommt auch nichts.
- Im WLAN Trace finde ich die MAC auch nicht.
Es sieht so aus, als wüsste der OAP-53 nicht wohin mit den Paketen... Das VLAN 20 scheint am OAP-53 anzukommen, sonst würde das nicht im Bridge Trace auftauchen. Wenn ich über das VLAN 10 eine IP auf der anderen Seite anpinge, dann sieht das so aus:
Code: Alles auswählen
[Bridge] 2007/06/16 18:19:22,700
Bridge frame coming from ifc LAN-1:
00:50:56:95:2f:a9 (VMWare 95:2f:a9)-->ff:ff:ff:ff:ff:ff
VLAN Id 0x00a Prio 0
-->multi/broadcast
-->forwarding into own LSL stack
-->forwarding 64 bytes to ifc P2P-1-1forwarding 64 bytes to ifc P2P-1-2
Muss ich irgendwo das P2P-1-2 noch extra aktivieren? Kann man das irgendwie prüfen? Im LANmonitor sieht man das ja scheinbar nicht.
Gruß
Stefan
Moin,
mal ganz dumm gefragt: ist das wirklich nur eine physikalische P2P-Strecke oder
hast Du zwei P2P-Strecken, eine zwischen dem ersten WLAN des OAP und des L-54
und eine zwischen deren zweiten Interfaces? Wenn dem so ist, dann wäre P2P-1-2
als Port-Angabe falsch, es müßte überall P2P-2-1 lauten.
Gruß Alfred
mal ganz dumm gefragt: ist das wirklich nur eine physikalische P2P-Strecke oder
hast Du zwei P2P-Strecken, eine zwischen dem ersten WLAN des OAP und des L-54
und eine zwischen deren zweiten Interfaces? Wenn dem so ist, dann wäre P2P-1-2
als Port-Angabe falsch, es müßte überall P2P-2-1 lauten.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Raudi
- Beiträge: 577
- Registriert: 16 Jul 2005, 18:25
- Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen
Nein, ich habe wirklich nur eine P2P Strecke, das 2. WLAN des OAP ist deaktiviert. Ich möchte über eine WLAN-Strecke 2 getrennte Netze übertragen.
Alternativ könnte ich doch auch noch das tagging auf P2P-1-1 einschalten und dann erst auf dem L-54 dual, auf der anderen Seite, die VLAN's auf die beiden LAN Posts auftrennen. Ist das vieleicht besser?
Gruß
Stefan
Alternativ könnte ich doch auch noch das tagging auf P2P-1-1 einschalten und dann erst auf dem L-54 dual, auf der anderen Seite, die VLAN's auf die beiden LAN Posts auftrennen. Ist das vieleicht besser?
Gruß
Stefan
Moin,
beiden VLANs so oder so teilen. Ich weiß ehrlich gesagt überhaupt nicht, was
passiert, wenn man zwei P2P-Links auf einer WLAN-Karte die gleiche Gegenstellen-
MAC-Adresse gibt (alle P2P-Links haben die gleiche MAC-Adresse, im Gegensatz zu
den logischen Netzen). Wenn ein Paket hereinkommt, muß man es anhand der
Quelladresse ja irgendeinem P2P-Link zuordnen...
Gruß Alfred
Das ist sicher die einfachere Variante und die Bandbreite müssen sich dielternativ könnte ich doch auch noch das tagging auf P2P-1-1 einschalten und dann erst auf dem L-54 dual, auf der anderen Seite, die VLAN's auf die beiden LAN Posts auftrennen. Ist das vieleicht besser?
beiden VLANs so oder so teilen. Ich weiß ehrlich gesagt überhaupt nicht, was
passiert, wenn man zwei P2P-Links auf einer WLAN-Karte die gleiche Gegenstellen-
MAC-Adresse gibt (alle P2P-Links haben die gleiche MAC-Adresse, im Gegensatz zu
den logischen Netzen). Wenn ein Paket hereinkommt, muß man es anhand der
Quelladresse ja irgendeinem P2P-Link zuordnen...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
Raudi
- Beiträge: 577
- Registriert: 16 Jul 2005, 18:25
- Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen
Ahh... 
Ich glaube der Groschen ist gefallen. (Das scheppern konnte man bestimmt noch in Aachen hören. 
)
Kann es sein, das Folgendes zusammen gehört?
P2P-1-1 ist die PzP zur Basisstation 1
P2P-1-2 ist die PzP zur Basisstation 2
usw.
Wenn dem so ist dann hätte man da aber anstatt "Basisstation" besser irgendwas wo "P2P-1-1" bis "6" vorkommt geschrieben, denn das habe ich so überhaupt nicht in Zusammenhang gebracht. Nun ist es klar, es sind 6 Basisstationen und daher sind es P2P-1-1 bis 6...
Das bedeutet für mich, ich trage bei Basisstation 2 einfach mal die gleiche MAC ein. Mal sehen was dann passiert. (Werde mir sicherheitshalber vorher ein VPN zur anderen Seite einrichten, damit ich nicht hinfahren muss, wenn gar keine Daten mehr rüber gehen...)
Wennd as nicht funktioniert, werde ich das getaggte VLAN einfach bis zur Gegenstelle verlängern.
Gruß
Stefan
Ich glaube der Groschen ist gefallen. (Das scheppern konnte man bestimmt noch in Aachen hören. )Kann es sein, das Folgendes zusammen gehört?
P2P-1-1 ist die PzP zur Basisstation 1
P2P-1-2 ist die PzP zur Basisstation 2
usw.
Wenn dem so ist dann hätte man da aber anstatt "Basisstation" besser irgendwas wo "P2P-1-1" bis "6" vorkommt geschrieben, denn das habe ich so überhaupt nicht in Zusammenhang gebracht. Nun ist es klar, es sind 6 Basisstationen und daher sind es P2P-1-1 bis 6...
Das bedeutet für mich, ich trage bei Basisstation 2 einfach mal die gleiche MAC ein. Mal sehen was dann passiert. (Werde mir sicherheitshalber vorher ein VPN zur anderen Seite einrichten, damit ich nicht hinfahren muss, wenn gar keine Daten mehr rüber gehen...)
Wennd as nicht funktioniert, werde ich das getaggte VLAN einfach bis zur Gegenstelle verlängern.
Gruß
Stefan
Moin,
der Gegenstellen-MAC-Adresse x in den Interpoint-Einstellungen konfiguriert.
Solange man dort keine MAC-Adresse ungleich 000000000000 einträgt, ist
dieser P2P-Link nicht konfiguriert und dementsprechend auch 'down' - es
können keine Pakete darüber übertragen werden.
dann wird einfach alles transparent von LAN-1 auf P2P-1-1 durchgereicht und man
muß VLAN-mäßig gar nichts konfigurieren.
Gruß Alfred
Sicher, was denn sonst? P2P-1-x ist die P2P-Strecke, die man durch AngabeKann es sein, das Folgendes zusammen gehört?
P2P-1-1 ist die PzP zur Basisstation 1
P2P-1-2 ist die PzP zur Basisstation 2
der Gegenstellen-MAC-Adresse x in den Interpoint-Einstellungen konfiguriert.
Solange man dort keine MAC-Adresse ungleich 000000000000 einträgt, ist
dieser P2P-Link nicht konfiguriert und dementsprechend auch 'down' - es
können keine Pakete darüber übertragen werden.
Wie ich schon schrieb, glaube ich nicht, daß das funktioniert...Das bedeutet für mich, ich trage bei Basisstation 2 einfach mal die gleiche MAC ein.
...genau das. Du könntest auf dem OAP auch VLAN komplett abschalten,Wennd as nicht funktioniert, werde ich das getaggte VLAN einfach bis zur Gegenstelle verlängern.
dann wird einfach alles transparent von LAN-1 auf P2P-1-1 durchgereicht und man
muß VLAN-mäßig gar nichts konfigurieren.
Gruß Alfred
-
Raudi
- Beiträge: 577
- Registriert: 16 Jul 2005, 18:25
- Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen
Ja, wenn man das ganze das erste mal macht ist das halt nicht so leicht. Ich war der Meinung, das die P2P-1-1 bis 6 einfach logische Netzwerke sind so wie die WLAN-1-1 bis 8.
Wie gesagt, die Verbindung des Begriffs P2P-1-1 zur MAC der Basisstation 1 habe ich einfach nicht realisiert. Hätte da anstatt "Basisstation 1", "MAC der Gegenstelle P2P-1-1" gestanden, dann fällt das gleich ins Auge, da dann an den X Stellen der Konfiguration der gleiche Begriff verwendet wird und man kann gleich die Zusammgehörigkeit erkennen. Mal evtl. auch so als Verbesserungsvorschlag.
Wenn man den Zusammenhang erkannt hat, klar dann ist es logisch...
Ja und wie Du bereits vermutet hast, das mit 2x der gleichen MAC funktionierte nicht.
Aber dafür habe ich das nun mit dem VLAN's auf die Reihe bekommen. Aber ich tagge auch noch auf dem OAP... Und da es so nun funktioniert möchte ich erstmal nichts dran ändern. Denn da kann man sich ja doch recht schnell aussprerren. Die Konfiguration soll ja auch nur über das VLAN 10 funktionieren...
Beste Dank für Deine Hilfe und ich wünsche noch einen schönen Sonntag!
Gruß
Stefan
Wie gesagt, die Verbindung des Begriffs P2P-1-1 zur MAC der Basisstation 1 habe ich einfach nicht realisiert. Hätte da anstatt "Basisstation 1", "MAC der Gegenstelle P2P-1-1" gestanden, dann fällt das gleich ins Auge, da dann an den X Stellen der Konfiguration der gleiche Begriff verwendet wird und man kann gleich die Zusammgehörigkeit erkennen. Mal evtl. auch so als Verbesserungsvorschlag.
Wenn man den Zusammenhang erkannt hat, klar dann ist es logisch...
Ja und wie Du bereits vermutet hast, das mit 2x der gleichen MAC funktionierte nicht.
Aber dafür habe ich das nun mit dem VLAN's auf die Reihe bekommen. Aber ich tagge auch noch auf dem OAP... Und da es so nun funktioniert möchte ich erstmal nichts dran ändern. Denn da kann man sich ja doch recht schnell aussprerren. Die Konfiguration soll ja auch nur über das VLAN 10 funktionieren...
Beste Dank für Deine Hilfe und ich wünsche noch einen schönen Sonntag!
Gruß
Stefan
-
Raudi
- Beiträge: 577
- Registriert: 16 Jul 2005, 18:25
- Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen
Irgendwie habe ich hier nun noch ein Routing-Problem auf MAC Ebene. Das Problem scheint der 1721 VPN zu verursachen, den den wollte ich mit dem Intranet Interface an das 10er VLAN und mit dem DMZ Interface an das 20er VLAN Anschließen. (Das 10er LAN steckt auf einem Switch mit allen anderen Clients und das 20er LAN ist direckt vom LAN Port 2 des L-54 dual in den DMZ Port des 1721 gesteckt.)
Das Problem ist nun aber scheinbar, das beide Interfaces die gleiche MAC haben.
Pinge ich das Intranet Interface an kommen die Antworten so lange, bis ich ein mal das DMZ Interface anpinge. Dann kommen Antworten vom DMZ Interface und Timeouts vom Intranet Interface.
Auch auf anderen Arbeitsstationen kommen in genau dem Moment nur noch Timeouts vom Intranet Interface.
Lösche ich nun an einem der Clients den lokalen ARP Cache und pinge wieder das Intranet Interface an wird ein ARP Request über das WLAN geschickt und ich kann das Intranet Interface von überall wieder anpingen.
Langsam raucht mir der Kopf...
Nur auf dem 1721 habe ich etwas in den ARP Tabellen gefunden, auf den anderen war keine der IP's zu sehen. Aber das hier ist korrekt:
192.168.90.5 005056950069 DMZ-1 ETH-3
192.168.97.5 005056952fa9 LAN-1 ETH-1
Das sind die IP und MAC Adresen der beiden Karten, die meine Test Virtuelle Maschine hat.
Ich bin ratlos...
Gruß
Stefan
Das Problem ist nun aber scheinbar, das beide Interfaces die gleiche MAC haben.
Pinge ich das Intranet Interface an kommen die Antworten so lange, bis ich ein mal das DMZ Interface anpinge. Dann kommen Antworten vom DMZ Interface und Timeouts vom Intranet Interface.
Auch auf anderen Arbeitsstationen kommen in genau dem Moment nur noch Timeouts vom Intranet Interface.
Lösche ich nun an einem der Clients den lokalen ARP Cache und pinge wieder das Intranet Interface an wird ein ARP Request über das WLAN geschickt und ich kann das Intranet Interface von überall wieder anpingen.
Langsam raucht mir der Kopf...
Nur auf dem 1721 habe ich etwas in den ARP Tabellen gefunden, auf den anderen war keine der IP's zu sehen. Aber das hier ist korrekt:
192.168.90.5 005056950069 DMZ-1 ETH-3
192.168.97.5 005056952fa9 LAN-1 ETH-1
Das sind die IP und MAC Adresen der beiden Karten, die meine Test Virtuelle Maschine hat.
Ich bin ratlos...
Gruß
Stefan
Moin,
das ist richtig, die MAC-Adresse ist identisch. Der Haken ist die Bridge im L54dual,
die die MAC-Adresse des 1721 entweder auf LAN-1 oder LAN-2 lernt. Eine Lösung
kann ich dafür im Moment nicht abieten. Andere VLAN-fähige Geräte haben eine
Adreß-Tabelle pro VLAN, das hat die Bridge im LCOS im Moment nicht. Die Erweiterung
ist nicht ganz trivial, deshalb ist es bisher nicht passiert...
Gruß Alfred
das ist richtig, die MAC-Adresse ist identisch. Der Haken ist die Bridge im L54dual,
die die MAC-Adresse des 1721 entweder auf LAN-1 oder LAN-2 lernt. Eine Lösung
kann ich dafür im Moment nicht abieten. Andere VLAN-fähige Geräte haben eine
Adreß-Tabelle pro VLAN, das hat die Bridge im LCOS im Moment nicht. Die Erweiterung
ist nicht ganz trivial, deshalb ist es bisher nicht passiert...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Moin,
wenn es in Deiner Anwendung irgendwie paßt, könntest Du ein WAN-Interface (DSL-...)
mit transparenter Verbindung und ohne Maskierung anstelle der DMZ nehmen. WAN-
Verbindunge können mit lokaler oder frei definierbarer MAC-Adresse arbeiten.
Gruß Alfred
wenn es in Deiner Anwendung irgendwie paßt, könntest Du ein WAN-Interface (DSL-...)
mit transparenter Verbindung und ohne Maskierung anstelle der DMZ nehmen. WAN-
Verbindunge können mit lokaler oder frei definierbarer MAC-Adresse arbeiten.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015