Switch/VLAN Konfiguration auf einer Netgate XG-7100

johndo

@NOCling

Hi,

ja, mir fehlen da die Grundlagen daher frage ich ja :). Bei meiner SG-3100 ist mir das auch klar wie es funktioniert. Da gehe ich einfach mit einem Netzwerkport auf meinen Switch und fertig. Ich konfiguriere dann auf meinem Switch die VLANS und fertig. Sprich über diesen einen Port an meiner SG-3100 läuft dann alles.

Bei der XG-7100 möchte ich das anderst machen. Eigentlich gar nicht weil ich es benötige sondern weil ich es verstehen möchte wie es geht :).
Wenn ich es nicht hinbekomme dann lasse ich es einfach so wie es aktuell ist und verwende einfach für jeden Port ein eigenes VLAN, diese konfig habe ich verstanden.

Grundsätzlich war meine Überlegung folgende.

IP Subnetz 192.168.10.0/24 - Management LAN - VLAN 1000 - ETH8 Port
Darin befinden sich nur Netzwerkgeräte wie Firewall, Switches, Access Points etc...

IP Subnetz 192.168.20.0/24 - Server LAN - VLAN 1001 - ETH2 Port
Darin befinden sich VMWare Server, VMWares, Drucker etc..

IP Subnetz 192.168.30.0/24 - Client LAN - VLAN 1002 - ETH3 Port
Darin befinden sich Client Geräte wie Workstations, Notebooks, Tablets etc..

IP Subnetz 192.168.100.0/24 - DMZ Netz - VLAN 2000 - ETH4 Port
Darin befinden sich VMWare Server, VMWares die von außen erreichbar sind.

IP Subent 192.168.200.0/24 - Gäste WLAN - VLAN 2001 - ETH4 Port
Darin befinden sich Gastgeräte.

Das heißt die einzelnen Subnetze möchte ich in eigene VLANS packen und auch an eigene Ports an der Firewall hängen.
Außer DMZ sowie Gäste WLAN das möchte ich zwar VLAN seitig trennen aber an den gleichen Netzwerkport ETH4 anschließen.

Da heißt ich habe vier Netzwerkkabel (WAN ausgenommen) die von meinem Netgate Switch auf einen Cisco Switch gehen.
Auf dem Cisco Switch mache ich dann für jeden Port das tagging. Dort ist mir auch klar wie das funktioniert, ich gehe einfach auf den Port und setze die VLANS die ich benötige und fertig.

EDIT:
Oder noch weiter vorne angefangen, ich möchte die gesammte Bandbreite von dem internen Netgate Switch (ETH1-ETH8) nutzen können.

NOCling

Dann musst du auf der Netgate für Vlan 2001 Port 4t,9t,10t eintragen, da du Vlan 2000 ja schon untagged nutzt, also kannst du 2001 nur tagged zusätzlich da drauf packen.

Für den Port am Cisco muss du dann in der CLI folgendes für den Port setzen:

switchport trunk dot1q (otional)
switchport mode trunk
switchport trunk nativ vlan 2000
switchport trunk allwoed vlan 2000,2001
switchport nonegotiate

Dann ist der Port am Cisco als Access im Vlan 2000 und nimmt zudem die tagged Frames von VLAN 2001 entgegen und leitet die intern an alle Ports weiter die ebenfalls für das Vlan 2001 konfiguriert sind.

Sehr gut lässt sich das mit PVST+ als Spanning Tree Topologie darstelle, da jedes VLAN hier eine eigene Topologie aufbaut.
Mag am Anfang ein wenig verwirren, jedoch ist das später, wenn man STP verstanden hat ziehmlich geil für die Fehlersuche.

JeGr

Ich würde ggf. versuchen statt untagged/tagged zu mixen einfach nur tagged zu sprechen auf einem physischen Interface - da bin ich pingelig und mag es lieber ordentlich. Aber geht natürlich beides.