Ik heb een leuk (nou...) probleem bij een klant gevonden waar ik geen directe oplossing voor kan vinden, ik hoop dat iemand hier ons verder kan helpen.
Samenvatting van het probleem: als ik op een HP Procurve layer 3 switch IP routing aanzet, wordt de scheiding tussen VLANs volledig genegeerd.
Uitgebreide beschrijving:
Het netwerk bestaat uit diverse vestigingen die met een layer 2 netwerk zijn gekoppeld, ingedeeld in VLANs. Voor de koppeling wordt gebruik gemaakt van HP Procurve 3400cl layer 3 switches, omdat die IP routing bieden voor het routeren tussen de verschillende vestigingen.
Iedere vestiging heeft 2 subnets, een voor de data en een voor VoIP.
In schema:
Het probleem is nu dat er voor Layer 3 switches is gekozen op advies van KPN, aangezien zij de VoIP implementatie hebben gedaan. Echter: zodra IP routing wordt enabled (wat nodig is voor het routeren van het verkeer tussen de vestigingen) wordt door de switch de scheiding in VLANs volledig genegeerd en kan iedereen op ieder subnet alles op alle andere subnetten bereiken.
Dit klinkt in basis logisch (waarom heb je anders IP routing?) maar ik wil de scheiding kunnen aanbrengen in de routing om de VLANs toch te scheiden, dus dat VLAN2 wordt gerouteerd naar VLAN2 en VLAN3 naar VLAN3, en niet onderling.
Ik heb al met access lists gewerkt, harde fixed routeringen en het blokkeren van bepaalde VLANs op poorten van een ander VLAN...helaas allen nog zonder resultaat.
De (sterk vereenvoudigde) config van switch 1 (zoals hij nu in een testsituatie staat):
En switch 2:
Zoals je ziet loopt het verkeer tussen de switches over een trunk die is gekoppeld op poort 48.
Heeft iemand enig idee hoe ik de 'harde' VLAN scheiding voor elkaar kan krijgen? Ik ben dus eigenlijk op zoek naar 'per-VLAN-routing'...
Alvast bedankt,
Mark.
Samenvatting van het probleem: als ik op een HP Procurve layer 3 switch IP routing aanzet, wordt de scheiding tussen VLANs volledig genegeerd.
Uitgebreide beschrijving:
Het netwerk bestaat uit diverse vestigingen die met een layer 2 netwerk zijn gekoppeld, ingedeeld in VLANs. Voor de koppeling wordt gebruik gemaakt van HP Procurve 3400cl layer 3 switches, omdat die IP routing bieden voor het routeren tussen de verschillende vestigingen.
Iedere vestiging heeft 2 subnets, een voor de data en een voor VoIP.
In schema:
Het probleem is nu dat er voor Layer 3 switches is gekozen op advies van KPN, aangezien zij de VoIP implementatie hebben gedaan. Echter: zodra IP routing wordt enabled (wat nodig is voor het routeren van het verkeer tussen de vestigingen) wordt door de switch de scheiding in VLANs volledig genegeerd en kan iedereen op ieder subnet alles op alle andere subnetten bereiken.
Dit klinkt in basis logisch (waarom heb je anders IP routing?) maar ik wil de scheiding kunnen aanbrengen in de routing om de VLANs toch te scheiden, dus dat VLAN2 wordt gerouteerd naar VLAN2 en VLAN3 naar VLAN3, en niet onderling.
Ik heb al met access lists gewerkt, harde fixed routeringen en het blokkeren van bepaalde VLANs op poorten van een ander VLAN...helaas allen nog zonder resultaat.
De (sterk vereenvoudigde) config van switch 1 (zoals hij nu in een testsituatie staat):
hostname "SWITCH1" ip routing vlan 1 name "DEFAULT" forbid 2-3,48 untagged 1,4-47 no ip address vlan 2 name "VOIP" forbid 1,3-47 untagged 2 tagged 48 ip address 10.1.2.1 255.255.255.0 vlan 3 name "DATA" forbid 1-2,4-47 untagged 3 tagged 48 ip address 10.1.3.1 255.255.255.0 ip route 10.2.2.0 255.255.255.0 10.2.2.1 ip route 10.2.3.0 255.255.255.0 10.2.3.1
En switch 2:
hostname "SWITCH2" ip routing vlan 1 name "DEFAULT" forbid 2-3,48 untagged 1,4-47 no ip address vlan 2 name "VOIP" forbid 1,3-47 untagged 2 tagged 48 ip address 10.2.2.1 255.255.255.0 vlan 3 name "DATA" forbid 1-2,4-47 untagged 3 tagged 48 ip address 10.2.3.1 255.255.255.0 ip route 10.1.2.0 255.255.255.0 10.1.2.1 ip route 10.1.3.0 255.255.255.0 10.1.3.1
Zoals je ziet loopt het verkeer tussen de switches over een trunk die is gekoppeld op poort 48.
Heeft iemand enig idee hoe ik de 'harde' VLAN scheiding voor elkaar kan krijgen? Ik ben dus eigenlijk op zoek naar 'per-VLAN-routing'...
Alvast bedankt,
Mark.
:strip_icc():strip_exif()/u/26075/crop645a133d5627c_cropped.jpg?f=community)