port op meerdere VLAN's [HP Procurve 2626] - Netwerken

maandag 1 oktober 2012 13:50

Acties:

Topicstarter

Goedemiddag,

Ik ben met mijn HP procurve 2626 aan het stoeien om het volgende aan de praat te krijgen:

Poort1: Uplink naar internet
Poort2-10: Werkstations afdeling A
Poort 11-24: Werkstations afdeling B

De Vlan's zijn dan ook:
VLAN1: poort 1
VLAN2: poort 2-10
VLAN3: poort 11-24

Ik wil graag dat alle Vlan's toegang hebben tot internet.
Ik heb me een breuk gezocht naar de juiste settings hiervoor.
Momenteel draait de switch als volgt:

vlan 1
name "DEFAULT_VLAN"
untagged 1
ip address dhcp-bootp
no untagged 1-16
ip igmp
exit
vlan 2
name "Afdeling A"
untagged 2-10
tagged 1
exit
vlan 3
name "Afdeling B"
untagged11-24
tagged 1
exit

Maar dit werkt niet, geen van de afdelingen hebben nu internet...
Heeft iemand enig idee hoe ik dit moet gaan instellen?

maandag 1 oktober 2012 14:00

Acties:

basz

Professioneel prutser

Wat zit er achter die uplink-poort naar internet?

maandag 1 oktober 2012 14:01

Acties:

sjender101

Topicstarter

Een internetmodem van UPC.
Is dat relevant?
Moet er iets op de modem worden ingesteld?

maandag 1 oktober 2012 14:03

Acties:

basz

Professioneel prutser

Dan heb je NAT-routing nodig. De 2626 kan wel routing, maar ik kan nergens uit opmaken of hij NAT kan.
Tenzij je modem van UPC ook al router is, dan moet je die als gateway gebruiken in je 2626.

[ Voor 31% gewijzigd door basz op 01-10-2012 14:04 ]

maandag 1 oktober 2012 14:04

Acties:

kraats

Ik rol

Als je op de switch de vlans een ip-adres geeft kun je gaan routeren tussen de vlans en zo dus ook internet beschikbaar gaan maken binnen die vlans.

edit:
Tagged vlan1 op alle andere poorten beschikbaar stellen wil niet zeggen dat de clients deze ook gaan zien (is niet zomaar te regelen in een client pc). Je zult met aparte routeringen tussen de vlans moeten gaan werken, óf een internetrouter hebben die je tagged meerdere vlans kunt geven en die daar mee om kan gaan.

[ Voor 52% gewijzigd door kraats op 01-10-2012 14:06 ]

Waar is Jos de Nooyer toch gebleven?

maandag 1 oktober 2012 14:05

Acties:

Verwijderd

kraats schreef op maandag 01 oktober 2012 @ 14:04:
Als je op de switch de vlans een ip-adres geeft kun je gaan routeren tussen de vlans en zo dus ook internet beschikbaar gaan maken binnen die vlans.

Wat hij zegt.
Dus globaal ip routing aanzetten, ip default gateway naar je modem zetten en op elk vlan een ip address setten welke als default-gateway voor je clients in dat vlan gaat dienen.

maandag 1 oktober 2012 14:06

Acties:

TWeaKLeGeND

http://www.skullbox.net/hp_procurve_vlan.php

Dit zou moeten helpen met IP's geven, waarna je kan routeren.

maandag 1 oktober 2012 14:08

Acties:

basz

Professioneel prutser

Verwijderd schreef op maandag 01 oktober 2012 @ 14:05:
[...]

Wat hij zegt.
Dus globaal ip routing aanzetten, ip default gateway naar je modem zetten en op elk vlan een ip address setten welke als default-gateway voor je clients in dat vlan gaat dienen.

Precies, dat. Op voorwaarde dat het UPC-modem NAT-router speelt. Tenzij het een trunk oid is natuurlijk, maar die indruk werd door ts niet gewekt.

maandag 1 oktober 2012 14:26

Acties:

sjender101

Topicstarter

OK, dat zet me wel op het goede been denk ik.
Nog 1 vraagje:

De default gateway naar de UPC modem is 192.168.1.1 .
Dit staat ook ingesteld op VLAN1

Nu heb ik op VLAN2 het adres 192.168.2.1 255.255.255.0 gezet. (ik kon niet in hetzelfde netwerk als de default gataway van VLAN1 zitten).

Op 1 machine in VLAN2 heb ik de settings als volgt:
IP: 192.168.2.100
MASK: 255.255.255.0
GW: 192.168.2.1

Dit werkt echter niet, zit ik wel op de juiste weg, of heb ik het verkeerd begrepen?

edit: met "dit werkt niet" bedoel ik dat de machine in VLAN2 geen internet verbinding heeft.

[ Voor 8% gewijzigd door sjender101 op 01-10-2012 14:27 ]

maandag 1 oktober 2012 14:31

Acties:

basz

Professioneel prutser

Kan je vanaf die machine wel pingen maar 192.168.1.1?

Check gelijk of je kan pingen naar

62.69.166.254

en

nu.nl

[ Voor 39% gewijzigd door basz op 01-10-2012 14:32 ]

maandag 1 oktober 2012 14:33

Acties:

sjender101

Topicstarter

Nee, ook daar kom ik niet bij.
Wel kan ik pingen naar de eigen gateway (192.168.2.1)

maandag 1 oktober 2012 14:34

Acties:

basz

Professioneel prutser

Even controleren of routing helemaal goed staat ingesteld op de 2626. Staan voorbeelden van op internet. Met name default gateway is belangrijk, volgens mij moet je die voor de hele 2626 instellen en niet alleen voor een VLAN

maandag 1 oktober 2012 14:40

Acties:

sjender101

Topicstarter

Wanneer ik de poort waar de testmachine op staat verplaats naar VLAN1 werkt het direct.
Dat zou betekenen dat de gateway goed is ingesteld toch?

maandag 1 oktober 2012 14:41

Acties:

basz

Professioneel prutser

Ligt eraan. Heeft de testmachine dan nog steeds dat 192.168.2.x-adres of krijgt de testmachine dan een 192.168.1.x-adres?

[ Voor 4% gewijzigd door basz op 01-10-2012 14:42 ]

maandag 1 oktober 2012 14:42

Acties:

sjender101

Topicstarter

Die krijgt dan een 192.168.1.X adres en de gateway ook op 192.168.1.1

maandag 1 oktober 2012 14:45

Acties:

basz

Professioneel prutser

Dan is het logisch dat het in VLAN1 wel werkt, want dat is het VLAN wat speelt als switch voor je modem. De routing tussen de VLAN's is dus nog niet in orde.

maandag 1 oktober 2012 14:49

Acties:

sjender101

Topicstarter

OK, dat is duidelijk.(en enorm bedankt voor je hulp hiermee!!!)

Hier is een uitdraai van de huidige settings:

ip default-gateway 192.168.1.1
snmp-server community "public" Unrestricted
vlan 1
name "Uplink"
untagged 1
ip address dhcp-bootp
no untagged 1-16
ip igmp
exit
vlan 2
name "afdeling A"
untagged 2-10
ip address 192.168.0.1 255.255.255.0
tagged 1
exit
vlan 3
name "Afdeling B"
untagged 11-24
ip address 192.168.2.1 255.255.255.0
tagged 1
exit

Mijn testmachine zit op poort 15 (afdeling B )
En heeft 192.168.2.1 als GW en 192.168.2.10 als IP MASK 255.255.255.0

maandag 1 oktober 2012 14:50

Acties:

basz

Professioneel prutser

Als het goed is, kan je het ip van VLAN3 pingen vanuit je testmachine in VLAN2 als de routing op de 2626 goed ingesteld staat. Probeer eens te pingen naar 192.168.3.1

correctie: VLAN3 naar VLAN2 en 192.168.0.1 dus.

ping 192.168.0.1

Opnieuw. Ping 192.168.0.1 vanaf je testpc in VLAN3 en kijk of je reply krijgt.

[ Voor 36% gewijzigd door basz op 01-10-2012 14:52 ]

maandag 1 oktober 2012 14:54

Acties:

sjender101

Topicstarter

Misschien een stom idee, maar hoe kan ik ooit vanaf aan VLAN met IP 192.168.0.1 pingen naar 192.168.1.1 met een MASK van 255.255.255.0?

p.s. ik heb hierboven de huidige settings gepost.

edit: de voorgestelde ping werkt ook niet

[ Voor 10% gewijzigd door sjender101 op 01-10-2012 14:54 ]

maandag 1 oktober 2012 14:57

Acties:

noloog

Ik dacht eigenlijk in dit geval dat je dan poort 1 moet trunken zodat hij alle vlans aan kon spreken.

maandag 1 oktober 2012 14:59

Acties:

basz

Professioneel prutser

sjender101 schreef op maandag 01 oktober 2012 @ 14:54:
Misschien een stom idee, maar hoe kan ik ooit vanaf aan VLAN met IP 192.168.0.1 pingen naar 192.168.1.1 met een MASK van 255.255.255.0?

Dat is bijna exact wat routing dus juist wél mogelijk maakt. Zonder routing kan dat niet, met routing wel. En geen routing = geen internet in jouw geval.

Nog beter is om een pc in VLAN2 te proberen te pingen vanuit VLAN3, dan weet je zeker of de routing helemaal end-to-end werkt of niet. (Wel even in VLAN2 testen of die pc überhaupt pingbaar is he..)

[ Voor 19% gewijzigd door basz op 01-10-2012 15:00 ]

maandag 1 oktober 2012 15:07

Acties:

sjender101

Topicstarter

Ik probeer dus nu op de switch het volgende in te stellen:
ip route 0.0.0.0 0.0.0.0 192.168.1.1.
Dat is wat je bedoelt met routing neem ik aan?
Krijg alleen de melding: 0.0.0.0/0 next-hop 192.168.1.1: Inconsistent value.

maandag 1 oktober 2012 15:10

Acties:

kraats

Ik rol

Krijgt je switch wel een ip-adres van je internetrouter? Die staat nu op DHCP, maar ik kan me voorstellen dat dat niet goed gaat. Geef 'm eens een vast ip-adres in de reeks van je router (bijv. 192.168.1.2 255.255.255.0) en kijk of je routering dan meer doet?
Let wel: Door deze routering 'aan' te zetten kunnen de werkstations elkaar onderling ook benaderen, terwijl je dit volgens mij juist wilt beperken. Dan zul je met access-lists moeten gaan werken om dit tegen te gaan

Waar is Jos de Nooyer toch gebleven?

maandag 1 oktober 2012 15:16

Acties:

sjender101

Topicstarter

Ik heb DHCP nu uitgezet en de switch (VLAN1) een ander IP gegeven

maandag 1 oktober 2012 15:20

Acties:

basz

Professioneel prutser

En is er iets anders of ben je nog aan het testen?

maandag 1 oktober 2012 15:20

Acties:

sjender101

Topicstarter

Stapje verder: Ik kan nu vanaf de testmachine wel de IP's van de andere VLAN's pingen.
Alleen kan ik nog geen IP adres op 'het internet' pingen:
Antwoord van 192.168.2.1: De doelhost is niet bereikbaar.

maandag 1 oktober 2012 15:21

Acties:

basz

Professioneel prutser

192.168.2.1 is niet het internet. Ping eens naar je modem nu?

Maar je kan dus wel de andere vlan's pingen maar niet het ip van je eigen vlan? Of was het een typo?

[ Voor 46% gewijzigd door basz op 01-10-2012 15:22 ]

maandag 1 oktober 2012 15:22

Acties:

sjender101

Topicstarter

Modem is niet te pingen.
Ik ben me bewust dat 192.168.2.1 niet het internet is, dit is het IP van de VLAN waar de PC in zit

edit: ter info: modem zit op 192.168.1.1 (tevens de GW van de switch)

[ Voor 22% gewijzigd door sjender101 op 01-10-2012 15:22 ]

maandag 1 oktober 2012 15:24

Acties:

basz

Professioneel prutser

Ok. Dus je kan pc's uit 192.168.0.x nu wel pingen, terwijl het ip van de machine waarvandaan je dat probeert in 192.168.2.x zit. Correct?

maandag 1 oktober 2012 15:25

Acties:

sjender101

Topicstarter

Niet helemaal.
Ik kan alle VLAN adressen pingen vanuit VLAN3.
Niet de machines die daarin zitten (maar dat wil ik ook niet).

maandag 1 oktober 2012 15:31

Acties:

basz

Professioneel prutser

Als je de VLAN-ip's kan pingen is dat ook niet direct een garantie dat routing dus werkt, maar als het niet zou kunnen was het een aanknopingspunt geweest.

Als je geen access-lists gebruikt en nu de pc's in een ander VLAN niet kan pingen, is de routing nog niet goed. Daar zit echt het hele probleem. De rest lijkt prima te werken verder.

Lees dit document eens (beginnen bij pag 409)

http://www.pdfdocspace.com/ddata/40201.pdf

maandag 1 oktober 2012 15:53

Acties:

_Hades_

Ik zie in je confing nog niet dat ip routing aan staat. type eens in de global config "ip routing" in (zonder quotes natuurlijk). Als het goed is kun je dan de router pingen.

maandag 1 oktober 2012 15:56

Acties:

sjender101

Topicstarter

Na 5 timeoutes (?!) komt hij er nu wel door (de router op 192.168.1.1).
Maar als ik dan een IP adres op het internet ping, dan nog steeds timeouts.

maandag 1 oktober 2012 16:41

Acties:

DJSmiley

Je modem/router moet ook nog een route terug weten. Hij is zelf 192.168.1.0/24.

192.168.0.1/24 en 192.168.2.1/24 kent ie niet, en zal ie (dus) proberen richting z'n default gateway (=verderop in het upc netwerk) te sturen.

Je moet dus op je routerding 2 routes maken:
192.168.0.0/24 via ip address dhcp-bootp (ik zou deze dus daarom static maken, en niet via dhcp)

idem voor 192.168.2.0/24

maandag 1 oktober 2012 17:03

Acties:

sjender101

Topicstarter

Bedankt!
Ik ga er morgen mee verder stoeien!
\