VLAN’s kurz erklärt – HP Procurve und VMware ESXi

Anlegen von Netzwerken auf den ESXi Servern

  • Auf den ESXi Servern können neue virtuelle Netzwerke angelegt werden
  • Der Netzwerkname (Network Label) muss dabei auf allen ESX Servern gleich lauten (Groß-/Kleinschreibung beachten) und überall angelegt werden
  • Zu jedem virtuellen Netzwerk kann auch eine VLAN Nummer (VLAN ID) mitgegeben werden

HP-Procurve Switch Grundlagen

Auf jedem HP-Procurve Switch existiert schein ein VLAN mit der Nummer 1 (Default), das man nicht löschen darf
Auf den HP-Procurve Switche gibt es zwei Begriffe, die hier kurz erläutert werden müssen:

  • Trunk: Mit Trunk ist hier das Zusammenfassen mehrerer Ports gemeint, so daß mehr Datendurchsatz erreicht werden kann.
  • VLAN: Wenn ein Netzwerkkabel an einen Port angeschlossen ist, können die Netzwerkpakete zusätzlich „ver- oder entgepackt“ werden. Beim verpacken werden die Netzwerkpakete mit einer Nummer versehen werden (VLAN ID), dabei müssen wir bei der Konfiguration die Porteinstellmöglichkeiten unterscheiden:
    • Portkennzeichnung mit „T“ = An diesem Port kommt Netzwerkverkehr an, der schon „eingepackt“ (tagged) ist. Die Ports der ESXi Server (vmnic3+7) sind solche T-Ports.
    • Portkennzeichnung mit „U“ = An diesem Port kommt Netzwerkverkehr an, der NICHT „eingepackt“ (untagged) ist und der Switch packt dieses Paket dann entsprechende ein. Hier stecken wir als Beispiel ein Anlagennetz ein (weil eine Maschine keine VLAN ID setzen kann) und der Switch kennzeichnet die Netzwerkpakete dann mit der entsprechenden VLAN ID.
    • Portkennzeichnung mit „E“ = Die VLAN Konfiguration für diese VLAN ID wird nicht angewendet.

Beispielszenario

Grundsätzlich gilt: Man muss jedem Switchport (ich spreche hier von den einzelnen Anschlussbuchsen am Switch) 3 Informationen mitteilen:

  1. zu welchem VLAN der Traffic gehört, der im jeweiligen Port vom daran angeschlossenen Client ankommt
    1. Kann das Gerät selber VLAN’s erzeugen, ist beim HP-Procurve Switch ein „T“ zu wählen
    2. Kann das Gerät selber keine VLAN’s erzeugen, ist beim HP-Procurve Switch ein „U“ zu wählen
  2. welche anderen VLANs durch diesen Port nach Aussen (also zum daran angeschlossenen Client) kommunizieren dürfen
  3. ob das an diesen Port angeschlossene Gerät die Information braucht, aus welchem VLAN der jeweilige Traffic ursprünglich stammte
    1. Somit ist beim HP-Procurve Switch ein „T“ zu wählen

ZIEL: 3 voneinander komplett getrennte VLAN’s in 2 Räumen/Stockwerken/Gebäuden, die einen gemeinsamen Drucker verwenden!

Nun zu den 3 oben genannten Informationen, die wir jedem Switchport mitteilen müssen:

Info1 (zu welchem VLAN gehört der Port?): VLAN ID / VLAN Nummer

  • Port 1 » VLAN ID 101
  • Port 2 » VLAN ID 102
  • Port 3 » VLAN ID 103
  • Port 4 » VLAN ID 104
  • Port 5 » VLAN ID 1 (default VLAN)

Info 2 (welche anderen VLANs dürfen durch den jeweiligen Port kommunizieren?):

  • Port 5 soll den Verkehr aus_ allen VLAN’s und dem default VLAN 1 akzeptieren, dient also als Uplink
  • Port 4, 3, 2 sollen nur den Verkehr aus dem eigenen VLAN akzeptieren
  • Port 1 soll den Verkehr aus allen VLAN’s akzeptieren

daher müssen wir folgende Konfiguration vornehmen:

  • Port 5 » Mitglied in VLAN 101, VLAN 102, VLAN 103, VLAN 104 und VLAN 1
  • Port 4 » Mitglied in VLAN 104, VLAN 101
  • Port 3 » Mitglied in VLAN 103, VLAN 101
  • Port 2 » Mitglied in VLAN 102, VLAN 101
  • Port 1 » Mitglied in VLAN 101, VLAN 102, VLAN 103, VLAN 104

Info 3 (soll die Information, aus welchem VLAN der Traffic stammt, mitgegeben werden?): Die Portkennzeichnung für den Port nennt sich TAG. (geregelt in IEEE 802.1q)

  • Port 5 TAGGED – alle anderen Ports sind UNTAGGED
    Ergebnis: Der Client im VLAN 104 sendet ein Paket ins Netz.

    • Der Switch weiss intern, dass dieses Paket aus VLAN 104 stammt – daher darf es den Switch auch nur an einem Port verlassen, der im VLAN 104 Mitglied ist.
    • Zuersteinmal sind das die Ports 4 (von dem kam das Paket), Port 1 (Mitglied in 101-104) und Port 5 (Mitglied in 101-104 und 1) – über den das Paket nun den Switch verlässt.
    • Da der 2. Switch aber wissen soll, aus welchem VLAN das Paket stammt, hängt er den TAG an , weil der Port mit „T“ markiert ist.
    • Der 2. Switch weiss nun, dass dieses Paket aus VLAN 104 stammt, daher darf es den Switch wieder nur auf Port 1 und Port 4 verlassen.

Es findet nun nur noch Verkehr innerhalb der VLANs statt – auch über Switchgrenzen hinweg!!! So als wären die 3 Netze physikalisch voneinander getrennt!!!
DasBeste: Alle können jedoch den gemeinsamen Drucker verwenden.