patrickred
Goto Top

Fortigate 60c (FW-Router) VLAN Konfiguration für zwei Aruba Instant on Switche (NO CLI)

Hallo zusammen,

ich habe hier eine Fortigate 60c an einer Fritzbox stehen, auf der Fortigate konnte ich auf dem Interface "Intern" verschiedene VLAN`S inkl Netzbereiche (Subnetze) konfigurieren.
An der Fortigate FW hängen jetzt zwei Aruba Instant on Switche ohne CLI, Zugriff nur über Web Gui. Die Switche bekommen eine IP vom DHCP des Internen Interfaces der Fortigate Firewall und kommen ins WWW, sprich ich kann rauspingen. Wenn ich nun die Ports der Switche konfiguriere und diese auf die VLAN ID´s tagge, die ich in der Fortigate hinterlegt habe sollte ich doch eine IP aus dem entsprechenden Konfigurieten Subnetz (Vlan ID auf der Fortigate) bekommen? DHCP für VLANs ist auf der FG für alle VLAN´s konfiguriert.

Ist das so korrekt oder bin ich da komplett auf dem Holzweg?

Konfiguration:
wan (www) > Fritzbox (Intern: 10.10.0.1/24) > Fortigate (WAN: 10.10.0.254/24) > FG Intern (Intern: 172.20.0.1/24) > 2x Aruba Switche (172.20.0.5 & 172.20.0.6) Bis dahin sollte alles passen, jetzt möchte ich noch VLan´s für Drucker, Clients und Server etc.

Kann jemand helfen?

Vielen Dank im Voraus

Content-Key: 594504

Url: https://administrator.de/contentid/594504

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: Datax87
Lösung Datax87 07.08.2020 aktualisiert um 21:13:37 Uhr
Goto Top
Wenn ich nun die Ports der Switche konfiguriere und diese auf die VLAN ID´s tagge, die ich in der Fortigate hinterlegt habe sollte ich doch eine IP aus dem entsprechenden Konfigurieten Subnetz (Vlan ID auf der Fortigate) bekommen? DHCP für VLANs ist auf der FG für alle VLAN´s konfiguriert.

Ist das so korrekt oder bin ich da komplett auf dem Holzweg?

Die einzelnen Ports der Aruba-Switche, an die später Endgeräte angeschlossen werden,
müssen auf den Aruba-Switchen als Untagged-Member dem gewünschten VLAN zugewiesen werden.

Pro Switch brauchst du neben den Untagged-Ports (wo z.B. PCs angeschlossen werden) noch einen
Port, der Tagged-Member im dem betreffenden VLAN sein muss.

Das heißt, du musst also auf beiden Aruba-Switches jeweils das gewünschte VLAN hinzufügen (mit der korrekten VLAN-ID natürlich)
und dann die Endgeräte-Ports als Untagged-Member in das betreffende VLAN aufnehmen.

Der Tagged-Port übermittelt wie oben beschrieben im Gegensatz zu den Untagged-Ports die VLAN-IDs
der VLANs, in denen dieser Tagged-Port Member ist.

Frage an der Stelle noch:
Wie sind die beiden Aruba-Switches mit der Schnittstelle "FG Intern" der Fortigate-Firewall verbunden?

Sind die beiden Aruba-Switche untereinander verbunden und der eine der beiden Switche dann mit der Schnittstelle "FG Intern" der
Fortigate-Firewall?

Meine das so:
Fortigate-FW (FG-Intern) ----- Switch A ----- Switch B

Falls dem so ist, dann muss Switch A (der Switch, der mit "FG Intern" der Fortigate-FW verbunden ist) auf seinem Tagged-Port in Richtung
Fortigate-FW die VLAN-Tags beider VLANs übermitteln und zusätzlich einen zweiten Tagged-Port in Richtung Switch B haben. Auf dem Tagged-Port in Richtung Switch B wird dann die VLAN-ID des Switches B übermittelt.
Mitglied: aqui
aqui 07.08.2020 aktualisiert um 21:35:08 Uhr
Goto Top
Wenn das Endgeräte Ports sind ist das falsch, denn diese werden doch logischerweise niemals getaggt ! Endgeräte wie PCs Drucker usw. können keine 802.1q VLAN Tags lesen und verwerfen solche Pakete sofort als Errors. Solche Basics sollte man als Netzwerker aber wissen...
Diese Ports werden immer untagged in das entsprechende VLAN gelegt.
Fazit:
Nochmals das hiesige Grundlagentutorial zu dem Thema lesen und verstehen. Dort findest du auch die passenden Switch Setups aller gängigen Switches. face-wink
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: PatrickRed
PatrickRed 12.08.2020, aktualisiert am 21.04.2022 um 15:53:31 Uhr
Goto Top
Hallo DataX87,

danke erstmal für deine ausführliche und gute Antwort. Ich habe nur einen Uplink (tagged) von der FW zu einem Switch, die Switche sind untereinander über einen SPF-Ports mit LWL verbunden, ebenfalls tagged.
Port´s auf beiden Switchen (1-6) habe ich jetzt mal untagged und getestet, funktioniert wunderbar.

vlan_switche

Vielen Dank für deine Hilfe, hast mir gut weitergeholfen face-smile

PS. Ich werde es aber dennoch umkonfigurieren und die zwei Switche separat an die Firewall hängen, damit wenn ein Switch ausfällt der ander wenigstens noch funktioniert. Die Endgeräte mit zwei Netzwerkkarten werde ich dann jeweils an einem Switchport der zwei Switche patchen.
Mitglied: PatrickRed
PatrickRed 12.08.2020 um 20:38:26 Uhr
Goto Top
Hallo Aqui,

danke für deinen Link. Habs auch mittlererweile hinbekommen.
Dank dir nochmal