VLAN mit der ASG220 und HP ProCurve

es ist möglich verschiedene VLAN's auf ein Interface zu binden. ( gerade mal getestet)

Das kannste machen

joo ist möglich wenn du die monowall von einer astaro ablöst [:)] wie auf dem bild gezeigt [;)]

wenn du APs der Sophos verwendest ersparrst du dir sogar das VLAN für Hotspot da dieses Nezt ja getunnelt in der USG und dem APs läuft. 

hab selbst so eine konfiguration und sogar etwas wilder/größer bei mir im echbetrieb laufen. 

lg tom

vielen Dank für die Antwort.
Ich habe hier auch eine sehr große Umgebung ( 2x ASG220 HA, 20 RED, ca. 20 HP Switche).
Jedoch habe ich nur als Beispiel das Bild der PFsense hineingestellt.
Das auf der Astaro ist mir klar, ich nehme z.B das Interface eth0 und erstelle auf diesen meine ganzen VLANs.
Dann verbinde ich eth0 mit dem CoreSwitch HP4208 an Port A1,
dieser Port muss für die vlan id 1 (Default) ungetagged bleiben, für alle anderen vlans A1 auf tagged, richtig?
Soll man das Default vlan 1 überhaupt benutzen, oder macht es sinn dieses nur auf einen Port z.b A24 zulegen, und nicht zu benutzten, da sich das vlan1 von HP manchmal seltsam verhält habe ich im Inet gelesen.
Danach lege ich z.B vlan 10 auf dem Switch an, A1 tagged und z.B A2-A10 auf untagged.
dann vlan 20, A1 wieder auf tagged und z.B A11-A20 auf untagged.
Soweit richtig?

mfg
nikfe

Hallo nikfe,
Du kannst es genau so wie beschrieben durchführen.Folgende Anregungen hierzu noch:
VLAN's erhöhen die Komplexität, solange Du aber alles sauber dokumentierst, sollte es kein Problem sein.
1. Wenn Du alles über eth0 abbildest, was machst Du dann mit den anderen 7 Interfaces?
2. Alle Netze teilen sich die Bandbreite an einem Interface = 1GBit
2a. Wenn dieses eine Interface ein Problem hat, steht Dein ganzes Netz. Nutzt Du mehrere NICs, verteilst Du das Risiko (ich hatte bereits einmal den Fall, dass ein einzelner NIC-Port ausfiel)
3. Das Management-Interface würde ich an einem der anderen ASG-Ports ungetagged abbilden.
Grund: Beim Installieren ist (i.d.R.) eth0 normalerweise untagged. Wenn Du es dann auf VLAN umstellst, sägst Du Dir solange den Ast ab, auf dem Du sitzt, bis Du den Switch korrekt eingerichet hast. Das ist fehleranfällig, auch bei Versionsupdates (wenn der automatische Restore via USB nicht klappen sollte)
4.

Soll man das Default vlan 1 überhaupt benutzen, oder macht es sinn dieses nur auf einen Port z.b A24 zulegen, und nicht zu benutzten, da sich das vlan1 von HP manchmal seltsam verhält habe ich im Inet gelesen

Bei HP (und anderen) muß jeder Switchport an einem managed Switch in mind. einem VLAN enthalten sein. Im Standard ist das VLAN 1 Beim Aufbau eines Netzwerkes mit VLANs  nimmt man i.d.R. eigene VLAN-Nummern, um zu vermeiden, dass irgendwelche Geräte, die per "Default" im VLAN 1 landen, gleich im Firmennetz sind.
Wenn Du alle Ports in Benutzung (und somit eigenen VLAN-IDs) hast, bleibt eben kein einziger im VLAN 1 (no untagged A1-A24)
Außerdem solltest Du unbenutzte Ports mittels shutdown immer deaktivieren.
Grüße, Karsten

Hallo Karsten,

danke für Deinen Antwort.
Leider klappt das alles noch nicht so wie ich mir das vorstelle.
Ich habe jetzt zum testen auf eth0 die vlan id 1 eingetragen,
und mit dem HP Switch A1 verbunden. 
HP Switch  default vlan1  A1,A2,A3,A7,A9, etc  alle auf Untagged.
Jedoch erreiche ich dann über diese Ports die Astaro nicht mehr.
Ich habe mir natürlich über eth7 ein Hintertürchen zur Astaro gebaut, dass ich dies wieder zurückstellen konnte.

Was ist hier falsch?

Vielen Dank im voraus
mfg
nikfe

Der Port, welcher zur ASG geht (A1), müsste auf jeden Fall tagged sein (vlan1).

Hallo,
ich dachte dass der Uplink-Port(A1) des Default vlan id 1 immer ungetagged bleiben muss?

mfg
nikfe

Wenn auf der ASG ein VLAN erstellt wird (welches ja immer getagged ist), muss auch der Port auf dem Switch entsprechend getagged sein. Getagged werden können ja auch mehrere VLANS auf einem einzelenen Switchport. Nur untagged geht natürlich nur mit ein VLAN.

Mal angenommen Ports 2-10 sind vlan1, 11-20 sind vlan2. Die Ports 2-10 sind untagged vlan1, 11-20 sind untagged vlan2. Port 1 ist jedoch tagged vlan1 und vlan2 (da die ASG beide VLANS sehen soll).

Ich meinte aber ich hätte das schon einmal mit HP Switches so probiert und es hat nicht funktioinert (könnte aber auch an mir gelegen haben), Ich habe dann einfach alle Ports die VLAN ID 1 hatten (und das VLAN in der ASG) auf eine andere ID gesetzt und dann hat es funktioinert

Anscheinend ist es wirklich sinnvoller das vlan1 nicht zu verwenden.
Wie ist aber dann wenn ich z.B. vlan10 verwende.
Port A1 zur Astaro tagged, Ports A2-A10 ungetagged.
Was ist dann wenn es weiterer hp switch am Port A5 hängt, bei dem kein vlan eingerichtet ist, also alles default vlan1, kann der dann die astaro nicht erreichen, muss ich bei dem dann auch alle port auf vlan10 setzten?

mfg
nikfe

Genau:
A1: tagged vlan10
A2-A10: untagged vlan10

Port A5 (und der Port auf dem damit verbundenen Switch) müsste auch mit vlan10 getagged sein. Die restlichen Ports auf dem zweiten Switch untagged vlan10.