Wir haben in unserem Netzwerk 10 Standorte, die mit Glasfaser verbunden sind. Ausserdem sind noch zwei Standorte über eine WLAN Brücke und 3 Kindergärten über eine VPN Verbindung angebunden. An einzelnen Standorten gibt es noch zusätzliche Glasfaserleitungen z.B. zwischen Neubau und Altbau.

Bisher genügte es, das Netzwerk nur auf einem, nämlich dem Hauptswitch zu unterteilen (KISS Prinzip). Nun war es aber absehbar, dass uns bald die IP-Adressen in den einzelnen Subnetzen ausgehen. Es macht in dieser Grösse aber auch Sinn, den Broadcastverkehr weiter einzudämmen.

Da ich im Moment gerade drin bin und meist schnell vergesse, hier nur ein paar Stichworte als Gedankenstütze für ein anderes Mal anhand einer stark vereinfachten Skizze.

Ein Client aus dem Schulhaus B sollte mit den Servern kommunizieren können. Der Port, an dem der Client hängt muss ein Mitglied des VLAN 12 sein (untagged). Um das zu erreichen, muss man auf dem Switch im Schulhaus B (und auch Schulhaus A und Hauptswitch) das VLAN 12 erstellen und auf HP ProCurves danach dem Switch eine IP Adresse aus dem Subnetz zuteilen (im Beispiel 192.168.3.240):
#config
#vlan 12 ip address 192.168.3.240/24
#vlan 12 untagged 1-44

Die passenden Befehle findet man auch in diesem Beitrag.

Zwischen den einzelnen Switches verwende ich tagged Verbindungen, da nur so mehr als ein VLAN über eine Leitung geführt werden kann. Dabei müssen beide Endpunkte die gleiche “Technik” verwenden. Es muss also der Port 46 im Schulhaus A und der Port 45 im Schulhaus B ein “tagged” Mitglied von VLAN 12 sein (#vlan 12 tagged 45). Das gleiche trifft auch für die Verbindung zwischen Hauptswitch (#vlan 12 tagged 48) und dem Switch im Schulhaus A (#vlan 12 tagged 46) zu.

Bei meiner Umsetzung übernimmt der Hauptswitch das Routing, übersetzt also aus dem VLAN 12, das am Port 48 ankommt auf das VLAN 10, an dem die Server hängen.

Dann muss man noch schauen, dass der DHCP Server die einzelnen VLANs bedienen kann, also auf dem DHCP-Server die Bereiche anlegen und auf den Switches eine ip-helper Adresse eintragen. Wenn auf der Firewall ein Contentfilter arbeitet, muss man dem auch alle VLANs bekanntgeben. Die Adressen der Drucker müssen auch angepasst werden (sowohl bei der DHCP Reservierung als auch auf dem Druckserver wegen der neuen Adresse).  Damit man während der Arbeit die Verbindung zum Switch nicht verliert, sollte man die IP Adressen und das default Gateway des Switches im Auge behalten. Ansonsten muss man mit einem Laptop vor Ort auf den seriellen Anschluss des Switches zugreifen…

Die wichtigsten Befehle für die Umsetzung findet man hier und hier.