Wat doet de STP instelling op de Box 12?

Het is hierboven duidelijk uitgelegd.

Als het schuifje op “AAN” staat, begint de router iedere twee seconden een pakketje te sturen met informatie over de zichzelf. Aangesloten switches pakken dat op, en als zo’n pakket via twee poorten binnenkomt, dan wordt een van de poorten geblokkeerd, anders kan een soort rondzingen gaan optreden en het hele netwerk plat komen te liggen. 

Dus: in een “normale” configuratie met Wifi en enkele ethernet poorten aangesloten gewoon uit laten staan, het is alleen nodeloos verkeer. 

Zijn er meerdere switches in gebruik met kans op meerdere routes, of mogelijk bij  meerdere Wifi punten in een mesh, dan kan STP inschakelen voorkomen dat het netwerk op hol slaat. 

Goedemiddag ​@KVIS en bedankt voor jouw bericht :)

Goede en ook terechte vraag maar ik zie ook dat deze al is beantwoord en daarom heb ik de bijdrage van ​@Noordzee ook meteen gemarkeerd als 'best answer', ik kan daar inhoudelijk eigenlijk niks meer aan toevoegen! Maar mocht je toch nog verdere of aanvullende vragen hebben, laat het dan ook vooral weten!

Goede toevoeging dit waarvoor dank ​@hmmsjan_2 💪🏻 

Dank (aan meerdere auteurs in dit onderwerp) voor de heldere uitleg van wat de STP optie hoort te doen.

In de praktijk blijkt dit echter niet goed te gaan bij gebruik van NetGear managed switches.

CONFIGURATIE:

KPN ExperiaBox 12 met de laatste firmware versie (D.w.z. volgens de interface is er geen nieuwere versie)

Poort 4 met het Gastnetwerk schuifje op “AAN”

—

Netgear GS308E-400EUS 8-poorts managed switch

Poort 1: VLAN1, aangesloten op KPN BoX12 poort 1 (Hoofdnetwerk)

Poort 2: VLAN1

Poort 3 : VLAN1, VLAN2 (TRUNK1), aangesloten op NetGear managed switch1

Poort 4: VLAN1, VLAN2 (TRUNK2), aangesloten op NetGear managed switch2

Poort 5: VLAN1, VLAN2 (TRUNK3), aangesloten op NetGear managed switch3

Poort 6: VLAN1, VLAN2 (TRUNK4), aangesloten op NetGear managed switch4

Poort 5: VLAN2

Poort6: VLAN2, aangesloten op KPN Box12  poort 4 (Gastnetwerk)

—

PROBLEEM:
Als STP op de Netgear GS308E op “AAN” staat, dan wordt een netwerklus gedetecteerd die er in werkelijkheid niet is. Poort 1 wordt op de Netgear GS308E wordt dan uitgeschakeld. (Beide netwerk lampjes van poort 1 knipperen dan synchroon.)

Het maakt niet uit of ik op de KPN ExperiaBox 12 STP op “AAN” of “UIT” zet.

Na uitschakelen van STP op de Netgear GS308E werkt het netwerk  met VLAN1 en VLAN2 stabiel.

—

Zou het kunnen dat STP op de Experiabox 12 hetzelfde pakketje uitzend voor het Hoofdnetwerk en Gastnetwerk, zodat de Netgear GS308E een netwerklus detecteert als STP op de Experiabox op “AAN” staat? Of is er nog een andere oorzaak aan te wijzen voor het niet correct werken van STP?

Hier zitten de fouten. KPN modem ondersteunt geen VLAN. De VLAN ID moet in de router gezet worden. Dus bij 2 poorten komen standaard VLAN (VLAN1) uit. Gastnetwerk wordt geïsoleerd door andere subnet (volgens mij 192.168.3.x voor gastnetwerk). De STP functie van Netgear werkt toch precies goed zoals bedoeld, hij detecteert een netwerkluis.

Misschien begrijp ik VLAN niet genoeg maar stel je VLAN in op de clients zelf? Of wil je dat ze met untagged verkeer automatisch via de poort in een VLAN gezet worden?

Als je n.l. VLAN op de cliënt zelf instelt... dan kun je poort 1 toch ook gewoon op VLAN 1 en 2 zetten?de router bepaald dan toch zelf naar welk IP adres dit moet in welke VLAN?

Ik neem aan dat inkomend op poort 1 gewoon untagged is (en dat je de switch op 802.1Q mode hebt staan).

Want vanuit de switch gezien komt er dan op poort 1 en 6 hetzelfde verkeer binnen.

Vlan is een vlaggetje (tag) die toegevoegd wordt aan de adressering van je ip pakketten. Deze tag voeg je toe op de client of op de (switch)poort nooit op beide.  Omdat de meeste clients dit niet zelf kunnen gaan we het in jouw geval op de switch regelen.

Voor jouw config wordt het dan als volgt

Poort 1 (box 12 hoofd netwerk) vlan 1 tagged overige vlans uit

poort 4 (gast netwerk) vlan 1 uit vlan 2 untagged

Trunk poorten vlan 1 tagged en vlan 2 tagged

Overigepoorten afhankelijk van naar welke netwerk je de client wil hebben dus hoofnetwerk vlan 1 untagged en voor gast vlan 2 untagged en dan de andere uit.

Tevens zal je in de netgear de instelling pvid aanmoeten passen voor de poorten waar je een client in het gast netwerk wil plaatsen. Deze zal dan op 2 gezet moeten worden.

Dit werkt toch alleen als de router op beide poorten als aparte vlan accepteert? Volgens mij is de router aan de LAN kant niet VLAN-aware en loop je het risico op een broadcast storm. Dat is denk ik ook de reden waarom de Netgear poort 1 uitschakelt wanneer loopback detectie aangezet wordt. 

Dit zou je toch ook met 1 kabel vanuit de router moeten kunnen regelen? (Trunk vlan 1 en 2 op poort 1)?

—-

Dank voor jouw reactie.

Ik heb vrijwel exact de configuratie (VLANs TAGs en PVIDs) die je voorstelt, met als enige verschil dat op Poort 1 het VLAN1 untagged is ingesteld.

—
Waarom moet het hoofdnetwerk (IP adressen 192.168.2.x) op poort 1 in jouw configuratie “tagged” zijn, terwijl het gast netwerk (IP adressen 192.168.3.x) op poort 4 “untagged” is?

Dank voor jouw reactie.

Het hoofdnetwerk van de KPN Experiabox 12 geeft IP adressen 192.168.2.x.
Als poort 4 van de Experiabox 12 op “Gastnetwerk” is ingesteld, dan geeft die IP adressen 192.168.3.y.

Ik heb dit als volgt getest:

Als ik een computer met een LAN-kabel aansluit op poort 1, 2 of 3 van de Experiabox 12, dan krijgt die een IP-adres 192.168.2.x, en als ik de LAN-kabel aansluit op poort 4 van de Experiabox 12 dan krijg de computer een  IP-adres 192.168.3.y. 

(Met x en y uiteraard door de router bepaalde gehele getallen.)

Dank voor jouw reactie.

Ik stel de VLANs in op de NetGear switch, want de KPN Experiabox12 ondersteunt dit niet expliciet.

Wel kan poort 4 van de KPN Experiabox12 op het gastnetwerk (IP adressen 192.168.3.x) gezet worden, waarbij poort 1, 2 en 3 op het hoofdnetwerk blijven (IP adressen 192.168.2.x)

De switch staat inderdaad in 802.1Q mode, en het is de bedoeling dat het verkeer van het hoofdnetwerk en gastnetwerk untagged binnenkomen, en dan in respectievelijk VLAN1 en VLAN2 gezet worden.

En dan kan je via een als “trunk” ingestelde poort van de Netgear switch beide netwerken VLAN1 en VLAN2 over één en dezelfde LAN-kabel naar een andere ruimte brengen. 

​@KVIS Een trunk port is een port met meerdere VLAN’s, een access poort waar een device op aangesloten is kan slechts lid zijn van 1 VLAN, dit is het VLAN waar de poort untagged op aangesloten is. Een uitgaande pakket door een tagged port wordt voorzien met de instelde VLAN tag.

Als een pakket met een VLAN tag aankomt op een switch dan zal de switch broadcasten op alle poorten die in dat VLAN als access poort (untagged poort) aanwezig zijn EN op alle poorten die tagged in het VLAN zitten.

Als een pakket met een VLAN tag aankomt op een switch welke dit VLAN niet herkent (of switch zonder VLAN) dan zal deze switch het pakket broadcasten op zijn native VLAN (VLAN1).

Nu moet je de KPN router als een switch zien (wat ook klopt, router=L3 manged switch met extra features). Een aankomend pakket uit internet wordt eerst alle VLAN tag verwijderd en broadcastet naar alle LAN porten, ongeacht hoofd of gast. Dus bij jouw opstelling ziet de switch 2 identieke pakketen met VLAN1 komen en STP slaat alarm.

Om bij jouw opstelling werkend te krijgen, moet de eerste switch (KPN router) VLAN ondersteuen

Native VLAN 1 tagged port 1,2,3, untagged 0

Gast VLAN 2 tagged port 4, untagged 0

Ik moet het deze dagen nog eens verder bekijken, net dat STP een beetje leren kennen. De KPN V10 stuurt STP pakketten met een VLAN tag 1977. Ik zal binnenkort eens kijken wat poort 4 in beide instellingen doet. VLAN 1977 transporteert het gastnetwerk. Ik weet niet wat de Netgear hiermee doet, de tag strippen of het hele pakket negeren. Blijkbaar is voor die STP pakketten de router switch poorten 1/4 een gesloten lus en schakelt de Netgear een poort uit. Het lijkt me buitengewoon lastig om hier inzicht in te krijgen, wie is de master, wat doet de router met binnenkomende untagged STP info, alles onder de motorkap. De beste optie voor het moment is, denk ik,  inderdaad te zeggen: er is geen lus dankzij poort 4 in VLAN2, dus dan maar geen STP.

Dat was een type fout moet idd untagged zijn. De box 12 hoeft geen vlan's te ondersteunen om dit werkend te krijgen. Ik ga ervan uit (zal ik later vandaag nog even testen) dat de box12 zich door dat je daar een gastennetwerk op lan poort 4 hebt, hier verder geen problemen mee heeft 

Stp zou ik in deze configuratie even niet aanzetten. Heeft in een klein netwerk verder geen toegevoegde waarde. Als je dat wil gaan implementeren dan moet je ook stp in je switches gaan aanzetten en daar hoort dan ook weer een stukje configuratie bij waar je even goed over na moet denken.

Overigens zou stp (als dit goed geïmplementeerd is) geen last moeten hebben van een router die in 2 vlan's aanwezig is. 

Dank voor jouw heldere antwoord.

Dan heb (en had) ik precies de configuratie ingesteld die je voorstelt.

En dan blijkt dat bij op AAN staan van STP in de switch dat de binnenkomende poort van het hoofdnetwerk (VLAN1, untagged) wordt uitgeschakeld.

Ofwel er zou een netwerklus aanwezig zijn tussen hoofdnetwerk en gastnetwerk van de KPN Experiabox 12. Maar dat kan helemaal niet als het gastnetwerk echt geïsoleerd is van het hoofdnetwerk.

Dus heb ik STP (die na een reset standaard op AAN staat in de switch) uitgezet, en toen werkte het allemaal zoals verwacht. 

De conclusie lijkt dat de Experiabox 12 het probleem veroorzaakt.

De vraag is dan hoe dit komt.  

Volgens mij ligt dat niet aan de router. STP is een laag 2 protocol. Die kijkt wel naar VLAN maar niet naar IP adressen (laag 3). En aangezien beide poort 1 en 4 untagged zijn, ziet de switch dit dus als loop. (Tenminste, dat denk ik)

Zonder STP blijkt het inderdaad prima te werken.

Ik had eigenlijk verwacht dat de Experiabox 12 helemaal geen tags meestuurt op zijn LAN-poorten. Dat kan nagegaan worden met programma’s zoals Wireshark, dus dat ga ik binnenkort ook eens proberen. 

Zou het kunnen dat de Experiabox 12 standaard alle LAN-poorten hetzelfde TAG meegeeft op laag 2. En dat bij aanzetten van het gastnetwerk op poort 4 deze geen andere TAG krijgt, zodat op laag 2 geen onderscheid gemaakt wordt tussen hoofdnetwerk en gastnetwerk?

(Dit moet uiteraard proefondervindelijk vastgesteld worden.)

Ik heb het hier zojuist ook geprobeerd. De Experiabox zendt STP packets uit met VLAN tag 1977. 

Vanaf aansluiting 4 heb ik het gast netwerk inclusief IPv6.

De STP packets van 4 hebben ook de VLAN 1977 tag, maar een ander MAC adres. Het vreemde is dat in de packets nu mijn PC als “root” genoemd wordt, waarschijnlijk ten gevolge van MAC adres prioriteit.

Het lijkt dus dat de STP in een Router-Linuxbridge configuratie wel opgepakt wordt, ondanks de  VLAN tag. 

Poort 1 en poort 4 komen vanuit een verschillend MAC adres,  maar de bridge_identifier is in beide gevallen hetzelfde. Dus blijkbaar een dubbele route, die niet door de mapping naar VLAN2 ongedaan gemaakt wordt. 

Ik ben benieuwd of je dit met Wireshark kunt reproduceren.

De voorlopige conclusie is: STP in deze smaak werkt niet.

Er schijnt wel een STP variant te zijn die een per-VLAN boom bouwt.

Nog een kleine toevoeging: Een Linux bridge wordt transparant als STP uitgezet wordt. In een virtuele machine zie ik STP pakketten van de bridge waar de VM aan hangt. Zet ik STP op die bridge uit (brctl stp bridge0 off), dan duurt het even en komen er ineens “Topology Changed” pakketten van de KPN router. Die neemt het vervolgens over, inclusief VLAN tag. Als dit ook zo werkt in de router, heb je:

KPN router STP uit: de Netgear krijgt zijn eigen pakketten terug via de andere poort.

KPN router STP aan: de Netgear krijgt van twee kanten  STP pakketten van de router.

In beide gevallen zal dus een poort afgesloten worden.