Vlan PVID és untagged

Hálózati eszközök

Sziasztok!

Valaki magyarázza már el, mi a fészkes fenére jó, hogy számos switch-en külön lehet beállítani, melyik VLAN legyen untagged, és mi legyen a PVID. Jó ez azon kívül valamire, hogy ha nem egyezik a kettő, akkor az nem jó.
A rektorátuson kitalálták, (ne unatkozzunk a nyáron) hogy át kel variálni a VLAN-okat.
Átvariáltam. Az egyik HPE 1910-esen be volt állítva az első 3 portra a 42-es VLAN untagged, és valahogy ott maradt, hogy PVID=3034. A 3034 VLAN megszűnt, törölve lett (a 3034 helyett van a 42). Igaz, hogyha ilyet akarnék beállítani akkor nem lehetne, ergo ez egy bug is egyben.
Egyes switch-eken azt is simán be lehet állítani, hogy több VLAN legyen ugyanazon a porton untagged, ez sem tudom mire jó, azon kívül, hogy nem jó.
ProCurve switch-eket tanultam meg a VLAN kezelést (autodidakta), ott ilyen "extrák" nem voltak, és nem is hiányoztak. (Egy kivételével: mindig kell lennie egy untaggaed VLAN-nak minden portra. Van erre egy dummy VLAN-om, ami nem túl elegáns.)

  • 3671 megtekintés

( elod v | 2018. 08. 21., k – 15:55 )

Ha jól emlékszem Cisco-n sem volt annó ilyesmi (18 éve). Biztos jól megegyeztek, mindenki implementálta, de a lényegtelenebb dolgokkal már nem foglalkoztak :)

later... rákerestem, beugrott, akkoriban "native vlan"-al kavart a Cisco... De rég is volt.

( csardij v | 2018. 08. 21., k – 14:56 )

Helló,

Elvileg, untagged/nativ VLAN az az, hogy milyen VLAN csomagjai hagyják el a switch portot vlan ID nélkül, a PVID meg fordítva, a bejövő csomagokra milyen VLAN-t rakjon.

Igen, pontosan erről van szó, annyival kiegészítve, hogy néhány switch-típusnál untagged lehet több is egy port-on. A kérdés továbbra is áll: Mi az a scenario, ahol értelme van annak, hogy ezek különböz(het)nek egymástól?

(A több untagged még szerepet kaphat ott, ahol hibrid port esetén a bejövő csomagot nem VLAN tag, hanem MAC address alapján küldöd VLAN-ba)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Mit hoz az élet: Tegnap este szembe jött velem "a scenario" és tök jól működik: A port untagged VLAN-ja és PVID-je szándékosan különbözik (a PVID egy unused VLAN-ba mutat), hogy semmilyen eszköz ne működjön a port-on, kivéve, aminek ott a helye és MAC alapján megkapja a bejövő csomag az untagged VLAN ID-t.

(WiFi hálózat, ha valaki lekapja az AP-t a kábelről és felcsatlakozik a helyére, nem kerül be kapásból a management hálóba. Persze be tudja magát trükközni, ha ügyes, de egy védelmi szintnek jó)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Nem egészen. Valóban az ipsec (is) való biztonságos L3 tunel-ezésre, de ha az érintett eszközök nem támogatják, akkor L2-n ez egy (rész)megoldás.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Persze, vannak különféle megoldások, van amelyiket tudja az épp kéznél levő adott eszköz, van amelyiket nem (nem mindig én szabom meg az eszközt és a költségvetést).
Továbbá van, amelyiket ismerem, van amit kevésbé, vagy egyáltalán nem, de - jelen tudásom szerint - arra a scenario-ra, hogy az adott port untagged VLAN-ja védett legyen, de mellette a tagged VLAN-ok szabadok, az első 2 szerintem nem alkalmas.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Alkalmas per vlan szabalyra is, pl elso talaltok egyike:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25… ,
ahogy arp inspection-t is lehet vlanonkent szabalyozni.

Mondjuk szamomra tovabbra se tiszta hogy ezt hogy kell erteni: "A port untagged VLAN-ja és PVID-je szándékosan különbözik (a PVID egy unused VLAN-ba mutat), hogy semmilyen eszköz ne működjön a port-on, kivéve, aminek ott a helye és MAC alapján megkapja a bejövő csomag az untagged VLAN ID-t."
Milyen eszkozrol van szo es hogy nez ki a konfig, hogy abban valojaban mit takar a pvid es mit az untagged vlan, meg hogy jon ehhez az eszkoz mac-je amit rakotsz hogy attol fugg?

Hiszek neked, majd utána olvasok mélyebben.

Amit írtam: Konkrétan egy TP-Link switch-en lógnak Unifi UAP-k. A port untagged az ID:5 management VLAN-ban van, de PVID ID:1-re van állítva, így ugyan kimegy a management háló forgalma (sniffelhető), de válasz csomag nem jön be arra a VLAN-ra - kivéve, ha a legitim AP van a port-on, mert annak a csomagjai MAC alapján kapnak ID:5-t a switch-en.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Meg kellene néznem a switch pontos viselkedését, de én a "mac address alapján állítja be a vlan-t" és a "mac address alapján vlan tag-eli az ingress csomagokat" között azért látok némi különbséget. (Én eddig az utóbbiról beszéltem)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Mondjuk erre a szituaciora, jo a port security is, sticky mac address, port shutdown-al. Sot inkabb az valo erre, mint mokolni a pvid-vel. Ha rendesen be van konfigolva, akkor a port le lesz tiltva, amig az admin vissza nem allitja.

Nekem volt ilyen gondom egy adatkozpont migralasnal, ahol az Interoute(most mar GTT) adta a layer 2 osszekottetest a ket adatkozpont kozott. Max 250-en volt a mac address, amit engedelyeztek es port shut down volt a policy. Kulon engedelyt kellett kernie a mernoknek, aki intezte az osszekottetest, hogy engedelyezzek a 400-at, mert nekunk 350 korul volt az aktualis mac szam, a ket hely kozott es 10 mp utan leallt a trunk.

Ok ezt az osszes trunkukon hasznaljak, ami ugyfelekhez megy, mint vedelem, ugy hogy port shut down a policy, nem csak protect vagy restrict.

Amugy amit irtal, az is egy valos mukodo verzio arra, hogy ne lehessen felhuzni a porton mas eszkozt.

Port security - amennyire tudom - csak egy adott végponti eszközzel működik, tehát WiFi AP-k esetén "megbuktatja" az AP mögül, tagedd VLAN-on jövő eszközöket is. Vagy nem?

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( sibike | 2018. 08. 21., k – 16:00 )

Tákolásra: pl. át akarod rakni egy VLAN forgalmát egy másik VLAN-ra.

Leírja, csakhogy a különbség nem derül ki. Talán annyi, hogy ha PVID-t adunk meg, akkor csak ez az egy VLAN van (amin amúgy untagged), trunk esetén van egy untagged, a többi tagged. De legtöbbször nem állítjuk be, hogy VLAN trunk a port vagy nem (ahol volt ilyen, ott ez automatikusan történt), ha pedig nincs tagged port, logikailag csak egy untagged, akkor az a PVID. És mi van akkor, ha VLAN trunk-ünk van, van untagged VLAN-unk, és van egy ezzel nem azonos PVID-nk?
Csinálunk, egy pár (szerintem felesleges) fogalmat, hogy aztán meg tudjunk különböztetni segítségével két olyan fogalmat, ami enélkül tök ugyan az lenne. És még arra is lehetőséget biztosítunk, hogy jól elcsesszük az egészet, ha ez a két azonos dolog esetleg még sincs azonosra állítva.
Biztos bennem van a hiba, de nem értem.