Vlan (802.1q)

Linux-kezdő

Sziasztok!

Van 1 802.1q-t tamogato switchem, és ezt szeretnem kihasznalni a hálozat hatekonyabb uzemeltetesere. A halozat 3 alhálóból áll, viszont mindegyik azonos ip tartomanyban van, es ebben a tartomanyban van szinten 1 linux szerver, ami a switch-el azonos helyen helyezkedik el. Az lenne a cel, hogy az alhalozatokra ne keruljon at egymas forgalma, viszont a szerver ki tudja esetlegesen szolgalni mind 3at. Azt olvasgattam, hogy mindez vlan-al megoldhato, de gyakorlatban nem igen vágom mindezt meg.(tagged, untagged, trunk, stb) HA tudnatok nehany ravezeto otlettel szolgalni, ezen problema kivitelezeseben, esetleg valami jo olvasni valot ajanlani vlan-al kapcsolatosan, nagyon megkoszonnem.

  • 4479 megtekintés

( sany | 2007. 07. 23., h – 00:01 )

" A halozat 3 alhálóból áll, viszont mindegyik azonos ip tartomanyban van"

microsoft.com = kernel.org ???
----------------------------------------------------------------

( bastya_elvtars | 2007. 07. 23., h – 00:13 )

Namost te 3 részre akarsz szeletelni egy subnetet. Ezt úgy lehet megoldani, hogy a switchben portokat adott vlan taggel látsz el, és az egyik port legyen benne mindháromban. A linux hálókártyájához szintén rendeld hozzá mindhrom vlan id-t.
It doesn't matter if you like my song as long as you can hear me sing

( bajnokk | 2007. 07. 23., h – 07:57 )

IMHO 802.1q-t (és PC/szerver-oldalon beállított VLAN-okat) csak akkor érdemes használni, ha több VLAN-ba is be akarsz tenni egy gépet. Tehát általában a switch-en lógó gépeken nincs VLAN konfigurálva, csak a switch portja (access/untagged módban). A te esetedben a switch portjait tedd külön VLAN-ba és a szerver portja pedig legyen trunk port; a szerveren pedig vconfig -gal vedd fel a vlan-okat. A vlan konfigurálása után létrejön egy új eth interface, amelyre tudsz IP címet/hálózatot konfigurálni. (*)

Persze nulladik lépés az, hogy a VLAN-oknak különböző hálózatoknak kell lenni. Lehet ugyanazt a hálózatot több kisebbre vágni (így elvesztesz alhálózatonként 3 címet: a hálózat címét, a broadcast címet és a default gateway címét), ill. tök különböző hálózatokat használni (**) . Persze, ha egy gép több VLAN-ban van, akkor annak minden hálózatból kell, hogy legyen IP címe. Ha forgalmat akarsz 2 VLAN között, akkor azt valahol route-olnod kell. Azon a ponton persze szűrhetsz is.

http://en.wikipedia.org/wiki/Vlan

(*) Sajnos a 802.1q-t a hálókártya driverének támogatnia kell. Hogyha nem szólal meg, ez is egy lehetséges magyarázat... :( Bár azért általában menni szokott.
(**) A két dolog igazából semmiben sem különbözik egymástól, mert mindkettő IP alhálózat, erre a 3 címre minden (route-olható) IPv4 hálózatban szükség van. Csak azért írtam, hogy ne felejtsd el a kötelezően foglalt IP-ket, ha ugyanazt a hálózatot felszeleteled (lévén kezdő fórum).

A VLAN-oknak különböző címtartományoknak kell lennie. A VLAN teljesen rendes LAN egyébként, tehát a (V)LAN-ban levő gépeknek van IP-címük, a (V)LAN tartományából.
Ha nem teljesen világos, akkor az a legtisztább, ha különböző (a meglevőtől eltérő) címtartományokkal dolgozol.
VLAN1: 192.168.1.0/24
VLAN2: 192.168.2.0/24
VLAN3: 10.99.0.0/16
Ezek teljesen független címtartományok.

Tfh van 3 géped + gateway.
A: 192.168.1.22 (olyan switch portra dugd, ami VLAN1-ben van)
B: 192.168.2.33 (... VLAN2...)
C: 10.99.11.22 (... VLAN3 ...)
gateway: 192.168.1.254; 192.168.2.254; 10.99.254.254 (trunk porton)

A fenti esetben csak a gateway-nél van 802.1q (vlan trunking). Konfiguráld fel a switchen a portot, vconfig-gal add hozzá a vlan-okat, a létrejövő interfészekhez add hozzá az IP címeket, állíts be routing szabályokat (ha kell), ready. Az összes többi gépnek nem kell (nem szabad) tudni arról, hogy egyátalán vlan-okat használunk.

Ha trunk módot állítasz be, akkor egy adott portra akármelyik vlan-t ráengedheted, de akkor a másik oldalon is 802.1q-t kell használnod. (Kivéve: natív vlan, de ennek nézz utána, ha akarsz...)

Hali!

Direkt nem szakmai precizitással szólnék hozzá a témához, csak a VLAN kérdést szeretném tisztába tenni. Eleinte nekem is nehéz volt felfognom mire jó a VLAN, de ha az ember megérti, egyből közelebb kerülhet a megoldáshoz.

Szóval vegyél egy szviccset. Ennek alapesetben az összes interfésze 1 LAN-ban van, minden rádugott eszköz eléri a többit (persze ehhez az IP címüknek is 1 hálózatban kell lennie). Ha VLAN-okat hozol létre, az olyan mintha baltával ketté (v. több db-ra, ez most lényegtelen)vágnád a szviccset. Innentől kezdve hiába vannak 1 eszközbe dugva a gépek, a különböző portjain lógó eszközök forgalma nem jut át egymáshoz ha nem azonos VLAN-ba lettek dugva. Mivel most már nem azonos fizikai hálózatban vannak, illik h. ezt az IP címük is tükrözze. Ezek után ha a gépek akarnak kommunikálni egymással, kell egyrouter, aminek minden VLAN felé van kapcsolata (és IP címe!) így ez fogja tudni továbbítani a megfelelő VLAN (és IP) hálózat felé a csomagokat. Értelemszerűen ahány VLAN/IP hálózat, annyi router IP cím kell. Remélem nem írtam nagy marhaságot.

Hello!

Szoval nagyon koszonok mindenfele hozzaszolást, kezd letisztulni a dolog. Nekem csak 1 bajom van, hogy szeretnem megtartani az azonos ip tartomanyt, es igy valahogy megoldani hogy meg se lassanak kozvetlenul ossze, ugyanis oriasi adminisztrativ problemat okozna, ha mas ip tartomanyt kellene adnom. Szoval lehetseges, hogy ugyanugy maradjon, marmint egy ip tartomanyba a 3 halozat?

Koszi

Szoval lehetseges, hogy ugyanugy maradjon, marmint egy ip tartomanyba a 3 halozat?

Ez akkor lehetséges, ha a régi hálózatodat fel tudod darabolni 3 kisebbre. Mint írtam fentebb, ilyenkor ne felejtsd el a spec. címeket.
Egyébként az adminisztratív problémád csak kismértékben csökken, hiszen a netmaskot mindenképpen át kell írnod minden gépen, ill. a default gatewayt legalább 2 VLAN összes gépén.

Ha jól értem a szándékaidat (csak a switch-et piszkálva akarsz különvágni gépeket), akkor a válasz: nem, ez nem így működik.

Megj.: Persze, ha csak úgy, netmask állítás nélkül definiálod a vlan-okat a switchen, akkor vsz. nem fogják látni egymást a különböző vlan-ban levő gépek. De akkor viszont sehogy sem fognak tudni kommunikálni egymással (route-olni sem tudod). Továbbá ellentmondásos lesz a konfigod. NE tedd ezt.

Lásd az előző hozzászólásban az apróbetűs szakaszt, különös tekintettel a bold részre. Ha otthoni hálózat, akkor csak magadat szivatod vele, ha munkahelyi, akkor adott esetben másokat is.
Ennek a szakmának vannak olyan részei, amit korrektül kell csinálni, különben valahol visszaüt. De ez már offtopic.

Természetesen nem.

16 bites a subnet maskod, azaz nincs "feldarabolva" a halozatod, mindneki a 10.7-es networkben van.

Ha az IP cimeket meg akarod tartani akkor at kell allitanod 24 bites subnet maskra a gepeket. Termeszetesen az igy letrejovo 10.7.3 es 10.7.5 subnetekben kulon-kulon atjarot kell megadnod. (pl: 10.7.3.1 és 10.7.5.1)

( ralphy | 2007. 07. 28., szo – 10:03 )

Köszi mindent, ebtables lett a vége.

( _Petya_ v | 2008. 07. 01., k – 11:02 )

Sziasztok!

Jelenleg egy publikus /24-es szubnetem van, VLAN taggin-et tudó switchekkel. Bizonyos hostokat szeretnék NAT mögé, tehát privát szubnetre (10.0.0.0/16) tenni. A PC-kkel nincs is baj, de azt hogyan tudom beállítani, hogy a switchek management IP-je is a privát VLAN-ban legyen? Nem szeretnék erre publikus IP-t használni, mert kevés van belőle... Egyáltalán van erre lehetőség? Vagy maga a switch "hálózati interface"-e minden VLAN-ban alapból benne van?

Petya