vlan gondolkodás

Hálózatok általános

Sziasztok!

Gondolkodom egy Vlan összerakásában, de kíváncsi vagyok a véleményetekre, hiszen itt nálam sokkal okosabbak és tapasztaltabbak is vannak.
Tehát, adott 2 hálózat, amit összekapcsolnánk, így létrehoznám a VLAN1-et és VLAN2-t az egyszerűség kedvéért.
Azt szeretném h. VLAN1 és VLAN2 soha ne lássa egymást, csak és kizárólag az átjáróján keresztül (Inter Vlan routing).
A kérdés a következő:
Ha azt akarom h. a szervereimet vuiszont mind2 vlan lássa, akkor úgy érdemes gondolkodni h. mind2 vlanra belógatom a gépeket mondjuk tagging-el, vagy inkább létrehoznék nekik egy VLAN3-at és valahogy megoldom h. a VLAN1 és VLAN2 egymáson kívül a VLAN3-ba "belelát"?

Remélem nem lett túl érthetetlen a dilemmám.

Köszi a válaszokat!

Zoli

  • 1976 megtekintés

( kamm | 2009. 02. 20., p – 09:39 )

hali,

en ugy csinalnam, hogy VLAN1+VLAN2-t taggelve (trunk, melyik gyartyo, hogy hivja eppen) ratennem a azokra a portokra, amin a szevereid vannak. Szervereken pedig szinten felhuznam a ket VLAN-t, az igy letrejott ket virtualis interfesz kozott routeolhatsz, szurhetsz, natolhatsz, stb. ha szukseged van ra.

( kbela | 2009. 02. 20., p – 10:51 )

Ha Layer 3-as a switch akkor az egeszet meg tudod onnan oldani. En igy csinaltam, szerverek kulon VLAn-on es a switch-bol a routolas hogy ki mit lathat.
Ha nincs Layer 3-as switch akkor az a kerdes hogy teljesen ki akarod zarni azt hogy lassak egymast vagy sem. Ha igen akkor egy portot belogatsz mindket VLAN-ba es arra kerul a szerver. Ha nem akkor ket interface a szerveren, egy-egy VLAN-ban es akkor megint tudsz jatszani azon hogy ki mit lathat.

( fireking | 2009. 02. 20., p – 11:11 )

szia!

Nagyon egyszeru...

Kezd el felrajzolni magadnak, egy lapra mit szeretnel, mintha kulon allo switchekkel szeretned megoldani.

1 switch halozat 1 (vlan101)
1 switch halozat 2 (vlan102)
1 switch server halozat (vlan103)
stb..

(ezek a switchek nem tenyleges switchek, csak logikai elemek a rajzodon)

felrajzolod a tuzfalat...

Amikor ez megvan, akkor mar egyszeru a dologd...
A VLAN-ok annyit segitenek, hogy ezt a halozatot virtualisan agregalja egy halozatba, es amikor a tenylegeset konfigolod, akkor a fizikai switcheden, egyszeruen az adott portot taggolod...ha egy port tobb switchez is tartozik (pl a rajzodon a tuzfaltol huztal vonalat az 1-es es a 2-es switchedhez is) akkor azt a porot trunkolod es tobb vlan tagot adsz neki a switchben.

nem bonyolult ez...

rajzold le amit elkepzeltel, nevezd el a switcheket a rajzodon vlan-oknak es keszen vagy...
amikor ez meg van, akkor a vlanok kozott a routing biztositja az atjatrast....

nem valaszoltam a kerdesedre:
Az hogy a szerever halozatotd dedikalt legyen vagy sem, ez alkalmazas fuggo, ezt te tudod eldonteni. Vannak alkalmazasok, amelyek tavoli halozatokbol nem mukodnek, performacia veszteseg van, ha atkuldod a tuzfalon foloslegesen. Nezd meg mit nyersz , mit veszitesz mielott...DMZ-t nem minidg erdemes csinalni.

Udv,
I.

Szia,

Köszi szépen a terjedelmes fejtegetést. Tudom, hogy pl. Samba nem szereti a külön hálózatot, ill. a DMZ-t. Itt inkább általános problémám az h. így v. úgy érdemes...
Egyébként Layer3 switch adott, de csak a háló központjában.
Én úgy gondoltam ezt az egészet h. a L3 switch fog routeolni a hálózatomon, az "alsóbb rendű" switchek pedig untagged vlanban fognak csatlakozni rá, hiszen a szerencsém annyi h. a kisebb switchek fizikailag külön hálózatot is jelentenek, nem kell kavarni azzal h. taggelni kelljen a forgalmat mert egy porton van több vlan is.
Ezért szeretném azt h. mondjuk Vlan1 és Vlan2 átlásson a Vlan3-ba mondjuk akár átjáró nélkül. Pl. a szervereimen lenne mind2 hálóból IP cím v. valami hasonló.

Köszi,

Z

"pl. Samba nem szereti a külön hálózatot, ill. a DMZ-t."
Hogyhogy nem szereti? Nincs vele semmi gond. Azt kell tudni, hogy a VLAN maga a broadast domain, ezért tehát a broadcast forgalom a VLAN-ok között nem terjed. De erre például megoldás a WINS és ezzel összefüggésben a node-type, amit támogat a Samba.

"a L3 switch fog routeolni a hálózatomon"
"Vlan1 és Vlan2 átlásson a Vlan3-ba mondjuk akár átjáró nélkül."
Ebben a hozzászólásodben leírtad a választ a kérdésedre. Ha route, akkor átjáró. Ha nincs átjáró, akkor egy VLAN.

"Pl. a szervereimen lenne mind2 hálóból IP cím v. valami hasonló."
Lehet ilyen, hogy minden szerver belelóg mindkét VLAN-ba, de azt írtad, hogy egy-egy kis switch csak egy-egy VLAN forgalmát kapja meg. Ezért dupla kábelezésre, két fizikai interfészre lenne szükség. Nem ez tűnik a legjobb megoldásnak. Van router, a hálózatot be kell állítani a Sambával együtt, és menni fog.

Ha mindenképpen azt szeretnéd, hogy 1 subnetben legyeek, akkor érdemes megfontolni a private vlan használatát. Van 1 subneted, kifelé mindenki tud kommunikálni, de a subneten te szabélyozod, hogy ki kivel tud dumálni.

Üdv

Egyébként én sem tudok olyan okról, ami feltétlen indokolná, hogy 1 bcast domainbe kellene pakolni a szervert a kliensekkel.