802.1q VLAN

Hálózatok általános

Hello!

Egy elég méretes hálózatra szeretnék rákötni két helyen egy-egy gépet, azzal a megkötéssel, hogy csak egymást láthassák, és a jelenlegi hálózat se lássa ezt a kettőt (tehát mintha egy külön switchbe lennének dugva.)
Topologia szerint igy nez ki:

gep1-sw1-sw2-sw3-sw4-sw5-gep2

A switchek az sw5 kivetelevel full menedzselhetoek, az sw5 web-smart, de tamogatja a 802.1q vlan tagging-et. Az osszes switch-hez kapcsolodnak meglevo ugyfelek, akiknek semmit nem lenne szabad eszrevenni a valtozasbol. Eddig annyit sikerult kihuzni a support-bol, hogy az sw1 azon portjat, amelyiken a gep1 log tagged-nek kell beallitani, es az uplink portot TRUNK-nek kell konfiguralni es betenni a gep1 vlan-jaba.
Kerdese(i)m:
- a tobbi switch-nek nem kell tudnia rola, hogy VLAN van a halozatban, csak a ket közvetlenul erintettnek?
- A web-smart swichtnek nem talalok olyan lehetoseget, hogy trunk-nek allitsam az uplink portjat (fantazianeve: TL-SL2210WEB )
- esetleg van valakinek tapasztalata azzal kapcsolatban, hogy gagyi switchek hogy engedik at a vlan-tagged kereteket(esetleg hogy nem???)

  • 4034 megtekintés

( NEUROFiRE | 2009. 05. 02., szo – 19:29 )

Minden erintett switchen letre kell hozni a VLAN-t (amugy a kozbenso switchek honnan a fenebol tudnak, hogy mi tortent? plusz szerintem azokon is celszeru letrehozni mindent ugyanazzal az id-vel amik nem erintettek, nem baj, ha egysegesen atlathato marad a halozat), a switchek kozott az uplink portokon tagged modban at kell tolni az osszes VLAN-t, a vegpontokra (a ket uj gepnel es az osszes reginel is) a megfelelo portokat a szukseges VLAN-ba kell belepakolni (untagged).

Gagyi switchek altalaban valtoztatas nelkul atviszik a 802.1q tag-et, de a regebbieknel esetleg elofordulhat, hogy hibasnak veszi es eldobja.

Ezzel a "dumb switch átereszti a vlan-taggelt kereteket"-tel szerintem óvatosan, ha tudtok, írjatok típust - én nem értem pl. hogy hogy tesz különbséget a taggelt és nem taggelt keretek között, elég ha megnézed ezt a képet. Ha jön egy taggelt csomag, továbbít mindent - de hová? Honnan tudja, hogy az adott VLAN-ban levő MAC cím melyik porton van? Vagy azt lekezeli csak konfolni nem lehet?

A kérdésedre egy kiegészítés: ha valami menedzselhető még nem jelenti azt, hogy kezeli a 802.1q-t.
Hogy miért kell beállítani? Egyrészt fenntartásaim vannak a dumb switch ilyen jellegű képességeiről (bár meggyőzhető vagyok :)), tehát szerintem alap, hogy _be_kell_ állítani ahhoz, hogy működjön.
Hogy mit: alapvetően egy porton a megengedett forgalmat kell beállítani, tehát melyik VLAN forgalmát engeded rá, és milyen módon. Egy porton lehet több VLAN is, ezek közül MAXIMUM egy lehet natív (sima 802.1), a többi (vagy mind) 802.1q.

És egy jó tanács: nem feltétlen kell az "uplink" portot TRUNK módba (azaz minden VLAN-t engedélyezni) konfolni. Kényelmesebb ugyan, de nem feltétlen biztonságos. Ha van normális doksid, bármikor átlátod a hálót, és elég csak a szükséges (ami lehet akár az összes felvett) VLAN.

a.

Szia. Pont az a lényeg, hogy annyira "dumb", hogy nem is tudja, hogy az a frame dot1q. Csak a src-dst mac-et látja, az alapján továbbit (cél felé közvetlenül, vagy unknown unicast flooding). Ha különbséget tenne az ethertype-ok között, akkor tényleg megszivnád, de igy ez egy sima frame továbbitássá degradálódik. Annyira hatékony transzparens dot1q tunnelezés, hogy a tunnelező eszköz (dumb switch) nem is tud róla, hogy tunnelez bármit is :)

Nyilván ez csak akkor működik, ha a bejövő és a kimenő frame is dot1q marad, vagyis mindkét oldalon van / lesz valaki egyszer, aki majd megérti a tag-et és kihámozza belőle a cél vlan-t meg egyebeket. A buta switch azt lebontani és per-vlan továbbitani, ahogy azt irtad is, nem fogja tudni, hiszen nem is tudja róla, hogy ott van, pont ezért működik transzparensen.

De miért nem? Nem küldi ki mindenhova, csak pontosan 1 portjára, arra, ahol a dst mac található, kivéve, ha onnan még nem jött semmi, akkor flood, majd egyszer csak jön valami válasz, ami alapján megtanulja, hol a cél. Az algoritmus pont ugyanaz, mintha egy sima mezei frame lenne, hogy van-e rajta dot1q header az ebből a szempontból tök mindegy. Elvben lehet még jobban elcseszett szituációkat generálni, pl. ugyanaz a mac cim forgalmaz két trönk porton, két külön vlan-ban a "dumb" switchen keresztül, de szerintem még az is működne simán. Bár itt talán már jelentkezne a hub effektus, legalább azon a két porton.

Mindenfele olyan tamadasi forma osszefoglalo elnevezese, amelynek eredmenyekent a malicsusz gepek olyan vlanokba is be tudnak logni, ahova nem kellene nekik.
Ez itt pl. ugy kovetheto el, hogy az atmeno switcheken logo gepek befake-elnek maguknak egy megfelelo .1q taget.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Ertem. Vagyis majd megmondod, hogy ertem-e:
Tehat van egy gep (pl linuxxal felfegyverezve) ami el tudja latni az altala kuldott ethernet kereteket tetszoleges PVID-vel. Ha ez egy olyan porton van, ami modositas nelkul kuldi tovabb a kereteket (pl? trunk modba allitva????) akkor barmely VLAN-nak tagja lehet, amelyiknek csak akar.

( foci v | 2009. 05. 03., v – 01:06 )

1x
Azt kellene kideríteni hogy hogyan vannak a köztes switchek kapcsolódó portjai konfigolva.
Ha "trunk" -re akkor az jó.

2x
Az 5 sw menedzselhető vagy csak átengedi a "trunk" csomagokat?
Ha igen akkor ezt a kliensnek kell lekezelnie.
Elvileg álíthetó rajta vlan. (lásd később)

1. válasz:
Szóval ha a switchek között trunk a kapcsolat akkor nem kell csak a végeken tudni a dologról.

2. válasz:
http://www.tp-link.com/products/product_des.asp?id=65
Elvileg tud vlan -t. Lehet hogy csak az uplinken lehet megetetni vele a trunk-öt és a többivel meg nem foglalkoztak.
Ergo ezért nincs a konfigurációjában.

3. válasz:
Sajnos mini/nem menedzselhető eszközöket mi is dobáltunk ki a hálózatunkból mert állandó csomagvesztések voltak miatta.
Gagyizott a kliens.
Még a tisztán cisco esetében is előfordulhat ha nincs azonos szinten a szoftveres oldal minden switchen.
Bár ezzel én még nem találkoztam, csak felhívták rá a figyelmemet.

Hello, koszi a valaszt neked is:-)

Nos:
1x: A koztes switchek osszes portja ACCESS-re van allitva, elvileg modositas nelkul tovabbitja a kereteket, legyen az taggelt, vagy pucer ethernet. Nekem azt diktálná az eszem, hogy at kellene engednie mindent, de mivel ez az elso, ezert bizonytalan vagyok.

2x: web-smart, tehat valamilyen szinten menedzselheto, de nem olyan mertekig, mint egy "rendesen menedzselheto" haverja.

2.valasszal kapcs.: Ha csak uplinken enne meg a trunk-ot, honnan talalja ki, hogy melyik az???

( Mik v | 2009. 05. 03., v – 19:11 )

Én untaggedre tenném azt a portot ahol a gép lóg...
a .1q az .1q k*vára mindegy hogy weben vagy nem weben állítod be, vagy tudja az eszköz vagy nem.
Nem mindenhol hívják trunk-nek. Ahogy elnézem a felhasználói útmutatót, egészen jól le van írva ha tudja az ember, hogy mit keressen... Az 53-55. oldalak nézegetése különösen érdekes :)
Ha nem vagy tisztában a vlan alapokkal inkább ne kísérletezz, elég jól meg lehet borítani a hálózatot!

Csak a két végponti switch-en kell létrehozni egy új VLAN-t, melynek száma nem lehet 1, mivel az 1-es VLAN untagged, és jelenleg az összes többi géped ebben a VLAN-ban van. Az uplink portok pedig minden switch-en trunk portok legyenek, ezek az IEEE 802.1q szabvány szerint átengedik a VLAN-okat. Kb. ennyi.

Ja, még annyi, hogy minden switch összes portja alapból az 1-es (untagged) VLAN-ban van, ezért azokat a portokat, ahova az új gépeid csatlakoznak, be kell tenni az újonnan létrehozott (pl. 2-es) VLAN-ba. A trunk portok pedig alapból továbbítják az összes VLAN-t, akár használja azokat az adott switch, akár nem, tehát itt semmit nem kell tenned.

Ezuton koszonom a joszandeku segitseget, a halozat mukodik, a VLAN sikerult.
Volt meg egy kis kavar a halozat logikai kozepeben levo aggregalo switch-csel, amit mashogy kellett allitgatni, leven mas gyartmany, de ezek utan mar nem volt tulsagosan bonyolult. Igaz egy fel oraig nem volt elerheto az adatbazis-szerverunk, mikor helytelenul levalasztottam a portjat az 1-es VLAN-rol, de ez a megszokott elb__s kategoria:-)
Meg egyszer koszi mindenkinek a segedelmet.