banalità su vlan
lotho.sackv...@gmail.com
ho una rete in produzione (sulla quale ovviamente non posso fare degli
esperimenti) composta da uno switch di centro stella SENZA supporto
vlan e da uno switch periferico con supporto vlan.
il centro stella è temporaneo per cui non pensiamo più di tanto a come
c'è finito li.
al centro stella è collegato anche un router ed un firewall.
ho la necessità di creare circa 20 vlan sullo switch periferico in
modo da isolare i server tra di loro pur consentendo l'accesso
internet.
se configuro le vlan ed imposto la porta di uplink verso il centro
stella come tagged secondo voi i server dentro le vlan riescono a
comunicare con il router fuori vlan?
no vero? eventuali soluzioni?
Skull
[...]
> se configuro le vlan ed imposto la porta di uplink verso il centro
> stella come tagged secondo voi i server dentro le vlan riescono a
> comunicare con il router fuori vlan?
>
> no vero?
No.
> eventuali soluzioni?
Sostituire lo switch con uno meno scrauso.
peregrino....@gmail.com
> Sostituire lo switch con uno meno scrauso.
ecco, questo è impossibile, al momento.
Considera però che una volta arrivate sullo switch unmanaged, le vlan
possono anche non rimanere "separate".
Ho la necessità di creare vlan sugli access switch solo per
implementare il
sistema definitivo, ma al momento la separazione dei server non è
fondamentale.
Ma uno switch non vlan, come si comporta quando vede un freme taggato?
Ignora solo il tag o ignora l'intero frame?
I router ed il firewall supportano vlan, il problema è solo lo switch
che c'è in mezzo.
Se lo switch mettesse in comunicazione tutte le vlan annullando la
separazione
(in pratica se mi ricreasse un unico dominio) poco importa,
attualmente devo solo
poter implementare le vlan, se poi queste vlan si parlano ugualmente
come se
fosse un singolo dominio broadcast, fa lo stesso.
Skull
> Considera per� che una volta arrivate sullo switch unmanaged, le vlan
> possono anche non rimanere "separate".
> implementare il
> sistema definitivo, ma al momento la separazione dei server non �
> fondamentale.
>
> Ma uno switch non vlan, come si comporta quando vede un freme taggato?
> Ignora solo il tag o ignora l'intero frame?
Non pu� ignorare il tag, e non sa come trattare il frame: liddove ci
sono gli header del frame, con MAC sorgente e destinazione, ci trova una
roba (il TAG) che non capisce, ergo non pu� far null'altro che buttare
via tutto, dato che non sa n� da dove viene n� dove va (questo anche
ignorando il fatto che il tagging aumenta la dimensione del frame oltre
l'MTU e gi� questo potrebbe essere ragione sufficiente a non poterlo
trattare).
Il massimo che puoi fare � far s� che sulla porta che collega lo switch
managed a quello unmanaged tutte le VLAN siano propagate come untagged,
ma a seconda dello switch managed che stai usando questo potrebbe andare
da "una cagata, ma facile" a "non lo fai nemmeno col saldatore": dato
che � una configurazione completamente priva di senso, non � esattamente
tra le feature che uno switch managed implementa in quanto utili... (per
dire: con IOS non mi viene in mente una maniera diretta per ottenere una
roba simile...)
whiplash
> se configuro le vlan ed imposto la porta di uplink verso il centro
> stella come tagged secondo voi i server dentro le vlan riescono a
> comunicare con il router fuori vlan?
E chi leva i tag 802.1Q, se non chi è deputato a farlo, ovvero
lo switch, che poi inoltra le frame de-taggate alle porte appartenenti
alle vlan giuste?
writethem
> Non pu� ignorare il tag, e non sa come trattare il frame: liddove ci
> sono gli header del frame, con MAC sorgente e destinazione, ci trova una
> roba (il TAG) che non capisce, ergo non pu� far null'altro che buttare
> via tutto, dato che non sa n� da dove viene n� dove va (questo anche
> ignorando il fatto che il tagging aumenta la dimensione del frame oltre
> l'MTU e gi� questo potrebbe essere ragione sufficiente a non poterlo
> trattare).
dipende dallo switch, alcuni droppano tutto. altri lasciano transitare
tutto facendo finta di non aver visto il tag, ma rimuovendo il tag.
altri invece (i pi� banali) non riuscendo ad interpretare mandano i
pacchetti in broadcast, come fossero degli hub.
dipende dalla marca e spesso anche dal modello (molti marchi lasciano
che la fascia entry level -quella nemmeno L2- la producano fuori altre
aziende).
writethem
aggiungo: una cosa � certa, avere uno switch nemmeno L2 al centro
stella... io mi preoccuperei :)
Peregrino "Pipino" Tuc
> Il massimo che puoi fare � far s� che sulla porta che collega lo switch
> managed a quello unmanaged tutte le VLAN siano propagate come untagged,
> ma a seconda dello switch managed che stai usando questo potrebbe andare
> da "una cagata, ma facile" a "non lo fai nemmeno col saldatore": dato
> che � una configurazione completamente priva di senso, non � esattamente
> tra le feature che uno switch managed implementa in quanto utili... (per
> dire: con IOS non mi viene in mente una maniera diretta per ottenere una
> roba simile...)
"non lo fai nemmeno col saldatore" LOL :-)
Allora ti spiego:
ho un nodo virtualizzatore, sul quale devo creare circa 20 VM.
Ogni VM deve/dovrebbe appartenere ad una VLAN distinta, per evitare
che il primo pirla di turno che mette mano sulla VM (sono dei clienti
quindi non gestite da me) possa cambiare l'ip e/o il mac address e far
casino anche ad altri utenti (conflitti di ip e cos� via).
Mettendo ciascuno in una VLAN, se il pirla mi fa fuori uso l'ip, i danni
saranno confinati alla sua VLAN, per cui no problem.
(pi� altri motivi che mi spingono a fare una vlan per ciascun utente)
Ma:
l'access switch � managed e supporta vlan, per� il router/firewall
anch'essi con supporto vlan, sono connessi agli access switch mediante
un apparato non managed e senza supporto vlan.
Non mi interessa, al momento, segregare i domini di broadcast (sono
ancora in fase di planning per cui non ci sono utenti attivi).
Ho solo la necessit� di poter attivare le single interfacce virtuali
sul nodo virtualizzatore e connetterle allo switch. Se poi tra loro
comunicano, poco importa. Cos� facendo, configuro il nodo, configuro
le VM e, lato Xen, sono a posto. In seguito dovr� solo cambiare switch.
Peregrino "Pipino" Tuc
> aggiungo: una cosa � certa, avere uno switch nemmeno L2 al centro
> stella... io mi preoccuperei :)
Si, ma non avendo la fabbrica di switch sotto l'ufficio, sto aspettando
che mi arrivi, come ho scritto, � temporanea, la rete � in uso, ma al
momento non � molto trafficata, ne critica.
semplicemente sto usando il centrostella per aggregare due switch e
volevo intanto mettere le basi per configurare le vlan, senza dover
attendere il centrostella definitivo.
writethem
> Si, ma non avendo la fabbrica di switch sotto l'ufficio, sto aspettando
> che mi arrivi, come ho scritto, � temporanea, la rete � in uso, ma al
> momento non � molto trafficata, ne critica.
ok allora il mio consiglio �: aspetta il centro stella.
:)
Peregrino "Pipino" Tuc
> ok allora il mio consiglio �: aspetta il centro stella.
Cos� con le mani in mano?
Avrei preferito poter configurare intanto le VLAN sul nodo
xen....
writethem
a fare 20 vlan su uno switch ci metti, ad esagerare, 10 minuti. ti
conviene impazzire 2giorni per creare una pezza sul CS per risparmiare
10 minuti di configurazione??
mbho, io mi starei fermo.
lotho.sackv...@gmail.com
(writethem).com"> wrote:
> a fare 20 vlan su uno switch ci metti, ad esagerare, 10 minuti. ti
> conviene impazzire 2giorni per creare una pezza sul CS per risparmiare
> 10 minuti di configurazione??
non è tanto la configurazione dello switch ma la configurazione di
xenserver.
se non ho letto male, per fare le vlan devo creare una nic virtuale
"appoggiata" alla nic vera e poi associare la vlan alla nic virtuale.
così su due piedi mi pare si possa preimpostare il tutto creando
solamente le nic virtuali (una per ogni vps) senza associare la vlan
di riferimento.
in seguito dovrebbe bastare associare solo la vlan senza configurare
la vps giusto?
comunque, per la cronaca, ho rimediato un piccolo switch procurve che
ha supporto a vlan per cui domani cambio il centrostella e faccio le
vlan