Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
switch HP - ingress filtering (VLAN)
39 views
Skip to first unread message
Valerio Vanni
Oct 25, 2021, 1:37:33 PM10/25/21
to
Parlo della configurazione VLAN uno switch HP serie 1700.
C'è un'interfaccia in cui si assegna l'appartenenza delle porte alle
VLAN.
VLAN1: porte 1-2-5-20
VLAN2: porte 1-5-11-15
Poi c'è l'intefaccia in cui si configurano le singole porte.
Port1 VLAN aware Enabled [Y/N] Inress Filtering Enabled [Y/N]
Packet Type [All/Tagged Only] PVID [1|2|...|NONE]
La guida riporta così:
------------------------------
VLAN Per Port Configuration
• Port/Trunk – The port number or the ID of a trunk.
• VLAN Aware Enabled – VLAN aware ports are able to use VLAN
tagged frames to determine the destination of the frame. Click to
enable or disable VLAN awareness mode for this port.
(Default: Enabled)
• Ingress Filtering Enabled – If enabled, incoming frames for VLAN
which do not include this ingress port in their member set will be
discarded. (Default: Disabled)
• Packet Type – Users can set the interface to accept all frame type
or only tagged frames.
If the Packet Type is set to “All,” the port can accept incoming tagge
and untagged packets. Untagged packets will be associated with th
VLAN identified by the PVID. Tagged packets will be dropped unles
the port is a member of the VLAN identified by the VLAN tag in the
packet.
If the Packet Type is set to “Tagged,” the port will only send tagged
packets. (Default: All)
• PVID – From a drop down menu, choose the VLAN ID that will be
assigned to untagged frames received on this port. You cannot choos
“None” for the VLAN ID unless the packet type is set to “Tagged Only
Choosing “None” will not assign any VLAN ID to untagged frames
received on this port. It is not possible to remove a port from VLA
1 unless its PVID has been changed to something other than 1. The
PVID has no effect on ports that have Packet Type set to Tagged.
(Default: 1)
------------------------------
La voce che mi interessa è "Ingress filtering". Dice: Se abilitato, i
pacchetti che entrano per le VLAN che non includono questa porta sono
scartati".
Altrimenti entrano? Se la porta non appartiene alla VLAN, non
dovrebbero essere comunque scartati?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
C'è un'interfaccia in cui si assegna l'appartenenza delle porte alle
VLAN.
VLAN1: porte 1-2-5-20
VLAN2: porte 1-5-11-15
Poi c'è l'intefaccia in cui si configurano le singole porte.
Port1 VLAN aware Enabled [Y/N] Inress Filtering Enabled [Y/N]
Packet Type [All/Tagged Only] PVID [1|2|...|NONE]
La guida riporta così:
------------------------------
VLAN Per Port Configuration
• Port/Trunk – The port number or the ID of a trunk.
• VLAN Aware Enabled – VLAN aware ports are able to use VLAN
tagged frames to determine the destination of the frame. Click to
enable or disable VLAN awareness mode for this port.
(Default: Enabled)
• Ingress Filtering Enabled – If enabled, incoming frames for VLAN
which do not include this ingress port in their member set will be
discarded. (Default: Disabled)
• Packet Type – Users can set the interface to accept all frame type
or only tagged frames.
If the Packet Type is set to “All,” the port can accept incoming tagge
and untagged packets. Untagged packets will be associated with th
VLAN identified by the PVID. Tagged packets will be dropped unles
the port is a member of the VLAN identified by the VLAN tag in the
packet.
If the Packet Type is set to “Tagged,” the port will only send tagged
packets. (Default: All)
• PVID – From a drop down menu, choose the VLAN ID that will be
assigned to untagged frames received on this port. You cannot choos
“None” for the VLAN ID unless the packet type is set to “Tagged Only
Choosing “None” will not assign any VLAN ID to untagged frames
received on this port. It is not possible to remove a port from VLA
1 unless its PVID has been changed to something other than 1. The
PVID has no effect on ports that have Packet Type set to Tagged.
(Default: 1)
------------------------------
La voce che mi interessa è "Ingress filtering". Dice: Se abilitato, i
pacchetti che entrano per le VLAN che non includono questa porta sono
scartati".
Altrimenti entrano? Se la porta non appartiene alla VLAN, non
dovrebbero essere comunque scartati?
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Mirko Borsari
Oct 26, 2021, 3:14:14 AM10/26/21
to
Il Mon, 25 Oct 2021 19:37:44 +0200, Valerio Vanni ha scritto:
> Parlo della configurazione VLAN uno switch HP serie 1700.
> Parlo della configurazione VLAN uno switch HP serie 1700.
> La voce che mi interessa è "Ingress filtering". Dice: Se abilitato, i
> pacchetti che entrano per le VLAN che non includono questa porta sono
> scartati".
> Altrimenti entrano? Se la porta non appartiene alla VLAN, non
> dovrebbero essere comunque scartati?
se ricordo bene, ma aspetta conferme perchè è un po' che non studio la
> pacchetti che entrano per le VLAN che non includono questa porta sono
> scartati".
> Altrimenti entrano? Se la porta non appartiene alla VLAN, non
> dovrebbero essere comunque scartati?
teoria :-) l'aggiunta o la rimozione del vlan ID avviene in uscita
dalla porta.
il filtro in ingresso fa si che non entri niente al di fuori delle
vlan conosciute dalla porta.
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey
L'indirizzo ema@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Valerio Vanni
Oct 26, 2021, 5:37:11 PM10/26/21
to
On Tue, 26 Oct 2021 09:14:11 +0200, Mirko Borsari <ne...@bsi-net.it>
wrote:
solo alla VLAN1.
Arriva un pacchetto taggato per la VLAN2, e lui lo accetta?
Se è così, qual è lo svantaggio di abilitare ingress filtering?
Nel senso, perché non è abilitato di default?
Non so se mi spiego, ma mi sfugge lo scenario in cui ho deciso di
escludere una porta da una VLAN ma voglio che accetti pacchetti
taggati per quella VLAN.
wrote:
>> La voce che mi interessa è "Ingress filtering". Dice: Se abilitato, i
>> pacchetti che entrano per le VLAN che non includono questa porta sono
>> scartati".
>> Altrimenti entrano? Se la porta non appartiene alla VLAN, non
>> dovrebbero essere comunque scartati?
>
>se ricordo bene, ma aspetta conferme perchè è un po' che non studio la
>teoria :-) l'aggiunta o la rimozione del vlan ID avviene in uscita
>dalla porta.
>il filtro in ingresso fa si che non entri niente al di fuori delle
>vlan conosciute dalla porta.
Facciamo un esempio, senza ingress filtering: la porta 5 appartiene
>> pacchetti che entrano per le VLAN che non includono questa porta sono
>> scartati".
>> Altrimenti entrano? Se la porta non appartiene alla VLAN, non
>> dovrebbero essere comunque scartati?
>
>se ricordo bene, ma aspetta conferme perchè è un po' che non studio la
>teoria :-) l'aggiunta o la rimozione del vlan ID avviene in uscita
>dalla porta.
>il filtro in ingresso fa si che non entri niente al di fuori delle
>vlan conosciute dalla porta.
solo alla VLAN1.
Arriva un pacchetto taggato per la VLAN2, e lui lo accetta?
Se è così, qual è lo svantaggio di abilitare ingress filtering?
Nel senso, perché non è abilitato di default?
Non so se mi spiego, ma mi sfugge lo scenario in cui ho deciso di
escludere una porta da una VLAN ma voglio che accetti pacchetti
taggati per quella VLAN.
valerio vanni
Oct 31, 2021, 11:00:54 AM10/31/21
to
Il giorno martedì 26 ottobre 2021 alle 09:14:14 UTC+2 Mirko Borsari ha scritto:
> > Altrimenti entrano? Se la porta non appartiene alla VLAN, non
> > dovrebbero essere comunque scartati?
> se ricordo bene, ma aspetta conferme perchè è un po' che non studio la
> teoria :-) l'aggiunta o la rimozione del vlan ID avviene in uscita
> dalla porta.
> il filtro in ingresso fa si che non entri niente al di fuori delle
> vlan conosciute dalla porta.
Diciamo che le porte da 1 a 4 appartengono *solo* alla VLAN 10 e quelle da 5 a 8 *solo* alla VLAN 20.
> > Altrimenti entrano? Se la porta non appartiene alla VLAN, non
> > dovrebbero essere comunque scartati?
> se ricordo bene, ma aspetta conferme perchè è un po' che non studio la
> teoria :-) l'aggiunta o la rimozione del vlan ID avviene in uscita
> dalla porta.
> il filtro in ingresso fa si che non entri niente al di fuori delle
> vlan conosciute dalla porta.
Stando a quello che dici (e quello che appare nella guida), a filtro disattivato, potrei attaccarmi alla porta 3, presentarmi con il tag della 20 e entrare nella VLAN 20?
Dalle prove fatte, anche senza filtro nella VLAN 20 non ci entri.
Mirko Borsari
Nov 2, 2021, 4:30:21 AM11/2/21
to
Il Sun, 31 Oct 2021 08:00:52 -0700 (PDT), valerio vanni ha scritto:
>> se ricordo bene, ma aspetta conferme perchè è un po' che non studio la
>> teoria :-) l'aggiunta o la rimozione del vlan ID avviene in uscita
>> dalla porta.
>> il filtro in ingresso fa si che non entri niente al di fuori delle
>> vlan conosciute dalla porta.
>
> Diciamo che le porte da 1 a 4 appartengono *solo* alla VLAN 10 e quelle da 5 a 8 *solo* alla VLAN 20.
> Stando a quello che dici (e quello che appare nella guida), a filtro disattivato, potrei attaccarmi alla porta 3, presentarmi con il tag della 20 e entrare nella VLAN 20?
> Dalle prove fatte, anche senza filtro nella VLAN 20 non ci entri.
Certo che non entri, ma la questione è quando vieni bloccato. Se in
>> se ricordo bene, ma aspetta conferme perchè è un po' che non studio la
>> teoria :-) l'aggiunta o la rimozione del vlan ID avviene in uscita
>> dalla porta.
>> il filtro in ingresso fa si che non entri niente al di fuori delle
>> vlan conosciute dalla porta.
>
> Diciamo che le porte da 1 a 4 appartengono *solo* alla VLAN 10 e quelle da 5 a 8 *solo* alla VLAN 20.
> Stando a quello che dici (e quello che appare nella guida), a filtro disattivato, potrei attaccarmi alla porta 3, presentarmi con il tag della 20 e entrare nella VLAN 20?
> Dalle prove fatte, anche senza filtro nella VLAN 20 non ci entri.
ingresso o in uscita.
L'ingress filter dovrebbe impedire subito l'ingresso.
Bisognerebbe fare qualche prova con una porta in mirroring e
wireshark, ma non ho proprio tempo...
Valerio Vanni
Nov 2, 2021, 9:21:41 PM11/2/21
to
On Tue, 2 Nov 2021 09:30:18 +0100, Mirko Borsari <ne...@bsi-net.it>
wrote:
>> Diciamo che le porte da 1 a 4 appartengono *solo* alla VLAN 10 e quelle da 5 a 8 *solo* alla VLAN 20.
>> Stando a quello che dici (e quello che appare nella guida), a filtro disattivato, potrei attaccarmi alla porta 3, presentarmi con il tag della 20 e entrare nella VLAN 20?
>> Dalle prove fatte, anche senza filtro nella VLAN 20 non ci entri.
>
>Certo che non entri, ma la questione è quando vieni bloccato. Se in
>ingresso o in uscita.
>L'ingress filter dovrebbe impedire subito l'ingresso.
Non capisco, però, quale sarebbe il motivo per lasciare finire il
pacchetto in un "limbo" e bloccarlo dopo.
Perché se la cosa ha un senso (un senso positivo, intendo, uno
scenario in cui il filtro disattivato fa qualcosa di utile) bene,
altrimenti sarebbe meglio che il filtro fosse sempre attivato.
>Bisognerebbe fare qualche prova con una porta in mirroring e
>wireshark, ma non ho proprio tempo...
Ho paura che non serva.
Che il blocco sia in uscita o in entrata, all'uscita (e quindi al
mirroring) non arriva comunque.
wrote:
>> Diciamo che le porte da 1 a 4 appartengono *solo* alla VLAN 10 e quelle da 5 a 8 *solo* alla VLAN 20.
>> Stando a quello che dici (e quello che appare nella guida), a filtro disattivato, potrei attaccarmi alla porta 3, presentarmi con il tag della 20 e entrare nella VLAN 20?
>> Dalle prove fatte, anche senza filtro nella VLAN 20 non ci entri.
>
>Certo che non entri, ma la questione è quando vieni bloccato. Se in
>ingresso o in uscita.
>L'ingress filter dovrebbe impedire subito l'ingresso.
pacchetto in un "limbo" e bloccarlo dopo.
Perché se la cosa ha un senso (un senso positivo, intendo, uno
scenario in cui il filtro disattivato fa qualcosa di utile) bene,
altrimenti sarebbe meglio che il filtro fosse sempre attivato.
>Bisognerebbe fare qualche prova con una porta in mirroring e
>wireshark, ma non ho proprio tempo...
Che il blocco sia in uscita o in entrata, all'uscita (e quindi al
mirroring) non arriva comunque.
Valerio Vanni
Nov 2, 2021, 9:23:35 PM11/2/21
to
On Wed, 27 Oct 2021 20:08:54 -0000 (UTC), Allen <al...@spamfence.net>
wrote:
>Valerio Vanni <valeri...@inwind.it> wrote in
>news:tosgngdf44f6ahpka...@4ax.com:
>in ingresso, abilitando il filtro fai in modo che solo e unicamente i
>pacchetti taggati vlanZ possano transitare.
Parlavo di un altro scenario, quello dei pacchetti non tossici.
wrote:
>Valerio Vanni <valeri...@inwind.it> wrote in
>news:tosgngdf44f6ahpka...@4ax.com:
>
>> ma mi sfugge lo scenario
>
>Serve per evitare che qualche pacchetto tossico taggato vlanX possa passare
>> ma mi sfugge lo scenario
>
>in ingresso, abilitando il filtro fai in modo che solo e unicamente i
>pacchetti taggati vlanZ possano transitare.
Parlavo di un altro scenario, quello dei pacchetti non tossici.
Valerio Vanni
Nov 2, 2021, 9:26:03 PM11/2/21
to
On Wed, 03 Nov 2021 02:23:37 +0100, Valerio Vanni
<valeri...@inwind.it> wrote:
>>Valerio Vanni <valeri...@inwind.it> wrote in
>>news:tosgngdf44f6ahpka...@4ax.com:
>>
>>> ma mi sfugge lo scenario
>>
>>Serve per evitare che qualche pacchetto tossico taggato vlanX possa passare
>>in ingresso, abilitando il filtro fai in modo che solo e unicamente i
>>pacchetti taggati vlanZ possano transitare.
>
>Parlavo di un altro scenario, quello dei pacchetti non tossici.
Se io non ho incluso una porta nella VLANZ, non voglio che quella
<valeri...@inwind.it> wrote:
>>Valerio Vanni <valeri...@inwind.it> wrote in
>>news:tosgngdf44f6ahpka...@4ax.com:
>>
>>> ma mi sfugge lo scenario
>>
>>Serve per evitare che qualche pacchetto tossico taggato vlanX possa passare
>>in ingresso, abilitando il filtro fai in modo che solo e unicamente i
>>pacchetti taggati vlanZ possano transitare.
>
>Parlavo di un altro scenario, quello dei pacchetti non tossici.
porta comunichi con quella VLAN.
Perché ci vuole un filtro aggiuntivo, e perché non è sempre attivo?
Sto, insomma, cercando di figurarmi uno scenario in cui il filtro
disattivato faccia qualcosa di utile.
Valerio Vanni
Nov 3, 2021, 6:25:04 AM11/3/21
to
On Wed, 3 Nov 2021 02:13:25 -0000 (UTC), Allen <al...@spamfence.net>
wrote:
>> Perchè ci vuole un filtro aggiuntivo, e perchè non è sempre attivo?
>
>Perchè ... come ho già scritto, puoi taggare i pacchetti in l'uscita dalla
>scheda lan i pacchetti con l'id diverso e naturalmente riceverli.
E' stata la prova che ho fatto, ma non ha funzionato. La mia prova per
verificare il filtro è stata proprio questa: collegarmi a una porta
(inclusa solo nella VLAN1, esclusa dalla VLAN2) impostando il tag
della VLAN2 sulla scheda del PC.
Con l'aspettativa di saltare di là (nella VLAN 2) a filtro spento, e
non saltarci a filtro acceso.
Invece non ci si salta neanche a filtro spento.
Il che mi va anche bene, eh... se ho escluso la porta da una VLAN vuol
dire che non voglio comunicazione. Ma mi rimane la curiosità di cosa
fa in più quel filtro, quale può essere lo scenario in cui succedono
cose diverse tra averlo spento e averlo acceso.
Ho letto anche della possibilità di una doppia taggatura VLAN1+VLAN2
in cui il tag VLAN1 provoca l'accettazione, viene rimosso e rimane il
tag VLAN2 che poi porta a destinazione, questa è una prova che non ho
fatto.
wrote:
>> Perchè ci vuole un filtro aggiuntivo, e perchè non è sempre attivo?
>
>Perchè ... come ho già scritto, puoi taggare i pacchetti in l'uscita dalla
>scheda lan i pacchetti con l'id diverso e naturalmente riceverli.
E' stata la prova che ho fatto, ma non ha funzionato. La mia prova per
verificare il filtro è stata proprio questa: collegarmi a una porta
(inclusa solo nella VLAN1, esclusa dalla VLAN2) impostando il tag
della VLAN2 sulla scheda del PC.
Con l'aspettativa di saltare di là (nella VLAN 2) a filtro spento, e
non saltarci a filtro acceso.
Invece non ci si salta neanche a filtro spento.
Il che mi va anche bene, eh... se ho escluso la porta da una VLAN vuol
dire che non voglio comunicazione. Ma mi rimane la curiosità di cosa
fa in più quel filtro, quale può essere lo scenario in cui succedono
cose diverse tra averlo spento e averlo acceso.
Ho letto anche della possibilità di una doppia taggatura VLAN1+VLAN2
in cui il tag VLAN1 provoca l'accettazione, viene rimosso e rimane il
tag VLAN2 che poi porta a destinazione, questa è una prova che non ho
fatto.
0 new messages