Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Od jednog switcha napraviti dva virtuelna VLAN

[es] :: Enterprise Networking :: Od jednog switcha napraviti dva virtuelna VLAN

[ Pregleda: 1466 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

ksrele
Programer - informatičar
Gold Drink D.O.O. Subotica
Subotica

Član broj: 14253
Poruke: 1642
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+47 Profil

icon Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 13:02 - pre 38 meseci
Hteo bih da se malo poigram sa switchem Allied Telesis AT-GS950/48 (starija varijanta bez Eco opcije).
Obzirom da je starija verzija tesko je naci neku dobru dokumentaciju o njemu na netu.

Ono sto je meni sada cilj jeste da se malo vise upoznam za VLAN opcijama. Imao sam malo iskustva sa podesavanjem jedne mreze gde su se koristili VLAN-ovi ali je to bilo relativno davno ali i onda nisam bas sve ukapirao.

Ono sto bih ja za pocetak upitao (nije direktno vezano za ovaj konkretan switch) jeste da li je moguce podesiti VLAN-ove na switchu da se switch bukvalno podeli na dva virtuelna tako da svi uredjaji koji su prvih 50% portova nikako ne mogu da vide i komuniciraju sa ostatkom uredjaja koji su na ostalim portovima?

Ovaj switch poseduje dve vrste VLAN-ova: 802.1Q Tagged VLAN i Port-Based VLAN. Sta je konkretno razlika i koji da koristim u ovom mom primeru?

Znam da je Tagget port onaj koji ima VLAN na sebi ali taj VLAN prepoznaju samo uredjaji koji se podese na taj VLAN ID, kada port ima Unttaged VLAN to znaci da ce uredjaj nakacen na taj port bez problema videti ovu VLAN mrezu bez nekog posebnog podesavanja. Tu me zbunjuje cinjenica da ja ustvari mogu podesiti vise Unttaged VLAN mreza na jednom portu... kako je to uopste moguce?

 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 14:23 - pre 38 meseci
Tagged znaci da je sa druge strane uredjaj koji stavlja tagove, obicno drugi switch. Cisco to zove trunk port.

Port based VLAN znaci da switch stavlja tagove, tj. da sve sto udje u port dobija tag sa VLAN ID-em koji si zadao.

Ako stavis 5 portova na VLAN 10 a 5 na VLAN 20, oni na istom mogu da rade broadcast i da se vide, oni sa razlicitom ne mogu. Jedini nacin da komuniciraju je ako je na (bar jedan) trunk port vezan neki L3 uredjaj (router) koji ce da forwarduje pakete izmedju VLAN-ova - osim ako to switch ne ume da radi sam, tj. ako nije routed switch.

Da, stavljanjem u dva VLAN-a i tagovanjem portova uredjaji u razlicitim VLAN-ovima ce biti kao da su na dva nepovezana switch-a.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

ksrele
Programer - informatičar
Gold Drink D.O.O. Subotica
Subotica

Član broj: 14253
Poruke: 1642
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+47 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 14:33 - pre 38 meseci
Hvala ti na odgovoru ali da li moze malo detaljnije:

Citat:
nkrgovic: Tagged znaci da je sa druge strane uredjaj koji stavlja tagove, obicno drugi switch. Cisco to zove trunk port.


Cek, znaci paketi koji izlaze iz Tagged (802.1Q) portova na switchu nemaju nikakav TAG kojoj VLAN mrezi pripada taj paket? Koja je onda razlika izmedju Tagged i Untagged porta po 802.1Q modu?

Citat:
nkrgovic: Port based VLAN znaci da switch stavlja tagove, tj. da sve sto udje u port dobija tag sa VLAN ID-em koji si zadao.


Ufff... bas si me zbunio. Ja sam mislio da je sve obrnuto. Cek, kada paket udje u switch, dobija TAG i onda nije bitno sa kog porta izadje napolje on u sebi nosi taj TAG?

Citat:
nkrgovic: Ako stavis 5 portova na VLAN 10 a 5 na VLAN 20, oni na istom mogu da rade broadcast i da se vide, oni sa razlicitom ne mogu. Jedini nacin da komuniciraju je ako je na (bar jedan) trunk port vezan neki L3 uredjaj (router) koji ce da forwarduje pakete izmedju VLAN-ova - osim ako to switch ne ume da radi sam, tj. ako nije routed switch.

Da, stavljanjem u dva VLAN-a i tagovanjem portova uredjaji u razlicitim VLAN-ovima ce biti kao da su na dva nepovezana switch-a.


Nisi napisao kako da port stavim u jedan od ovih VLAN-ova? Da li portove da podesim da su 802.1Q ili da su Port-Based VLAN i da li da budu Tagged ili Untagged?
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 14:49 - pre 38 meseci
Ajde ovako :

- Switch silikon kada radi switching mora da ima setovan 802.1q tag za svaki paket
- Ako ne setujes nista ili dobije 1 ili mozes da zadas default negde na switchu
- Ako je port tagged (trunk) obicno i dalje moras da mu setujes neki default, pa onda, ako prodje untagged, on ga ipak taguje
- Ako je port tgged (port-based VLAN) dobice tag koji si zadao, bez obzira sta je uslo.
- Kada paket izadje napolje on ima tag i izlazi na onim portovima gde moze da izadje taj tag.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 207
*.dynamic.isp.telekom.rs.



+14 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 14:59 - pre 38 meseci
Zdravo,

jako je jednostavno - samo pazi na terminologiju (posebno razlicitih proizvodjaca kod termina 'trunk').

U zaglavlju ethernet frame-a, ako je switch sposoban za 802.1q (nakada davno i isl), ubacije se 4 byte-a , od kojih je tebi vazno 2 (tj. 12 bita od njih 16 iz ova dva bytea tj. 4096 kombinacija) koji nose oznaku VLAN clanstva wiki ovde.

Na IZLAZNOM portu, switch koji taguje saobracaj, ubacuje oznaku VLAN clanstva u frame na izlazu.

Na DOLAZNOM portu, switch a) prepoznaje clanstvo u VLAN-a (na osnovu TAGa) b) rasporedjuje frame u "native" VLAN ako je frame 'netagovan' (99% opreme ovo je VLAN1 po defaultu), c) ignorise VLAN clanstvo i slepo transportuje frame daje (slucaj kod 'neinteligentnih' switcheva izmedju dva koji govore 802.1q).

Nazad na tvoje pitanje, jedan porta ne bi trebalo da ima vise od jednog 'netagovanog' vlan-a.

Postoje neka posebna resenja (specifican za proizvodjace, npr. H3C) koji imaju hibridne VLAN-ove (recimo rade VLAN klasifickaiju na osnovu dolazne MAC adrese ili drugih parametara) ali nemoj da te ovo za sada zbunjuje. Ovo je vazno kada na isti port switch imas vezan IP telefon i PC, a telefon ne podrzava 802.1q ili LLDP signalizaciju za VOICE vlan.

Jedan od velikih problema je tzv. native vlan mismatch - situacija u kojoj dva direktno povezana switcha smatraju razlicite VLAN-ove native. Recimo Switch A smatra da je VLAN 300 native (netagovan) a VLAN B smatra da je to VLAN 400. Kada A posalje netagovan frame ka switchu B, dolazi do tzv. prelivanja VLAN-a (iz 300 u 400) sto nije zeljena situacija. Neki uredjaji (kroz LLDP ili CDP) prepoznaju ove situacije (native VLAN mismatch).



I ne zaboravi da VLAN clanstvo moze biti i dinamicki dodeljeno. Recimo kod 802.1x autenticfikacije, RADIUS server moze poslati signalizacju switchu da odredjeni port (tj. korisnika) stavi u odredjeni VLAN.

Poz,
Milenko.



...jer tako smo u mogućnosti.
 
Odgovor na temu

ksrele
Programer - informatičar
Gold Drink D.O.O. Subotica
Subotica

Član broj: 14253
Poruke: 1642
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+47 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 15:00 - pre 38 meseci
Evo nasao sam ovako nesto u Helpu na samom switchu. Ko bi rekao da Help moze da ikom ikad pomogne :D

Citat:

802.1Q Tagged VLAN: forwarding decision follows 802.1Q Tagged VLAN.
Port-Based VLAN: if a port is in Port-Based VLAN mode, when it receives a tagged packet, the packet will be dropped; when it receives an untagged packet, forwarding decision follows Port-Based VLAN. Besides, the total number of ports in port-based VLAN mode can't exceed 30.


Ako sam dobro ukapirao, 802.1Q je standardan mod za funkcionisanje VLAN mreza. To bi svaki smart switch trebao da zna. Ako switch ima samo ovaj mod onda se on nigde posebno ne naglasava i portovi mogu da budu Tagget ili Untagged a kako funkcionisu u zavisnosti da li su T ili U cu vec skontati na nekon YT videu. Mene je zbunjivalo ovo "Port-Based".

A port koji je setovan na "Port-Based" mod ne prihvata ulazne T pakete ali zato ulazne U pakete prosledjuje samo na port koji je isto setovan kao Port-Based ako je trazena MAC adresa na njemu a ako nije onda dropuje paket. Nigde ne pise da ce taj paket koji izlazi tagovati...
 
Odgovor na temu

ksrele
Programer - informatičar
Gold Drink D.O.O. Subotica
Subotica

Član broj: 14253
Poruke: 1642
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+47 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 15:11 - pre 38 meseci
Hvala Milenko,

Ovako nesto sam ja i mislio da je ali ono sto me je i ranije a i sada me zbunjuje sto nesto procitas negde ili vidis na nekom tutorijalu (recimo da ne moze jedan port da bude Untagged na vise VLAN mreza u isto vreme) i onda sednes za switch i vidis da moze i onda se zapitas ko je ovde lud? <edit>Probao sam ovo i ipak, iako izgleda da moze ustvari ne moze, ako ima vise Untagged VLAN-ova na portu swith pita koji je default, tako da, u praksi ipak samo jedna Unttaged VLAN moze na jedan port</edit>
Ili procitas da nesto treba tako i tako da radi, podesis kod sebe kad ono ne radi. A nisi ni svestan da jos negde imas neku malu opciju da ukljucis a to sve zavisi od proizvodjaca do proizvodjaca i onda pocnes da sumnjas u ono sto si naucio jer nisi dokazao u praski da to tako i radi...

Jako volim raditi sa racunarskim mrezama ali ujedno i jako mogu da me iznerviraju kada nesto nije dovoljno dobro dokumentovano ili zbgo neke greske ne radi kako treba a ja te greske nisam odmah svestan :D

[Ovu poruku je menjao ksrele dana 19.01.2021. u 23:04 GMT+1]

[Ovu poruku je menjao ksrele dana 19.01.2021. u 23:06 GMT+1]

[Ovu poruku je menjao ksrele dana 19.01.2021. u 23:06 GMT+1]
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 794



+630 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 15:31 - pre 38 meseci
Bila je vec tema o VLAN-ovima ovde. Detaljnu pricu o tome sam ispricao ovde. Mala dopuna:

Cisco Brocade Allied Telesis Paketi koje port prihvata/salje
===== ======= ======================= ===============================
access port untagged port Port-based VLAN mode Normalni Ethernet paketi (bez VLAN taga)
trunk port tagged port 802.1Q tagged VLAN mode Ethernet paketi koji sadrze VLAN tagove
 
Odgovor na temu

ksrele
Programer - informatičar
Gold Drink D.O.O. Subotica
Subotica

Član broj: 14253
Poruke: 1642
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+47 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 20:04 - pre 38 meseci
@B3R1
Koristio sam Cisco rutere i tamo isto lepo pise Tagged i Untagged. Ne znam sad tacno koji model, stvarno je davno bilo. Ne garantujem 100% ali prilicno sam ubedjen da je tako.

Kod ovog mog Allied Telesis switcha portove koji su u 802.1Q tagged VLAN modu mogu da setujem da su Tagged i Untagged... a ako je u Port-Based modu onda portu mozes samo da dodelis da ID grupe, nema Tagged i Untagged.
Screen-ovi su u prilogu.

Ovako, ja sam zakljucio sledece, da ovaj Port-Based mod je ustvari neki jednostavan mod ako neko prosto zeli samo da grupise (moze da se napravi 48 grupa) i razgranici nekoliko portova u "virtualne swithceve" bas ovo sto ja hocu. Kontam da ce i izlazni paketi sa ovako setovanog porta biti Untagged kao sto su i ulazni.

Ovaj drugi 802.1Q tagged VLAN mod je ustvari redovan i klasican VLAN mod koji se lako moze nauciti i o kome ima milion tekstova i video tutorijala na sve strane.

Slika1: Moguci VLAN modovi, moguce je za svaki port posebno podesiti u kom je modu


Slika2: Default VLAN, svi portovi su Untagged


Slika3: Ja dodao test VLAN i setovao iste portove da su Untagged koji su vec Unttagged za default VLAN


Slika4: Port-Based VLAN mod, moguce je definisati koji je ID grupe i koji portovi pripadaju toj grupi, nije moguce setovati Tagged ili Unttaged
Prikačeni fajlovi
 
Odgovor na temu

zivanicd
Dejan Zivanic
KLADOVONET ISP
Kladovo

Član broj: 137218
Poruke: 1129
*.zivanic.com.

Sajt: www.kladovo.net


+139 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 20:52 - pre 38 meseci
cisco#show run interface fastEthernet 0/1
Building configuration...

Current configuration : 216 bytes
!
interface FastEthernet0/1
description Sud-Kladovo
switchport access vlan 100
switchport mode access
switchport protected
ip access-group 106 in
load-interval 30
arp timeout 60
ip dhcp snooping limit rate 100
end

cisco#show run interface gigabitEthernet 0/1
Building configuration...

Current configuration : 167 bytes
!
interface GigabitEthernet0/1
description 10G-agregacioni-port-17
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 100-107,202-207
switchport mode trunk
ip dhcp snooping trust
end

Na Gigabit strani formiras vlanove (100-107,200-207) da bi imao saobracaj... Konfiguracija kao sto je Beri napisao par poruka pre.
 
Odgovor na temu

ksrele
Programer - informatičar
Gold Drink D.O.O. Subotica
Subotica

Član broj: 14253
Poruke: 1642
*.dynamic.isp.telekom.rs.

ICQ: 66444502


+47 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN19.01.2021. u 21:26 - pre 38 meseci
@zivanicd

Izvini ali ja ne kapiram zasto si ovo postovao? Switch koji ja imam nije Cisco vec je Allied Telesis i konfigurisem ga preko Web Interface-a...
Igrao sam se nekad sa Ciscom, i radio sam u CLI modu, znao sam tada neke komande i opcije, sada... ni da mi za prezivljavanje treba verovatno se ni jedne ne bih mogao setiti. :D

 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5316

Sajt: www.bachi.in.rs


+2826 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN20.01.2021. u 06:48 - pre 38 meseci
Imaš tri vrste porta.

1. Access ili untagged, na njega kačiš "glupe" klijente koji nisu VLAN svesni, niti treba da budu, dakle to su radne stanice, tj klijent uređaji. Ako se nakači neki vlan svesni uređaj i šalje drugačiji vlan id od onog koji je na access portu, isti se odbacuje. Ako untagged port ima pvid 10 na primer, svaki uređaj koji se prikači na takve portove će automatski pripasti vlanu 10.

2. Trunk ili tagged na njega se kače vlan svesni uređaji, dakle kad hoćeš da povežeš svičeve međusobno i koji treba da prenose saobraćaj iz više vlanova na tom portu. Možeš i multi-SSID AP-ove da vezuješ na trunk port, jer zavisno od ssid-a baca klijenta u određeni vlan ili im se dinamički dodeljuje zavisno od autorizacije.

3. Hibridni port. :) On može da ima i (više) tagged vlanova, ali i JEDAN untagged vlan. Hibridni port ne može imati više untagged portova, samo jedan pvid može da ima. Ako nakačiš uređaj koji nije vlan svestan, on će biti u vlanu definisan pvid-om za taj port. Recimo, na tom portu imaš 3 vlana. 10, 20 i 30. PVID je 10. Svaki uređaj koji nije vlan svestan kada se uključi u takav port će biti u vlanu 10. Uređaj koji je vlan svestan i za koga želiš da bude u vlan 20 i/ili vlan 30, tako ga i konfigurišeš i on će pripadati u takvom vlanu. Ako kačiš svič na svič, onda i takav svič na tom portu treba da bude hibridan, sa istim PVID-em ako želiš da prenosi i vlan 10... No preporuka je da se za međusobno povezivanje svičeva i rutera koristi isključivo trunk portovi, ali recimo neki AP-ovi poput nesrećnog unifi-a zahtevaju da prvi vlan na kom je ujedno i managment da bude untagged, a ostali mogu da se taguju i zato se konfigurišu hibridni portovi.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

ksrele
Programer - informatičar
Gold Drink D.O.O. Subotica
Subotica

Član broj: 14253
Poruke: 1642
*.static.isp.telekom.rs.

ICQ: 66444502


+47 Profil

icon Re: Od jednog switcha napraviti dva virtuelna VLAN20.01.2021. u 14:53 - pre 38 meseci
Hvala svima na odgovorima.

Shvatio sam ono sto me je zbunjivalo (sta znaci Port-Based VLAN mod) i uspeo sam da "prepolovim" switch na dva virtuelna podesavajuci drugaciji PVID (drugi VLAN) na dve grupe portova koje sam setovao da su Unttaged. Ne trebaju mi Tagged portovi jer drugi VLAN ne treba da ima da ide na drugu mrezu ili internet.

Sve ostalo sam znao i ranije samo sam neke stvari pozaboravljao.
 
Odgovor na temu

[es] :: Enterprise Networking :: Od jednog switcha napraviti dva virtuelna VLAN

[ Pregleda: 1466 | Odgovora: 12 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.