Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

VLAN konfuzija u glavi

[es] :: Enterprise Networking :: VLAN konfuzija u glavi

[ Pregleda: 4630 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Uropet
IT manager
Beograd

Član broj: 271915
Poruke: 5
*.static.sbb.rs.



+1 Profil

icon VLAN konfuzija u glavi09.01.2020. u 13:10 - pre 57 meseci
Danima već iščitavam razno razne članke i forume, gledam tutorijale o VLAN-u, tagged, untagged, native, excluded podešavanjima portovima itd itd međutim nisam još uvek uspeo u glavi sam sa sobom da razbistrim šta čemu služi i kako je zamišljeno da pravilno bude podešeno da bi funkcionisalo. Pogotovo je problem s tim što se Cisco terminologija razlikuje od Ubiquiti terminologije (čiju opremu imam) pa to dodatno otežava proces razumevanja. Iščitavajući teme ovde na ES videh da ima nekoliko članova koji se razumeju u ovu problematiku pa sa željom da mi neko od vas iskusnijih pomogne otvaram ovaj topic. Verovatno će biti nekih mesta gde grešim zbog pogrešnog shvatanja materije pa ne zamerite.

Nikada ranije se nisam susreo sa VLAN-om a u firmi treba da podelim mrežu po VLAN-ovima i da je obezbedim na taj način koliko je to moguće, pa me zanimaju vaša mišljenja i preporuke. Nabavili smo Ubiquiti opremu: USG PRO-4 router / gateway, Cloud key controller i njihove switchove.

1) Ali da krenem prvo sa onim što mi nije jasno - tagged i untagged port. Šta meni u životu zapravo znači kada je na portu neki VLAN (recimo 70) tagged a neki drugi VLAN (80) untagged? Pročitao sam na desetine beskorisnih objašnjenja o tome da untagged ne stavlja u header paketa VLAN id, za razliku od tagged i to mi je jasno, ali u čemu je sad razlika da li ću ja na jednom portu staviti da tagged bude VLAN 70, a untagged VLAN 80 u odnosu na obrnuto - da tagged bude VLAN 80, a untagged VLAN 70? Shvatio sam da untagged VLAN može biti samo jedan a da tagged VLAN-ova može biti kolko hoću, ali i dalje ne razumem kakva je poenta odnosno razlika između toga da li je jedan tagged a drugi untagged ili obrnuto.

2) Svaki od portova na mojim switchevima (da pojednostavim reći ću da ih ima samo dva) će biti podešen tako da na sebi nosi jedan ili više VLAN-ova. Samo onaj port koji povezuje oba switcha će da bude trunk port, odnosno propuštaće sve moguće VLAN-ove, tj u ubiquiti terminologiji Switch port profile će biti podešen na All?

3) U zvaničnoj Ubiquiti dokumentaciji stoji sledeće što me buni:

Citat:
Untagged: a VLAN that is untagged is also sometimes referred to as the "Native VLAN". Any traffic that is sent from a host to a switch port that doesn't have a VLAN ID specified, will be assigned to the untagged VLAN.

This option is typically used when connecting hosts such as workstations or devices like IP cameras that don't tag their own traffic, and only need to communicate on one specific VLAN. A port can only have one Untagged VLAN configured at a time.


Prvo mesto gde se ovo objašnjenje ne slaže sa mojim razumevanjem je a koji to host / uređaj tagguje svoj odlazni saobraćaj sem switcheva / rutera? Koliko sam shvatio druga objašnjenja, saobraćaj se tagguje samo i isključivo na portu samog switch-a i tagguje ga upravo taj isti switch?

Ja sam mislio da je poenta rada sa VLAN-ovima da svaki port bude podešen tako da pripada barem jednom VLAN-u, odnosno da nosi neki VLAN id, odnosno da bude tagged. Recimo, ja u svom okruženju imam baš IP kamere i njih (kao i neke druge IoT uređaje) sam planirao da stavim u poseban VLAN, npr. VLAN 20, baš iz tog razloga da bi takve uređaje odvojio od svih ostalih. Dakle, to je u suprotnosti sa njihovim objašnjenjem, kako će kamere da budu u nekom untagged VLAN-u ako treba da ih smestim u tagged npr. VLAN20?

Imam još nekih drugih pitanja, ali da ne bih previše raširio priču za početak zadržaću se na ovome, a možda će neki odgovori u međuvremenu razjasniti preostale nedoumice..
 
Odgovor na temu

milosbeo
Loading...

Član broj: 220015
Poruke: 438
*.beotel.net.

Sajt: www.umrezen.in.rs


+82 Profil

icon Re: VLAN konfuzija u glavi09.01.2020. u 13:42 - pre 57 meseci
Najjednostavnije, saobracaj moze biti tagovan i netagovan.

Krajni uredjaji obicno citaju netagovan saobracaj.
Recimo windows pc.
Sad ti recimo hoces saobracaj iz vlan-a 20 da pustis na windows pc. Mozes na dva nacina:
1. na switch portu (mode access) access vlan 20
2. na switch portu (mode trunk) native vlan20 odnosno untagged 20, zavisi od vendora switch-a

U oba slucaja izlazi netagovan saobracaj sa switchporta na koji je nakacen pc, koji cita netagovan saobracaj.
Kada saobracaj ulazi sa windows pc-a na switchport (access vlan20), tada switch stavlja vlan id i onda tera dalje kroz mrezu.

Tagovan saobracaj "citaju" uredjaji kao sto su ruteri, switch-evi, linux serveri...

Recimo na switch portu (mode trunk) untagged 20, tagged 10 izlazi saobracaj tagovan sa vlan id 10 + netagovan saobracaj.
Da bi recimo cisco ruter "procitao" netagovan saobracaj, stavljas na cist interface g1/1 ip adresu
Da bi recimo cisco ruter "procitao" tagovan saobracaj, na njemu se kreira subinterface g1/1.10 sa komandom encapsulation dot1q 10 i onda ce saobacaj iz vlan10 zavrsiti na tom subinterfejsu.


Ne moze jednostavnije od ovoga... Za mrezu treba malo vremena da se svari :)
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 207
*.dynamic.isp.telekom.rs.



+14 Profil

icon Re: VLAN konfuzija u glavi09.01.2020. u 15:47 - pre 57 meseci
Zdravo,

ti ustavari shvatas kako stvari rade, ali si naisao na razlicitu terminologiju :)

1. Kao sto si i sam rekao, na "multi VLAN" portu (trunk kod Cisco, tagged kod vecine ostalih) mozemo da imamo jedan netagovani ("native") vlan, i dozovljeno vise vise tagovanih vlan-ova (tj. L2 frame-ova koji imaju dodatna 32 bita od koji se 12 koriste za eknodovanje VLAN ida, 4 za enkodovalje (802.1p, tj. COS polja kod Cisco-a) i ostalih 16 imaju fiknu vrednost.

Problemi nastaju ako imamo razlicit native VLAN kod dva direktno spojena uredjaja - recimo switch A za native smatra vlan 100 i salje ga netagovano, a switch B za native smatra VLAN 200 i salje ga netagovano - ovo se zove "prelivanje" vlanova jer ce saobracaj iz VLANa 100 zavrsiti u VLANu 200.

2. Tagovani port ("Trunk") koristices u (najmanje) sledecim sitacijama : Veza dva switcha, Veza switcha i AP-a (sa lokalnim breakoutom, npr. Aruba Instant, Cisco Mobility Express, Ubiquty, tj. svih koji ne rade tunelovanje do kontrolera), veza switcha i IP telefona (ako telefon ima PC port u drugom VLAN-u iza sebe), veza switcha i routera (ili drugog L3 uredjaja), veza switcha i virtualizacione serverske infrastrukture, veza CPE opreme (npr. ADSL+) koja koristi 802.1q za segmentaciju Internet, IPTV i sl. servisa) i td.

3. Odgovor na ovo je pod 2) ako imas recimo AP koji ima vise SSID-ova (bolje : "mreznih profila") imaces vrlo verovatno tagovan odlazni saobracaj, gde ces mapirati WLAN na VLAN.

Lepa stvar kod 802.1q standarda, je da je dodatni header smesten tako, da ako izmedju dva 802.1q endpointa imas L2 uredjaj koji ne zna za 802.1q - saobracaj ce i dalje ici normalno i bice moguca VLAN segmentacija! Ovo je cest slucaj kada izmedju dva mrezna segmenta imas radio link koju uopste nemora da zna da po njemu ide 802.1q sobracaj.


Stvari se dodatno "komplikuju" kod servis operatera, gde je ponekad nephodna "dupla" 802.1q enkapsulacija (npr. prenos saobracaja vise korisnika koji koriste iste VLAN id-jeve) - u tom slucaju koristi se tzv. "Q-in-Q" gde postoje dva 802.1q zaglavlja.

Nadam se da je sada jasnije,
Pozdrav,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 822



+654 Profil

icon Re: VLAN konfuzija u glavi10.01.2020. u 14:14 - pre 57 meseci
Kada sveze raspakovani switch stavis u pogon i ne konfigurises nista, on je fabricki podesen da na svim portovima prihvata i sa svih portova salje standardne Ethernet pakete koji, ako se secas teorije, izgledaju ovako:
+------------+------------+-----+--------//---------+-------+
| Dest MAC | Soruce MAC | Len | Payload (Data) | FCS |
+------------+------------+-----+--------//---------+-------+
| 6B | 6B | 2B | 46-1500B | 4B |

To su standardni, obicni Ethernet paketi koji ne sadrze nikakvu oznaku VLAN-a (untagged Ethernet frame). Takve iste pakete salju i primaju standardno svi uredjaji koji se kace na swtich (laptopovi, serveri, ruteri, stampaci itd.). Switch po defaultu omogucava da svi uredjaji u mrezi vide sve ostale, pa za takve uredjaje kazemo da pripadaju istom broadcast domenu, jer svaki uredjaj moze da posalje svima ostalima brodcast paket i da "vidi" sve ostale. Portovi na switchu koji ocekuju pakete poput ovog gore se nazivaju standardni / pristupni portovi (Cisco ih zove "access ports", Brocade i ovaj tvoj vendor ih zovu "untagged ports").

Veliki broadcast domeni generisu previse broadcast saobracaja i to s porastom broja uredjaja postaje problem. A javljaju se i drugi problemi, poput sigurnosti, pa su ljudi izmisili VLAN-ove (ovaj video ih bas lepo ilustruje). VLAN-ovi omogucavaju da se switch podeli na logicke celine i da ka krajnjim korisnicima izgleda kao da su povezani na razlicite switcheve. Medjutim, krajnji korisnicki uredjaji najcesce mogu da salju samo standardne, gore opisane Ethernet pakete. Zbog toga, i pogledu krajnjih uredjaja na mrezi nista se ne menja - oni se i dalje kace na standardne (access / untagged) portove i salju pakete poput ovog gore, bez ikakvih naznaka kom VLAN-u pripadaju. Konfiguracija VLAN-ova se obavlja na switchu, tako sto kazes da portovi 1, 2, 5 i 10 pripadaju VLAN 10, portovi 3, 4 i 6 VLAN 20 itd.

Ponekad, medjutim, switch mora da se poveze sa drugim switchevima. Prvo resenje kome svima pada na pamet je da u svakom VLAN-u rezervises po jedan standardni (access/untagged) port i povezes dva switcha na taj nacin. I to radi:
  PC PC PC   PC       PC  RTR
| | | | | |
+---------+---------+---------+
| VLAN 10 | VLAN 20 | VLAN 30 | SWITCH 1
++--------++--------++--------+
| | |
++--------++--------++--------+
| VLAN 10 | VLAN 20 | VLAN 30 | SWITCH 2
+---------+---------+---------+
| | | | | | |
PC PC PC PC PC PC RTR

Medjutim, to svakako nije prakticno, jer ako imas npr. 2000 VLAN-ova treba ti 2000 kablova. Da bi resili problem ljudi su seli, mozgali i smislili resenje. Istorijski, najpre je Cisco osmislio sopstveni nacin za to, poznat pod nazivom Cisco Inter-Switch Link (ISL). Posto je taj protokol Ciscov patent, drugi vendori nisu mogli da ga koriste, pa su zato seli i smislili standardno resenje - IEEE 802.1Q standard (koje je, uzgred, Cisco takodje prihvatio i sto se danas de facto koristi svuda, mada ces u nekim prastarim mrezama mozda naici i na ISL ...). Oba standarda, iako medju sobom nisu kompatibilna, su zapravo zasnovana na istom principu, a omogucavaju istu stvar - da se switchevi sa slike gore vezu jednim jedinim kablom:
  PC PC PC   PC       PC  RTR
| | | | | |
+---------+---------+---------+--------+
| VLAN 10 | VLAN 20 | VLAN 30 | TRUNKS | SWITCH 1
++--------++--------++--------+--------+
|
++--------++--------++--------+--------+
| VLAN 10 | VLAN 20 | VLAN 30 | TRUNKS | SWITCH 2
+---------+---------+---------+--------+
| | | | | | |
PC PC PC PC PC PC RTR

Naravno, prvo pitanje koje se postavlja je kako ce switchevi 1 i 2 sa gornje slike, kada prime paket sa linka koji ih povezuje, razvrstati te pakete u odgovarajuce VLAN-ove. Resenje je umetanje VLAN taga duzine 4 bajta izmedju polja "Source MAC" i "Len", sto daje tzv. VLAN-tagged (ili samo: 'tagged') Ethernet frame. Unutar VLAN taga je, izmedju ostalog, upisan VLAN ID zavisno od VLAN-a kome paket pripada:
+------------+------------+----------+-----+--------//---------+-------+
| Dest MAC | Soruce MAC | VLAN Tag | Len | Payload (Data) | FCS |
+------------+------------+----------+-----+--------//---------+-------+
| 6 | 6 | 4 | 2 | 46-1500 | 4 |

Switch koji salje paket ka drugom switchu preko zajednickog linka, pre slanja dodaje (umece) VLAN tag u koji upisuje VLAN ID paketa zavisno od VLAN-a sa koga se paket salje (u literaturi se ova operacija cesto zove: VLAN tag push operation). Kada drugi switch primi takav paket, on najpre ispituje vrednost VLAN taga i u zavisnosti od toga upucuje paket ka radnim stanicama povezanim na odredjeni VLAN. Pre isporuke paketa ka odredisnoj stanici, switch skida VLAN tag (proces poznat pod nazivom VLAN tag pop operation). Ovo je neophodno s obzirom da standardne radne stanice (laptopovi, printeri itd.) primaju i salju standardne Ethernet pakete s pocetka ove price.

Naravno, da bi switch prihvatio paket koji sadrzi VLAN tag na odredjenom portu (u ovom primeru portu koji ga povezuje s drugim switchem), taj port mora da bude konfigurisan za prihvat i slanje Ethernet paketa koji sadrze VLAN tagove. Takve portove Cisco zove "trunks", Brocade i ovaj tvoj vendor ga zovu "tagged ports", Milenko ga je nazvao "Multi VLAN" port, ali sustina je ista - port koji prihvata/salje Ethernet paket koji sadrzi VLAN tag. Neki vendori omogucavaju da na portovima proizvoljno manipulises VLAN tagovima (da radis pop/push/swap operacije). Npr. mozes da konfigurises da se svakom paketu koji pristigne na port doda fiksni VLAN tag (npr. VLAN ID 200), da skines jedan VLAN tag ili da ga zamenis drugim. Juniperovo resenje za to mozes da vidis ovde.

Sta biva, medjutim, ako se na port konfigurisan kao trunk/tagged/multi-VLAN (zovi ga kako hoces) pojavi standardan Ethernet paket sa pocetka ove price? Ako nista nije definisano, switch ce takav paket odbaciti, odnosno "progutati" (discard) i nece ga proslediti dalje, jer ne zna sta da radi s njim. Slicno tome, ako na port koji je definisan kao access/untagged/single-VLAN pristigne paket koji sadrzi VLAN tag, taj paket ce takodje biti odbacen. S druge strane, u nekim mrezama potrebno je i pakete bez taga koji pristignu na multi-VLAN portove negde prosledjivati, pa IEEE 802.1Q standard definise pojam "native VLAN" parametra na multi-VLAN portu. To je VLAN u koji se smestaju paketi koji pristizu na multi-VLAN port, a ne sadrze VLAN tag. Na primer, ako podesis "native vlan 100", standardni Ethernet paketi koji pristignu na multi-VLAN port ce dobiti VLAN ID 100 i bice prosledjeni radnim stanicama u VLAN 100. I kao sto Milenko gore kaze, ako na jednoj strani trunka namestis da ti je native VLAN 100, a na drugoj 200, radne stanice iz mreze 1 povezane na VLAN 100 ce videti radne stanice u VLAN 200 sa mreze 2. I mada je to u sustini najcesce posledica greske, takve konstrukcije ponekad mogu da budu i 100% ispravne (mada su muka za troubleshooting). Sve zavisi sta je bila ideja ljudi koji su dizajnirali takvu mrezu.

Na kraju, par reci o QinQ. Zasto je on izmisljen? IEEE 802.1Q standard definise 12 bita za VLAN ID, jer VLAN tag izgleda ovako:
+----------------+---+-+----------------+
| TPID | P |D| VLAN ID |
+----------------+---+-+----------------+
| 16 bits | 3 |1| 12 bits |

Donjih 12 bita VLAN taga predstavljaju VLAN ID. Ostala polja su TPID (pomenucu ga kasnije), potom 3 "P" bita za implementaciju klase servisa u Ethernet mrezama (IEEE 802.1p) i jedan tzv. kanonicki bit. 12 bita za VLAN ID ogranicava numeraciju VLAN-ova na opseg 1-4095. Kada su se pojavile tzv. Metro Ethernet mreze, gde su ISP kacili korisnike na Ethernet portove i svakome dodeljivali po jedan VLAN, ocigledno su udarili u plafon od 4096 korisnika. A korisnici su izrazili zelju da po Ethernetu vozaju i sopstvene VLAN-ove. Da bi resili te probleme uvedeni su visestepeni VLAN tagovi (stacked VLAN tags - QinQ) definisani IEEE 802.1ad standardom, koji omogucava da se u mrezi definise 16777216 VLAN-ova, jer uvodi dva posebna taga - spoljasnji (outer tag, cesto nazivan i Service VLAN iliti S-VLAN) i unutrasnji (inner tag, cesto nazivan i Customer VLAN iliti C-VLAN):
+------------+------------+----------+----------+-----+--------//---------+-------+
| Dest MAC | Soruce MAC | S-VLAN | C-VLAN | Len | Payload (Data) | FCS |
+------------+------------+----------+----------+-----+--------//---------+-------+
| 6 | 6 | 4 | 4 | 2 | 46-1500 | 4 |

Gornji primer pokazuje paket sa 2 VLAN taga, ali su moguci paketi i sa vise VLAN tagova. Vodi racuna da je bruto duzina paketa u tom slucaju veca - standardni paket ima 1518 bajtova (odnosno 1514 bez FCS/CRC zacelja), paket s jednim VLAN tagom je 4 bajta duzi i ima 1522 (odnosno 1518) bajtova, paket s dva taga ima 1526 (odnosno 1522, bez FCS/CRC). Duzina "Payload" polja je u svim slucajevima ista - 46-1500 bajtova duzine. Kada je paket prekratak Ethernet drajver mu dopunjava Payload nulama dok ne ispuni 46 bajtova duzine (tzv. 'padding').

Mala zanimljivost: u pocetku, kada se pojavio QinQ, mnogi vendori su koristili razlicite TPID vrednosti (gornjih 16 bita VLAN taga) da razlikuju single-tagged i double-tagged pakete (pakete sa jednim i dva VLAN taga). Recimo, Nortel je koristio 0x8100 za pakete s jednim tagom i 0x88a8 sa dva taga, ali gotovo svi vendori danas koriste iskljucivo 0x8100 ...

Zakljucak:
Cisco          Brocade         Paketi koje port prihvata/salje
===== ======= ===============================
access port untagged port Normalni Ethernet paketi (bez VLAN taga)
trunk port tagged port Ethernet paketi koji sadrze VLAN tagove


Trunks/Tagged Ports - koristis za povezivanje switcheva medju sobom, switcheva na rutere (koji podrzavaju VLAN tagging), kao i svih uredjaja gde ti je potrebno vise od jednog VLAN-a. Paketi koji se salju i primaju moraju da imaju VLAN tagove, odnosno uredjaj mora da podrzava IEEE 802.1Q.

Access/Untagged Ports - koristis za povezivanje svih ostalih uredjaja (laptopova, stampaca itd.) i svega ostalog sto ne podrzava IEEE 802.1Q.

Nadam se da je sada jasnije.

[Ovu poruku je menjao B3R1 dana 10.01.2020. u 15:43 GMT+1]
 
Odgovor na temu

Uropet
IT manager
Beograd

Član broj: 271915
Poruke: 5
*.static.sbb.rs.



+1 Profil

icon Re: VLAN konfuzija u glavi12.01.2020. u 19:13 - pre 57 meseci
Auuu ljudi, koji ste vi kraljevi! Hvala vam puno svima trojici, pre svega na vremenu koje ste izdvojili i omogućili mi prosvetljenje i razjašnjenje mojih nedoumica pa i mnogo više od toga! Hvala vam na nesebičnom znanju koje ste podeli sa mnom, puno mi znači! Pročitao sam neke stvari koje nisam imao prilike da pročitam na drugim mestima, tako da sam ovo objašnjenje imao od samog starta ne bih lutao uopšte i sve bi bilo neuporedivo jasnije. Živi bili! Berislave, bez namere da potcenim uložen trud od strane Milenka i Miloša, tvoj odgovor je pravi mali tutorial i siguran sam da će pomoći i mnogima drugima koji se ubuduće budu interesovali za koncept VLAN mreža. Npr. pre nego što sam otvorio ovu temu pročitao sam ovaj tekst koji nosi naslov Kako podesiti VLAN ako ste neko ko ne razume šta je VLAN, nešto što je meni po samom naslovu u potpunosti odgovoralo, međutim da li treba da napomenem da se ovim odgovorom ovde ne može ni porediti?


Nakon svega ovoga ostalo mi je samo još par kratkih pitanja, a koja se međusobno donekle preklapaju.
U mreži imamo mrežne štampače, IP telefone i network storage (na windows 2012 serveru), pa me zanima sledeće:

1) svu mrežnu opremu, svičeve i svoj računar kojim bih administrirao mrežu bih stavio u poseban VLAN, da li je to (sa teoretskog aspekta) dobra ideja? Na nekim mestima sam pročitao da treba biti pažljiv u podešavanju VLAN-ova za upravljanje mrežom u smislu da se ne bi desilo da sam sebe zaključam i onemogućim sebi pristup mreži, pa sam pomislio da bi ovakvo podešavanje pomoglo da izbegnem takvu situaciju.

2) pretpostavljam da je sa aspekta bezbednosti mreže bolje da napravim poseban VLAN (recimo VLAN 30) za mrežne štampače. Da li bi, sa aspekta bezbednosti, trebalo da omogućim komunikaciju od VLAN-a računara do VLAN-a štampača, ali da isto tako zabranim odvijanje saobraćaja u suprotnom smeru (da štampači ne budu u mogućnosti da sami iniciraju saobraćaj ka VLAN-u računara)? Ovo pitanje je više u vezi sa firewall-om nego sa VLAN-om, ali me zanima samo odgovor u teoriji.

3) network storage će trebati da se koristi od strane više VLAN-ova (za primer ću reći VLAN 10 i VLAN 20, a network storage je VLAN 40). Da bi network storage server bio dostupan svim tim VLAN-ovima pretpostavljam da njegov port na koji je nakačen treba da bude taggovan sa VLAN 10, VLAN 20 i VLAN 40 saobraćajem?

4) isto tako, IP telefoni koji će na sebi imati povezane računare, da li će biti ispravno da podesim switch port na kojem će biti vezan IP telefon tako da bude taggovan sa VLAN 50 (VoIP), VLAN 10 (računari), VLAN 30 (mrežni štampači) i VLAN 40 (network storage)?
U vezi sa ovim, imamo fizički server (ima svoj IP) koji na sebi ima virtuelni Citrix (ima svoj IP) koji na sebi ima FreePBX server (ima svoj IP). Da li bi po vašem mišljenju trebalo da ovde razdvajam elemente po VLAN-ovima (recimo fizički server u VLAN mrežne opreme a ova dva ostala u VoIP VLAN) pa da port na kojem je server bude tagovan sa svim odgovarajućim VLAN-ovima ili mi je razmišljanje pogrešno?

5) u vezi sa WiFi, imamo jednostavan zahtev a to je da u prostoru bude samo jedan SSID koji će biti dostupan i otvoren svima (i zaposlenima i posetiocima), da li je u tom slučaju u redu da napravim samo poseban VLAN za WiFI (ne treba da imaju apsolutno nikakvu komunikaciju sa bilo kojim drugim uređajima, niti sa drugim VLAN-ovima niti sa LAN mrežom) i da ne komplikujem?

Pozdrav,
Uroš
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 822



+654 Profil

icon Re: VLAN konfuzija u glavi13.01.2020. u 14:56 - pre 57 meseci
Citat:
Uropet:1) svu mrežnu opremu, svičeve i svoj računar kojim bih administrirao mrežu bih stavio u poseban VLAN, da li je to (sa teoretskog aspekta) dobra ideja? Na nekim mestima sam pročitao da treba biti pažljiv u podešavanju VLAN-ova za upravljanje mrežom u smislu da se ne bi desilo da sam sebe zaključam i onemogućim sebi pristup mreži, pa sam pomislio da bi ovakvo podešavanje pomoglo da izbegnem takvu situaciju.

Da, to je bila ideja VLAN 1 na Cisco opremi. Medjutim, tokom duge istorije, ta praksa se pokazala losom iz vise razloga. Izmedju ostalog zato sto recimo bas Cisco po defaultu, kada mu se nista ne podesi, sve portove automatski smesti u VLAN 1, pa samim tim ti portovi automatski postaju deo infrastrukture za upravljanje mrezom, sto bas i nije pametno. Takodje, iz tog, kao i mnogih drugih razloga (duga prica) ja obavezno izbegavam da koristim VLAN 1, odnosno za mene je to "junk VLAN". :-) Znaci, VLAN 2. :-) Takodje, racunar za management se (u velikim mrezama) nikada ne kaci direktno na management VRF/VLAN, vec se za ljude koji upravljaju mrezom rezervise poseban VLAN, koji se od "managment VLAN-a" (u ovom primeru VLAN 2) odvaja firewall-om, po kome se putaju samo neophodni protokli (npr. ssh (22/tcp), snmp (161-162/udp), eventualno https (443/tcp) itd.). A jos cesce resenje je da operateri ne pristupaju uredjajima direktno, vec sa jump-servera, cija je adresa odobrena i na ACL na samim uredjajima. Jumpserver je najcesce neki Unix (danas skoro iskljucivo neka varijanta Linuxa).
Citat:
2) pretpostavljam da je sa aspekta bezbednosti mreže bolje da napravim poseban VLAN (recimo VLAN 30) za mrežne štampače. Da li bi, sa aspekta bezbednosti, trebalo da omogućim komunikaciju od VLAN-a računara do VLAN-a štampača, ali da isto tako zabranim odvijanje saobraćaja u suprotnom smeru (da štampači ne budu u mogućnosti da sami iniciraju saobraćaj ka VLAN-u računara)? Ovo pitanje je više u vezi sa firewall-om nego sa VLAN-om, ali me zanima samo odgovor u teoriji.

Moze.
Citat:
3) network storage će trebati da se koristi od strane više VLAN-ova (za primer ću reći VLAN 10 i VLAN 20, a network storage je VLAN 40). Da bi network storage server bio dostupan svim tim VLAN-ovima pretpostavljam da njegov port na koji je nakačen treba da bude taggovan sa VLAN 10, VLAN 20 i VLAN 40 saobraćajem?

Da, to je podesavanje na strani svica. Ali interfejs tog storage servera takodje mora da podrzava IEEE 802.1Q. U suprotnom su ti potrebna tri razlicita (untagged) interfejsa na storage serveru.
Citat:
4) isto tako, IP telefoni koji će na sebi imati povezane računare, da li će biti ispravno da podesim switch port na kojem će biti vezan IP telefon tako da bude taggovan sa VLAN 50 (VoIP), VLAN 10 (računari), VLAN 30 (mrežni štampači) i VLAN 40 (network storage)?

Eh, bese davno kada sam poslednji put video fiksni telefon na stolu, cak i u IP varijanti ... sada se po (zapadnim) firmama mahom koriste Lync / Skype for Business / Zoom klijenti na laptopovima. :-))) A koliko se secam tih davnih dana, IP telefoni koriste tzv. "bump in the wire" setup, u kome racunar salje untagged pakete, a telefon tagged. Razlog za to je prioritiziranje telefonskog saobracaja koriscenjem IEEE 802.1p bita (ona 3 P bita iz moje predjasnje price). Postoje dve opcije:

1. Korisnicki port se konfigurise da bude untagged (Cisco: access), a posebnom komandom se svicu nalaze da saobracaju od telefona dodaje VLAN tag u kome je VLAN ID=0, a P biti podeseni na neku zadatu vrednost (na Cisco svicevima to je default 101, odnosno 5). Paketi sa VLAN tagovima gde je VLAN ID=0 se time prihvataju od strane svica, kako bi se P biti prenosili dalje ka trunkovima i time omogucava prioritiziranje telefonskog saobracaja u celoj mrezi. Ovo radi sa Cisco IP telefonima, ali nije garantovano da ce da radi s drugim.

2. Korisnicki port se konfigurise da bude tagged (Cisco: trunk), gde se dozvole samo 2 VLAN-a - u tvom slucaju 10 (racunari) i 20 (telefoni). Na portu se konfigurise native VLAN da bude 10, jer racunari ocigledno ne podrzavaju IEEE 802.1Q, pa treba obezbediti sa Ethernet paketi bez taga (koje salje racunar) dobiju tag 10 na strani svica, a u paketima sa tagom 10 koji pristizu od drugih racunara svic brise taj tag pre nego sto ga isporuci racunaru, dok telefonski saobracaj ide tagovanim paketima sa VLAN 20. U toj konfiguraciji moguce je takodje posebno podesiti P bite na VLAN 20 da budu posebni (a samim tim da se ti paketi svrstaju u posebnu klasu servisa). Recimo, na Juniper EX svicevima to se konfigurise ovako.

Koje resenje ce biti primenjeno zavisi od tipa telefona koje koristis.
Citat:
U vezi sa ovim, imamo fizički server (ima svoj IP) koji na sebi ima virtuelni Citrix (ima svoj IP) koji na sebi ima FreePBX server (ima svoj IP). Da li bi po vašem mišljenju trebalo da ovde razdvajam elemente po VLAN-ovima (recimo fizički server u VLAN mrežne opreme a ova dva ostala u VoIP VLAN) pa da port na kojem je server bude tagovan sa svim odgovarajućim VLAN-ovima ili mi je razmišljanje pogrešno?

Sve je moguce. Koliko mreznih interfejsa ima taj server? Lepota virtualizacije je u tome sto svaki virtuelni interfejs (koji ima svoju IP adresu) mozes da pridruzis istom ili razlicitim fizickim interfejsima na serveru, sto se najcesce radi koriscenjem vSwitch-a ili bridging-a. A moguce je, naravno, koristiti i bridging u kombinaciji sa IEEE 802.1Q. Sve zavisi od toga koji host OS vozis na serveru i koji hipervizor. Mislim da u ovom slucaju ima smisla pridruziti virtuelni interfejs FreePBX servera posebnoj mreznoj kartici servera, a virtuelni Citrix + fizicki IP staviti na drugu karticu. Obe kartice bi u tom slucaju isle na switch, na normalne (untagged/access) portove.
Citat:
5) u vezi sa WiFi, imamo jednostavan zahtev a to je da u prostoru bude samo jedan SSID koji će biti dostupan i otvoren svima (i zaposlenima i posetiocima), da li je u tom slučaju u redu da napravim samo poseban VLAN za WiFI (ne treba da imaju apsolutno nikakvu komunikaciju sa bilo kojim drugim uređajima, niti sa drugim VLAN-ovima niti sa LAN mrežom) i da ne komplikujem

Ufffff ... otvoreni WiFi, isti za zaposlene i posetioce ... pa to je bezbednosna rupcaga! Da, svakako poseban VLAN za to! I ako vec mora da bude otvoreni WiFi, tada obavezno neko resenje za captive portal (Zeroshell, Wifidog, Pfsense ...), gde bi se definisala posebna prava za goste i zaposlene. Ili zaposlene uterati da koriste VPN ... ima bezbroj resenja.

[Ovu poruku je menjao B3R1 dana 13.01.2020. u 16:22 GMT+1]
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 207
*.dynamic.isp.telekom.rs.



+14 Profil

icon Re: VLAN konfuzija u glavi13.01.2020. u 15:38 - pre 57 meseci
Citat:
Eh, bese davno kada sam poslednji put video fiksni telefon na stolu, cak i u IP varijanti ... sada se po (zapadnim) firmama mahom koriste Lync / Skype for Business / Zoom klijenti na laptopovima. :-))) A koliko se secam tih davnih dana, IP telefoni koriste tzv. "bump in the wire" setup, u kome racunar salje untagged pakete, a telefon tagged. Razlog za to je prioritiziranje telefonskog saobracaja koriscenjem IEEE 802.1p bita (ona 3 P bita iz moje predjasnje price). Postoje dve opcije:


Uz dopunu da switch telefonu "instrukciju" kako da taguje data a kako voice saobracaj (kao i CoS marking) moze dati i CDP ili LLDP protokolom.

Kada se radi integracija dva razlicita proizvodjaca (pa ne postoji kompatibilnost podrasnih protokola) postoji i "manualna" klasifikacija, npr. na osnovu OUI prefiksa MAC adrese telefona voice saobracaj se klasifikuje u voice VLAN a PC u data.

Kao sto je Beri pomenuo, srecom ova vremena su iza nas :)

Pozdrav,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

Uropet
IT manager
Beograd

Član broj: 271915
Poruke: 5
*.static.sbb.rs.



+1 Profil

icon Re: VLAN konfuzija u glavi13.01.2020. u 22:15 - pre 57 meseci
Hvala lepo još jednom na opsežnim odgovorima i mnoštvu korisnih detalja, sada mi ostaje 'lakši' deo posla :)

Pozdrav!
 
Odgovor na temu

[es] :: Enterprise Networking :: VLAN konfuzija u glavi

[ Pregleda: 4630 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.