Как и где терминировать vlan?

[freed 5]

Возможно вопрос глупый, но подскажите как правильно сделать.

На доступе L2 коммутаторы включены деревом, все сходится в одно помещение где так же стоит L2 коммутатор, и принимает все линки. Дальше тазик.

Схема влан на коммутатор, опции 82 на доступе, раздача адресов по dhcp.

 

Вопрос, как и где мне терминировать вланы? Т.е я представляю что весь трафик приходит ко мне тегированный, я могу снять все теги на L2 коммутаторе которыц стоит у меня в центре, и подать трафик без тегов на мой тазик?

 

Или так нельзя, и только на тазике я смогу снять теги? Я так понимаю это плохой способ?

Edited 2014-01-30 12:43:12 by freed

[zulu_Radist 856]

чем писюк не устроил?

[freed 5]

Устраивает, вопрос как в линуксе терминировать вланы?

[zulu_Radist 856]

странный вопрос конечно...

http://www.gentoo.org/doc/ru/handbook/handbook-x86.xml?chap=3&part=4

3.j. Виртуальные сети (поддержка 802.1q)

[Ромка 567]

Устраивает, вопрос как в линуксе терминировать вланы?

А чё его терминировать то? Создаете интерфейс влан и всё...

Вот например в Debian https://wiki.debian.org/ru/NetworkConfiguration#Howto_use_vlan_.28dot1q.2C_802.1q.2C_trunk.29_.28Etch.2C_Lenny.29

[Субчик 185]

Вопрос, как и где мне терминировать вланы? Т.е я представляю что весь трафик приходит ко мне тегированный, я могу снять все теги на L2 коммутаторе которыц стоит у меня в центре, и подать трафик без тегов на мой тазик?

 

Или так нельзя, и только на тазике я смогу снять теги? Я так понимаю это плохой способ?

на одном порту, может быть только один нетегированый влан

делайте на сервере для каждого влана свой IP/шлюз

 

теги обычно снимают только на абонентских портах

Edited 2014-01-30 13:22:20 by Субчик

[freed 5]

 

Вопрос, как и где мне терминировать вланы? Т.е я представляю что весь трафик приходит ко мне тегированный, я могу снять все теги на L2 коммутаторе которыц стоит у меня в центре, и подать трафик без тегов на мой тазик?

 

Или так нельзя, и только на тазике я смогу снять теги? Я так понимаю это плохой способ?

на одном порту, может быть только один нетегированый влан

делайте на сервере для каждого влана свой IP/шлюз

 

теги обычно снимают только на абонентских портах

 

Спасибо, но получается мне при добавлении нового коммутатора на доступе, нужно опять создавать свой vlan интерфейс на сервере, как то не красиво получается.

 

Получается в моем случае лучше поставить еще L3 коммутатор, что бы терминировать на нем вланы, или в этом нет смысла использовать его только для одной фичи?

Edited 2014-01-30 13:26:58 by freed

[KaYot 3,731]

Поставьте L3 свич и 'снимайте теги' на нем

[zulu_Radist 856]

ага, сча будет очередной перл

там ведь тоже надо создавать "vlan интерфейс"

как то не красиво получается 

[freed 5]

ага, сча будет очередной перл

там ведь тоже надо создавать "vlan интерфейс"

как то не красиво получается 

Опыта нет, поэтому и советуюсь как лучше. Сейчас в наличии нет L3 свича, и я так понял из постов выше, нет смысла пока его покупать, если все то же можно сделать на сервере.

Edited 2014-01-30 13:53:06 by freed

[zulu_Radist 856]

пока терминируйте на сервере

подрастете, купите например 3750 или 3550 тут их как грязи))

[dnserg 6]

тэг ставится и убирается на портах доступа ... как вы собираетесь снять тэги со всех вланов и запустить все в один порт я не представляю ... 

Есть транк порт - идет куча вланов, есть ацесс - там где входящий трафик тэгируется, исходящий - тэг убирается. 

 

Если терминация между вланами то вопрос другой ....  а в вашем случает все вланы идут на сервер и там уже тэг убирается ... по другому как ?

 

может я чего не понимаю  =)

Edited 2014-01-30 14:27:14 by dnserg

[zulu_Radist 856]

человек написал глупости, но мы то его поняли че он хотел)

у меня клиенты тоже так кучу слов наговорят потом догадывайся че хотят)

[prototip 286]

Потому как термин "терминировать" нужно заменить на "маршрутизировать" . Аля тема "я тобя не понимай" .  Топикастер подумайте зачем вам нужна маршрутизация между виланами пользователей ? Вы хотите гонять их трафик на халяву ?  Ну тогда купите кошку и маршрутизируйте на здоровье локальный трафик с помощью нее .   Вы ведь  нам еще забыли добавить архитектуру вашей сети , тут только догадываться приходиться .

[VitalVas 14]

так зачем кошку, джуня хватит

[freed 5]

У меня сейчас в голове каша, я пытаюсь ее систематизировать. Я дальше порассуждаю, поправьте если я где то не прав.

 

Для простоты, рассматриваю ситуацию пока без билинга, где интернет есть у всех.

 

Схема такая - от вышестоящего провайдера есть блок реальных x.x.x.x/29 адресов, а так же гигабит трафика. Дальше стоит сервер с линуксом, у которого два интерфейса eth0, eth1.

eth0 - смотрит в мир, мы его настраиваем на любой реальный ip выданный провайдером, и радуемся интернету на нашем сервере, проверяем пинг куда-нибудь, все работает.

eth1 - смотрит в внутрь сети.

 

eth1 втыкаем в аплинк 12 портового L2 коммутатора, т.е в 12 порт (присваиваем ему ip - 10.0.0.10, vlan 1000) . Из этого коммутатора, например в первый порт, включаю какой-нибудь L2 коммутатор на доступе (24 - 100/10 портов, 4 - 1000/100/10 порта)-  присваиваю ему 10.0.0.11, vlan 1001).

 

Коммутатор 10.0.0.10 - ставим все порты транковые, потому что в них могут бегать разные вланы. 

Коммутатор 10.0.0.11 - ставим транк на 4 гигабитных порта.

 

С настройкой вроде бы все? Дальше, сервер

На интерфейсе eth1, добавляем vlan 1000, vlan1001, при вводе команды ifconfig, получаем что-то примерно такое

eth0      Link encap:Ethernet  HWaddr 00:18:71:ec:0f:ec
          inet addr:172.16.0.1  Bcast:172.16.15.255  Mask:255.255.240.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:131640 errors:0 dropped:0 overruns:0 frame:0
          TX packets:64370 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29395769 (29.3 MB)  TX bytes:22512845 (22.5 MB)
          Interrupt:17 Память:fdce0000-fdd00000
 
eth1      Link encap:Ethernet  HWaddr 94:de:80:36:80:40

          inet6 addr: fe80::218:71ff:feec:fec/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0   TX bytes:0 (0.0 
          Interrupt:18
 

eth1.1000  Link encap:Ethernet  HWaddr 00:18:71:ec:0f:ec
          inet addr: 10.0.0.10  Bcast: 10.0.0.254  Mask: 255.255.0.0  // Какой здесь указывать IP ?
          inet6 addr: fe80::218:71ff:feec:fec/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:122189 errors:0 dropped:0 overruns:0 frame:0
          TX packets:57468 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:26008705 (26.0 MB)  TX bytes:21574255 (21.5 MB)
 

eth1.1001  Link encap:Ethernet  HWaddr 00:18:71:ec:0f:ec
          inet addr: 10.0.0.11  Bcast: 10.0.0.254  Mask: 255.255.0.0 // Какой здесь указывать IP ?
          inet6 addr: fe80::218:71ff:feec:fec/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0errors:0 dropped:0 overruns:0 frame:0
          TX packets:0errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0(0 MB)  TX bytes:0(0.0 MB)

Edited 2014-01-31 07:41:26 by freed

[freed 5]

Вопрос по поводу vlan управления, мне нужно на каждом коммутаторе указать vlan 3 например в качестве управляющего. На сервере опять же его "приземлить", появится интерфейс eth1.3. Верно? Либо с vlan управления как то по другому поступают?

 

Дальше запускаем dhcp сервер и какой интерфейс он должен слушать? eth1? Либо в явную нужно указать eth1.1000, eth1.1001 ?

Допустим dhcp сервер выдает ip адреса по какой-то своей логике (нет пока биллинга), из двух диапазонов 172.16.0.1/22, 100.100.100.240/28. 

Подключаем абонента в 1 порта коммутатора 10.0.0.11, и радуемся что он получил айпишник.

В случае серого айпишеника, на сервере нужно насроить нат, например указать что сетка 172.16.0.1/24 будет натится в 100.100.100.235 внешний ip, сетка 172.16.1.1/24 будет натится в 100.100.100.236 внешний ip, и т.д. Верно?

В случае реального ip, нужно просто сделать FORWARD с помощью iptables с интерфейса eth1, в интерфейс eth0 и обратно.

 

Может где то я сказал глупость, поправьте ход моих рассуждений пожалуйста.

Edited 2014-01-31 07:45:24 by freed

[_seth_ 2]

 

Вопрос по поводу vlan управления, мне нужно на каждом коммутаторе указать vlan 3 например в качестве управляющего. На сервере опять же его "приземлить", появится интерфейс eth1.3. Верно? Либо с vlan управления как то по другому поступают?

 

Дальше запускаем dhcp сервер и какой интерфейс он должен слушать? eth1? Либо в явную нужно указать eth1.1000, eth1.1001 ?

Допустим dhcp сервер выдает ip адреса по какой-то своей логике (нет пока биллинга), из двух диапазонов 172.16.0.1/22, 100.100.100.240/28. 

Подключаем абонента в 1 порта коммутатора 10.0.0.11, и радуемся что он получил айпишник.

В случае серого айпишеника, на сервере нужно насроить нат, например указать что сетка 172.16.0.1/24 будет натится в 100.100.100.235 внешний ip, сетка 172.16.1.1/24 будет натится в 100.100.100.236 внешний ip, и т.д. Верно?

В случае реального ip, нужно просто сделать FORWARD с помощью iptables с интерфейса eth1, в интерфейс eth0 и обратно.

 

Может где то я сказал глупость, поправьте ход моих рассуждений пожалуйста.

 

По-поводу dhcp: 

1. Сервер должен слушать каждый влан отдельно. В дебиан и подобных в /etc/default/isc-dhcp-server через пробел нужно указать нужные интерйфейсы. После назначения адресов и масок вланам на серваке нужно описать эти зоны в конфиге dhcp-сервера. 

ifconfig:
eth1.14   Link encap:Ethernet  HWaddr 00:1b:21:6f:e8:3d  
          inet addr:172.16.8.1  Bcast:172.16.8.255  Mask:255.255.255.0


dhcp:
subnet 172.16.8.0 netmask 255.255.255.0 
        {
        range 172.16.8.20 172.16.8.254;
        option domain-name-servers 8.8.8.8;
        option routers 172.16.8.1;
        }

По-поводу форвардинга: нужно разрешить его на каждую сеть серых адресов или, даже, напрямую с лок. интерфейса ($IPT -A FORWARD -i $LAN_IFACE -j ACCEPT - у меня используется для служебных машин которые натятся напрямую без пппое, хотя мне кажется лучше для служебных компов выделить отдельный влан и сеть и форвардить её), потому как, насколько я понял, подмена адресов (нат) происходит уже после форвардинга (см. схему движения пакетов по цепочкам iptables)

$IPT -A FORWARD -s $INET_NET -j ACCEPT - сеть реальных адресов
$IPT -A FORWARD -d $INET_NET -j ACCEPT

$IPT -A FORWARD -s $СерыеАдреса -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s $СерыеАдреса -j SNAT --to-source $INET_IP

[Субчик 185]

 

У меня сейчас в голове каша, я пытаюсь ее систематизировать. Я дальше порассуждаю, поправьте если я где то не прав.

 

Для простоты, рассматриваю ситуацию пока без билинга, где интернет есть у всех.

 

Схема такая - от вышестоящего провайдера есть блок реальных x.x.x.x/29 адресов, а так же гигабит трафика. Дальше стоит сервер с линуксом, у которого два интерфейса eth0, eth1.

eth0 - смотрит в мир, мы его настраиваем на любой реальный ip выданный провайдером, и радуемся интернету на нашем сервере, проверяем пинг куда-нибудь, все работает.

eth1 - смотрит в внутрь сети.

 

eth1 втыкаем в аплинк 12 портового L2 коммутатора, т.е в 12 порт (присваиваем ему ip - 10.0.0.10, vlan 1000) . Из этого коммутатора, например в первый порт, включаю какой-нибудь L2 коммутатор на доступе (24 - 100/10 портов, 4 - 1000/100/10 порта)-  присваиваю ему 10.0.0.11, vlan 1001).

 

Коммутатор 10.0.0.10 - ставим все порты транковые, потому что в них могут бегать разные вланы. 

Коммутатор 10.0.0.11 - ставим транк на 4 гигабитных порта.

 

С настройкой вроде бы все? Дальше, сервер

На интерфейсе eth1, добавляем vlan 1000, vlan1001, при вводе команды ifconfig, получаем что-то примерно такое

у вас для каждого влана должна быть своя подсеть, иначе нет смысла разделять на вланы

 

например:

vlan 1000 ip - 10.0.0.1/24

vlan 1001 ip - 10.0.1.1/24

vlan 1002 ip - 10.0.2.1/24

 

п.с. 10.0.0.1/24 лучше не использовать, на случай если вдруг будете с кем то строить пиринг

[freed 5]

Почему нет смысла? Делить на подсети каждый влан я не хочу. Влан на коммутатор делаю для изоляции абонентов друг от друга.

[KaYot 3,731]

Влан это независимая сеть. Нельзя сделать 10 сетей с одной и той же адресацией и каким-то волшебным образом их затерминировать.

Если хочется изоляции и только - включите изоляцию портов(traffic segmentation в терминах длинка) на всех коммутаторах да и все, никакие вланы не нужны.

[freed 5]

А зачем тогда делают схему - влан на коммутатор?

Получается, можно не парится сделать изоляцию портов на каждом коммутаторе, и пользователи будут все изолированы?

[KaYot 3,731]

Потому что изоляция это костыль. При влан на свич и нормальной маршрутизации клиенты видят друг друга, при изоляции - ньюйорк видят, а друг друга нет.

[freed 5]

Я вообщем окончательно запутался уже. :-)

Есть задача - изолировать пользователей друг от друга, как ее решить? Изоляция портов на коммутаторе, изолирует пользователей только в рамках одного коммутатора. Для того что бы их полностью изолировать и придумали схему влан на коммутатор?

Так же хочется выбрать диапазон айпишников, и выдавать их пользователям не привязавшаяся к коммутатору. 172.16.0.2 выдать пользовалю на коммутаторе А, 172.16.0.3 выдать на коммутаторе Б, и т.д

Как правильно решить эту задачу?

[ttttt 195]

Есть задача - изолировать пользователей друг от друга, как ее решить?

Вам, наверное, не изоляция нужна, или что вы под этим подразумеваете?