Перейти до

Как и где терминировать vlan?


Рекомендованные сообщения

Возможно вопрос глупый, но подскажите как правильно сделать.

На доступе L2 коммутаторы включены деревом, все сходится в одно помещение где так же стоит L2 коммутатор, и принимает все линки. Дальше тазик.

Схема влан на коммутатор, опции 82 на доступе, раздача адресов по dhcp.

 

Вопрос, как и где мне терминировать вланы? Т.е я представляю что весь трафик приходит ко мне тегированный, я могу снять все теги на L2 коммутаторе которыц стоит у меня в центре, и подать трафик без тегов на мой тазик?

 

Или так нельзя, и только на тазике я смогу снять теги? Я так понимаю это плохой способ?

Відредаговано freed
Ссылка на сообщение
Поделиться на других сайтах

Устраивает, вопрос как в линуксе терминировать вланы?

А чё его терминировать то? Создаете интерфейс влан и всё...

Вот например в Debian https://wiki.debian.org/ru/NetworkConfiguration#Howto_use_vlan_.28dot1q.2C_802.1q.2C_trunk.29_.28Etch.2C_Lenny.29

Ссылка на сообщение
Поделиться на других сайтах

Вопрос, как и где мне терминировать вланы? Т.е я представляю что весь трафик приходит ко мне тегированный, я могу снять все теги на L2 коммутаторе которыц стоит у меня в центре, и подать трафик без тегов на мой тазик?

 

Или так нельзя, и только на тазике я смогу снять теги? Я так понимаю это плохой способ?

на одном порту, может быть только один нетегированый влан

делайте на сервере для каждого влана свой IP/шлюз

 

теги обычно снимают только на абонентских портах

Відредаговано Субчик
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

Вопрос, как и где мне терминировать вланы? Т.е я представляю что весь трафик приходит ко мне тегированный, я могу снять все теги на L2 коммутаторе которыц стоит у меня в центре, и подать трафик без тегов на мой тазик?

 

Или так нельзя, и только на тазике я смогу снять теги? Я так понимаю это плохой способ?

на одном порту, может быть только один нетегированый влан

делайте на сервере для каждого влана свой IP/шлюз

 

теги обычно снимают только на абонентских портах

 

Спасибо, но получается мне при добавлении нового коммутатора на доступе, нужно опять создавать свой vlan интерфейс на сервере, как то не красиво получается.

 

Получается в моем случае лучше поставить еще L3 коммутатор, что бы терминировать на нем вланы, или в этом нет смысла использовать его только для одной фичи?

Відредаговано freed
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

ага, сча будет очередной перл

там ведь тоже надо создавать "vlan интерфейс"

как то не красиво получается  :lol:

Опыта нет, поэтому и советуюсь как лучше. Сейчас в наличии нет L3 свича, и я так понял из постов выше, нет смысла пока его покупать, если все то же можно сделать на сервере.

Відредаговано freed
Ссылка на сообщение
Поделиться на других сайтах

тэг ставится и убирается на портах доступа ... как вы собираетесь снять тэги со всех вланов и запустить все в один порт я не представляю ... 

Есть транк порт - идет куча вланов, есть ацесс - там где входящий трафик тэгируется, исходящий - тэг убирается. 

 

Если терминация между вланами то вопрос другой ....  а в вашем случает все вланы идут на сервер и там уже тэг убирается ... по другому как ?

 

может я чего не понимаю  =)

Відредаговано dnserg
Ссылка на сообщение
Поделиться на других сайтах

человек написал глупости, но мы то его поняли че он хотел)

у меня клиенты тоже так кучу слов наговорят потом догадывайся че хотят)

Ссылка на сообщение
Поделиться на других сайтах

Потому как термин "терминировать" нужно заменить на "маршрутизировать" . Аля тема "я тобя не понимай" .  Топикастер подумайте зачем вам нужна маршрутизация между виланами пользователей ? Вы хотите гонять их трафик на халяву ?  Ну тогда купите кошку и маршрутизируйте на здоровье локальный трафик с помощью нее .   Вы ведь  нам еще забыли добавить архитектуру вашей сети , тут только догадываться приходиться .

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

У меня сейчас в голове каша, я пытаюсь ее систематизировать. Я дальше порассуждаю, поправьте если я где то не прав.

 

Для простоты, рассматриваю ситуацию пока без билинга, где интернет есть у всех.

 

Схема такая - от вышестоящего провайдера есть блок реальных x.x.x.x/29 адресов, а так же гигабит трафика. Дальше стоит сервер с линуксом, у которого два интерфейса eth0, eth1.

eth0 - смотрит в мир, мы его настраиваем на любой реальный ip выданный провайдером, и радуемся интернету на нашем сервере, проверяем пинг куда-нибудь, все работает.

eth1 - смотрит в внутрь сети.

 

eth1 втыкаем в аплинк 12 портового L2 коммутатора, т.е в 12 порт (присваиваем ему ip - 10.0.0.10, vlan 1000) . Из этого коммутатора, например в первый порт, включаю какой-нибудь L2 коммутатор на доступе (24 - 100/10 портов, 4 - 1000/100/10 порта)-  присваиваю ему 10.0.0.11, vlan 1001).

 

Коммутатор 10.0.0.10 - ставим все порты транковые, потому что в них могут бегать разные вланы. 

Коммутатор 10.0.0.11 - ставим транк на 4 гигабитных порта.

 

С настройкой вроде бы все? Дальше, сервер

На интерфейсе eth1, добавляем vlan 1000, vlan1001, при вводе команды ifconfig, получаем что-то примерно такое

eth0      Link encap:Ethernet  HWaddr 00:18:71:ec:0f:ec
          inet addr:172.16.0.1  Bcast:172.16.15.255  Mask:255.255.240.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:131640 errors:0 dropped:0 overruns:0 frame:0
          TX packets:64370 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29395769 (29.3 MB)  TX bytes:22512845 (22.5 MB)
          Interrupt:17 Память:fdce0000-fdd00000
 
eth1      Link encap:Ethernet  HWaddr 94:de:80:36:80:40

          inet6 addr: fe80::218:71ff:feec:fec/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0   TX bytes:0 (0.0 
          Interrupt:18
 

eth1.1000  Link encap:Ethernet  HWaddr 00:18:71:ec:0f:ec
          inet addr: 10.0.0.10  Bcast: 10.0.0.254  Mask: 255.255.0.0  // Какой здесь указывать IP ?
          inet6 addr: fe80::218:71ff:feec:fec/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:122189 errors:0 dropped:0 overruns:0 frame:0
          TX packets:57468 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:26008705 (26.0 MB)  TX bytes:21574255 (21.5 MB)
 

eth1.1001  Link encap:Ethernet  HWaddr 00:18:71:ec:0f:ec
          inet addr: 10.0.0.11  Bcast: 10.0.0.254  Mask: 255.255.0.0 // Какой здесь указывать IP ?
          inet6 addr: fe80::218:71ff:feec:fec/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0errors:0 dropped:0 overruns:0 frame:0
          TX packets:0errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0(0 MB)  TX bytes:0(0.0 MB)



Відредаговано freed
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Вопрос по поводу vlan управления, мне нужно на каждом коммутаторе указать vlan 3 например в качестве управляющего. На сервере опять же его "приземлить", появится интерфейс eth1.3. Верно? Либо с vlan управления как то по другому поступают?


 


Дальше запускаем dhcp сервер и какой интерфейс он должен слушать? eth1? Либо в явную нужно указать eth1.1000, eth1.1001 ?


Допустим dhcp сервер выдает ip адреса по какой-то своей логике (нет пока биллинга), из двух диапазонов 172.16.0.1/22, 100.100.100.240/28. 


Подключаем абонента в 1 порта коммутатора 10.0.0.11, и радуемся что он получил айпишник.


В случае серого айпишеника, на сервере нужно насроить нат, например указать что сетка 172.16.0.1/24 будет натится в 100.100.100.235 внешний ip, сетка 172.16.1.1/24 будет натится в 100.100.100.236 внешний ip, и т.д. Верно?


В случае реального ip, нужно просто сделать FORWARD с помощью iptables с интерфейса eth1, в интерфейс eth0 и обратно.


 


Может где то я сказал глупость, поправьте ход моих рассуждений пожалуйста.


Відредаговано freed
Ссылка на сообщение
Поделиться на других сайтах

 

Вопрос по поводу vlan управления, мне нужно на каждом коммутаторе указать vlan 3 например в качестве управляющего. На сервере опять же его "приземлить", появится интерфейс eth1.3. Верно? Либо с vlan управления как то по другому поступают?

 

Дальше запускаем dhcp сервер и какой интерфейс он должен слушать? eth1? Либо в явную нужно указать eth1.1000, eth1.1001 ?

Допустим dhcp сервер выдает ip адреса по какой-то своей логике (нет пока биллинга), из двух диапазонов 172.16.0.1/22, 100.100.100.240/28. 

Подключаем абонента в 1 порта коммутатора 10.0.0.11, и радуемся что он получил айпишник.

В случае серого айпишеника, на сервере нужно насроить нат, например указать что сетка 172.16.0.1/24 будет натится в 100.100.100.235 внешний ip, сетка 172.16.1.1/24 будет натится в 100.100.100.236 внешний ip, и т.д. Верно?

В случае реального ip, нужно просто сделать FORWARD с помощью iptables с интерфейса eth1, в интерфейс eth0 и обратно.

 

Может где то я сказал глупость, поправьте ход моих рассуждений пожалуйста.

 

По-поводу dhcp: 

1. Сервер должен слушать каждый влан отдельно. В дебиан и подобных в /etc/default/isc-dhcp-server через пробел нужно указать нужные интерйфейсы. После назначения адресов и масок вланам на серваке нужно описать эти зоны в конфиге dhcp-сервера. 

ifconfig:
eth1.14   Link encap:Ethernet  HWaddr 00:1b:21:6f:e8:3d  
          inet addr:172.16.8.1  Bcast:172.16.8.255  Mask:255.255.255.0


dhcp:
subnet 172.16.8.0 netmask 255.255.255.0 
        {
        range 172.16.8.20 172.16.8.254;
        option domain-name-servers 8.8.8.8;
        option routers 172.16.8.1;
        }

По-поводу форвардинга: нужно разрешить его на каждую сеть серых адресов или, даже, напрямую с лок. интерфейса ($IPT -A FORWARD -i $LAN_IFACE -j ACCEPT - у меня используется для служебных машин которые натятся напрямую без пппое, хотя мне кажется лучше для служебных компов выделить отдельный влан и сеть и форвардить её), потому как, насколько я понял, подмена адресов (нат) происходит уже после форвардинга (см. схему движения пакетов по цепочкам iptables)

$IPT -A FORWARD -s $INET_NET -j ACCEPT - сеть реальных адресов
$IPT -A FORWARD -d $INET_NET -j ACCEPT

$IPT -A FORWARD -s $СерыеАдреса -j ACCEPT
$IPT -t nat -A POSTROUTING -o $INET_IFACE -s $СерыеАдреса -j SNAT --to-source $INET_IP
Ссылка на сообщение
Поделиться на других сайтах

 

У меня сейчас в голове каша, я пытаюсь ее систематизировать. Я дальше порассуждаю, поправьте если я где то не прав.

 

Для простоты, рассматриваю ситуацию пока без билинга, где интернет есть у всех.

 

Схема такая - от вышестоящего провайдера есть блок реальных x.x.x.x/29 адресов, а так же гигабит трафика. Дальше стоит сервер с линуксом, у которого два интерфейса eth0, eth1.

eth0 - смотрит в мир, мы его настраиваем на любой реальный ip выданный провайдером, и радуемся интернету на нашем сервере, проверяем пинг куда-нибудь, все работает.

eth1 - смотрит в внутрь сети.

 

eth1 втыкаем в аплинк 12 портового L2 коммутатора, т.е в 12 порт (присваиваем ему ip - 10.0.0.10, vlan 1000) . Из этого коммутатора, например в первый порт, включаю какой-нибудь L2 коммутатор на доступе (24 - 100/10 портов, 4 - 1000/100/10 порта)-  присваиваю ему 10.0.0.11, vlan 1001).

 

Коммутатор 10.0.0.10 - ставим все порты транковые, потому что в них могут бегать разные вланы. 

Коммутатор 10.0.0.11 - ставим транк на 4 гигабитных порта.

 

С настройкой вроде бы все? Дальше, сервер

На интерфейсе eth1, добавляем vlan 1000, vlan1001, при вводе команды ifconfig, получаем что-то примерно такое

у вас для каждого влана должна быть своя подсеть, иначе нет смысла разделять на вланы

 

например:

vlan 1000 ip - 10.0.0.1/24

vlan 1001 ip - 10.0.1.1/24

vlan 1002 ip - 10.0.2.1/24

 

п.с. 10.0.0.1/24 лучше не использовать, на случай если вдруг будете с кем то строить пиринг

Ссылка на сообщение
Поделиться на других сайтах

Почему нет смысла? Делить на подсети каждый влан я не хочу. Влан на коммутатор делаю для изоляции абонентов друг от друга.

Ссылка на сообщение
Поделиться на других сайтах

Влан это независимая сеть. Нельзя сделать 10 сетей с одной и той же адресацией и каким-то волшебным образом их затерминировать.

Если хочется изоляции и только - включите изоляцию портов(traffic segmentation в терминах длинка) на всех коммутаторах да и все, никакие вланы не нужны.

Ссылка на сообщение
Поделиться на других сайтах

А зачем тогда делают схему - влан на коммутатор?

Получается, можно не парится сделать изоляцию портов на каждом коммутаторе, и пользователи будут все изолированы?

Ссылка на сообщение
Поделиться на других сайтах

Потому что изоляция это костыль. При влан на свич и нормальной маршрутизации клиенты видят друг друга, при изоляции - ньюйорк видят, а друг друга нет.

Ссылка на сообщение
Поделиться на других сайтах

Я вообщем окончательно запутался уже. :-)

Есть задача - изолировать пользователей друг от друга, как ее решить? Изоляция портов на коммутаторе, изолирует пользователей только в рамках одного коммутатора. Для того что бы их полностью изолировать и придумали схему влан на коммутатор?

Так же хочется выбрать диапазон айпишников, и выдавать их пользователям не привязавшаяся к коммутатору. 172.16.0.2 выдать пользовалю на коммутаторе А, 172.16.0.3 выдать на коммутаторе Б, и т.д

Как правильно решить эту задачу?

Ссылка на сообщение
Поделиться на других сайтах

Есть задача - изолировать пользователей друг от друга, как ее решить?

Вам, наверное, не изоляция нужна, или что вы под этим подразумеваете?
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від ibrokeit
      Вітаю!
      Зіштовхнулися з проблемою із вланами на ZTE C300 (2.1.0) GTGHK.
      Загалом все працює нормально, але в окремих вланах просто перестає бігати трафіг, на ону відстутні мак-адреси, хоча статус порта full-1000.
      Якщо із таким же конфігом перевести ону в інший влан — все починає працювати (до певного часу). Виглядає так, що спрацьовує якесь блокування по номеру влану на рівні spanning-tree або детектора кілець (перше відключено, інше, якщо відключати — ситуацію не міняє).
      Чи може хтось підказати в якому напрямі копати рішення проблеми?
      Дякую
    • Від Georgianairlink
      нужен OID, чтобы увидеть это с помощью snmp
      interface TGigaEthernet0/1 description test switchport trunk vlan-allowed 352,362,365,509,514-515,518,528,565-566,590 switchport trunk vlan-allowed add 720-723,1543-1546,2021,2201,2208,2378,2441 switchport trunk vlan-untagged 1 switchport mode trunk  
    • Від subhan
      У нас есть сервер Ubilling. к которому соединены 5 брасов. Каждый Nas работает по отдельному влану. В вланах браса в определенное время мы видим пустой трафик который поднимается. Например в норме если 200мб то 500мб. В влане котором видится пустое поднятие трафика, также и поднимается трафик во всех портах свитча. Это исправляется на время только при ребуте определенного Nas. Проблема раньше была только в одном Nas-э, щас и на других Nas-ах тоже данная проблема. Это проблема только наблюдается во вланах которые подключены в Ubilling.

      Можете пожалуйста, помочь в данной проблеме.
    • Від allex21boy
      Привет. Есть проблема, и я не могу ее решить! OLT ZTE C300, это ONU, зарегистрированные на 2 vlan. Необходимо удалить 1 vlan. Пожалуйста помогите.
    • Від rusol
      Добрый вечер.
       
      Есть от провайдера блок реальных адресов, к примеру 100.1.1.192/26
       
      Раньше сеть была в одном влане и записи в /etc/rc.conf были такие:

       
      ifconfig_ix0="inet 192.168.0.1 netmask 255.255.255.0" # Шлюз для пользователей с локальным IP ifconfig_ix0_alias0="inet 100.1.1.193 netmask 255.255.255.192" # Шлюз для пользователей с реальными IP  
      После чего стала задача часть пользователей переводить во вланы тоже с разделением на локальные IP и реальные, первый влан создал где-то пару лет назад и все работает:
       
      ifconfig_vlan1="vlan 1 vlandev ix0 192.168.1.1 netmask 255.255.255.0" # Шлюз для пользователей с локальным IP во Влане 1 ifconfig_vlan1_alias0="inet 100.1.1.248 netmask 255.255.255.248" # Шлюз для пользователей с реальными IP  во Влане 1  
      И вот стоит задача создать еще один влан, делаю по аналогии с вланом 1, только маску смещаю назад:
       
      ifconfig_vlan1="vlan 1 vlandev ix0 192.168.1.1 netmask 255.255.255.0" # Шлюз для пользователей с локальным IP во Влане 2 ifconfig_vlan1_alias0="inet 100.1.1.246 netmask 255.255.255.254" # Шлюз для пользователей с реальными IP во Влане 2  
      Когда я вношу это в /etc/rc.conf и прописал команду:
       
      ifconfig vlan2 create  
      Все заработало.
       
      Но как только перезагрузился сервер, перестали работать реальные IP без вланов, в первом влане и во втором. Не пойму что не так делаю, возможно я с маской подсети что-то недопонимаю...
×
×
  • Створити нове...