VLAN aware 802.1Q

vrijdag 20 juli 2007 07:29

Acties:

0 Henk 'm!

Topicstarter

Goede morgen/middag/avond

Ik heb twee vragen mbt de wondere wereld van VLANs.

Wat gebeurt er met een VLAN tag als een pakketje van de ene VLAN aware switch/router naar een andere VLAN aware switch/router gaat maar over een switch of router die geen VLAN ondersteund (niet VLAN aware). Blijft de tag gewoon in tact en kan het apparaat die wel met de tags om kan gaan de pakketje op de juiste manier op ?

Zit er een wezelijk verschil tussen poortmatige VLAN en VLAN via TAGging (behalve dan dat je wellicht meer flexibel bent met VLAN via TAGging omdat je zelf de ID's kan instellen) ? Ik probeer met deze vraag in te schatten of een Vigor 2910 (poortmatig volgens specs.) overweg kan met een 3com switch (VLANS Via 802.1Q e.g. Tagging)

Care to collaborate ?

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

vrijdag 20 juli 2007 07:47

Acties:

0 Henk 'm!

jvanhambelgium

Op zich geen probleem dacht ik, er wordt een extra 4-bytes "tag" aan toegevoegd maar de originele destination/sourcr MAC blijven hetzelfde.

Gewoon Ethernet Frame :
Destination(6bytes) + Source (6 bytes) + Length/Type(2bytes) + DATA (variabel)

802.1Q tagged Frame
Destination(6bytes) + Source (6 bytes) + TPID/TCI(2bytes) + Length/Type(2bytes) + DATA (variabel)

In de TPID/TCI zitten oa de VID : VlanID

Dus uw frame kan perfect over "gewone" brigde passeren, ik denk wel dat de tag er uiteindelijk wel AF GESTRIPT gaat worden ! (aangezien de tussenliggende switch geen VLAN's kan taggenof interpreteren) en de onwetende niet-vlan capabele switch zal dit frame verwerken, maar als het uit 1 van zijn poorten gaat komen is het een gewoon Ethernet-frame geworden denk ik...

switching specialisten hier die hier meer kunnen over vertellen ??

vrijdag 20 juli 2007 07:58

Acties:

0 Henk 'm!

jvanhambelgium

Die VIGOR heeft geen echt VLAN functionaliteit. Ja, ke kan elke poort een andere VLAN geven, maar hoegenaamd niet taggen om de VIGOR in een echt VLAN-aware netwerk te gebruiken.

Die Vigor VLAN functionaliteit is meer de makkelijkheids-oplossing voor intern gebruik. Zodat je vb meerdere groepen gebruikers kunt koppelen met eventueel filtering ertussen etc.
Hij doet dus geen 802.1q ofzo.

Kan hij overweg met een 3COM ? Je kan ze aan "elkaar knopen" ja, maar verwacht niet dat als je een VLAN1 op de 3COM gaat aanmaken dat die plots ook in de VLAN1 van de Vigor bekend gaat zijn om vb via die weg Internet connectie te hebben.
Dat versta ik eruit...

vrijdag 20 juli 2007 08:30

Acties:

0 Henk 'm!

Rotty

Topicstarter

Precies er is dus een duidelijk onderscheid/verschil in de beide (de 3com en die van de Vigor) VLANs architectuur. Maar als ik dus aan een poort van die Vigor een switch hang dan kan ik het het netwerk vanaf die switch wel opdelen in Tagged VLANs ?

Ter verduidelijking..

Internet --> Vigor ---> 2 (poortmatig op de vigor gescheiden) netwerken --> elk gescheiden netwerk bestaat uit een switch die de netwerken verder opdeeld via VLAN Tagging.

Alle clients aan beide netwerken moeten vervoglens het internet opkunnen. Dus lijkt mij dat de NAT op de Vigor wel de TAGS in zijn tabel moet kunnen schrijven (want ik neem niet aan dat de bitjes van de TAG het internet op gaan) ? Of vind het pakketje wat terug komt van het internet gewoon zijn weg terug en is er eigenlik niks aan de hand ?

[ Voor 7% gewijzigd door Rotty op 20-07-2007 08:57 ]

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

vrijdag 20 juli 2007 09:06

Acties:

0 Henk 'm!

jvanhambelgium

Opletten, VLAN op Layer2 (Ethernet Framing) terwijl NAT op Layer3 werkt ! (TCP/IP layer) 2 TOTAAL verschillende zaken.

PORT-BASED VLAN's zijn beperkt tot lokaal op de switch
Je kan ook wel port-based vlan's maken op de 3COM en vervolgens 1 poort op de 3COM in meerdere VLAN's stoppen die je op de 3COM aangemaakt gehebt, maar alles moet untagged blijven (je kan er dus geen 802.1q trunk van maken want die Vigor verstaat dat toch niet)

Maar de toegevoegde waarde is eigenlijk nihil...
Ik denk dat uiteindelijk gewoon iedereen op de 3COM gewoon internet kan kan en met elkaar praten (geen security)

Tja, wat is dan de toegevoegde waarde dat je de 3COM gaat opsplitsen maar uiteindelijk gewoon ongecontroleerd kan babbelen met alles en iedereen ?

vrijdag 20 juli 2007 11:32

Acties:

0 Henk 'm!

Rotty

Topicstarter

jvanhambelgium schreef op vrijdag 20 juli 2007 @ 09:06:

Tja, wat is dan de toegevoegde waarde dat je de 3COM gaat opsplitsen maar uiteindelijk gewoon ongecontroleerd kan babbelen met alles en iedereen ?

Bedankt voor je uitvoerige uitleg, maar... :-)

Is dat zo ? (nog even een kleine toelichting)

De bedoeling is dat beide netwerken vanaf de Vigor gescheiden zijn, ( de beide netwerken zijn voor verschillende bedrijven die internet willen delen) vervolgens wil één bedrijf in zijn netwerk een AP hangen waarbij ze voor het afschermen van het beheer gebruik wil maken van VLAN. We moeten dus beide netwerken gescheiden houden (dit kan volgens mij dmv die Vigor) en vervolgens willen we één van de netwerken verder segmenteren dmv die VLANs maar uiteraard wel met behoud van de scheiding tussen beide "upstream" netwerken.

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

vrijdag 20 juli 2007 11:48

Acties:

0 Henk 'm!

jvanhambelgium

Aha, nu snap ik het.
Ok, je maakt 2 port-based vlan's op de VIGOR en je maakt 2 port-based vlan's op de 3COM (die tagging afzetten)
Vervolgens stop je 1 UTP kabel in een poort van vlan1 op de 3COM naar vlan1 op de VIGOR en dat doe je ook voor vlan2 ?
DAT gaat wel werken en gaat volledige scheiding garanderen tussen de 4 "groepen"

vb.
Maak op je VIGOR 4 VLAN's
Maak op de 3COM 4 VLAN's
Hang elk "groepje" poorten op de 3COM in de "upstream" port van de VIGOR.

Nu kan je verder "verdelen" vanaf de 3COM, vb 1 groepje voorzien voor later een WLAN AP'tje, etc,etc,etc

Dat is het beste wat je kan doen.
de 4 VLAN's zijn dan effectief gescheiden tot bovenaan de VIGOR waar je denkelijk kan filteren etc wie op Internet mag etc.

vrijdag 20 juli 2007 15:47

Acties:

0 Henk 'm!

Rotty

Topicstarter

Ja ik geloof inderdaad daat dit ongeveer de bedoeling is (behalve dat beide netwerken naar een eigen 3com switch lopen) maar dat maakt verder niet veel uit neem ik aan. Volgende week hoor ik meer over de exacte wensen dus dan weet ik weer meer. Tot zover hartelijk dank voor meedenken !

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

woensdag 25 juli 2007 20:51

Acties:

0 Henk 'm!

Rotty

Topicstarter

Ok duidelijk, dacht ik maar misschien toch niet want in een teste vanmiddag wilde ik het volgende bereiken...

Op één switch één poort defineren als uplink poort naar een router, vervolgens wil ik 2 vlans hebben die beide naar de router moeten kunnen maar niet naar elkaar. Daarnaast mogen beide vlans niet op het beheer vlan van de switch (default vlan1) komen.

Wat heb ik gedaan:

Poort 1 poortmatig in vlan1 laten staan, zodat je vanaf die poort altijd het beheer kan uitvoeren over de switch. Alle overige poorten heb ik poortmatig naar vlan2 gezet, zodat deze geen beheer kunnen plegen. Poort 2 wordt mijn uplink poort dus deze heb ik TAGGED in vlan2 en vlan3 gezet. poort 3 en 4 stop ik in tagged vlan2 en poort 5 & 6 stop ik in vlan3.

Ik sluit 2 laptops aan, één op poort 3 en één op poort 5. Beide kunnen inderdaad naar de router en kunnen inderdaad geen beheer uitvoeren. Ze kunnen alleen wel met elkaar babbelen (ondanks dat ze tagged in verschillende VLANS zitten ?) Is dit normaal ?

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

woensdag 25 juli 2007 21:26

Acties:

0 Henk 'm!

ls470

Hallo,

Als je router geen tagged VLANs ondersteunt is't normaal dat dit niet werkt.
Wat je moet doen is iedere VLAN een aparte uplink poort geven (niet-tagged) en dus per VLAN een kabel van de switch naar de router trekken (waar dan poort-gebaseerde VLANs op ingesteld staan).

dus bv.
poort 1 => vlan1
poort 2 (uplink voor vlan2) => vlan2 (naar router poort voor de eerste vlan op de router)
poort 3 (oplink voor vlan3) => vlan3 (naar router poort voor de tweede vlan op de router)
andere poorten: vlan2 of vlan3 volgens wat nodig is

Als je een poort in meer dan 1 vlan wilt zetten moet die absoluut aangesloten worden op hardware die zelf ook tagged VLANs ondersteunt omdat je anders de netwerken gewoon aan elkaar koppelt via die poort; als de router geen tagged VLAN ondersteunt moet je een poort alleen maar tagged instellen als die gebruikt wordt om je switch aan een tweede (tagged vlan aware) switch door te verbinden, zodat je niet voor iedere vlan een apart kabeltje nodig hebt...

woensdag 25 juli 2007 21:40

Acties:

0 Henk 'm!

VisionMaster

Security!

Maar ... loopt het dan niet via port 2 naar alle twee de broadcast domeinen (VLANs).

Ik zou eerder zeggen dat je per VLAN een aparte uplink zou moeten definieren in dit geval, omdat je vigor geen VLANs begrijpt in de 802.1q specs. Dus, dan blijft het zeker gescheiden tot op het moment dat je de vigor in gaat. Daar moet je dan weer die port-based VLAN functie activeren.

Dus je moet regelen dat je Vigor weet aan welke port een bepaalde host zit (aan de kant van de switch natuurlijk). Je verzend een data pakketje, dat hoort niet op data broadcast domein thuis, dus verstuurt die het naar de uplink. Via de uplink komt het bij de Vigor. De Vigor zegt misschien, hey, dat moet daar naar toe, dus, die stuurt het terug naar de switch. De switch heeft twee VLANs op die port, dus moet nu beslissen wat te doen en gooit het naar het goeie VLAN en je hebt verbinding. Volgens mij moet je harder scheiden

edit: Ik zie dat iemand me voor is met hetzelfde idee.

[ Voor 4% gewijzigd door VisionMaster op 25-07-2007 21:43 ]

I've visited the Mothership @ Cupertino

woensdag 25 juli 2007 22:15

Acties:

0 Henk 'm!

Rotty

Topicstarter

ok tnx ....

maar even over die opmerking dat vlan 2 en 3 met elkaar kunnen babbelen via de router in mijn situatie... Het vreemde is dat als ik het draadje uit poort 2 trok dat de beide laptops nog steeds elkaar konden zien...(ik had het idee dat ze elkaar nog zagen via de router). (had ff een tracert of pathping moeten doen)

Ik nam aan dat, hoewel beide vlan's poortmatig in dezelfde vlan's zitten dat ze op basis van de verschillende 802.1q tagges (vlan 2 en vlan3) niet met elkaar zouden kunnen communiceren... Dit blijkt dus wel zo te zijn... je gebruikt die tagges dus waarschijnlijk meer als je switch ergens tussen in staat als doorgeefluik... ?

[ Voor 7% gewijzigd door Rotty op 25-07-2007 22:21 ]

**MCSA**MCSE**CCNA**VCP4**VCP5&CCNP in progress

woensdag 25 juli 2007 23:28

Acties:

0 Henk 'm!

VisionMaster

Security!

Rotty schreef op woensdag 25 juli 2007 @ 22:15:
ok tnx ....

maar even over die opmerking dat vlan 2 en 3 met elkaar kunnen babbelen via de router in mijn situatie... Het vreemde is dat als ik het draadje uit poort 2 trok dat de beide laptops nog steeds elkaar konden zien...(ik had het idee dat ze elkaar nog zagen via de router). (had ff een tracert of pathping moeten doen)

Ik nam aan dat, hoewel beide vlan's poortmatig in dezelfde vlan's zitten dat ze op basis van de verschillende 802.1q tagges (vlan 2 en vlan3) niet met elkaar zouden kunnen communiceren... Dit blijkt dus wel zo te zijn... je gebruikt die tagges dus waarschijnlijk meer als je switch ergens tussen in staat als doorgeefluik... ?

tracert werk op de ip-laag. dus daar heb je niets aan om iets te testen. Je vigor is een (Nat-)router en een switch in 1 en je bent niet door de router gegaan, dus zal je die nooit zien.

Waarschijnlijk begrijpt je switch de config op een manier, dat je die twee broadcast domeinen mag mixen. Misschien kan je ze ook exclusive maken. Dat is standaard tussen twee vlan switches. Misschien heeft je vlan switch herkent dat de Vigor geen 802.1q praat en daardoor zijn gedrag aangepast in het binden van de twee VLANs aldaar. Tenslotte wou je alles via die ene uplink naar buiten gooien, zonder mogelijkheid tot behoudt van de VLAN tags. Dus... misschien moet hij dit wel op die manier doen, anders had het nooit gewerkt.

I've visited the Mothership @ Cupertino

Pagina: 1

Reageer

Onderwerpen