vmware meerdere dc's

vlan

Nieuwe vSwitch maken en alleen daarop je machines bedrijf X zetten.

Als ze niks met elkaar te maken hebben moeten ze inderdaad in aparte (v)lan segmenten zitten met een eigen subnet per omgeving. Als ze echter allemaal naar buiten toe moeten wordt dat was lastiger tenzij je nog een ip range van je provider kan krijgen. Als je je eigen switches beheerd en het zijn een beetje behoorlijke switches dan kan je misschien wel wat voor elkaar krijgen mbv private vlans.

[b]TrailBlazer schreef op donderdag 08 oktober 2009 @ 13:35:[ Als je je eigen switches beheerd en het zijn een beetje behoorlijke switches dan kan je misschien wel wat voor elkaar krijgen mbv private vlans.

Ik betwijfel of je dat voor elkaar krijgt met een switch. Het blijven 'domme' apparaten.
Ik denk dat je dan op je switch 2 vlans moet bouwen, vervolgens in elke vlan een kabel naar een(cisco) router, en hierin e.e.a. regelen voor verkeer naar buiten. Wellicht dat dit ook met een ISA server kan.

[ Voor 20% gewijzigd door Schumaster op 08-10-2009 15:16 ]

dat mag je betwijfelen maar reken maar dat ik het voor elkaar krijg op een Cisco switch
Met private vlans kan je poorten in een isolated vlan plaatsen deze poorten kunnen dan enkel communiceren met poorten die in een zogenaamd promiscious vlan staan. Het is ook mogelijk om ze in een community vlan te plaatsen dan kunnen ze wel met elkaar en met de poorten in het promiscious vlan communiceren maar niet daarbuiten.
Je maakt een soort subvlans binnen een groter vlan. Hardstikke handig voor als je servers hebt die wel met de default gateway moeten lullen maar niet met elkaar mogen lullen.

[ Voor 11% gewijzigd door TrailBlazer op 08-10-2009 15:24 ]

TrailBlazer schreef op donderdag 08 oktober 2009 @ 15:23:
dat mag je betwijfelen maar reken maar dat ik het voor elkaar krijg op een Cisco switch
Met private vlans kan je poorten in een isolated vlan plaatsen deze poorten kunnen dan enkel communiceren met poorten die in een zogenaamd promiscious vlan staan. Het is ook mogelijk om ze in een community vlan te plaatsen dan kunnen ze wel met elkaar en met de poorten in het promiscious vlan communiceren maar niet daarbuiten.
Je maakt een soort subvlans binnen een groter vlan.

Ok, dat wist ik niet, m'n kennis van Cisco switches is erg basis.

TrailBlazer schreef op donderdag 08 oktober 2009 @ 15:23:
dat mag je betwijfelen maar reken maar dat ik het voor elkaar krijg op een Cisco switch
Met private vlans kan je poorten in een isolated vlan plaatsen deze poorten kunnen dan enkel communiceren met poorten die in een zogenaamd promiscious vlan staan. Het is ook mogelijk om ze in een community vlan te plaatsen dan kunnen ze wel met elkaar en met de poorten in het promiscious vlan communiceren maar niet daarbuiten.
Je maakt een soort subvlans binnen een groter vlan. Hardstikke handig voor als je servers hebt die wel met de default gateway moeten lullen maar niet met elkaar mogen lullen.

Je kan ook simpel de poort configgen dat hij alleen tagged accepteerd

Schumaster schreef op donderdag 08 oktober 2009 @ 15:15:
[...]


Ik betwijfel of je dat voor elkaar krijgt met een switch. Het blijven 'domme' apparaten.

Ik vraag me werkelijk af waar jij je kennis vanaf haalt.
Bijna elke professionele switch (Cisco , Juniper etc) kan dit met gemak

TrailBlazer schreef op donderdag 08 oktober 2009 @ 15:29:
wie moet er dan gaan taggen. Netwerk admins vertrouwen nooit iets wat ze niet zelf in de hand hebben.

lol QFT!
Mjah ik keek even vanuit mijn situatie, ik tag vanuit de core router

Verwijderd schreef op donderdag 08 oktober 2009 @ 15:29:
Ik zeg ook Vlan

Ik zeg Gamma ! ( ow nee die hebben geen fatsoenlijk network apparatuur)

[ Voor 35% gewijzigd door CrankyGamerOG op 08-10-2009 15:36 ]

wie moet er dan gaan taggen. Netwerk admins vertrouwen nooit iets wat ze niet zelf in de hand hebben.

Ik zeg ook Vlan

Als je met meerdere klasieke vlans gaat werken (dus niet private) heb je een 2e subnet nodig. Ik denk niet dat dat voor de TS erg makkelijk te realiseren is.

TrailBlazer schreef op donderdag 08 oktober 2009 @ 15:23:
dat mag je betwijfelen maar reken maar dat ik het voor elkaar krijg op een Cisco switch
Met private vlans kan je poorten in een isolated vlan plaatsen deze poorten kunnen dan enkel communiceren met poorten die in een zogenaamd promiscious vlan staan. Het is ook mogelijk om ze in een community vlan te plaatsen dan kunnen ze wel met elkaar en met de poorten in het promiscious vlan communiceren maar niet daarbuiten.
Je maakt een soort subvlans binnen een groter vlan. Hardstikke handig voor als je servers hebt die wel met de default gateway moeten lullen maar niet met elkaar mogen lullen.

Do not forget layer 3

Flyduck schreef op donderdag 08 oktober 2009 @ 23:32:
[...]
[afbeelding]
Do not forget layer 3

wtf?
en hoe ga je op die switch onderscheiden welk verkeer komende van de router voor welk vlan is?

maak het toch niet zo ingewikkeld en doe het zoals het hoort:
omgeving A: vlan x, untagged
omgeving B: vlan y, untagged
switch naar router: vlan trunk (802.1q of ISL) met vlan x en y tagged
en op de router uiteraard een subinterface (met ip) in elke vlan aanmaken...

Pieter

PS: ofwel gebruik je een layer3 switch of gebruik je per vlan een interface op je router, kan ook uiteraard...

[ Voor 8% gewijzigd door PerfectPC op 08-10-2009 23:44 ]

Flyduck schreef op donderdag 08 oktober 2009 @ 23:32:
[...]


[afbeelding]

Do not forget layer 3

Als je het helemaal secure wilt doen moet je inderdaad een ACL op je router plaatsen zodat die geen verkeer voor hetzelfde subnet over zijn interface gaat routeren.

PerfectPC schreef op donderdag 08 oktober 2009 @ 23:43:
[...]

wtf?
en hoe ga je op die switch onderscheiden welk verkeer komende van de router voor welk vlan is?

maak het toch niet zo ingewikkeld en doe het zoals het hoort:
omgeving A: vlan x, untagged
omgeving B: vlan y, untagged
switch naar router: vlan trunk (802.1q of ISL) met vlan x en y tagged
en op de router uiteraard een subinterface (met ip) in elke vlan aanmaken...

Pieter

PS: ofwel gebruik je een layer3 switch of gebruik je per vlan een interface op je router, kan ook uiteraard...

Misschien moet je je even in gaan lezen wat private vlans zijn. Het is een vlan alleen met daarin subvlans om het verkeer te scheiden van elkaar. Met jouw oplossing moet je een nieuw subnet gaan maken. Je clients omnummeren DNS fixen en je gooit op space kwijt.
Stel je bent een hostingprovider en je wil 100 servers access aanbieden tot het internet en ze mogen elkaar absoluut niet zien. Je moet dan dus 100 /30 subnetjes gaan maken. Je hebt dus wel 400 ip adressen nodig bijna 2 keer /24. Misschien is het nog wel erger en opeens wil een klant een 2e server hebben en die 2 moeten wel met elkaar kunnen praten. Hmm dat past niet in een /30 We moeten even omnummeren of we reserveren gewoon /29 subnets voor elke klant. Dan kan hij tenminste 5 servers kwijt. Nou hebben we al iets meer dan 3 /24 subnets nodig.
Ik heb het nog niet eens over de impact op je routers om daar al die subinterfaces en HSRP/GLBP/VRRPgroepen aan te maken.

Misschien moeten we met private vlans gaan werken? Hee dat is handig een /25 en ik ben klaar.