Experimenteren met VLAN

Zowiezo moeten je PC's ook bewust zijn van de VLAN's (als de VLAN's 'tagged' worden aangeboden).

Als ik het tweede plaatje zo zie, worden beide VLAN's 'tagged' aangeboden op het poortje. Dat kan, maar meestal biedt je 1 VLAN untagged aan en als er dan nog VLAN's over zijn, biedt je die 'tagged' aan.

[ Voor 7% gewijzigd door Foeijonghaai op 20-09-2011 10:10 . Reden: aanvulling ]

Egress (uitgaand) verkeer:
====================
Als je een port instelt op een VLAN kan dit tagged of untagged . Tagged betekend dat je switch over die port tagged verkeer uitstuurt, dan moet je PC dus VLAN aware zijn en dus tagged verkeer snappen. Wanneer je de port untagged instelt, dan stript de switch de vlan tag, en hoeft jou pc niet VLAN aware te zijn.

Ingress (inkomend) verkeer:
=====================
Een PVID instellen, in jou geval op 4000, betekend dat je switch aan al het untagged verkeer wat binnen komt een VLAN header toevoegd, in jou geval voor VLAN 4000. In dit geval hoeft je PC niet VLAN aware te zijn.

Als je geen PVID instelt dan verwacht je Switch tagged verkeer, en moet je PC dus VLAN aware zijn en ook VLAN 4000 moet dan leven op jou PC.

Inter VLAN routing:
===============
Ik weet niet wat voor switch je verder hebt, maar om verkeer mogelijk te maken tussen de VLAN's onderling heb je een layer 3 switch nodig, of een router die VLAN aware is. Als je geen layer 3 switch hebt, zoek dan eens op "routerboard", dit zijn vrij goedkope oplossing waarmee inter VLAN routing kan doen.


Hiermee moet je er wel uitkomen denk ik.

Je Dell 5548 ondersteunt tot 64 static-routes, je kunt daarmee dus gewoon routering tussen vlan's doen...

Je hoeft niet eens static routes te maken als het een layer 3 switch is. Gewoon ieder VLAN een ip adres geven op je switch, dit is in ieder VLAN dus je gateway. Dan heb je meteen inter VLAN routing voor elkaar. Moeilijker dan dit is het niet (het moet wel een layer 3 switch zijn).

Hiermee heb je dus alleen inter VLAN routing voor elkaar. Wanneer je vanuit de diverse VLAN's ook wilt internetten zul je in je router die aan het internet hangt natuurlijk static routes moeten toevoegen voor de diverse VLAN's.

En aangezien de desbetreffende Dell switch geen layer 3 switch is, gaat interVLAN routing op deze switch niet werken. De twee (vermoedelijk lege fibre channel) poorten die je rechtonderaan de switch aantreft, zijn bestemd voor de uplink naar een layer 3 switch voor verdere routing.

[ Voor 41% gewijzigd door EdwinW op 20-09-2011 11:07 ]

Ik snap niet helemaal wat het probleem hier is.

De switch ondersteund IP-addressen op z'n vlan-interfaces. Daarna kan je met static-routes volgens mij gewoon tussen die interfaces routen...

En static routes is een Layer 3 instelling, dat gaat dus niet op die switch is denk ik wat EdwinW probeert te zeggen.

Weiman schreef op dinsdag 20 september 2011 @ 11:24:
En static routes is een Layer 3 instelling, dat gaat dus niet op die switch is denk ik wat EdwinW probeert te zeggen.

Behalve dat deze switch dus wel tot 64 static-routes ondersteunt zoals ik hierboven al vermeldde?

In de screenshots zie je dat je bij switchport mode ook voor "layer 3" kunt kiezen.
Heb je dat al eens geprobeerd?

simplendi schreef op dinsdag 20 september 2011 @ 11:25:
[...]

Behalve dat deze switch dus wel tot 64 static-routes ondersteunt zoals ik hierboven al vermeldde?

Static routes is puur layer 3. Ook op je Windows xp/vista/7 machine kun je static routes instellen.

• http://www.dell.com/downl.../pwcnt/en/app_note_38.pdf
• Wikipedia: Dell PowerConnect

[ Voor 17% gewijzigd door EdwinW op 20-09-2011 11:45 ]

PVID wil zeggen: 'Welk VLAN moet ik aannemen als ik een pakketje aangeboden krijg zonder VLAN-tag?'

De VLAN-list wil zeggen: Ik krijg (van een andere poort) een pakketje voor deze poort met VLAN X, mag dat? De tagged en untagged wil vervolgens zeggen wat er mee moet gebeuren: Haalt de switch de tag eraf (untagged) of laat het deze zitten (tagged).

Forbidden is een beetje een speciaal geval, dat zorgt er namelijk voor dat VGRP (of andere manieren om automatisch VLANs te managen) dat VLAN niet aan die poort toe mag voegen.

Aangezien 'een pc' maar zelden VLAN-aware is (dat moet je zelf al handmatig specifiek instellen, en daar zie ik niks over staan in de TS dus ga ik er vanuit dat je dat niet gedaan hebt) stuurt pc A in geval van PVID dus pakketjes met VLAN 1, en door je ingress filtering mag dit niet. Ik verwacht eigenlijk een error als je op Apply drukt dat VLAN 1 als PVID staat ingesteld maar niet in de VLAN List staat, maar ik heb niet zo'n goede ervaring met de webinterfaces van Dell switches

Tot zover layer 2 Layer 3: Als je gaat routeren (static routes instelt) hoeft een PC nog maar in 1 VLAN te zitten, de rest regelt de switch. Toegang bepaal je dan met ACL's. Dit is echter behoorlijke theoretische kennis (heb nog nooit echt met een L3-switch mogen spelen) dus kan zijn dat dit niet klopt

Even inhakend op het verhaal van Paul:

Layer2:

Uplinks tussen switches met meerdere VLANs zullen vrijwel altijd tagged zijn (behalve VLAN1, dit is het default VLAN t.b.v. management). Overige VLANs zullen dus een Tag in hun frame meekrijgen waarin het VLAN ID staat. Dit is zodat iedere switch weet voor welk VLAN een pakketje is. Simpel:

Als je dus 2 switches hebt zal de onderlinge verbinding tussen de switches tagged zijn, en alleen die!

Een PC die op VLAN 10 zit op switch A (untagged edge poort!) kan dan pingen naar een PC die op VLAN 10 op switch B zit (untagged edge poort!).

Soit, hetzelfde geld eigenlijk ook in geval beide PC's aan 1 switch hangen, maar goed. Even ter illustratie hoe je VLAN tagging moet gebruiken

Layer3:

Eigenlijk is dit alleen maar IP routing. In feitte klopt het wat Paul zegt. ACL's is eigenlijk alweer een stap te ver trouwens. Dit is netjes, maar niet noodzakelijk. Normaal doe je dat met een Firewall.

Summary:

Stop een PC niet in een tagged poort!

EdwinW schreef op dinsdag 20 september 2011 @ 11:02:
De twee (vermoedelijk lege fibre channel) poorten die je rechtonderaan de switch aantreft

Dat zijn geen fibre channel poorten.