[Cisco IOS] Management Vlan

RazorBlade72nd schreef op dinsdag 06 november 2012 @ 14:26:
Waar ik tegen aan loop is, dat als ik een SVI aanmaak op de 3560 dat dit VLAN uiteraard onmiddellijk routeert naar de overige VLAN's.

Ik mis iets, de 891 is toch de router? Waarom staat de L3-functionaliteit van de 3560 dan aan _en_ stel je deze in als gateway?

Als niemand (op layer 3, layer 2 is een ander verhaal) aan de 3560 vraagt een pakketje af te leveren naar een ander subnet dan zal de 3560 het ook niet naar een ander VLAN mikken?

Op je management interface na hoeven de andere interfaces ook geen ip-adres te hebben. Je hoeft m.i. dan ook geen extra SVI aan te maken (als je management VLAN niet VLAN 1, de default, is)

Dan (ACL's en routing) gaan we voorbij mijn Cisco-kennis en kan ik je verder niet meer helpen, sorry

Even snel op Google zoeken levert How To Configure InterVLAN Routing on Layer 3 Switches op met in de Step-by-step instructions onder kopje 9: Isolation Between Two Layer 3 VLANs. Lijkt me dat je daarmee een eind moet komen

[ Voor 5% gewijzigd door Paul op 06-11-2012 15:44 ]

Je kan kiezen, ofwel gebruik je access-lists, ofwel werk je met een aparte routering voor je mgmt vlan.
Dat kan je doen met VRF-lite. Dan heb je een aparte routing table die niet gemengd wordt met je gewoen routing tables.

Je hebt wel IP services nodig op de 3560.

Kijk eens naar Private VLANs

Als je niet wil routeren waarom maak je dan een SVI aan? Dit gateway address is het address waar je server heengaat indien er naar het destination adres gerouteert moet worden(lees: het destination adres zich buiten het huidige subnet bevindt). In andere woorden, wil je een geisoleerd vlan: maak dan geen gebruik van een SVI en houd het bij een gewoon (Layer 2) vlan.

Stel dat je wel wil internetten vanuit die server maar niet lokaal communicatie wil toestaan dan houd je de 3 eerdergenoemde opties over: ACL / PVLANS / VRF

Het nadeel van een ACL is dat dit meer CPU gebruikt aangezien elk packet dat de interface passeert wordt gecheckt op een match. Het voordeel is wel dat het gemakkerlijk is te configureren is en gemakkelijk aan te passen in naar jouw wensen.

VRF's zijn lastiger te begrijpen. Qua puure configuratie valt het mee. Je kan met een VRF ervoor zorgen dat je default route op de 3560 wijst naar je 891 en hierdoor omzeil je de locale vlans. Let er wel op dat de werking hiervan afhankelijk is van de config van de 891. Als de 891 simpelweg deze netwerken terugrouteert naar de 3560 zal het zelfs met een VRF gewoon blijven werken.

Wat nog beter zou zijn is een Vlan aanmaken zonder SVI en een subinterface aanmaken voor dat vlan op de 891 met een defaultroute binnen een VRF die wijst naar het internet.

Pvlans zijn ook een optie, houdt er wel rekening mee dat je de server in dit geval gewoon in je huidige vlan zet en uitsluit door de poort van de server als een isolated port te markeren en de port naar de 891 in promiscuous mode te zetten. (mits de 891 ze niet terug routeert)

Wat ik van deze opties (persoonlijk) het mooist zou vind is als je de VRF zou combineren met Pvlans om zodoende een geisoleerd locale vlan te hebben die met een vrf op de 891 alleen naar het internet kan. Hierdoor zou je X servers in jouw vlan kunnen zetten die nergens mee kunnen praten behalve met het internet.

Kortom:
Gemakkelijk:Pvlans (let wel op de config van de 891 i.v.m terug routeren)
Gemakkelijker: ACL
Coolst(persoonlijk): Pvlans+ Subinterface VRF op de 891.

Als er vragen zijn hoor ik het graag

Nu ben ik zoals gezegd niet zo heel goed met Cisco, maar als ik het goed begrijp is ieder VLAN met IP-adres een SVI?

Zonder IP-adres geen in-band management, met IP-adres heb je een SVI en dus routing? Als ik http://www.informit.com/l...udies_Switching&seqNum=19 goed lees kun je overigens met iedere SVI verbinden om te managen en is de hele vraagstelling academisch...

Paul schreef op woensdag 07 november 2012 @ 15:52:
Nu ben ik zoals gezegd niet zo heel goed met Cisco, maar als ik het goed begrijp is ieder VLAN met IP-adres een SVI?

Een SVI (Switch Virtual Interface) is inderdaad een Layer 3 vlan met een ip-address.

Zonder IP-adres geen in-band management, met IP-adres heb je een SVI en dus routing?

Het is ook mogelijk om een SVI te hebben zonder te routeren. Dit zou je bijvoorbeeld gebruiken als management ip. (dus niet als gateway)

Als ik http://www.informit.com/l...udies_Switching&seqNum=19 goed lees kun je overigens met iedere SVI verbinden om te managen en is de hele vraagstelling academisch...

Mits routing goed geconfigureerd is zou je op een Switch met meerdere SVI het op elk SVI kunnen managen. Wil je dit niet zou je kunnen werken met een ACL op je vty lines.

Dan zijn we, voor het vraagstuk van de TS, dus weer terug bij ACL's? De devices op dat VLAN gebruiken de 3560 bewust als gateway...

RazorBlade72nd schreef op woensdag 07 november 2012 @ 17:21:
Virtual Private Vlan's worden wel ondersteund door de 3560 maar niet door de 2960. Deze opties vallen dus alleen al daarom af.

De reden dat ik een SVI aanmaak is omdat ik een IP adres nodig heb om met telnet of SSH naar toe te gaan. Zodra ik routing echter aanzet op de 3560 zal dat automatisch betekenen dat ook dit vlan te bereiken is vanaf ieder apparaat in mijn netwerk.

Volgens mij heb je nauwelijks last van overhead op de 3560 en de 891 als je een ACL zet op de SVI interface en subinterface omdat dit VLAN normaal gesproken alleen voor wat management verkeer gebruikt wordt en het normale verkeer komt dus nooit langs die ACL.

Ik ga dus een ACL zetten op SVI, subinterface en VTY lijnen. Daarmee lijkt mij dat er geen verkeer meer mogelijk is tussen het management vlan en de rest van mijn netwerk.

Inderdaad valt het qua performance inpact wel mee op een thuis lan. Indien je alleen de standaard functionaliteit nodig hebt van een ACL(ipv extended) zou je ook ervoor kunnen kiezen je host naar interface null0 te routeren. Dit heeft als voordeel dat routeren binnen CEF afgehandeld wordt waardoor er minder performance loss is.

Maargoed, lang verhaal kort:

Het gemakkelijkste is inderdaad zoals jij zegt een SVI aanmaken binnen het vlan dat je wil isoleren. ACL maken op je SVI die het verkeer limiteert zoals jij het wil zien. klaar

RazorBlade72nd schreef op dinsdag 06 november 2012 @ 15:50:
Ik dacht dat er ook manieren waren om een specifieke VLAN op een L3 switch uit te sluiten van routeren.

Dat is zo bij Procurve switches. Daar kun je een management vlan instellen wat dan, inderdaad, niet gerouteerd wordt.

RazorBlade72nd schreef op dinsdag 06 november 2012 @ 14:26:
Mijn bedoeling is een gescheiden vlan maken waarop alleen 1 specifieke VM toegang heeft en waarmee die virtuele server alleen kan communiceren met de 2960, 3560 en 891 --knip--

Om een goede oplossing te kunnen geven, is het altijd het belangrijkste om de functionele vraag waar het mee begint duidelijk en volledig te hebben. Hierboven het functionele stuk uit de openingspost.

Als bovenstaande de enige vraag is, dan is de oplossing simpel en clean: een vlan, svi op eigen vrf op 3560, subinterface in eigen vrf op 891, vlan op 2960. Management met acls op SVI's en management protocols restricten. Op wat beperkingen met het versturen van management informatie via de non-global routing table na, ben je er.
Indien de specifieke VM één (1) interface heeft, is het een volledig routeringstechnisch gescheiden van de rest van het netwerk en kan je er alleen bij via console (console poort op cisco of 'esxi-console' voor de server).

Mijn vermoeden is dat de functionele vraag onvolledig is. Ik vermoed dat er meer communicatie vanaf en naar dit management VLAN nodig is. Klopt mijn vermoeden en zo ja, wat is er dan gewenst?