Tagged poorten in Vlan routing naar andere Vlan ? - Netwerken

zondag 10 maart 2013 17:21

Acties:

0 Henk 'm!

Anoniem: 149075

Topicstarter

Ik heb een switch, L3, welke een aantal Vlans bevat en waar untagged poorten van Vlan naar Vlan kunnen pingen.

Omdat ik een office netwerk en een development netwerk van elkaar wil scheiden en mijn VM's getagged nics hebben kan ik dus in mijn desbetreffende Vlan van tagged poort naar tagged poort pingen tussen hosts of hosts/clients.

Nu ik via tagging echt zaken aan het scheiden ben vraag ik me af hoe ik er voor ga zorgen dat in een dergelijke setup mijn Clients in een bepaalde Vlan toegang kunnen krijgen tot een Office VM of een DevVM of beide zonder dat ik de poort op de client van tagging hoe te voorzien.

Routing doet mijn switch standaard tussen de Vlans, echter wordt het met Tagging wat lastiger, wat opzich logisch is want daar is tagging voor.

Hoe kan ik dit het beste oplossen ?

zondag 10 maart 2013 17:43

Acties:

0 Henk 'm!

DJSmiley

Wat wil je precies?

client (untagged) in vlan 'office' moet de server in vlan 'office' kunnen bereiken? Dat moet gewoon kunnen zolang die server dus in dat netwerk hangt (tagged op de VM)
dezelfde client moet een server in het development netwerk bereiken? Dat kan ook, de l3 switch doet immers routing tussen de vlans. Wel moet je switch dan de gateway van de client zijn (of je moet het vanaf een andere gw terugrouteren naar je l3 switch)

In een default config zou je gewoon alle vlans onderling moeten kunnen bereiken, immers, die l3 switch routeerd. Pas als je ACL's gaat configureren kun je eea dicht en/of openzetten.

zondag 10 maart 2013 17:49

Acties:

0 Henk 'm!

Kompaan

Default gateway naar het IP adres van de L3 switch (binnen dat VLAN) of als niet alles via je L3 switch gaat: static routes

zondag 10 maart 2013 18:03

Acties:

0 Henk 'm!

CyBeR

💩

Anoniem: 149075 schreef op zondag 10 maart 2013 @ 17:21:
Ik heb een switch, L3, welke een aantal Vlans bevat en waar untagged poorten van Vlan naar Vlan kunnen pingen.

Je bent er al.

Routing doet mijn switch standaard tussen de Vlans, echter wordt het met Tagging wat lastiger, wat opzich logisch is want daar is tagging voor.

Nee, daar heeft tagging niks mee te maken.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 10 maart 2013 20:19

Acties:

0 Henk 'm!

Anoniem: 149075

Topicstarter

CyBeR schreef op zondag 10 maart 2013 @ 18:03:
[...]

Je bent er al.

[...]

Nee, daar heeft tagging niks mee te maken.

Mijn inziens zit je er naast.

Stel je wil 3 Vlans seperate over 1 Nic (dus bijvoorbeeld VM's) laten lopen dan lock je wel alles uit.

Opzich tag je alleen als je over een switch gaat waar je geen vlans hebt maar wel verkeer wil managen, dit heb je met meerdere VM's over 1 Nic eigenlijk ook dus vandaar dat ik deze vraag stel.

zondag 10 maart 2013 20:24

Acties:

0 Henk 'm!

CyBeR

💩

Nee, ik zit er niet naast.

VLAN tags zitten op layer 2. Het is alleen een manier om meerdere VLANs over één kabeltje te frotten. Of je dat met tags doet of op een andere manier maakt niet uit (in principe kun je ook WDM gebruiken om te vlannen over fiber maar 802.1q is een stuk goedkoper).

IP routing, oftewel van vlan naar vlan komen zit op layer 3. Wat er met layer 2 daaronder gebeurt maakt niet uit. Zolang je maar een L2 pad hebt naar een L3 device wat tussen je vlans route.

[ Voor 8% gewijzigd door CyBeR op 10-03-2013 20:25 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 10 maart 2013 21:34

Acties:

0 Henk 'm!

Anoniem: 149075

Topicstarter

Ik ben het met je L2 en L3 eens.

De vraag is waarom ik alleen mijn Vlan IP (dus Vlan GW) kan pingen als ik een tagged poort instel op een poort waar alleen tagged packages overgeen gaan. Dat zou dus puur in de reply moeten zitten.

zondag 10 maart 2013 21:40

Acties:

0 Henk 'm!

CyBeR

💩

"als ik een tagged poort instel op een poort waar alleen tagged packages overgeen gaan"?

Ik snap niet wat je probeert te zeggen.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 10 maart 2013 21:43

Acties:

0 Henk 'm!

Anoniem: 149075

Topicstarter

CyBeR schreef op zondag 10 maart 2013 @ 21:40:
"als ik een tagged poort instel op een poort waar alleen tagged packages overgeen gaan"?

Ik snap niet wat je probeert te zeggen.

Als ik een VM een Tag in zijn traffic meegeef moet ik de switchpoort in die betreffende Vlan voor zijn subnet op T zetten wil ik reply krijgen.

zondag 10 maart 2013 21:44

Acties:

0 Henk 'm!

DJSmiley

Anoniem: 149075 schreef op zondag 10 maart 2013 @ 21:43:
[...]

Als ik een VM een Tag in zijn traffic meegeef moet ik de switchpoort in die betreffende Vlan voor zijn subnet op T zetten wil ik reply krijgen.

Mjah, als je een VM machine op z'n nic TAGGED laat lullen, moet je switch dat vlan wel herkennen en (dus) moet dat vlan ook tagged aanwezig zijn (of de poort moet een trunk zijn, sommige switches accepteren dan alle bekende vlans)

Als je dat niet doet, herkent de switch, op die poort, die vlan tags niet (immers, die poort is geen member van dat vlan) en dus zal een pingetje ook niet gaan werken (of whatever je probeert)

[ Voor 16% gewijzigd door DJSmiley op 10-03-2013 21:45 ]

zondag 10 maart 2013 21:44

Acties:

0 Henk 'm!

CyBeR

💩

Natuurlijk. Dat is logisch. Anders komt 't verkeer niet goed aan. Waarschijnlijk de packet uit de VM wel maar 't antwoord niet.

[ Voor 32% gewijzigd door CyBeR op 10-03-2013 21:45 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 10 maart 2013 21:46

Acties:

0 Henk 'm!

Anoniem: 149075

Topicstarter

DJSmiley schreef op zondag 10 maart 2013 @ 21:44:
[...]

Mjah, als je een VM machine op z'n nic TAGGED laat lullen, moet je switch dat vlan wel herkennen en (dus) moet dat vlan ook tagged aanwezig zijn (of de poort moet een trunk zijn, sommige switches accepteren dan alle bekende vlans)

Klopt, dit doe ik tussen de switches tussen de verschillende Vlans.

CyBeR schreef op zondag 10 maart 2013 @ 21:44:
Natuurlijk. Dat is logisch. Anders komt 't verkeer niet goed aan.

Leek me ook, maar waar mijn twijfel nu ligt is waarom ik andere Vlan's niet meer kan pingen, tenzij ik geen tagged packages stuur en de poort op Untagged zet dan gaat dat prima.

zondag 10 maart 2013 21:48

Acties:

0 Henk 'm!

CyBeR

💩

Waarschijnlijk heb je gewoon ergens iets raars zitten waardoor de routing niet meer klopt. Heb je een tekening?

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 10 maart 2013 22:22

Acties:

0 Henk 'm!

Anoniem: 149075

Topicstarter

CyBeR schreef op zondag 10 maart 2013 @ 21:48:
Waarschijnlijk heb je gewoon ergens iets raars zitten waardoor de routing niet meer klopt. Heb je een tekening?

Het lijkt er wel op inderdaad.

Niet bij de hand, kan ik morgen even posten als ik de tijd er voor kan vinden hem verder uit te werken.

[ Voor 5% gewijzigd door Anoniem: 149075 op 10-03-2013 22:22 ]

maandag 11 maart 2013 22:29

Acties:

0 Henk 'm!

Anoniem: 149075

Topicstarter

Het probleem had ik gister vrij snel opgelost. Het bleek dat een global route naar een router ging voor tijdelijke extern traffic. Op de router werd bepaald welke range echt naar buiten mocht en deze route door de global route op de switch niet terug als er geen route back is.

Die global route op de switch moet gezien een route per vlan range niet werkt schijnt, raar maar waar.