Meerdere (remote) LAN's verbinden via één interconnect

Is het een glas verbinding gerouteerd over het internet of is het een dark fiber waar je zelf licht op hebt gezet?

De subnets zijn verschillend maar er worden wel dezelfde VLAN tags gebruikt aan beide kanten?
Als dat het geval is zal je toch iets van routing moeten doen.

Wat voor type ProCurve gebruik je? Een die ook layer 3 verkeer kan routeren?

IEEE 802.1ad Of wel QinQ is hiervoor volgens mij juist uitgevonden.

Q-in-Q tunneling and VLAN translation allow service providers to create a Layer 2 Ethernet connection between two customer sites. Providers can segregate different customers’ VLAN traffic on a link (for example, if the customers use overlapping VLAN IDs) or bundle different customer VLANs into a single service VLAN. Data centers can use Q-in-Q tunneling and VLAN translation to isolate customer traffic within a single site or to enable customer traffic flows between cloud data centers in different geographic locations.

Alternatief is volgens mij gewoon het klanten netwerk untagged op jouw switch laten aanleveren, maar dat port tagged soort sturen maar de andere kant?

[ Voor 10% gewijzigd door Rolfie op 18-05-2018 10:54 ]

Zou het niet lukken met twee switchen die VLAN's ondersteunen?
Op de switch configureer je drie VLAN's (vb. VLAN 1, VLAN 2 en VLAN 3), deze stuur je tagged over de glasvezel.
Drie van de poorten op de switch zet je untagged in elke VLAN. Daar plug je de fysieke netwerken op in. De switch zet alles wat daar opkomt in het juiste VLAN.
Aan de andere kant van de glasvezel doe je net hetzelfde en dan gaat het VLAN weer over in zijn eigen netwerk.
't Is niet meteen de netste oplossing, maar het lijkt me alsof het zou moeten werken.

Schnupperpuppe schreef op vrijdag 18 mei 2018 @ 10:52:
[...]


Niet alleen de VLAN ID's, maar ook de subnets in 1, 2 en 3 zijn hetzelfde (private subnets).
De omgevingen 1, 2 en 3 zijn in principe exact hetzelfde geconfigureerd, maar fysiek gescheiden.
Routeren zal dus niet gaan.
Wat ik bij wijze van spreken zou willen is dat switch poort 1 op locatie A wordt verbonden met switch poort 1 op locatie B. Idem voor poort 2 en 3. Iets van 'remote port replication', mocht dat bestaan.

Dat maakt het juist simpel: Je moet de VLAN's op de interconnect tussen je 2 locaties doorvoeren over je glas.
Hiervoor kan je VLAN tagging gebruiken, zo kan je meerdere VLAN's van locatie A naar B "transporteren".

Je moet er alleen op letten dat aangezien je op A en B dezelfde subnets gebruikt er geen IP adres conflicten gaan ontstaan.

Stel je hebt op A een locatie een router staan met 172.16.20.1 en op locatie B ook maar dit wel beiden aparte internet verbindingen zijn het hele vreemde resultaten gaat opleveren.

Schnupperpuppe schreef op vrijdag 18 mei 2018 @ 11:11:
[...]


Het stukje VLAN tagging snap ik. Op zowel locatie A als B configureer ik 3 poorten op de switch:

• Poort A/B 1 : VLAN 1
• Poort A/B 2 : VLAN 2
• Poort A/B 3 : VLAN 3

Nou komt het lastige. Alle 3 servers A1, A2 en A3 gebruiken het private subnet 172.16.4.0/24 en alledrie op VLAN 10. Deze netwerken moeten fysiek gescheiden blijven, anders gebeuren er rare dingen, toch?
Hoe krijg ik nou dat laatste stapje voor elkaar? Hoe zorg ik dat op de servers alles binnenkomt op VLAN 10 en dat ze elkaar niet kunnen 'zien'?

Edit:
Als de switch op locatie A VLAN translation ondersteunt, ben ik er dan?
Dus zoiets:

• Poort A 1 : Incoming VLAN 10 -> VLAN 1, Outgoing VLAN 1 -> VLAN 10
• Poort A 2 : Incoming VLAN 10 -> VLAN 2, Outgoing VLAN 2 -> VLAN 10
• Poort A 3 : Incoming VLAN 10 -> VLAN 3, Outgoing VLAN 3 -> VLAN 10

Of kunnen de servers 1, 2 en 3 elkaar dan 'zien'?
Alternatief zou ik de VLAN translation op de servers kunnen doen, maar liever niet.

Je gaat op layer 2 afkoppelen dus gaan de servers elkaar zien en wordt alles onderdeel van hetzelfde subnet.
Als je dat wilt voorkomen zal je moeten routen incl. bijbehorende firewall policy's.

Wat je natuurlijk kunt doen is de VLAN tag's "neppen".

Je configureert als volgt:

Gebouw A
Poort 1 Server A untagged VLAN 10
Poort 2 Server B untagged VLAN 20
Poort 3 Server C untagged VLAN 30
Poort 24 -> Uplink Gebouw A naar B -> Tagged vlan 10,20,30

Gebouw B
Poort 24 -> Uplink Gebouw B naar A -> tagged VLAN 10,20,30
Poort 1 AP 1 untagged VLAN 10
Poort 2 AP 2 untagged VLAN 20
Poort 3 AP 3 untagged VLAN 30

Zo kan je wel een beetje cheaten maar moet je er wel voor zorgen dat je servers dus untagged met een interface aan de switchpoorten hangen.

En waarschijnlijk zal je wel een paar errors krijgen. Er zal dan een VLAN mismatch gaan optreden. Een beetje deftige cisco zal daar melding van maken. Het werkt maar is niet ideaal.

Maar als het goed begrijp ben jij in deze de verantwoordelijke voor het netwerk. Dan mag je eisen stellen. Dus maak een ontwerp en vraag de andere partijen zich hieraan te houden. Je gaat jezelf nu in rare bochten wringen om het op te lossen. Zij willen wat van jou, dat is mogelijk, maar dan wel onder jouw voorwaarden. innovatie geeft vaak kansen om in het verleden gecreëerde problemen op te lossen.

Ga met de partijen in gesprek en kijk wat er mogelijk is. Maak hen ook deel van het probleem.

[ Voor 7% gewijzigd door muppet99 op 18-05-2018 13:44 ]

Zoek op internet naar Q in Q. Dan kan je de vlan's stretchten naar andere kant. Ik weet niet of de switch van jou het ondersteunt.

Je loopt voor zover ik kan zien simpelweg tegen het volgende probleem aan:

Stel je pakt A1 welke dus alleen mag praten met B1.

Als ik je verhaal goed begrijp heb je dus het volgende:

A1 heeft bijvoorbeeld als IP: 10.0.1.5 en als subnet: 10.0.1.0/24
B1 heeft bijvoorbeeld als IP: 10.0.1.25 en als subnet: 10.0.1.0/24

Simpelgezegd zonder de 2 op layer 2 niveau te koppelen ga je ze niet kunnen verbinden.
Want stel je pakt dus een layer 3 device (router/switch) en je zegt tegen het apparaat: A1 stuur je verkeer maar naar B1 dan zal hij B1 in zijn eigen broadcast segment gaan zoeken (dus in het 10.0.1.0/24 netwerk aan de B1 kant) en zal dus nooit het verkeer door de router heen sturen naar A1.

Dat de VLAN's hetzelfde zijn is niet het grootste probleem: Dat de IP's hetzelfde zijn is juist het probleem.
Wijken de IP ranges af van elkaar dan zou je dit d.m.v. een layer 3 device simpelweg kunnen routeren.

Dat gezegd te hebben:
Het is mogelijk door op beide locaties een layer 3 device te plaatsen maar dan krijg je een alles behalve beheerbare oplossing! Want je zult dan o.a. NAT moeten gaan gebruiken en je zult iets in moeten stellen als:
A1 heeft IP: 10.0.1.5 intern, maar stuurt zijn verkeer naar 10.1.1.5 waarna Router A het verkeer doorstuurt naar Router B welke weer intern weet al het verkeer dat binnenkomt op 10.1.1.5 moet naar B1 welke IP 10.0.1.25 heeft.

Zoals @richardboer zegt... je zou omgeving A2 en omgeving A3 in een ander ip-range moeten zetten. Je probeert nu gevolg te verhelpen terwijl je de oorzaak moet aanpakken

En wat je al gevonden hebt is dat je om het gevolg aan te pakken dure apparatuur en config nodig hebt

[ Voor 24% gewijzigd door fabje op 18-05-2018 15:08 ]

Inderdaad. Ze moeten op Layer 2, apart van elkaar, verbonden worden.
Volgens mij gaat dat niet lukken met een reguliere switch en al helemaal niet met een router. Tenzij er switches bestaan die aan multiplexing doen. Er zijn dedicated apparaten voor op de markt, zgn. 'Fiber Multiplexers' of 'Fiber Media Converters'.
Daar ga ik me nu een beetje in verdiepen.

Volgens mij snap je het niet echt

Simpelgezegd: Als beide netwerken hetzelfde zijn ga je ze niet op laag 2 kunnen verbinden zonder problemen. Denk hierbij direct aan: IP conflicten, etc.

Dus 2 opties:
Optie 1. aan 1 van de 2 zijdes de IP's omnummeren naar een andere range (en dan bij voorkeur ook gelijk seperaat VLAN)
Optie 2. Gaan werken met dubbele routers. Dit laatste is wel gewoon mogelijk maar kost wel de nodige configuratie en het nodige beheer.

Schnupperpuppe schreef op vrijdag 18 mei 2018 @ 10:41:
Mijn vraag
De situatie is de volgende. Wij hebben 2 locaties, A en B, binnen één gebouw. Beide locaties zijn met elkaar verbonden via een (1) glas-verbinding. Nu wil ik meerdere aparte LAN's tussen locatie A en B met elkaar verbinden.
Om het iets concreter te maken: op locatie A staan 3 servers: A1, A2 en A3. Op locatie B staan 3 access points: B1, B2 en B3. Nu wil ik B1 verbinden met A1, B2 met A2 en B3 met A3.
Punt is dat er maar één glas-verbinding tussen A en B ligt. Een andere complicerende factor is dat 1, 2 en 3 gebruiken maken van dezelfde VLAN Id's, maar dat wel binnen hun eigen, fysiek gescheiden, LAN's. Het verkeer routeren via verschillende VLAN's is dus niet een eenvoudige oplossing...

Is wat ik wil mogelijk en wat heb ik daar voor nodig?

Relevante software en hardware die ik gebruik
Wij gebruiken HP ProCurve switches, maar betere alternatieven zijn geen bezwaar. Liefst een 'off-the-shelf' oplossing, indien mogelijk.

Wat ik al gevonden of geprobeerd heb
Ik ben op zoek geweest naar mogelijkheden om switch-poorten 1-op-1 remote te mirroren, maar ik heb daar tot nu toe nog geen kant en klare oplossing voor gevonden.

Ik denk dat je het beste iemand kunt inhuren die hier mee verstand van heeft.

Wij hebben dit toevallig laatst gedaan op een van onze locaties.

Daar hebben we beide serverruimtes gekoppeld met een glasverbinding waar we L2 overheen sturen. Verder hebben beiden locaties eigen routers waar er tussen vLAN's gerouteerd word. Die nummering is wel identiek per locatie.

Locatie A: vLAN 10 t/m 100
Locatie B: vLAN 110 t/m 200

We kunnen nu op locatie B een poort configureren in vLAN 10, waardoor de L3 routering in locatie A plaats vind. Dat geeft ons de mogelijkheid om de vLAN's op beide locaties te gebruiken terwijl de routering wel op de juiste plek blijft. Dan maakt het niet eens zo veel meer uit welke ip range je gebruikt op elke locatie. Wel met de kanttekening dat je niks met vLAN 0/1 mag doen (Hangt er vanaf wat het native vlan is van je device, bij onze cisco apparatuur is dat vLAN 1).

[ Voor 0% gewijzigd door Appel op 18-05-2018 15:40 . Reden: Typo ]

Begrijp ik goed dat je meerdere VLAN's per segment (A1, A2, A3, B1, B2, B3) hebt?

Je zegt dat ze allemaal VLAN 10 gebruiken, maar fysiek gescheiden zijn. Gebruik je nog meer VLANs op de netwerken? Of is dat VLAN voor de show en heb je nergens enig ander VLAN gedefinieerd staan?

Je kunt een aantal opties gebruiken:
- WDM
- VLAN's omnummeren
- Extra switches gebruiken en de boel untagged aan elkaar knopen zodat je op de glasvezel andere VLAN ID's gebruikt dan de netwerken zelf hebben.

Afhankelijk van het aantal switches en VLAN's dat je hebt kun je uit bovenstaande zaken kiezen; WDM doet precies wat je wil maar is zeker niet de goedkoopste optie, VLAN omnummeren is relatief simpel maar brengt wel wat downtime met zich mee, en extra switches plaatsen en daar andere VLAN ID's op zetten is niet zo heel mooi en zou ik niet doen.

De goedkoopste manier die het meest toekomstbestendig is, is VLANs omnummeren, als je meer bandbreedte nodig hebt of omnummeren geen optie is dan zou ik WDM gebruiken.

Optie 3 uitgetekend:


Optie 2 is gewoon alle switches af en alle poorten die nu in VLAN 10 zitten aanpassen zodat ze in VLAN 11, of 100, of 4097 zitten.

Optie 1 is twee multiplexers neerzetten en per netwerk (A, B en C) een andere kleur SFP gebruiken.

[ Voor 18% gewijzigd door Paul op 18-05-2018 16:04 ]

Het probleem in deze zit hem niet in de glasvezel, vooral niet als het bijvoorbeeld een dark-fiber is.
Dus een multiplexer gaat je probleem niet oplossen.

Tenzij locatie A maar de eerste helft van de scope gebruikt en locatie B de andere helft gaat ze op laag 2 verbinden simpelweg niet werken.

Simpelgezegd:
De enige manier waardoor je het op laag 2 kan oplossen is her nummeren.
En de enige andere oplossing is het op laag 3 oplossen.

Beide locaties zijn op laag 2 volledig identiek. Dus computer A heeft ip: 10.0.1.5 en computer B heeft ip: 10.0.1.5 dan heb je een IP conflict en weet het systeem niet waar de pakketjes heen moeten want als er een broadcast komt met wie heeft dit IP krijgt hij 2 responses.

Schnupperpuppe schreef op vrijdag 18 mei 2018 @ 14:31:
Het probleem is dat de endpoints allemaal hetzelfde VLAN gebruiken, maar fysiek gescheiden.

Ik herhaal even mijn stukje:

Q-in-Q tunneling and VLAN translation allow service providers to create a Layer 2 Ethernet connection between two customer sites. Providers can segregate different customers’ VLAN traffic on a link (for example, if the customers use overlapping VLAN IDs) or bundle different customer VLANs into a single service VLAN. Data centers can use Q-in-Q tunneling and VLAN translation to isolate customer traffic within a single site or to enable customer traffic flows between cloud data centers in different geographic locations.

Volgens mij exact waar je last van hebt.....

Je kunt mensen quoten terwijl je een bericht schrijft door op de datum/tijd boven hun post te klikken, nu post je meerdere keren achter elkaar, dat is niet de bedoeling

Belangrijke vraag bij WDM is welk merk switches je hebt en of de SFP's supported moeten zijn of dat je ook goedkopere 'merkloze' SFP's mag gebruiken van de business. Ik weet dat wij op het werk passieve WDM multiplexers van Beetle gebruiken, met SFP's van 22Halo (waar het 'merkloos' mag). Actieve WDM kan ook maar is heel wat duurder

Ik zou je netwerkleverancier aanschrijven om een WDM-oplossing aan te laten bieden

Wel karig dat je maar één glasvezelverbinding hebt in dat gebouw, over het algemeen worden er 12 of 24 getrokken. Is het multimode of singlemode? Ik weet niet eens of er wel WDM mogelijk is op multimode