» VLAN

goletsa

Цитата:

Почему нельзя.
vlan на порт и друг друга они не увидят.

не дать "увидеть" друг друга не проблема
проблема дать им всем интернет.
(при классических виланах)

куда добавить порт с интернетом?
или какой вилан добавить на порт с интернетом.

roma

Цитата:

не дать "увидеть" друг друга не проблема
проблема дать им всем интернет.
(при классических виланах)
 
куда добавить порт с интернетом?
или какой вилан добавить на порт с интернетом.

А я не вижу проблемы.
Все vlan'ы вывести на Tagged порт который воткнуть в правильный роутер который умеет VLAN'ы.
И роутером рулить уже.

goletsa
изначально я отвечал на вопрос

Цитата:

помогите изучить на практике построение VLAN...
теорию я прочитал, теперь практика...
допустим имеется одно ранговая сеть в центре которой стоит DES3526 и
сервер для раздачи интернета...сеть 10.0.0.0.24
допустим в сети 10 машин, нужно разбить их на VLAN, то есть по пять машин...
не каждую в VLAN а по пять...
для этой задачи достаточно оборудования или еще что то нужно?
на сколько хватает моих знаний на порту куда подключено 5 машин нужно
поднимать VLAN, поменять IP пяти машинам отличный от других пяти машин...
и что дальше, хотя бы на пальцах или где можно почитать в примерах?

"правильного роутера" в исходных данных нет.
человек может решить задачу с помощью трафик сегментэйшн (она действительно решается без покупки другого оборудования)
но хочет с виланами.
с обычными виланами (без ассиметрик) с его оборудованием - задача не решается.
(конечно интересно чё за сервер - может он тоже тегированый трафик понимает)

roma
хорошо, хотя и не понятно
тогда можно в вкратце для чего применяют VLan?
я так понимаю разграничить сеть, что бы не было
доступа из одной сети в другую и т.д.
но допустим в 3526 есть такая функция как Трафик Сегментейшен,
она как бы то же блокирует доступ с одного порта на другой...
это не то же самое?
на RO Микротик как бы то же могу заблокировать хождение
пакетов между интерфейсами-портами....
так же есть готовые решения например DES-1008VR...
приведите какие нибудь примеры где без VLan ни как не получится?

P.S.
на сервере стоят интоловские 1G карточки на которых я так понимаю
что то можно настроить...

Уважаемые спецы, помогите плиз, с проблемой:
стоял свич Vector 1908G2De (2 уровня, управляемый). там 2 порта гигабитных и 8 100мб. были настроены вланы: оба гиговые порты соединялись с каждым 100-меговым, 100-меговые друг с другом не соединялись, т.е. 8 вланов. все работало отлично и без проблем.

Щас купили Свич Huawei (Хуавей) L2 S2326TP-SI/EI
пытаюсь сделать аналогичную конфигурацию:

vlan 101; создаю влан
port Ethernet 1/0/1; добавляю 1 порт
vlan 102; создаю 2 влан
port Ethernet 1/0/2; добавляю 2 порт

interface GigabitEthernet 1/1/1; настраиваю гиговый порт
port link-type hybrid
port hybrid vlan 101 untagged; в 1 влан
port hybrid vlan 102 untagged; во 2 влан
получаю:

Код:
display vlan all
VLAN ID: 1
VLAN Type: static
Route Interface: not configured
Description: VLAN 0001
Name: VLAN 0001
Tagged Ports: none
Untagged Ports:
Ethernet1/0/4 Ethernet1/0/5 Ethernet1/0/6
Ethernet1/0/7 Ethernet1/0/8 Ethernet1/0/9
Ethernet1/0/10 Ethernet1/0/11 Ethernet1/0/12
Ethernet1/0/13 Ethernet1/0/14 Ethernet1/0/15
Ethernet1/0/16 Ethernet1/0/17 Ethernet1/0/18
Ethernet1/0/19 Ethernet1/0/20 Ethernet1/0/21
Ethernet1/0/22 Ethernet1/0/23 Ethernet1/0/24
GigabitEthernet1/2/1

VLAN ID: 101
VLAN Type: static
Route Interface: not configured
Description: VLAN 0101
Name: VLAN 0101
Tagged Ports: none
Untagged Ports:
Ethernet1/0/1 GigabitEthernet1/1/1

VLAN ID: 102
VLAN Type: static
Route Interface: not configured
Description: VLAN 0102
Name: VLAN 0102
Tagged Ports: none
Untagged Ports:
Ethernet1/0/2 GigabitEthernet1/1/1

sasku
Покажите конфиг старого свича, вообще по уму untagged порты это как раз должны быть стомегабитные. А гигабитные как tagged. Плюс на соточные порты надо менять pvid чтобы они добавляли тэг порта.
Но без старого конфига непонятно.

sasku
глянуть бы конфиг
Цитата:

Vector 1908G2De

очень похоже что там ассиметрик вилан.

гибрид же - это не ассиметрик.

vlh
я наверно где-то шлялся и пропустил этот вопрос


Цитата:

тогда можно в вкратце для чего применяют VLan?

1. первый пункт.

Цитата:

я так понимаю разграничить сеть, что бы не было
доступа из одной сети в другую и т.д.

вобщем-то верно, но есть тонкости.
это разграничение сетей на втором уровне.

Цитата:

на RO Микротик как бы то же могу заблокировать хождение
пакетов между интерфейсами-портами....

я не знаком с микротик но предполагаю что разграничение там на 3-ем уровне, не?

Цитата:

но допустим в 3526 есть такая функция как Трафик Сегментейшен,
она как бы то же блокирует доступ с одного порта на другой...

трафиксегментейшн это разработка длинка в то время как виланы в обычном понимании это стандарт 802.1q который поддерживают все производители

Цитата:

так же есть готовые решения например DES-1008VR...

да такое я тоже в руках держал.
если я буду собирать большие сети с десятками виланов мне может не хватить 8ми виланов или не подойдут vid'ы с 1008VR.

Цитата:

приведите какие нибудь примеры где без VLan ни как не получится?

вопрос и трудный и простой одновременно, но какой-то неконкретный. ответ:
у меня на работе без виланов никак не получится

2. второй пункт.
экономия интерфейсов маршрутизатора ("правильного роутера")

goletsa
roma
это настройки старого свича, надабы аналогичные для нового (24(100 мбит) - каждый связан с двумя 1гбит)

Код:
8TX+2G Switch# show vlan port-base

VLAN Configuration:

Members
1 Management
Port 1234567890 Switch
1 --------YY Disable
2 --------YY Disable
3 --------YY Disable
4 --------YY Disable
5 --------YY Disable
6 --------YY Disable
7 --------YY Disable
8 --------YY Disable
9 YYYYYYYY-Y Enable
10 YYYYYYYYY- Enable

8TX+2G Switch#

Извиняюсь за вопрос не по теме, но не смог пройти мимо:

я как понял тут все хорошо знакомы с VLAN (кроме меня). скажите пожалуйся без стеба:
На сколько он безопасен, и правда, что его ломать не варинат? а обходить очень трудно а иногда даже невозможно?

sasku
OMG. Port-based vlan. Забудьте о нем, он же абсолютно неконфигуряем нормально.
Имхо достаточно будет включить port-isolation\private-vlan (терминология разная бывает) и указать аплинком гиговые порты.
Что у вас торчит из гиговых портов кстати?
И не могли бы вы pdf'ку с мануалом от нового свича выложить?


Добавлено:
contrafack

Цитата:

На сколько он безопасен, и правда, что его ломать не варинат? а обходить очень трудно а иногда даже невозможно?  

как настроишь так и будет
ломается все, особенно кувалдой
а вообще если тебе надо заизолировать разные группы клиентов в рамках одного свича или если к этому добавить что у тебя одна из групп расположена на разных свичах то вполне можно так сделать.

Цитата:

На сколько он безопасен, и правда, что его ломать не варинат?

Один из знаменитых вопросов от contrafack?
Часом VLAN с VPN не путаешь?

goletsa

насчет кувалды не все ломается )) иногда слово сильнее чем кувалда. Но оставим шутка в сторону.
Пример:
Есть один свич, в котором установлен 2 VLAN. один для пользователей, а второй для клиентов (ну скажем стоит wi-fi и через VLAN подключен к корп.шлюзу интернет). И вот Вася сидит с ноутом и доволен. Он видит только ползователей WI-FI или клиентов , кто в втором VLAN. А вот у меня вопрос в том, что место Васи если был человек соображащий куда больше - сможет зайти первый VLAN ? т.е. ломать/обходить изоляцию ?

vlary

Ничего не путаю. очень хорошо отличаю VPN от VLAN. А еще знаю WLAN так что я не стою на месте ))))))
Пример написал, можете читать тоже.

contrafack Два VLANа в свиче можно с некоторой натяжкой рассматривать как два отдельных свича, посему при грамотной настройке всего остального даже соображающий человек в другой VLAN не проберется.

vlary


Цитата:

Два VLANа в свиче можно с некоторой натяжкой рассматривать как два отдельных свича

ну и что? с одного свича попасть в другую - можно. если конечно между ними есть физическая линия. Даже если разные подсети, все же можно попасть банально сменив IP адреса (по моему есть еще другие методы, просто я не знаю)

Цитата:

при грамотной настройке всего остального даже соображающий человек в другой VLAN не проберется.

Вот это и хотел узнать.
получается, что не реально перешагнуть VLAN ?
кто подписывается под этим?

contrafack

Цитата:

Вот это и хотел узнать.  
получается, что не реально перешагнуть VLAN ?  
кто подписывается под этим?

Не подписываюсь.
Знаю минимум три способа обхода при неполной настройке и параноидальности.
Причем два из них не совсем очевидны


Добавлено:

Цитата:

ну и что? с одного свича попасть в другую - можно. если конечно между ними есть физическая линия.

При правильной настройке у вас связи между vlan'ами нету никакой, как если бы вы между двумя свичами оборвали пачкорд, каждый сидит в своем.
И все это в рамках одного устройства.

goletsa
а можно пример неполной настройки?

Цитата:

ну и что? с одного свича попасть в другую - можно. если конечно между ними есть физическая линия. Даже если разные подсети, все же можно попасть банально сменив IP адреса (по моему есть еще другие методы, просто я не знаю)

vlary дело говорит, никакие смены IP да MAC адресов не помогут, потому что коммутатор не заглядывая в кадр просто не отправит его в порт если его тэг не соответствует вилану порта, а возможность обхода это действительно недонастройка
например:
использование нативного вилана (нельзя оставлять на коммутаторе порты, настроенные по умолчанию)
ошибки в настройке гибридных портов (слава богу cisco все эти мультивиланы не поддерживает)
физический доступ к транковым портам и магистралям, если есть возможность в разрыв транка включить свое устройство то можно получить доступ и к виланам которые по нему идут, хотя и тут есть методы правильной настройки, скажем у меня все серверные и служебные виланы разрешены на транках внутри серверной а на транках идущих к этажным коммутаторам разрешены только пользовательские.

contrafack
Цитата:

с одного свича попасть в другую - можно. если конечно между ними есть физическая линия.

Вот именно, если есть. В случае двух виланов, если нигде не существует шлюз, общий для этих виланов, можно считать, что физической линии нет.

так, так, ребята ! че то запутались че-то !

если читать пост goletsa, то это реально, а остальные - не реально. давайте придем к одному компромиссу !
хочетЦЦа знать всю правду.

P.S. На самом деле банальном сметы IP адресов в НЕуправляемых свичах можно попасть в другой подсеть, если есть между ними физическая линия.
А при VLAN думаю это не прокатит и соглашусь с
Цитата:

потому что коммутатор не заглядывая в кадр просто не отправит его в порт если его тэг не соответствует вилану порта

просто я с VLAN(и еще много чем то) знаком только заочно, т.е. теорию, а пробовать в реале - негде.

contrafack
VLAN это просто метка в пакете, комутатор в зависимости от настроек может принять пакет без изменений, перемаркировать или вообще отбросить.
Умолчальная политика большинства свичей - без тэга маркировать нативным, остальные пропускать. Т.е. если не зафильтровать то можно тэгироваными пакетами достучаться до других вланов, включая управление.


Добавлено:

Цитата:

а можно пример неполной настройки?

Куски конфига:
[more=неполная]
vlan 21
name User
normal ""
fixed 1-26
forbidden ""
untagged 1-24
exit
vlan 100
name MGMT
normal 1-24
fixed 25-26
ip address default-management 1.2.3.5 255.255.255.0
ip address default-gateway 1.2.3.254
exit
interface port-channel 1
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 2
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 3
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 4
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 5
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 6
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 7
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 8
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 9
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 10
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 11
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 12
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 13
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 14
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 15
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 16
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 17
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 18
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 19
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 20
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 21
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 22
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 23
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 24
pvid 21
bmstorm-limit
loopguard
exit
storm-control
loopguard
[/more]
[more=полная]
vlan 21
name User
normal ""
fixed 1-26
forbidden ""
untagged 1-24
exit
vlan 100
name MGMT
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
ip address default-management 1.2.3.5 255.255.255.0
ip address default-gateway 1.2.3.254
exit
interface port-channel 1
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 2
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 3
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 4
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 5
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 6
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 7
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 8
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 9
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 10
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 11
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 12
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 13
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 14
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 15
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 16
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 17
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 18
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 19
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 20
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 21
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 22
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 23
pvid 21
bmstorm-limit
loopguard
exit
interface port-channel 24
pvid 21
bmstorm-limit
loopguard
exit
vlan1q ingress-check
storm-control
loopguard
[/more]

Разница небольшая но в первом случае я могу например добраться до VLAN'а управления из пользовательского порта.
Это такой упрощенный пример без извратных настроек фильтрации.

Ну скажем нельзя подделывать пакеты? допустим нельзя тегировать свой канал и попасть тегированный VLAN ? банально, но все же.
просто я тут особой защиты не вижу, только свич смотрит на заголовок IP - стит метка или нет.

Цитата:

Ну скажем нельзя подделывать пакеты? допустим нельзя тегировать свой канал и попасть тегированный VLAN ? банально, но все же.

завидное упорство
не знаю какой свич у goletsa - напишу как на cisco, причем опять уточню ПРАВИЛЬНО НАСТРОЕННОЙ
если я настроил порт как access - тегированный трафик он не принимает, а нетегированный снабжает тегами того вилана который на нем настроен - вывод, с такого порта куда не положено не попадешь
если порт настроен как транк, тут конечно сложнее, но
- физический доступ к коммутатору должен быть ограничен, скажем у меня на этажах они в шкафах запертых на ключ, а розетки СКС могут быть подключены только к портам доступа и ни в коем случае не к транкам. Ну пусть злодей нашел в коробе транковый кабель, разрезал его, обжал и подключился, тогда:
1. мониторинг, я сразу получу аларм что с транком проблема (с одной строны он активен а с другой в дауне)
2. если трафик не тегированный он попадет в нативный вилан, а поскольку коммутаторы у меня настроены то ни одного акцеес порта с вилан 1 на них нет, так же как и нет и управляющих интерфейсов - вывод никуда этот злодей не попадет
3. если трафик тегированный, во первых, нужно еше узнать номера допустимых виланов, а во вторых как я уже писал на коммутаторах ядра, которые в серверной стоит фильтр и не пропустит важные служебные виланы с этого транка - вывод единственная прореха в безопасности если скажем у вас каждый отдел в своем вилане то сотрудник одного отдела путем таких диких ухищрений может попасть в сегмент соседнего отдела. Но и для защиты от этого существуют свои технологии.

Valery12

Цитата:

не знаю какой свич у goletsa

Zyxel, на cisco как обычно денег нету

Цитата:

ПРАВИЛЬНО НАСТРОЕННОЙ
если я настроил порт как access - тегированный трафик он не принимает, а нетегированный снабжает тегами того вилана который на нем настроен - вывод, с такого порта куда не положено не попадешь

У Zyxel для этого руками надо включать ingress-check чтобы он проверял строго тэги пакетов. Тогда он все пакеты не принадлежащие vlan'у порта отбросит. Т.е. тэгированиые на access порту он отбросит. Ну а не тэгированые ессно промаркируются тем тэгом который указан в настройках.



Добавлено:

Цитата:

просто я тут особой защиты не вижу, только свич смотрит на заголовок IP - стит метка или нет

Cвич НЕ может смотреть в заголовок IP пакета, он смотрит в заголовок Ethernet
Есть правда L3+ свичи но они жутко дорогие для простого использования потому их не рассматриваем.

goletsa

Цитата:

Cвич НЕ может смотреть в заголовок IP пакета, он смотрит в заголовок Ethernet
Есть правда L3+ свичи

некоторые L2 заглядывают всё-таки. но не глубоко.

roma
А что они там потеряли если в общем-то должны работать на втором уровене OSI&?
Разве что информацию о DiffServ (Она вроде в IP заголовке лежит).

goletsa

Цитата:

Разве что информацию о DiffServ

именно её ага

roma

Цитата:

именно её ага

Ну для этого он должен это уметь. Чаще обходятся только 802.1p

goletsa
так 802.1p есть только там где есть 802.1q
т.е. с аксесных портов информацию о планируемом приоритете трафика не получить. а как быть если приоритезация всётаки нужна?
при этом не нужно мне допустим весь трафик с этого аксесного порта высоко приоритетить. предположим там идёт голос и данные (и всё в одном вилане) так иногда тоже бывает

roma
Простые WebSmart L2 не умеют DiffServ все равно.
Сужу по тем что видел - AT, Dlink,Trendnet

да согласен совсем простые не умеют.
dlink 3526 или каталист 2950 умеют, но я бы их не назвал даже L2+