» »

VLAN za telebane

VLAN za telebane

bastadu ::

Mi lahko kdo malo bolj po domače razloži poanto VLAN-ov ter implementacijo le teh? Vem, da se uporabljajo za segmentacijo oz. razdelitev omrežij, ki med sabo ne smejo ali ne rabijo komunicirati, bodisi zaradi povečanja varnosti, zanesljivosti in v večjih omrežjih tudi za povečanje hitrosti omrežja. Namreč rad bi ločil omrežje z ca. 100 mrežnimi napravami na nekje 4 VLANe, hkrati pa morajo določeni uporabniki imeti dostop do drugih VLANov in si ne znam točno predstavljati, kako to narediti v praksi ... Na eni strani imam managed stikala na katerih se za vsak port nastavljajo VLAN nastavitve, na drugi strani pa določene naprave že v njihovih mrežnih nastavitvah omogočajo določene nastavitve VLANa, kaj od tega uporabiti oz. nastavljati, eno ali drugo ali je potrebno oboje? Razdelitev sem si zamislil nekako takole:
VLAN1: PCji, strežniki, mrežni tiskalniki
VLAN2: VoIP telefonija
VLAN3: WIFI omrežje
VLAN4: Videonadzor

Vse imam trenutno na enem subnetu x.x.100.0 - x.x.100.255, bi naj bil vsak VLAN na svojem subnetu ali lahko ostanejo na skupnem? Recimo določen računalnik iz VLAN1 bi moral imeti dostop do vseh omrežij, potem vsa omrežja morajo imeti dostop do interneta, ki bo (router) recimo v VLAN1, itd. Potem spet določeni PCji iz VLAN1 dostop do VLAN4 ... Hvala za malo pomoči!

SeMiNeSanja ::

Jaz to delam na firewall-u, da filtriram kaj bom iz enega VLAN-a prepustil v drugega.

SeMiNeSanja ::

Malo bolj konkretno.... na firewall-u definiram port(e) kot VLAN porte.
Nato definiram VLAN-e - vsak ima svoj subnet.
VLAN-e potem dodelim na VLAN port(e).

Od tod naprej z VLAN-i delam praktično enako, kot če bi imel fizične LAN-e.
Kakršenkoli promet naj bi šel na ali z določenega VLAN-a definiram preko firewall pravil. Nekako v takšnem smislu:
allow http from Any-VLAN to Any-External
allow dns drom Any-VLAN to 10.0.10.10 (moj DNS server na VLAN1)
...

Seveda moraš pri tem še skonfigurirati switche, da ustrezni porti spadajo k pravim VLAN-om.

Jakka ::

Vsak VLAN uporablja svoj subnet, tukaj ni druge možnosti. Razen morda uporaba privatnih VLAN-ov, kjer se uporabi en subnet in se en (obstoječ) VLAN še dodatno logično razdeli.

Varnost se bo res povečala, hitrost se pa zaradi uvedbe VLAN-ov ne bo povečala. Povezave ostanejo enake, kvečjemu določene znajo bit bolj obremenjene kot sedaj - zaradi spremenjene poti paketov med VLAN-i.

Računaj tudi na to, da z VLAN-i in subneti rabiš routing za usmerjanje prometa med VLAN-i, česar pa L2 stikala ne znajo. Trenutno je vse v eni broadcast domeni, enem subnetu, in routinga "med napravami" ne rabiš.

Je pa možna rešitev odvisna od mrežne opreme in same topologije omrežja. Kaj naprave sploh podpirajo... Nekaj na pamet govorit se tukaj ne da.

SeMiNeSanja ::

Se strinjam z jakkatom. ZGOLJ z VLAN-i OP ne bo veliko profitiral - vsaj v performančnem smislu ne, dokler bodo vsi VLAN-i na istem priključku (razen če ta ni 10G - pa še takrat bo vprašanje, kako hitro bo zmogel routati pakete med VLAN-i).

Pri takšni 'enostavni' konfiguraciji, kot jo ima OP željo vzpostaviti, bi mu priporočal nekakšno kombinacijo klasičnih LAN-ov in VLAN-ov.

VLAN-e predvidevam, da potrebuje zaradi Accesspoint-ov, ki različne SSID-je usmerjajo na ločene VLAN-e. S tem zasede en port na firewall-u/routerju.

Ostale mrežne segmente pa bi dal vsakega na svoj port na firewall-u oz. routerju in z njimi delal kot z navadnimi LAN-i - torej brez VLAN-ov. S tem bi vsakemu segmentu ohranil polno pasovno širino kabla, ki si ga nebi rabil deliti z drugimi segmenti.

Definitivno pa OP-u manjka še kakšen DMZ za storitve, ki naj bi bile na voljo od zunaj (razen, če takih storitev nima), prav komot pa bi lahko tudi PC del omrežja še razdelil na dva ali tri segmente (npr. serverje posebej).

Invictus ::

VLANi so zelo uporabna zadeva. Vendar ni za pričakovat čudežev glede varnosti in hitrosti. Hitrost je tako ali tako enaka ker se večina VLAN "routinga" dogodi v namenskih čipih.

VLANi so zelo lepa zadeva, kjer lahko malo strukturiraš omrežje in IP naslovni prostor. Pride prav zaradi kakih razširitev, ki jih ne moreš predvideti, poleg tega pa doda malo organiziranosti v samo upravljanje IP naslovov. Predvsem pa lahko na podlagi IP naslova določiš tip naprave, ne da bi brskal po kakem programu ali dokumentaciji.

Kot je OP napisal, je čisto v redu delitev ... Rabiš:

- napravo, ki bo delal routing med VLANi. Pač neko Level3 mrežno napravo s pravo podporo seveda :).
- če se že greš delitev, potem je dobro narediti za naprave s fiksnim IP naslovom še DHCP rezervacijo, čeprav ima naprava fiksen IP. Pametno narediti tudi za ostale, dinačne naprave. Na ta način si zabeležiš MAC naslov vsake naprave. Dobro je tudi vsaki napravi, ki je na IPju, dodeliti nek DNS ime. DHCP rezervacije bodo tudi malo omejile dostopnost do IP naslovov.
- PC omrežje je brezzvezno deliti na segmente. Samo dodatno delo, razen če ni noter kakih naprav, ki recimo ne smejo na internet. Kar so ponavadi kake proizvodnje mašine z zastarelim softwearom.
- Če imaš pravo glavno škatlo, je možno spremeniti VLAN na portu avtomatično glede na MAC naslov naprave, ki se priključi. Glej VMPS (VLAN Management Policy Server) @ Wikipedia. Še ena majčekona zadevica za boljšo varnost. Zahteva pa kar dobro "inventory" bazo, skupaj s precej urejenim DHCP/DNS strežnikom.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

SeMiNeSanja ::

@Invictus - vse kar si napisal drži, le v tistem delu, da PC omrežja nima smisla segmentirati, pa se ne strinjam v celoti s teboj. ČE imaš na voljo dovolj portov na routerju/firewallu, se o segmentaciji splača razmišljati - seveda pa v nekih razumnih okvirih, ki so odvisni od narave podjetja in njenega omrežja.

Če je bilo pred 20 leti priporočilo uvajati DMZ za javno dostopne servise in je to danes popolnoma samoumevno, potem smo pri segmentaciji omrežja danes na podobni stopnji - vsi jo priporočajo, a le redko kdo jo dejansko izvede. Pogosto tudi zato, ker ti oprema to ne omogoča - bodisi preveč počasi routa med porti ali pa preprosto nimaš dovolj portov na voljo.
Ampak če bi imel na voljo 'glavno škatlo', ki ima dovolj portov, hkrati pa throughput filtriranega prometa kakšnih 8Gbps, bi se pa verjetno tudi ti pričel spraševati, zakaj nebi strežnike dal na svoj lastni segment in do njih prepustil zgolj tisti promet, ki je potreben?
Verjetno bi tudi razmislil, če nebi ločil omrežje proizvodnje od omrežja uprave in podobno.
Pri kakšnih 100 računalnikih se že splača razmišljati malo na daljši rok in se ne kar takoj zadovoljiti z najbolj enostavno varianto, ki se ti ponuja, če se že lotevaš spreminjanja strukture omrežja.

Drugače pa sem tudi jaz zagovornik DHCP rezervacij, ne glede na to, če ima računalnik fiksno vpisano IP adreso, ali pa jo dejansko pridobi preko DHCP.
DNS zapisi pa so takointako 'must have', da ne izgubiš glavo pri 100+ računalnikih in napravah.

Invictus ::

OP ima 100 naprav, ne 100 računalnikov. Tukaj segmentacija ni pomembna. Pač premajhno okolje.

Drugače pa naj bi bila veliko VLANa nekje 250 naprav. Kot je pač en IP C subnet ... Cisco priporočila ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Škoda, ker se je OP skril v mišjo luknjo - koneckoncev lahko samo on pojasni, kaj za eno okolje so pri njih in kakšne imajo posebne želje, zahteve, potrebe.

Kar na pamet pa lahko dolgo pametujemo, kaj bi morda bilo bolj ali manj dobro zanj.

Ne vem, zakaj ljudje zastavijo vprašanje, če potem ne sodelujejo - koneckoncev lahko edino tako dobijo malo bolj popolno sliko o celotni zgodbi.

Itak nikoli ni samo ena sama možna rešitev. Pogledi na to, kaj se splača in kaj ne, pa se lahko precej razlikujejo od komentatorja do komentatorja, pogosto tudi na osnovi izkušenj in vrste opreme s katero kdo dela. Če že postaviš vprašanje, potem bi moral vsaj toliko sodelovati, da usmerjaš odgovore, da ne zaidejo off topic in si nekako počasi narediš sliko o možnostih, ki so ti na razpolago. Katero potem nekdo na koncu dejansko ubere, je pa takointako stvar posameznika in njegovih preferenc.

bastadu ::

OP seveda vsekozi spremlja vaše odgovore, vendar mu čas čez dan žal ne dopušča, da bi aktivno sodeloval ... :)
Razumem, da omrežje z 100 napravami morda še ni zrelo za segmentacijo, pa vendarle. Zadeva mi je zelo zanimiva in bi se rad v tej smeri kaj naučil in morda pripravil na čase, ko bo pa omrežje dovolj veliko. In hkrati bi si še rad malo uredil oz. logično razdelil omrežje. Torej, situacija je takšna: trenutno imam 4 vozlišča, ki so med sabo povezana z optiko, na vsakem vozlišču sta 1-2 stikala, v enem vozlišču je še router, ki trenutno skrbi zgolj za routing interneta. Na tem routerju imam 2 LAN porta ter 1 SFP, torej teoretično bi lahko povezal 3 VLANe vsakega na svoj fizičen port, če prav razumem bi potem lahko med njimi izvajal routing?

Invictus ::

Obstaja VLAN trunking, tako da imaš na vseh switchih lahko vse naprave v pravih VLANih. To se sicer uporablja ponavadi samo na upload linkih, načeloma pa daš lahko tudi na navaden končni port. čeprav to nima nekega smisla ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

Jakka ::

Med vlan-i, ki so v različnih subnetih, moraš izvajat routing, da pridejo paketi iz enega v drugega.
V tvojem primeru, če stikala v vozliščih niso L3 (ne poznajo routinga in IP naslavljanja na portih) ampak le L2, bo šel ves promet med dvema različnima vlan-oma čez router. Če poveš, katera stikala in router imaš, se da marsikaj konkretnega povedat. Če so stikala L3, je pa čisto druga zgodba.

Verjetno si ne želiš, da bi šel promet iz enega v drug vlan port na istem stikalu preko dveh stikal do routerja, od tam pa nazaj na stikalo...
Čeprav če je tega prometa malo in povezave med stikali dovolj hitre, se da tudi s tem živeti. Ni pa to danes praksa. Išči "router on a stick".

Koliko veliko mora biti omrežje, da je potreba po VLAN-ih, je pa bolj odvisno od mrežnih naprav in varnostnih politik, kot pa od števila naprav. 100 ali 250 ali 50, so druge zahteve bolj pomembne.

bastadu ::

Stikala so vsa L2, router je Draytek Vigor 3900, prometa ki bi šel med VLANi načeloma res ne bo veliko, tako da s tem bi že preživel ...

shadow7 ::

Invictus je izjavil:

Obstaja VLAN trunking, tako da imaš na vseh switchih lahko vse naprave v pravih VLANih. To se sicer uporablja ponavadi samo na upload linkih, načeloma pa daš lahko tudi na navaden končni port. čeprav to nima nekega smisla ...

OP ima v mislih VLAN1 za strežnike in VLAN4 za videonadzor (CCTV). Je z varnostnega stališča kakšen občuten minus, če je server za CCTV v VLAN1 in port hkrati tudi tagged VLAN4 (v kolikor so na VLAN4 samo kamere).

Se pravi, kamere VLAN4, server za CCTV VLAN1. Ker routanje streamov zna vplivati na performans sistema.

SeMiNeSanja ::

Tale Vigor, če prav razumem opis, ima to slabo stran, da nudi zgolj 2 LAN interface-a (in cele 4 WAN interface - ponavadi je ravno obratno).

S tem je OP avtomatično prisiljen, da se poda v VLAN-e, če želi imeti več kot dve mreži. Ker je nazadnje spraševal za Accesspointe in se navdušil na Ubiquity varianto, se mu tudi po tej plati vsiljuje uporaba VLAN-ov, če želi uporabljati več kot en SSID na teh accesspointih.

Če bi imel nevem kaj staro škatlo, bi mu svetoval, da naj jo zamenja, verjetno pa jo je ne dolgo tega nabavil, pa kakršnakoli zamenjava po vsej verjetnosti ne pride v poštev, zato bo kar moral ugrizniti v kislo jabolko in naštudirati priročnik za ta model, kako se konkretno na njemu definira VLAN-e in postavi filtre za routing med VLAN-i.

Koneckoncev je sama teorija dokaj preprosta, bi pa bilo za želeti, da bi imel več portov, s katerimi bi se lahko igral, da optimizira promet na posameznih segmentih.

Vprašanje pa je tudi, koliko zmogljiv je tale Vigor 3900 pri routing. Proti internetu se navaja nek podatek, da zmore 1Gbps. Velika verjetnost potemtakem obstaja, da to ni zgolj routing proti internetu, temveč celotni routing in filtering. Tu pa potem že lahko počasi nastaja ozko grlo. Bo pa to moral testirati - morda zadeva vsaj za enkrat še ne bo tako kritična.

Se je pa treba zavedati, da je pri VLAN-ih podobno kot pri WiFi - več VLAN-ov ko si deli en interface, manj bandwidtha ostaja za posameznega. Če bo komuniciral med dvema VLAN-oma na istem 'trunku', ne bo zadeva tekla z 1Gbps, ampak bo polovica šlo za promet po enem Vlanu, pol pa potem za drugega.

Tu potem pride do izraza možnost, da imaš na voljo več portov, pa da lahko kombiniraš npr. dva trunka in na vsakega enakomerno porazdeliš breme.
Še bolje pa je, če za 'heavy duty' segmente sploh ne uporabljaš VLAN ampak kar rezerviran LAN port.

Po drugi strani pa OP vse to danes brez večjih težav poganja preko switchev in se bo znal ustrašiti 'silne kompleksnosti' in možnih težav, ki ga čakajo, če bo vpeljal VLAN-e.

Vprašanje je, če ima danes že oba LAN porta na Vigorju uporabljena, ali pa ima morda enega še prostega, tako da bi ga lahko uporabil za prve eksperimente v VLAN-i.
Če ima prost port, naj se loti zadeve počasi. Naj ga definira kot VLAN port, nanj obesi en Accesspoint (če je nabavil tisti Ubiquity), definira dva VLAN-a in se poskusi poigravati. Ko bo razumel 'pravila igre', bo počasi tudi lažje razmislil, kako to izpeljati, če da vmes še en switch, ali kasneje prenese na 'produkcijsko' omrežje.

bastadu ::

Tako je, 1 LAN port na Vigorju imam še prazen (če bi bila kriza bi lahko uporabil še SFP port, torej skupaj 3 porti), Ubiquity APji so pa že na poti :)
Aja btw, kar se tiče Ubiquity Unifi controlerja: le ta omogoča 4 SSIDje na enem omrežju.
Hvala za izčrpne odgovore, so mi kar precej pomagali razumeti situacijo in dejstvo je, da me čaka kar nekaj experimentiranja :)

SeMiNeSanja ::

Samo to mi ni jasno, zakaj si sploh nabavil ta model Vigorja :)
Pa ne, da imaš več kot dva ISP-ja?

Sicer res, da pri ceni okoli 1000€ (Amazon) na prvi pogled deluje kot kar 'spodobna mašina', ampak vseeno se ne morem znebiti občutka, da se je šlo za rahlo prenagljen nakup.

bastadu ::

Jap, imam 2 ISPja, enega za data in enega dedicated za voip, pa še redunanca je, da ne ostanemo brez interneta ali telefonov ... Tale Vigor je že vredu router, samo kakšno leto nazaj, ko sem ga kupil, nisem še niti v sanjah pomislil na VLANe oz. da bi sploh kdaj potreboval več LAN portov ... :P

Zgodovina sprememb…

  • spremenilo: bastadu ()

bastadu ::

Na TP-LINK L2 managed switchu imam v VLAN nastavitvah sledeče možnosti konfiguracije portov: TRUNK (povezava dveh stikal), ACCESS (NAPRAVE) in pa GENERAL (namen tega mi še ni čisto jasen). Zanima me, na kater port ter kako se port na switchu skonfigurura v primeru, da bom na dotični port priklopil virtualni strežnik, posledično preko enega ali dveh kablov teče povezava večih strežnikov, ki bodo tudi na različnem subnetu?

SeMiNeSanja ::

Ponavadi gre nekako po sistemu, da za nek VLAN ID definiraš kateri porti so 'memberji'.
Ali pa obratno, da imaš spisek portov in jim vpisuješ kateri VLAN ID prirediš kateremu portu.

Kako točno na TP-Linku gre zadeva, pa ti ne vem povedat - preberi user guide za tvoj konkretni model in firmware.

Aja... 'Trunk' je tisti port s katerim si povezan na router in 'uplink' port je tudi 'Trunk'.
'Access' (predvidevam) pa je za del mreže, ki ne podpira VLAN tagging, tako da prepuščaš untagged promet na njemu.

Zgodovina sprememb…

Invictus ::

OP, preveri koliko pasovne širine lahko sprocesira router. Potem pa gor skonfiguriraj VLANe.

Ampak ponavadi ni panike.

shadow7 je izjavil:


OP ima v mislih VLAN1 za strežnike in VLAN4 za videonadzor (CCTV). Je z varnostnega stališča kakšen občuten minus, če je server za CCTV v VLAN1 in port hkrati tudi tagged VLAN4 (v kolikor so na VLAN4 samo kamere).

Se pravi, kamere VLAN4, server za CCTV VLAN1. Ker routanje streamov zna vplivati na performans sistema.

OP naj da server za CCTV v isti VLAN kot kamere, da se ne bo izvajal routing na routerju med VLANi.

Bo vsa komunikacija v bistvu potekala na Level 2, ker so v isti broadcast domeni. To pa znajo vsi switchi danes narediti v hardwaru ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

bastadu ::

Med VLANi ne pričakujem dosti prometa, tako da mislim, da bosta dva LAN porta vrh glave (imam še dodaten SFP port, če bo kriza) ... Na VLAN-u za CCTV seveda mislim imeti tako kamere kot server (snemalnik).

@SeMiNeSanja: to mi je vse jasno, samo ne vem še kako zadevo nastaviti v primeru virtualnega strežnika, ko imam gor več serverjev, ki bi naj bili memberji različnih VLANov ...

Zgodovina sprememb…

  • spremenilo: bastadu ()

Invictus ::

bastadu je izjavil:


@SeMiNeSanja: to mi je vse jasno, samo ne vem še kako zadevo nastaviti v primeru virtualnega strežnika, ko imam gor več serverjev, ki bi naj bili memberji različnih VLANov ...

VLAN trunking ...

Pa mal poguglaj ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Jakka ::

Daj bolj razloži "virtualni strežnik z več serverji", predvsem Kateri software boš laufal na mašini (VM). Namreč za možnost "več serverjev, ki bi bili v različnih vlanih" rabiš virtualizirat L2 stikalo, katerega nato "povežeš" s trunk povezavo s fizičnim L2 stikalom.
Stvar je zelo preprosta, virtualizacija samo zmanjša količino hardware-a. Kako to konkretno naredit je pa stvar nastavitev VM-ja.

Pa še nekaj teorije od zgoraj.
Pri L2 stikalih daješ porte v več načinov:
- access port - nanj priklapljaš končne naprave, ga daš v en vlan, promet ni tagiran
- trunk port - povezava z drugim stikalom, čez njega gre promet za več vlan-ov, promet je tagiran
General način je pa očitno nek mix obeh, link.

Za routing med vlan-i pa lahko uporabiš tudi samo en port, če bo povezava dovolj zmogljiva za ves promet. Poglej si "router on a stick", to je vsa teorija (ena povezava za več vlan-on). Seveda lahko uporabiš tudi več fizičnih povezav med routerjem in stikalom, ali vsako za svoj vlan ali vlan-e smiselno razporediš med več povezav.

bastadu ::

Imam postavljen Proxmox VE, na katerem teče nekaj Windows server mašin in nekaj linux serverjev ... Našel sem tole povezavo, na kateri je opisana konfiguracija VLANov, torej ko tole nastavim, na stikalu samo še omogočim trunking na temu portu in predvidevam, da bi naj zadeva špilala?

Jakka ::

KVM torej. S kakšnim VMware ESXi bi bilo čisto drugače.

Bi rekel da ja. Edino v tvojem primeru ne boš imel eth0 in eth1 pri "slaves" za "bond0" ampak samo en eth (predvidevam). Pri več uporabljenih fizičnih vmesnikih se je pa treba bolj pozabavat, bi pa šlo. Recimo. Treba uredit kak port channel, kateri vlan kam,...

Nisem pa nikoli tega delal, le logično sklepam.

Na fizičnem stikalu pa na portu nastaviš trunking, pa še verjetno katere vlan-e spušča čez.

Invictus ::

bastadu je izjavil:

Imam postavljen Proxmox VE, na katerem teče nekaj Windows server mašin in nekaj linux serverjev ... Našel sem tole povezavo, na kateri je opisana konfiguracija VLANov, torej ko tole nastavim, na stikalu samo še omogočim trunking na temu portu in predvidevam, da bi naj zadeva špilala?

V bistvu butneš vse VMje v isti IP subnet kot sam strežnik, pa nimaš problemov ... Drugače pa port trunking ...

Je ap tudi odvisno kako imaš nastavljeno mrežo na virtualki, bridge, NAT, ali kaj tretjega ...

Boš moral deliti več informacij za pametne odgovore ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

b3D_950 ::

bastadu je izjavil:

Imam postavljen Proxmox VE, na katerem teče nekaj Windows server mašin in nekaj linux serverjev ... Našel sem tole povezavo, na kateri je opisana konfiguracija VLANov, torej ko tole nastavim, na stikalu samo še omogočim trunking na temu portu in predvidevam, da bi naj zadeva špilala?


VLAN tag lahko tudi dodajaš direktno v nastavitvah VMjev. Seveda pa lahko kreiraš bridge interface in jih dodeliš posamezni mašini. Ne vem pa, če delujeta oba načina istočasno.

Na zavihku Firewall pa definiraš pravila, da omejiš promet med VMji oziroma VLANi.






Zdaj ko je mir, jemo samo krompir.

Zgodovina sprememb…

  • spremenil: b3D_950 ()

bastadu ::

Torej na fizičnem serverju imam 2 fizična mrežna porta (eth0 in eth1), v Proxmoxu je narejen bond teh dveh portov (bond0, active-backup), potem je pa iz tega narejen bridge (vmbr0), ki mu je dodeljem IP, preko katerega dostopam do web-vmesnika Proxmox-a. Trenutno imam virtualizirana 2 windows serverja, ter 2 linux serverja (OpenVZ). Windows serverji bi naj imeli svoj VLAN (npr. 100), Linux serverji pa svojega (npr. 200). Kaj je potrebno nastaviti? Malo sem se igral z nastavitvami VLAN Tag-a pod mrežnimi nastavitvami, pa mi nekako ne gre ...

Zgodovina sprememb…

  • spremenilo: bastadu ()

Jakka ::

Najprej mora mreža podpirat željene vlan-e. Morajo biti nastavljeni na stikalih in usmerjevalniku. Vsak vlan mora imet določen svoj subnet. Zadnja stvar je potem, da se "igraš" z nastavitvami v Proxmox-u, le tako bo kaj delovalo.

bastadu ::

Jakka je izjavil:

Najprej mora mreža podpirat željene vlan-e. Morajo biti nastavljeni na stikalih in usmerjevalniku. Vsak vlan mora imet določen svoj subnet. Zadnja stvar je potem, da se "igraš" z nastavitvami v Proxmox-u, le tako bo kaj delovalo.

Se strinjam, ampak jaz bi rad že določene zadeve predhodno stestiral, preden se na produkcijskem omrežju dejansko lotim segmentacije, namreč zaradi narave dela v podjetju imam čez vikend le dobrih 24 ur časa narediti ta prehod, kar ni veliko časa in praktično nič rezerve, če gre kaj narobe in ne bi se rad potem s kakšno stvarjo srečal prvič in z njo porabil preveč časa ... ne morem si privoščiti, da potem v ponedeljek zjutraj ob 5:00 kaj ne bi delalo ...

Sem pa v Proxmoxu naletel na eno čudno zadevo, ki si je ne znam razložiti: privzeto sem uporabnik brskalnika Firefox, s katerim sem logično dostopal tudi do PX web-vmesnika. Pri mrežnih nastavitvah od VM-jev mi je normalno prikazovalo možnost vpisa VLAN Tag-a, pri containerjih (openvz) pa tega ni bilo nikjer (slika 1), zato sem bil precej zmeden ... Potem pa samo za foro poskusil do PX web-vmesnika dostopati še z Google Chrome in voila, VLAN Tag nastavitev pri containerjih je jasno vidna (slika 2), prav tako kljukica za Firewall. V čem je fora? Očitno nekakšen bug ...


Če si zadevo prav predstavljam, lahko VLANe v PX v celoti nastavim preko nastavitev v web-vmesniku, brez potrebe po ročnem urejanju datoteke /etc/network/interfaces. Za dostop do PX web-vmesnika bi uporabil untagged promet, za posamezne VMje in pa containerje bi pa v network nastavitvah vpisal pripadajoče VLAN Tag-e. Na TP-LINK stikalu bi v VLAN nastavitvah uporabil GENERAL mode, torej da bi port, na katerega je fizično priklopljen PX strežnik, omogočal tako untagged (PX web-vmesnik, SSH itd.) kot tagged promet (pozamezne VM ter containerji) in zadeva bi naj špilala ... Ali sem kaj mimo vsekal?

Zgodovina sprememb…

  • spremenilo: bastadu ()

Jakka ::

Za dostop do PX web-vmesnika bi uporabil untagged promet, za posamezne VMje in pa containerje bi pa v network nastavitvah vpisal pripadajoče VLAN Tag-e.

Če uporabljaš vlan-e jih uporabljaš za vse. Praksa. Za management naprav se uporabi svoj vlan.

Za testiranje uporabi testno okolje, kjer boš naštudiral stvari in vzpostavil delujoče okolje. Nato boš pa v 24 urah prekonfiguriral celo produkcijsko omrežje. Na produkciji boš težko karkoli dobro potestiral in v 24 urah spravil v popolnoma delujoče stanje.

Poglej si še Open vSwitch opcijo v Proxmox VE, namesto direktnega obešanja virtualnih vmesnikov na fizični vmesnik. Poenostavi in "polepša" postavitev.

Ne me napačno razumet, samo realno bi povedal. Na tvojem mestu se s tem nivojem znanja teh stvari (še) ne bi loteval. Ni tako preprosto. Rabiš kar bolj napredna znanja o omrežjih, predvsem logiko vlan-ov, toka paketov,... Ko ti je to jasno, so nastavitve v Proxmox-u nekaj trivialnega, čeprav jih prvič vidiš.

Na zavihku Firewall pa definiraš pravila, da omejiš promet med VMji oziroma VLANi.

Pravila za promet med vlan-i se vedno ureja na routerju, na stičišču različnih subnetov. Na Proxmox-u bi ta pravila implementiral le v primeru uporabe privatnih vlan-ov, kar pa v tvojem primeru ne pride v poštev.

bastadu ::

Jakka je izjavil:

Ne me napačno razumet, samo realno bi povedal. Na tvojem mestu se s tem nivojem znanja teh stvari (še) ne bi loteval. Ni tako preprosto. Rabiš kar bolj napredna znanja o omrežjih, predvsem logiko vlan-ov, toka paketov,... Ko ti je to jasno, so nastavitve v Proxmox-u nekaj trivialnega, čeprav jih prvič vidiš.

Popolnoma razumem tvojo "zaskrbljenost", tudi meni se je do pred nekaj tedni zadeva zdela še zelo zapletena, sedaj pa že teh nekaj tednov aktivno berem na to temo in sama logika mi je kristalno jasna, tudi v nastavitvah switchev so mi sedaj razlike med ACCESS, GENERAL ter TRUNK načini delovanja portov jasne, če v mreži ne bi imel virtualnega strežnika bi se že najverjetneje v tem trenutku lotil prekonfiguracije omrežja. Edino kar moram še narediti oz. naštudirati so tile VLANi v vitrualnem okolju. Tukaj ne vidim razloga, da ne bi zadeve stestiral v produkcijskem virtualnem okolju, pač bom postavil eno testno VM, ki bo na svojem VLANu, porte na stikalu ustrezno nastavil in potem testiral povezavo na router, kjer sem VLANe že skonfigurural ...

Če se lotim konfiguracije ročno z editiranjem /etc/network/interfaces na hosting strežniku, sedaj moja interfaces datoteka zgleda takole:
# network interface settings
auto lo
iface lo inet loopback

iface eth0 inet manual

iface eth1 inet manual

auto bond0
iface bond0 inet manual
        slaves eth0 eth1
        bond_miimon 100
        bond_mode active-backup

auto vmbr0
iface vmbr0 inet static
        address  100.100.100.2
        netmask  255.255.255.0
        gateway  100.100.100.1
        bridge_ports bond0
        bridge_stp off
        bridge_fd 0

Prebral sem, da je za vsak VLAN potrebno dodati nov bridge, torej če hočem ustvariti bridge VLAN 200 in 300 bi moral datoteko spremeniti v tole:
# network interface settings
auto lo
iface lo inet loopback

iface eth0 inet manual

iface eth1 inet manual

auto bond0.200
iface bond0.200 inet manual
	vlan-raw-device bond0

auto bond0.300
iface bond0.300 inet manual
	vlan-raw-device bond0

auto bond0
iface bond0 inet manual
        slaves eth0 eth1
        bond_miimon 100
        bond_mode active-backup

auto vmbr0
iface vmbr0 inet static
        address  100.100.100.2
        netmask  255.255.255.0
        gateway  100.100.100.1
        bridge_ports bond0
        bridge_stp off
        bridge_fd 0

auto vmbr200
iface vmbr0 inet static
		bridge_ports bond0.200
		bridge_stp off
		bridge_fd 0

auto vmbr300
iface vmbr0 inet static
		bridge_ports bond0.300
		bridge_stp off
		bridge_fd 0

Torej v zgornjem primeru bi ostal subnet 100.100.100.0/24 untagged (ustrezen VLAN za managment bi skonfigurural zgolj na fizičnem stikalu), vmbr200 in 300 bi pa uporabil za VM ali containerje za katere želim, da so na teh določenih VLANih, na switchu skonfigururam ta promet kot tagged. Razmišljam v pravo smer?

bastadu ::

Pol dneva sem se trudil vzpostaviti testno VLAN povezavo med container mašino in routerjem in nikakor ni šlo ... no sedaj sem pa ugotovil, da zadeva res deluje zgolj z vnosom "VLAN Tag" parametra v web-vmesniku, ampak le pri VM mašinah (Win ali Linux), pri containerjih pa vpis tega parametra nima nobenega efekta :( Potem sem poskusil še varinato z vnosom dodatnih bridge-ov za posamezne VLANe in spet, zadeva deluje pri VM, v containerjih pa ne ... Kakšna ideja zakaj?

Zgodovina sprememb…

  • spremenilo: bastadu ()

b3D_950 ::

bastadu je izjavil:

Potem pa samo za foro poskusil do PX web-vmesnika dostopati še z Google Chrome in voila, VLAN Tag nastavitev pri containerjih je jasno vidna (slika 2), prav tako kljukica za Firewall. V čem je fora? Očitno nekakšen bug ...




Tole je verjetno težava samo v cachu, zbrišeš zgodovino v FF in bo ok.

Za containerje - na hostu poženeš (npr. za container ID 100 in VLAN 10):
vzctl set 100 --netif_add veth10,,,,vmbr0v10 --save


potem pa ročno dodaš interface v containerju (/etc/network/interfaces)

auto veth10

iface veth10 inet static
        address 192.168.10.50
        network 192.168.10.0
        netmask 255.255.255.0
        broadcast 192.168.10.255
        gateway 192.168.10.1
Zdaj ko je mir, jemo samo krompir.

Jakka ::

No fajn. :) 24-urno okno je stvar, ker stvari morajo delat...

bastadu ::

Jakka je izjavil:

Za dostop do PX web-vmesnika bi uporabil untagged promet, za posamezne VMje in pa containerje bi pa v network nastavitvah vpisal pripadajoče VLAN Tag-e.

Če uporabljaš vlan-e jih uporabljaš za vse. Praksa. Za management naprav se uporabi svoj vlan.

Seveda sem imel v mislih uporabiti svoj VLAN tudi za managment, vendar jaz bi ta VLAN na tem Proxmoxu peljal preko untagged prometa, torej da se zgolj port na switchu nastavi (točno tu prode v poštev GENERAL mode, mešanica trunk in access načina), da vse kar nanj pride untagged spada k VLANu za managment. Vse ostale virtualne strežnike, ki niso managment narave, pa bi peljal preko tagganega prometa. Upam da v tem okolju ni kakšnih posebnih težav z mešanjem untagganega ter taganega prometa po enem kablu/interfejsu ...?

b3D_950 je izjavil:

Tole je verjetno težava samo v cachu, zbrišeš zgodovino v FF in bo ok.

Točno to je bilo, hvala za hint! :)

b3D_950 je izjavil:

Za containerje - na hostu poženeš (npr. za container ID 100 in VLAN 10):
vzctl set 100 --netif_add veth10,,,,vmbr0v10 --save


potem pa ročno dodaš interface v containerju (/etc/network/interfaces)

auto veth10

iface veth10 inet static
address 192.168.10.50
network 192.168.10.0
netmask 255.255.255.0
broadcast 192.168.10.255
gateway 192.168.10.1

Tole sicer še nisem uspel stestirati, bom pa v kratkem, hvala! Me pa vseeno zanima, zakaj ta "VLAN Tag" ne deluje enako tudi za CT, glede na to da fukncija je tam in ne deluje mi zgleda kot nekakšen bug?

Mi je pa danes uspelo testirati še prehod prometa med VLANi s konfiguracijo firewall pravil na routerju in zadeva je res sila preprosta, lahko točno določaš kateri IP ali VLAN bo imel dostop do določenega VLANa ali točno določenega IPja, promet je lahko obojestranski ali samo enostranski, skratka super zadeva. Na management VLAN sem že uspel prestavit nekaj naprav in mi zadeva že špila, očitno si bom lahko kar nekaj stvari pripravil v naprej.
Me pa sedaj zanima sledeče: trenutno od doma dostopam do slušbenega omrežja preko VPN povezave, router tej VPN povezavi dodeli IP (recimo 100.100.100.190), s katerim se predstavljam v omrežju VLAN1 znotraj katerega imam normalno dostop do vseh naprav. Kako približno bi naj izgledalo firewall pravilo, da bom lahko preko te VPN povezave dostopal do poljubnega VLANa? Sem poskusil firewall pravilo v smislu allow IP 100.100.100.190 from VLAN1 to (VLAN2, VLAN3, VLAN4 ...) pa zadeva ne špila :P. Hvala za pomoč!

SeMiNeSanja ::

Če uporabljaš split vpn povezavo (internet brskaš preko svojega priključka in ne preko tunela), boš moral dodati tunnel route za omrežja na strani podjetja. Da pa ne rabiš dodajati routo za vsak vlan posebej, si lahko pomagaš z routo na 10.100.0.0/16 in tako preusmeriš promet za vsa 10.100.xxx omrežja skozi vpn - saj si se pri tisti 100.100.100.190 adresi zatipkal in si mislil 10.100.....? Privatne IP adrese se namreč ne začenjajo s 100.!

bastadu ::

Kaj naj rečem, hvala! Deluje! :)

d4vid ::

Obujam temo.

Postavil sem si opnsense na PC. Rad bi dosegel nekaj čudnega.
Kot prvo, bi rad ves promet peljal po enem linku. Torej nekako tako: iz modema v switch, iz switcha na WiFi AP ter na ta opnsense. Na modemu bi izklopil DHCP ter na opnsensu nastavil vzpostavitev PPPoE seje preko VLAN-a, nastavil da je opnsense default gateway itd.
Bi to šlo?
Nekaj sem že poskušal, a mi je vedno umrl link do tega PCja.
Main PC: Asus PN50 | AMD Ryzen 5 4500U | 16 GB RAM | 256 GB SSD
PC2: HP Z400 | Intel Xeon L5630 | 6 GB RAM | 120 GB SSD
Laptop: HP Elitebook 840G1 | Intel i5 | 8 GB RAM | 256 GB SSD

SeMiNeSanja ::

Tvoja razlaga je precej nejasna.

Potrudi se zadevo bolje razložiti, mogoče dodaj kakšno sliko - predvsem pa pojasni, kateri link 'umre'.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VLANanje

Oddelek: Omrežja in internet
142657 (2120) joggi79
»

Amis TV komunikator za usmerjevalnikom (strani: 1 2 )

Oddelek: Omrežja in internet
6113640 (9308) Master_Yoda
»

dhcp širitev Ip naslovov

Oddelek: Omrežja in internet
91395 (1122) SeMiNeSanja
»

VLAN, wifi za goste?

Oddelek: Omrežja in internet
141994 (1386) aleksander10
»

Innbox v50 in ruter - volume 2

Oddelek: Omrežja in internet
213248 (2702) mayne

Več podobnih tem