VLANanje

Kdo mi lahk pove, kaj vec o tem? In vprasanje. Zakaj bi VLANal en network port z SFP portom? Je to kak dober trik, praksa ali kaj tretjega?
Smeska

SmeskoSnezak je 30. avg 2019 ob 09:26 izjavil:

Kdo mi lahk pove, kaj vec o tem? In vprasanje. Zakaj bi VLANal en network port z SFP portom? Je to kak dober trik, praksa ali kaj tretjega?
Smeska

V bistvu, če ne veš zakaj bi... potem pač nimaš potrebe da bi.

V VLAN-e se zaletiš, ko enkrat rabiš malo več, kot 'navaden LAN'. Tipičen primer, kjer se ljudje prvič spravijo raziskovati pomena in vloge / konfiguracije VLAN-ov, so WiFi dostopne točke, ki podpirajo po več SSID-jev, kateri so vsak povezan s svojim VLAN-om na enem LAN kablu.

Po domače povedano - po eni žici moraš spraviti tri ali več LOČENIH omrežij do AccessPointa. Tu se potem srečaš z VLAN-i kot rešitev problema.

Tisto z SFP..... če je 1Gbps SFP, je čisto vseeno, če uporabiš UTP.
Zanimivo postane za trunke, da preko SFP z 10Gbps 'pretakaš' več navideznih omrežij med switchi. Vmes pa imaš še varianto LACP.....

Tac20 je 30. avg 2019 ob 13:01 izjavil:

Ali pa ko segmentiraš omrežje in želiš npr. ločiti strežnike od. PC-jev, oreprečevati, da se naprave vidijo med seboj, določati tip prometa itd. Seveda lahko tudi fizično pelješ kable, ampak je z VLANI veliko lažje.

To je 'next level', s katerim se v mini/mikro podjetju že nekoliko redkeje srečaš.

Malenkost naprednejša oprema, ki jo mnogi uporabljajo in podpira VLAN-e pogosto ima po defaultu vse LAN porte povezane v Bridge - z opcijo prekonfiguriranja v VLAN-e.

Bistveno redkeje naletiš na opremo, ki bi imela na posameznih portih različne native LAN-e (npr. port 1= 10.0.10.1/24, port 2= 10.0.20.1/24, itd.), kar bi ti omogočilo segmentiranje povsem brez VLAN-ov. Ta oprema običajno tudi ni izbirčna, na kateri port boš obesil WAN (in koliko WAN-ov boš imel), ker je bolj fleksibilna.

Pri naših 'malih' strankah se je običajno začeli z navadnimi LAN porti na požarni pregradi. Ko enkrat naraste število omrežij in ti prične zmanjkovati portov, je logična izbira, da (vsaj) enega od portov spremeniš v VLAN port (trunk) in stranka nabavi malo boljši switch.

Še en dokaj pogost trigger za uvedbo VLAN-ov (poleg že omenjenega WiFi) je IP telefonija. Stranke želijo imeti ločeno omrežje za VOIP, nebi pa napeljevale podvojeno omrežje. Pa si spet pri VLAN-ih.

Za upravljanje direkt ne, lahko daš pa management interface na mrežni opremi v svoj vlan.

Komunikacija med VLAN-i je blokirana po default-u, ker gre za ločena omrežja. Za komunikacijo med njimi potrebuješ router. Firewall imaš zgolj za selektivno zapreti promet, ki ga usmerjaš med izbranimi VLAN-i.

Vedran je 30. avg 2019 ob 14:17 izjavil:

Ali obstaja kaka krajša pot za blokado komunikacije med VLAN omrežji kot pisanje neskončnega števila pravil v firewall?
Če prav zastopim za primer 5 VLAN omrežji je potrebno napisati 25 pravil.

Kot je Poldi rekel, je default pr VLAN-ih, da med njimi ni nobenega prometa.

Router, ki ga omenja, je lahko tudi switch sam. Ravno tako tudi ACL-e lahko urejaš na takem 'malo bolj pametnem' switchu. Vendar se gre tu za bolj preproste ACL-e (pravila požarne pregrade).

Če hočeš bolj napredno filtriranje, se lahko poslužiš kakšne napredne UTM požarne pregrade. Vendar je tu ponavadi problem, da se te kupujejo glede na predviden promet proti internetu, ne pa tudi glede na promet med LAN-i in VLAN-i.
Če hočeš ustrezno dimenzionirano požarno pregrado, lahko zadeva (odvisno od proizvajalca) postane precej draga.
Posledično se neredko ravno lastniki tistih dražjih variant zatekajo k usmerjanju in (slabšemu) filtriranju na bistveno cenejših switchih.

Število pravil, ki jih moraš dodajati glede na posamezni VLAN, pa je čisto odvisno od tega, kaj želiš na tem segmentu dovoliti. Lahko imaš tudi varianto, da na guest VLAN-u dovoliš vse proti Internetu. Ni najbolj priporočljivo, ampak pogosto videno v praksi celo na drugih segmentih, ne le na Guest segmentu.

Drugače pa pravila požarne pregrade niso nek bawbaw, če uporabljaš nek normalen 'človeški' firewall. Seveda pa imaš tudi sadomazo variante, pri katerih mi nikoli ni bilo jasno, kaj so si avtorji mislili, ko so jih vsilili uporabnikom. Ti pa potem še sami sebi lažejo, kako cool da je njihova sadomazo varianta.

Vedran je 30. avg 2019 ob 14:32 izjavil:

Če sem vredu zastopil Ubiquiti navodila komunikacija med napravami v različnih VLAN omrežjih je po default-u omogočena in je baje treba pisati pravila v firewall da se ta komunikacija onemogoči?

Za Ubiquiti pa moraš koga vprašat, ki ga uporablja.
Nekako nelogično bi bilo, da je kar po defaultu vse dovoljeno.
Ampak če veš, za kaj se gre, to tudi nebi smelo biti problem preizkusiti.

Vedran je 30. avg 2019 ob 14:44 izjavil:

Pač gledal sem po teh dveh navodilih za Ubiquiti:

https://help.ubnt.com/hc/en-us/articles...

Vsaka rešitev ima svoje finte....
Meni sicer ni logično zakaj bi bila dovoljena komunikacija med VLAN-i, če ni eksplicitno blokirana. Fail by design?

Mogoče so hoteli stvari poenostaviti za manj spretne uporabnike, vendar so po moje dosegli ravno obratno, da uporabnik, ki ni dovolj vešč hitro spregleda to 'malenkost' in tako na koncu vse na široko komunicira med seboj, čeprav nebi smelo.

SeMiNeSanja je 30. avg 2019 ob 14:35 izjavil:

Kot je Poldi rekel, je default pr VLAN-ih, da med njimi ni nobenega prometa.

To seveda ni res. Ok mogoce pri kaksnih obskurnih mreznih napravah, pri normalnih switchih/routerjih pa to ne drzi. Med VLANi res ni L2 prometa, ker so broadcast domene itd. locene oz. omejene na posamezen VLAN, ko pa se vlani zakljucijo na L3 napravi (v vecini majhnih omrezij je to ena sama naprava, ki je lahko ali router ali pa L3 switch), pa je L3 promet med razlicnimi vlani po defaultu odprt. Izjema so firewalli, ki imajo vecinoma promet med razlicnimi interfaci po defaultu zaprt in je odprto zgolj tisto, kar je eksplicitno dovoljeno. Ce uporabis L3 switch ali router, pa je promet med razlicnimi vlani oz. razlicnimi interfaci po defaultu dovoljen.