ZeRKoX Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 Takk for svar ZeRKoX, veldig oppklarende, jeg skjønner hvorfor de gjør det sånn, da det er litt mer ryddig i "profesjonelle" settinger å gjøre det sånn, men for ett enkelt hjemmeoppsett hadde det vært mer praktisk om driveren bare tok imot alt, og switchen tagget all utagget trafikk på porten. Hvilket VLAN tenker du at svitsjen skulle tagget pakken med, om det var utagget? Hele poenget med VLAN er å logisk skille nettverk fra hverandre, selv om utstyret fysisk er det samme. På HP (som jeg har), så virker det som man kan sette ett untagged vlan i tillegg til tagged, antar det får det untaggede vlanet da, som du sier. Ja, om du konfigurerer ett VLAN utagget på en port, vil pakker som kommer inn på denne porten uten VLAN-tag ende opp i det VLAN-et. (naturligvis). Ett lite spørmål til, om man har ett nettverkskort som støtter vlan, må man sette opp to "virituelle interface" med hver sin IP eller noe sånt for å ta imot flere vlan? Eller kan man bare sette det med en interface? Og må man også sette opp vlan på nettverkskortet, eller kan den ha noen slags form med "negotiation" med swtichen for å sette hvilke vlan den skal tagge på pakkene som PCen sender ut? AtW To ulike VLAN er per definisjon to ulike nettverk. Du bør derfor sette IP-adresser tilsvarende. Dette gjør og til at dersom du vil ha en maskin til å snakke med begge nettverka, så må den ha ett interface (og en adresse) i hvert nett. Hmm, ok, da har jeg misforstått noe om VLAN, hvorfor må switchen ha ruting funksjonalitet? Eller for å spørre på en annen måte, la oss si jeg ikke har noen ruter i oppsettet i det hele tatt (bare for enkelhets skyld), vil ikke switchen sørge for at trafikk som er på vlan 10 (tagged eller untagged) kun går til andre porter som også er på vlan 10? AtW Om du konfigurerer ulike VLAN på en svitsj, så kan du se på det som du deler svitsjen opp i flere virtuelle svitsjer. Maskiner som henger på samme vlan, kan snakke med hverandre. Men en maskin som sitter på ett VLAN kan ikke snakke med maskiner på ett annet VLAN, da andre VLAN kan ses på som om de henger på en annen svitsj. Serveren din, som trenger snakke med begge vlan-ene trenger en link til hver "virtuelle svitsj". Dette kan enten løses med to nettverkskort, og to kabler (koblet til hvert sitt VLAN) med tilhørende IP-konfigurasjon på begge nettverkskortene. Alternativt kan du bruke ett nettverkskort, og en kabel, men da må du merke pakkene med hvilket nettverk den hører til. (VLAN-tag/802.1q tag). Du vil fremdeles trenge å konfigurere to "nettverkskort" (et til hvert VLAN) med tilhørende adresser, for at serveren skal kunne skille mellom nettverkene. Grunn til at folk snakker om ruting, er at standard måte å få kommunikasjon mellom ulike VLAN er ved å route, siden ulike VLAN bør være ulike IP-nett. Om du ikke skal ha kommunikasjon mellom VLAN-ene så driter du i ruting. Lenke til kommentar
ATWindsor Skrevet 10. august 2013 Forfatter Rapporter Del Skrevet 10. august 2013 Hvilket VLAN tenker du at svitsjen skulle tagget pakken med, om det var utagget? Hele poenget med VLAN er å logisk skille nettverk fra hverandre, selv om utstyret fysisk er det samme. Ja, om du konfigurerer ett VLAN utagget på en port, vil pakker som kommer inn på denne porten uten VLAN-tag ende opp i det VLAN-et. (naturligvis). To ulike VLAN er per definisjon to ulike nettverk. Du bør derfor sette IP-adresser tilsvarende. Dette gjør og til at dersom du vil ha en maskin til å snakke med begge nettverka, så må den ha ett interface (og en adresse) i hvert nett. Om du konfigurerer ulike VLAN på en svitsj, så kan du se på det som du deler svitsjen opp i flere virtuelle svitsjer. Maskiner som henger på samme vlan, kan snakke med hverandre. Men en maskin som sitter på ett VLAN kan ikke snakke med maskiner på ett annet VLAN, da andre VLAN kan ses på som om de henger på en annen svitsj. Serveren din, som trenger snakke med begge vlan-ene trenger en link til hver "virtuelle svitsj". Dette kan enten løses med to nettverkskort, og to kabler (koblet til hvert sitt VLAN) med tilhørende IP-konfigurasjon på begge nettverkskortene. Alternativt kan du bruke ett nettverkskort, og en kabel, men da må du merke pakkene med hvilket nettverk den hører til. (VLAN-tag/802.1q tag). Du vil fremdeles trenge å konfigurere to "nettverkskort" (et til hvert VLAN) med tilhørende adresser, for at serveren skal kunne skille mellom nettverkene. Grunn til at folk snakker om ruting, er at standard måte å få kommunikasjon mellom ulike VLAN er ved å route, siden ulike VLAN bør være ulike IP-nett. Om du ikke skal ha kommunikasjon mellom VLAN-ene så driter du i ruting. Jeg tenkte switchen gjør følgende "om ikke tagged, tag med de vlanene som står tagged i min konfig på denne porten". Altså om porten er konfigurert med tagged vlan 10, 20, så tagger den alle utaggede pakker med vlan 10 og 20. Men nok om det egentlig, er visst ikke sånn det funker. Ja, når jeg har fått forklart hva switchen "tenker" om dette, så gir jo det mening. Jeg skjønner ikke helt dette. Hvorfor skal jeg begynne å blande lag3 inn i dette? La oss si jeg har 1 interface med 1 ip. Hvorfor kan ikke bare alle pakker som kommer ut av denne ha en header som tar seg av lag3 informasjonen som vanlig. (hvilken ip den skal til osv), mens den er tagged med de vlanene den skal (vlan 10 og 20 feks), så vil den på switchen (lag 2) kunne ha kontakt med alle porter med vlan 10 eller 20? Ellers selv fra ruten, om det kommer en pakke som skal til vlan 10, så kan den nå alle porter med vlan 10, inkludert den som er tagget med vlan 10 og 20. Jeg skjønner bare ikke hvorfor den med å to "nettverkskort" for å få pakker fra begge vlan, hvorfor kan ikke begge pakketyper sendes til samme interface? Hvordan gjøre dette på porten swtichen har mot ruteren? Må switchen ha 20 iper om man fører en trunk med 20 vlans mellom switchens uplink og ruteren? Alt jeg ønsker å oppnå er at alt som er på vlan10 kun ser det andre på vlan 10, og det samme for vlan 20. Jeg skjønner bare ikke hvorfor jeg må opp på lag 3 for å få til dette, når switchen støtter vlan, og det er en lag2(?)-funksjonalitet. Beklager at det blir mye mas på meg, men dette er litt komplisert, så det blir vanskelig for meg å henge med om jeg ikke skjønner hele sammenhengen. AtW Lenke til kommentar
Horrorbyte Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 Alt jeg ønsker å oppnå er at alt som er på vlan10 kun ser det andre på vlan 10, og det samme for vlan 20. Jeg skjønner bare ikke hvorfor jeg må opp på lag 3 for å få til dette, når switchen støtter vlan, og det er en lag2(?)-funksjonalitet. Om det er alt du ønsker, så er jo det helt uproblematisk. Det løses på lag 2. Trunking er også lag 2-funksjonalitet, slik at det orignale problemet kan løses på lag 2. Alternativt kan man bruke routing, som er lag 3, for å route mellom vlan-ene på samme måte som om det skulle vært to separate nettverk med fysisk adskilt utstyr (vlan simulerer dette). Sånn ellers så foregår adressering på lag 2 med MAC-adresser og ikke IP-adresser (de brukes på lag 3). I de tilfeller man bruker IP-adresser, så oversettes det til MAC-adresser. Slå opp ARP om du vil lære mer om det. Lenke til kommentar
ZeRKoX Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 Problemet ditt er at du ikke kan tagge en pakke med to VLAN. En pakke hører til ett vlan, og kun det. Og som sagt tidligere, skal du ikke flytte pakker mellom vlan, så driter du i lag3 funksjonalitet. Lenke til kommentar
ATWindsor Skrevet 10. august 2013 Forfatter Rapporter Del Skrevet 10. august 2013 Problemet ditt er at du ikke kan tagge en pakke med to VLAN. En pakke hører til ett vlan, og kun det. Og som sagt tidligere, skal du ikke flytte pakker mellom vlan, så driter du i lag3 funksjonalitet. Det er jo hele definisjonen på tagged vlan? Untagged støtter jo bare ett vlan, med tagged kan du jo ha så mange vlan du bare vil? (dvs, er vel sikkert en grense, men den er høy nok) AtW Lenke til kommentar
ZeRKoX Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 (endret) Og forsåvidt, selv om en pakke har en vlan-id, så er alle de vanlige headerene der. Mao, MAC-header og IP-Header finnes. Men svitsjen selv nekter å flytte en ramme fra ett VLAN til ett annet, selv om MAC-adressen stemmer. Derfor jeg prøvde meg på analogien med "virtuelle svitsjer". Slik du tror VLAN virker, er ca slik PrivateVLAN virker. Men vanlige VLAN virker ikke slik. Det er jo hele definisjonen på tagged vlan? Untagged støtter jo bare ett vlan, med tagged kan du jo ha så mange vlan du bare vil? (dvs, er vel sikkert en grense, men den er høy nok) AtW Nei. Selv om porten kan bære flere VLAN, kan en enkelt pakke kun være tagget med en VLAN ID. EDIT: Poenget med taggede porter er å kunne bære flere VLAN mellom 2 svitsjer, eller lignende, på samme kabel, men fremdeles ha nettverkene logisk skilt. Endret 10. august 2013 av ZeRKoX Lenke til kommentar
ATWindsor Skrevet 10. august 2013 Forfatter Rapporter Del Skrevet 10. august 2013 Og forsåvidt, selv om en pakke har en vlan-id, så er alle de vanlige headerene der. Mao, MAC-header og IP-Header finnes. Men svitsjen selv nekter å flytte en ramme fra ett VLAN til ett annet, selv om MAC-adressen stemmer. Derfor jeg prøvde meg på analogien med "virtuelle svitsjer". Slik du tror VLAN virker, er ca slik PrivateVLAN virker. Men vanlige VLAN virker ikke slik. Nei. Selv om porten kan bære flere VLAN, kan en enkelt pakke kun være tagget med en VLAN ID. EDIT: Poenget med taggede porter er å kunne bære flere VLAN mellom 2 svitsjer, eller lignende, på samme kabel, men fremdeles ha nettverkene logisk skilt. Ok, men hvordan fungerer da ruteren inn dette? Altså jeg har følgende teoretiske oppsett: Verden - Ruter - Switch - 3 Pcer Pcene er satt opp som før Port 1: Untagged Vlan 10 Port 2: Untagged Vlan 20 Port 3 Tagged Vlan, 10 og 20 Port 24: (mot ruter) Tagged Vlan 10 og 20 Jeg skjønner hva som skjer når PCen bak port 3 sender til andre PCer (tror jeg), swtichen ser hvilken mac framen skal til, den tagger framen med riktig valn, og sender den avgårde. Men hva om jeg bare skal på en nettside, hva slags vlan tagges trafikken på? Og hva med om det kommer en pakke fra utenomverdenen til en ruter? Hvordan vet ruteren hvilken vlan den skal tagge pakken med? Ihvertfall på de untagged-portene er det jo bare switchen som vet vilken vlan de forskjellige maskinene er koblet til? AtW Lenke til kommentar
Horrorbyte Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 Og hva med om det kommer en pakke fra utenomverdenen til en ruter? Hvordan vet ruteren hvilken vlan den skal tagge pakken med? Ihvertfall på de untagged-portene er det jo bare switchen som vet vilken vlan de forskjellige maskinene er koblet til? Du tenker for komplisert, og blander funksjonaliteten til de ulike enhetene. Routeren har én hovedoppgave, og det er å ta data inn på et interface, og sende det ut på et annet interface. Så er det switchen sin jobb å sende dette videre igjen ut på riktig interface, der PC-en er koblet til. I et større nettverk med mange routere og switcher blir dette klarere. Hver enkelt enhet vet bare hvilket interface den skal sende videre på for at det (forhåpentligvis) skal nå riktig mottaker. Lenke til kommentar
ATWindsor Skrevet 10. august 2013 Forfatter Rapporter Del Skrevet 10. august 2013 Du tenker for komplisert, og blander funksjonaliteten til de ulike enhetene. Routeren har én hovedoppgave, og det er å ta data inn på et interface, og sende det ut på et annet interface. Så er det switchen sin jobb å sende dette videre igjen ut på riktig interface, der PC-en er koblet til. I et større nettverk med mange routere og switcher blir dette klarere. Hver enkelt enhet vet bare hvilket interface den skal sende videre på for at det (forhåpentligvis) skal nå riktig mottaker. Mange rutere støtter da også vlan? Hva om man feks kun vil at 2 av dine 3 vlan skal ha tilgang til internett? AtW Lenke til kommentar
Horrorbyte Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 (endret) I utgangspunktet...nei. Men det kommer an på hva slags enhet man bruker til routing. Mange routere for hjemmemarkedet har jo så mye funksjonalitet at det ikke er måte på. Verken trådløst aksesspunkt eller switch er noe som egentlig er en del av en router, men for å gjøre det enkelt kan man fint bygge det inn i samme boks. At switchen i boksen som også fungerer som router kan støtte vlan - ja, for all del. Utgangspunktet er at et vlan er som et fysisk nettverk - så du kan se på det som å ha to fysiske switcher og én router. Kun en av switchene skal ha tilgang, så da kobler du kun den ene til routeren. Om det er to switcher, en enkeltstående switch med to vlan eller en router med innebygget switch med to vlan - ja, det er tre(!) sider av samme sak. For å gjøre dette enda tydeligere, så kan du se for deg at du har fire enheter. Et trådløst aksesspunkt, en switch, en router og et modem. De utgjør totalt fire fysiske bokser. Du kobler dem sammen, og plasserer alle i en ny og større boks. Så lager du et felles grensesnitt for de fire enhetene, så man slipper fire separate grensesnitt. Nå har du én boks som gjør alle de fire oppgavene, men de fire boksene er fortsatt inne i den større boksen. Du trenger bare ikke å tenke over det. Endret 10. august 2013 av Horrorbyte Lenke til kommentar
ZeRKoX Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 Ok, men hvordan fungerer da ruteren inn dette? Altså jeg har følgende teoretiske oppsett: Verden - Ruter - Switch - 3 Pcer Pcene er satt opp som før Port 1: Untagged Vlan 10 Port 2: Untagged Vlan 20 Port 3 Tagged Vlan, 10 og 20 Port 24: (mot ruter) Tagged Vlan 10 og 20 Jeg skjønner hva som skjer når PCen bak port 3 sender til andre PCer (tror jeg), swtichen ser hvilken mac framen skal til, den tagger framen med riktig valn, og sender den avgårde. Men hva om jeg bare skal på en nettside, hva slags vlan tagges trafikken på? Og hva med om det kommer en pakke fra utenomverdenen til en ruter? Hvordan vet ruteren hvilken vlan den skal tagge pakken med? Ihvertfall på de untagged-portene er det jo bare switchen som vet vilken vlan de forskjellige maskinene er koblet til? AtW For å få det oppsettet til å virke, kan vi for eksempel sette ting opp slik: PC1: 192.168.10.101/24 - GW: 192.168.10.1 PC2: 192.168.20.102/24 - GW: 192.168.20.1 PC3: - eth0-VL10: 192.168.10.103 - GW: 192.168.10.1 - eth0-VL20: 192.168.20.103 - GW: 192.168.20.1 Router: - VL10: 192.168.10.1 - VL20: 192.168.20.1 Så, dersom PC1 vil snakke med PC3, sender den pakken til 192.168.10.103. Da vil PC1 sende en ethernetframe utagget til svitsjen. Svitsjen vil så se en innkommende pakke på VLAN10 (siden porten er satt utagget til VLAN 10). Svitsjen slår opp mottakeradressen som står på pakken, og ser at den er ut port 3. Svitsjen ser så at på port 3 skal vlan 10 være tagget, så svitsjen klasker på en VLAN-tag, og sender pakken ut port 3. PC3 tar ser da en innkommende pakke, merket VLAN3. Denne sendes til det virtuelle interfacet som hører til VLAN3, der pakken vil behandles på vanlig måte. Når PC3 skal svare PC1, vil han oppdage at IP-adressen til PC1 hører til ett nettverk (192.168.10.0) som er koblet til interfacet "eth-VL10". Operativsystemet sender derfor pakken ut dette interfacet. Siden dette er et virtuelt interface, klistres en VLAN-tag på pakken, før det leveres til det fysiske interfacet, som så sender pakken ut på kabelen. I den andre enden av kabelen oppdager svitsjen at en pakke kommer inn. Denne er merket med VLAN10, så svitsjen slår opp i mac-addressetabellen til VLAN 10, og finner mac-adressen som pakken er addressert til. Svitsjen ser da at denne pakken skal ut på port 1, og siden konfigurasjonen sier at VL10 er utagget på port1, vil VLAN-taggen tas av, før ethernetrammen sendes ut på port 1. Tilsvarende vil kommunikasjon fra PC2 til PC3 fungere, og på samme måte vil kommunikasjon fra PC 1 eller 2 mot routeren og fungere. Så ja, routeren må kunne tolke VLAN dersom den skal snakke med mer enn ett vlan. (Skal den kun snakke med ett, sender du dette utagget på linken mellom svitsj og ruter, og ruteren ser da aldri 802.1q taggene.) Hvilket av VLAN-ene PC3 kommer til å bruke for å snakke med ruteren, kommer an på hvilken av gatwayene som kommer først i operativsystemets routingtabell. En svitsj ser ikke på adressen først, og tagger med passende vlan. Den ser først på hvilket VLAN pakken hører til, og ser om den finner en mac-adresse som hører til dette VLAN-et. (Og om den ikke finner det, så floodes pakken på alle porter som hører til det gjeldende VLAN-et, slik svitsjer pleier å gjøre.) Dersom det kommer en pakke inn på en port, tagget med et VLAN som ikke er konfigurert til porten (eller, en utagget pakke på f.eks port 3), så vil pakken droppes. Hjalp det svaret på forståelsen av VLAN? Lenke til kommentar
ZeRKoX Skrevet 10. august 2013 Rapporter Del Skrevet 10. august 2013 Og, bare for å ta den pene måten å løse designet ditt på: Jeg ville lagt port 3 utagget i VLAN 30 (eller noe), gitt serveren adressen 192.168.30.103 (eller noe) med gateway 192.168.30.1. Deretter ville jeg lagt VLAN30 tagget inn til routeren. Jeg ville så latt routeren tatt seg av å route mellom VLAN-ene. Dette gjør at dersom PC1 skal sende en pakke til PC3, så vil han oppdage at PC3 hører til et annet subnet enn seg selv, og dermed sende pakken til routeren. Da går pakken utagget til svitsjen, så tagget VLAN10 til routeren. Routeren vil så se at pakken skal til en IP i vlan30, og dermed sendes pakket tagget som VLAN30 tilbake til svitsjen, før den går utagget til PC3. Slik slipper PC3 å forholde seg til VLAN. Tilsvarende skjer kommunikasjon mellom PC2 og PC3. For å forhindre at PC1 og PC2 kan kommunisere på samme måte, legges det en aksessliste på routeren. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå