Topologie kruh - VLAN

[Flegmosmoke]

Dobrý den, řeším nyní následující otázku. Máme cca 8 SW pospojovaných optikou za sebou a jednou trasou udělaný kruh kvůli záloze. Ale... Na switchích jsou nastavena tzv. port-vlan, kdy každý port se vidí pouze s portem přívodním... Ve finále tedy každý zákazník jen s routerem. Pokud to budu chtít ale zakruhovat, budu muset do "uplink" port-vlany přidat port switche následujícího a tím pádem se zákazník uvidí s další účastníky na dalších switchích. Což samozřejmě nechci. Topologie je nešťastně udělaná, ale s tím nic nenadělám. Jak toto prosím Vás řešíte?

[hapi]

Vlany. Ale ne port vlany ale tag vlany. Ovšem jak se na zakruhovaný síti zachovaji tag vlany nevim protože každej výrobce to dělá trochu jinak a navíc jak vůbec chceš kruhovat? Jakou technologií? STP?

[Flegmosmoke]

RSTP.. Právě tag vlan jsem zkoušel.. Pokud jsou stejné switche tak je to OK.. Ale bohužel jsou tam 4 různé druhy

[Majklik]

Určitá zrada bude i v tom, že v tom režimu port VLAN hodně switchů neumí použít dva uplinkové porty. Podporují jen jeden uplink, s kterým se budou vidět všichni klienti. Prvně bych ověřil, zda umí ty switche použít ty dva porty.
Hapiho řešení s VLANama by mělo být funkční, snad všechny switche dneska umí 802.1q a dle toho to udělat, pokud se vejdu do těch 4094 VLAN a ustojím na hlavním routeru takovou situaci.
Nicméně řada switchů umí izolaci klientů od přírody i bez port VLAN, že určím klientské porty a ty se vzájemně nevidí, ale uplink portů může být několik (každý výrobce takové funkci říká nějak jinak). Pak potřebuji jen jednu VLANu na switch a odizoluješ to.
V kostce, máš 8 switchů zakruhovaných dvěma porty, tak na ty porty v kruhu nabouchám 8 tagovaných VLAN. Na každém switchi si vezmu jednu VLANu a namlátím je na klientské porty jako netagovanou a aktivuji k tomu izolaci portů. Pokud ti to půjde nastavit na všech switchích, máš vyhráno.

[Flegmosmoke]

Děkuji za odpověď!! Uplink portů si mohu nastavit relativně kolik chci.. Ale v tuchvíli se mi uvidí zákazníci na různých SW. S tagovanými vlany už jsem si hrál, ale u zákazníka jsem jen tak náhodou na jeho routeru MK uviděl provoz úplně někoho jiného na jiném switchy ok kolem 10 Mbit. Prostě špatně nastaveno. Abych to shrnul. Vůbec mi nevadí, když se uvidí PC na jednom SW. Pro začátek. Stačilo by tedy na 2 uplink porty pro každý switch nastavit jinou VLAN (např. 101 až 108)? Jak to udělat na SW před routerem? Odtagovat pakety?

[hapi]

to má bejt opačně ne? vlany dej na uživatelský porty ale nastav to tak aby se odtagovaly a směrem na uplinky aby se tagovaly. Pak budeš ale muset vlany odchytávat i na routeru aby fungovaly. Hmm řešení by to asi bylo.

[Flegmosmoke]

to má bejt opačně ne? vlany dej na uživatelský porty ale nastav to tak aby se odtagovaly a směrem na uplinky aby se tagovaly. Pak budeš ale muset vlany odchytávat i na routeru aby fungovaly. Hmm řešení by to asi bylo.

Myslíš tedy co uživatel to VLAN... Na routeru tedy co např. VLAN 100 až 200. Abych nemusel přeadresovat tak je dát do bridge? Některé switche co jsem dostal k dispozici neumí ale odtagovat Prostě by ta VLAN musela být až u uživatele. To je na prd.

[hapi]

ještě jsem neviděl aby L2 switch uměl otagovat ale neuměl se tagu zbavit. Vlany na routeru nemůžeš bridgovat. Teda můžeš ale uvidíš co to za efekt udělá. Asi by jsi měl pouvažovat nad uplně jinou cestou.

[Flegmosmoke]

Co jsi měl na mysli pod tím odchytávat VLANy? Uvažoval jsem nad PPPoE, ale nutit lidi vytáčet.

[hapi]

no, máme tu použitou koncepci kde lidi seději na vlanech, směrem k nim se vlan odstraňuje a směrem od nich se na switchy vlan tag přidává. Tim máš každýho jakoby extra ve svojí virtuální síti a když máš prvky šikovně za sebou, můžeš dát výstup kdekoliv chceš. No ale za switchema z pohledu usera je vše tagovené takže tam musí bejt router kterej umožňuje nastavení vlanů aby data userů mohl vyřizovat a odstraňovat a zpětně jim to i na vlany zase dávat. Ovšem to ti asi nevyřeší zakruhování i když nevim no.

[Flegmosmoke]

OK... Máte tedy pro každého uživatele jinou VLAN, jetli tomu dobře rozumím. Pro každou tu VLAN i jinou IP? Nebo lze aby např. VLAN 100 až 200 měli stejnou IP? Mikrotik VLANy evidentně zvládá.. V zakruhování by pak taky neměl být problém.

[hapi]

máme pro každýho extra rozsah, extra DHCP. Pro usery naprostá pohodička automatiky a mezi sebou se přímo nevidí. Pouze skrz router do jinýho subnetu ale to je nám šumák. Všechno ovládá jeden routřík s MKčkem a zatim totální spokojenost tim že spravuju aktuálně cca 50-60 userů z jednoho místa. Jo na routeru je skoro 100 vlan interfaců a 100 DHCP serverů a 100 IP adres na ifacech ale to nijak nevadí. Komfort je excelentní. Těď záleží jak chceš dělat to zakruhování protože by to šlo udělat i na MKčku se dvěmi porty a každej do jedný strany kruhu a použít na to RSTP.

[Flegmosmoke]

Dobrá. Děkuji zatím za rady!!!

[hapi]

a nebo prokruhovat switche a do jednoho zapíchnout router a na switche RSTP. Možností je spousta no.

[Flegmosmoke]

Přesně takto je to v plánu, ale stávající konfigurace to pouští jen jedním směrem. Chtěl jem se zeptat, co používáte za switche? S tím co mám k dispozici musím zadávat použité vlany na každý SW. Na některých je možno nastavit Trunk port - znamená to tedy, že na těchto SW neusím zadávat použité VLANy? Nebo se jedná pouze o port, kde se neodtagovává?