Topologie kruh - VLAN

[hapi]

jo tak nevim jak jiný switche ale na tplinkách se to musí po cestě psát všechno a i průchozí vlany jinak to neprojde. Předpokládám že jinde je to stejný.

[ludvik]

trunk port je takový port, který propouští jen pakety s 802.1Q hlavičkou. Tedy jen VLANy.

VLANy slouží pro oddělení provozu. Pokud ten port VLAN nezná, nesmí ji pustit dál.

[Majklik]

Namlátit 8 VLAN na 8 switchů se mi jeví jako pohoda (no asi záleží, zda to musíš klikat ve webu nebo tam nahrnout pár příkazů a ještě každý switch jinak).

Ale pokud máš mix různých switchů/výrobců a nechceš to mlátit všude, ta se podívej, zda ty switche umí GVRP (garp vlan registration protocol). Pokud ano a zapneš si podporu na všech switchích, tak pak ručně definuješ vlany jen na jednom a ostatní se to naučí. Pozor! Když ten jeden ručně konfigurovaný switch vypneš, tak ostantí za chvíli ty vlany zahodí (záleží, jak si nastavíš časovače, ale všude musí být jednotně). Potom je nutné, aby jsi gvrp zapnul jen na portech, přes které to budeš kruhovat, na portech ke klientům se nesmí gvrp objevit (přijímat a ani vysílat oznámení), jinak ti z toho někdo omylem/úmyslem může udělat pěkný guláš. Existuje určité limity na to, s čím se dá GVRP namixovat v provozu, ale v tebou uvažované konfiguraci by to mělo být OK (např kombinace GVRP a MSTP).

Co se trunku týče, tak je to port, který přenáší víc různých VLAN. Ideálně všechny jen tagované a netagovaný provoz zakázán. Zda přenáší jen výslovně definované VLANy nebo i cizí, tak to záleží na konfiguraci, některé switche umí přenést přes trunk cokoliv.
Proti trunku je obvykle pojem access port, což je port patřící jen do jedné VLANy a na ně připojuješ už ty koncové klienty. Ten je ideálně nastaven tak, že umožňuje provoz jen netagovaný a žádný jiný.

K tvé nechuti to konfigurovat ještě jedna nehezká možnost, ale v produkčním nasazení bych se o ni neopíral. Řada switchů má chybu (R&D oddělení oponuje, že požadovanou vlastnost), že když port je součástí STP/RSTP stromu a je přes něj otevřena cesta, tak najednou začne přenášet všechny VLANy, ať jsou k portu přiřazeny nebo ne. Jenom na tom portu musí být aspoň jedna tagovaná VLANa (neob zapnut jako trunk), protože jinak to obvykle nevloží VLAN tagy a udělá z toho všeho netagovaný pěkný guláš.

Až to budeš kruhovat, tak doporučuji ručně nastavit root priority switchů, aby root byl tam, kde chceš (volil bych switch kde bude připojen router). Pokud to neuděláš, tak teoreticky zapracuje MAC/VLAN adresa, ale řada switchů na tom zblbne a udělá se ti několik rootů a chvíli ti to bude mlátit blbě uzavřený zakruhovaný provoz a chvíli ne...

Ještě, pokud budeš uvažovat variantu, že co klient to jedna VLANa - budeš mít hodně VLAN a případě můžeš narazit, že řada levnějšíh switchů umí použít současně max jen omezený pořet VLAN (8, 16, 64, 256) z teoretickéh maxima 4095. Podívej se, kolik který switch podporuje (pomíjím vtipy, že sice switch umí současně 64 VLAN, ale HW brouky umí jen 8 a jak jich je víc, tak to řeší CPU pro každý paket a propustnost switche se zhroutí skoro k nule)...
Potom varianta jedna VLAN na switch a izolovat klienty od sebe portově nese trochu nepříjemností u IPv6, ale pokud zatím neplánuješ, tak bych neřešil (některé IPv6 stacky tohle poznají a vyhodnotí jako poškozenou síť a preventicně odmítnou pak IPv6 adresy jiné než linkové, aby nedošlo ke konfliktu, když se nemůžou domluvit s ostatními sousedy, že tma mají být si vykecají přes router, který je vidí všechny, ale pokud spojovací segment ke klientům vůlbec neplánuješ na globálních aresách, tak ti to může být také jedno).

[ludvik]

namlátit VLAN na 8 tplink switchů mi jako pohoda nepřijde Ale tplinky znám jenom ty opravdu obyč "WEB".

[Majklik]

Znám i horší věc, než je jen web management. Existuje i management jen přes sériovou konzoli, takže se k tomu krámu musí fyzicky přijít nebo použít RS232/Ethernet převodník k tomu. Ale tohle snad nikdo si nekoupí, pokud mu to nemá ležet na stole v kanclu.
Ale je pravda, že něco, co má web only management a horší nemám odvahu si dát ani domů, takže moc nemám představu, jak ty klikátka fungují (a u řady switchu mi dochází, že jsem se ani nikdy na ten webksicht nepokusil podívat, jak vypadá, když to má konzoli).

[Flegmosmoke]

Namlátit 8 VLAN na 8 switchů se mi jeví jako pohoda (no asi záleží, zda to musíš klikat ve webu nebo tam nahrnout pár příkazů a ještě každý switch jinak).

Ale pokud máš mix různých switchů/výrobců a nechceš to mlátit všude, ta se podívej, zda ty switche umí GVRP (garp vlan registration protocol). Pokud ano a zapneš si podporu na všech switchích, tak pak ručně definuješ vlany jen na jednom a ostatní se to naučí. Pozor! Když ten jeden ručně konfigurovaný switch vypneš, tak ostantí za chvíli ty vlany zahodí (záleží, jak si nastavíš časovače, ale všude musí být jednotně). Potom je nutné, aby jsi gvrp zapnul jen na portech, přes které to budeš kruhovat, na portech ke klientům se nesmí gvrp objevit (přijímat a ani vysílat oznámení), jinak ti z toho někdo omylem/úmyslem může udělat pěkný guláš. Existuje určité limity na to, s čím se dá GVRP namixovat v provozu, ale v tebou uvažované konfiguraci by to mělo být OK (např kombinace GVRP a MSTP).

Co se trunku týče, tak je to port, který přenáší víc různých VLAN. Ideálně všechny jen tagované a netagovaný provoz zakázán. Zda přenáší jen výslovně definované VLANy nebo i cizí, tak to záleží na konfiguraci, některé switche umí přenést přes trunk cokoliv.
Proti trunku je obvykle pojem access port, což je port patřící jen do jedné VLANy a na ně připojuješ už ty koncové klienty. Ten je ideálně nastaven tak, že umožňuje provoz jen netagovaný a žádný jiný.

K tvé nechuti to konfigurovat ještě jedna nehezká možnost, ale v produkčním nasazení bych se o ni neopíral. Řada switchů má chybu (R&D oddělení oponuje, že požadovanou vlastnost), že když port je součástí STP/RSTP stromu a je přes něj otevřena cesta, tak najednou začne přenášet všechny VLANy, ať jsou k portu přiřazeny nebo ne. Jenom na tom portu musí být aspoň jedna tagovaná VLANa (neob zapnut jako trunk), protože jinak to obvykle nevloží VLAN tagy a udělá z toho všeho netagovaný pěkný guláš.

Až to budeš kruhovat, tak doporučuji ručně nastavit root priority switchů, aby root byl tam, kde chceš (volil bych switch kde bude připojen router). Pokud to neuděláš, tak teoreticky zapracuje MAC/VLAN adresa, ale řada switchů na tom zblbne a udělá se ti několik rootů a chvíli ti to bude mlátit blbě uzavřený zakruhovaný provoz a chvíli ne...

Ještě, pokud budeš uvažovat variantu, že co klient to jedna VLANa - budeš mít hodně VLAN a případě můžeš narazit, že řada levnějšíh switchů umí použít současně max jen omezený pořet VLAN (8, 16, 64, 256) z teoretickéh maxima 4095. Podívej se, kolik který switch podporuje (pomíjím vtipy, že sice switch umí současně 64 VLAN, ale HW brouky umí jen 8 a jak jich je víc, tak to řeší CPU pro každý paket a propustnost switche se zhroutí skoro k nule)...
Potom varianta jedna VLAN na switch a izolovat klienty od sebe portově nese trochu nepříjemností u IPv6, ale pokud zatím neplánuješ, tak bych neřešil (některé IPv6 stacky tohle poznají a vyhodnotí jako poškozenou síť a preventicně odmítnou pak IPv6 adresy jiné než linkové, aby nedošlo ke konfliktu, když se nemůžou domluvit s ostatními sousedy, že tma mají být si vykecají přes router, který je vidí všechny, ale pokud spojovací segment ke klientům vůlbec neplánuješ na globálních aresách, tak ti to může být také jedno).

Děkuji za dokanelé vysvětlení!!! Je mi vše jasné... Udělám si nejdřív simluaci a pak to začnu dávat dohromady. GVRP většina SW má.. Co SW to VLAN bohatě stačí.