[Eperkutyus]

Sziasztok !


Kerestem, nem találtam, indítom.

VLAN.


Aki tudna egy kicsit segíteni, megtehetné.

Adott egy eszköz (most legyen mindegy, mi), ami be van állítva konzolból (!) VLAN használatra, éspedig a 100-as VLAN ID-vel próbál mókázni jobbrabalra.

Természetesen mikor még natúr tudtuk pingelni 192.168.1.1-ként (1.3-ról), minden oké.

Átconfigoltuk telnettel (soros konzol port nuku ) és kiadtuk neki a reboot parancsot.

Aha, szép. A kütyü nem látszik sehonnan. Semmi. Ha azonos 255.255.255.0 hálóba teszem a PC-t, 192.168.1.2-es ip-vel, akkor sem tudom pingelni.

És mivel a konzol ugyebár telnet és kéne hogy lássam a kütyüt, most számomra a készülék elveszettnek nyilvánítható.


Namost, itt jött a képbe a VLAN-os vagy nem VLAN-os switch, mi is legyen, tudunk-e valamit huncutkodni. A VLAN-os és nem VLAN-os között az a különbség, hogy a VLAN-os képes értelmezni a VLAN ID-ket a csomagfejlécekbõl, így az egyes portjait dedikáltan hozzá lehet rendelni bizonyos VLAN szegmensekhez, jól látom ?

Az elõttem lévõ switch jelenleg egy még zsírúj és büdös hp procurve 2650-es.


A PC-m megy a 33-as portba, a jelenleg nem látszó, 100-as VLAN ID-s eszköz pedig a 37-esbe.

Természetesen nem látják egymást, sehogysem, már teljes tartományokat portscanneltem stb.. á semmi.

Na mondom oké, a switch-ben beállítom, hogy 33-as portot VLAN ID 100-hoz rendelje ("Tagged" = megjelölt-re tettem), és a 37-es portot is, szintén a VLAN ID 100-hoz.

Namost ezzel semmi nem változott ugyebár, mert hát miért is változna. A switch nem router, tehát veszi látja nézi a VLAN fejléceket, de nem csinál vele semmit, csak 1:1 továbbadja, intelligensen tudva, melyiket hova.

Azaz ha most lógna mind az 50 portjában utp kábel, és ebbõl 13db mondjuk azonos VLAN ID-n lenne és a fizikai portok is rendre TAGGED lennének, akkor nyilván egy broadcast üzenet csak ezekre a portokra menne, nem az összes kábelre, a másik VLAN-é pedig másik X kábelre - én így gondolom (de tudorok, javítsatok ki, ha nem). + még szûrni is tud, illetve prioritizálás stb.. (a VLAN-os switch), de alapvetõen egy mezei 4-portos 5e huf-os switch sem akadályozná, hogy legyen 3 VLAN egy fizikai hálózati struktúrában.




Namost: hogyan láthatnám én az irodai belsõ hálós 192.168.1.3-as géprõl a VLAN ID 100-as eszközt, ami most jól eltûnt ?



Látnám, ha létre lenne hozva ezen az 1.3-as XP-s gépen egy virtuális interfész, ami a 100-as VLAN "csõ" kilépési pontja vagy minek nevezzem, szóval egy interfész, ahonnan a VLAN 100 indul.

Mert innentõl kezdve már csak átroute-olnám a csomagokat a 192.168.1.x/255.255.255.0 hálóból erre a VLAN-ra, és pingelhetném õket, jól látom ?

Na, ezt XP alatt hogyan csinálom meg vajon ? A HP oldalán van valami ilyesmi, lásd http://staff.science...4/index_en.html, idézem:

"We tested with Windows XP Professional SP1 and with Windows 2000 Professional SP3. For XP we tried the built in IEEE802.1x client" - szóval van valami 802.1x az XP-ben ..

No mindegy.


A helyi háló igazi internetes router gépe viszont 192.168.1.254 -> ez egy linux. Lehet, jobban járnék, és könnyebb lenne ezen megcsinálni ezt a virtuális interfészt és ezzel route-olni a VLAN-ba a csomagokat és vissza ?

Egyszóval, újra el szeretném érni az eszközt ip alapon, hogy belemásszak (csak ip-s konzolja van ) és levegyem a VLAN-ról.

Elnézést, ha hosszú lett és érthetetlen.

[Eperkutyus]

ui: az eltûnt eszköz DHCP-re van configolva, tehát ha a virtuális VLAN-os interfészre ráültetek egy DHCP szervert, ami semmiség, akkor megkapja az ip-jét a VLAN-ban.

[Eperkutyus]

Na eddig megcsináltam ezt:

http://scry.wanfear....vlan.html#setup

tehát:


#telepítés
apt-get install vlan
#eszköz hozzáadása 100-as VLAN azonosítóval, eth2 fizikaihoz kötve (elméletben):
./vconfig add eth2 100
#eszköz felhúzása, ez lesz a router oldali pontja a 100-as ID-jû VLAN-nak
ifconfig eth2.100 192.168.10.254
ifconfig eth2.100 up


Na ok, eddig megvagyok.

És ezután ?

dhcpd eth2.100 -> elkezd hallgatózni ezen a szegmensen, így van ? a 100-as VLAN-on.

kábel végén switch és másik portban pedig az elvesztett eszköz.

nem kap dhcp jelet, se semmi, és nemtom elérni. ez nagyon mókás..

[Freddy]

ciscorol tudok nyilatkozni, de sztem a hp is hasonlo lehet:
a vlan 100 az nem management vlan id. A management vlan id az az 1-es. Ez nem torolheto, alapertelmezesben minden port az 1es vlan-hoz tartozik.
Azaz szerintem a gepednek a vlan1-n kene lennie ha konfigolni akarod az eszkozt.

[Eperkutyus]

Idézet: Freddy - Dátum: 2005. dec. 15., csütörtök - 14:43

ciscorol tudok nyilatkozni, de sztem a hp is hasonlo lehet:
a vlan 100 az nem management vlan id. A management vlan id az az 1-es. Ez nem torolheto, alapertelmezesben minden port az 1es vlan-hoz tartozik.
Azaz szerintem a gepednek a vlan1-n kene lennie ha konfigolni akarod az eszkozt.

magyarul az eszköz vlan 100-on figyel ip cím után, de fix ip-re esélyes vlan1-ben ?

a vlan1 az gyakorlatilag olyan, mintha nem is lenne vlan, nem ? magyarul az a pucér felület, natúr ip-kkel.

[Eperkutyus]

ok linuxon átállítom 192.168.  10.0/24-es szegmenset 1-es vlan-ra .. switch-en is.. aztán meglássuk.

izgi lesz...

[Sumi]

?

https://forum.hwsw.h...topic=69391&hl=

[Eperkutyus]

Idézet: Sumi - Dátum: 2005. dec. 15., csütörtök - 15:57

?

https://forum.hwsw.h...topic=69391&hl=

új téma elõtt keresés illik.

nos:

keresés a fórumban -> keresés kulcsszavak alapján -> "vlan" (idézõjelek nélkül) -> megnézheted, mennyit talál.

pontosan 3-at, de az általad említett, TÉNYLEGES vlan link nincsen köztük.

így aztán mosom kezeimet.


Más: megoldódott a bajom.

A switch-en a 30-as port a PC, 32-es az eltûnt eszköz (elvileg 100-as ID-jû VLAN-ban).

Nos, kaptam egy tippet: switch config -> 30-as pc portot betenni VLAN 100-ba, 32-est is, de a 30-ast NE állítsam TAGGED-re, a 32-est pedig igen. Nem moccant.

Megpróbáltam poénból fordítva , és szépen beugrott, megvan az elveszett kütyü. Tehát PC a 30-ason TAGGED port lett, kütyü a 32-esen UNTAGGED, és látják egymást, és kütyü felveszi a PC-rõl a DHCP-s ip címet.

Cserébe viszont a switch szállt el (a config oldal 192.168.1.250), persze ha a pc-t átdugom nem VLAN-os portba, egy tök másikba, egybõl bejön nyilván (és a kütyü tûnik el).

Azt lenne jó tudni, mit szabályoz pontosan ez a TAGGED-UNTAGGED opció a portokra, mert ezek szerint nem is kis hatása van a dolgokra.. (tag=jelölés?)

Mert annak ellenére, hogy tagged vagy nem, mindkettõ port a VLAN 100-ban volt ..

hmm

Szerkesztette: Eperkutyus 2005. 12. 15. 17:47 -kor

[Krusty]

Valahogy tuti lehet resetelni a cuccot, az általam ismert leggagyibb eszközöktõl kezdve a konzol port nélküli cisco aironet 1100 access pointig mindent vissza lehet állítani gyári beállításokra. Leggyorsabb talán ha ennek utánanézel, hátha. Persze a benne lévõ konfig ilyenkor nyista.

Kérdés, hogy mit jelent az, hogy a cucc a 100-as vlan id-vel próbálkozik. Valszeg egy 802.1q trunk-öt csinál a portján amin 100-as vlan id-vel küld mindent. Neked ilyenkor szintén egy trunk portot kell csinálnod a HP-n a szemben lévõ portból (ez a vlan100 alatt a tagged), a dhcp szervert és a pc portját meg statikusan a 100-as vlan-ba kell tenned, hogy ne kelljen trunk konfiggal szarakodni linux meg windows alatt. Errõl HP-nál lövésem sincs hogy hogyan, logikusan talán a vlan100 alatt az untagged parancs lehet a portra.

[Eperkutyus]

Idézet: Krusty - Dátum: 2005. dec. 15., csütörtök - 16:46

Valahogy tuti lehet resetelni a cuccot, az általam ismert leggagyibb eszközöktõl kezdve a konzol port nélküli cisco aironet 1100 access pointig mindent vissza lehet állítani gyári beállításokra. Leggyorsabb talán ha ennek utánanézel, hátha. Persze a benne lévõ konfig ilyenkor nyista.

Kérdés, hogy mit jelent az, hogy a cucc a 100-as vlan id-vel próbálkozik. Valszeg egy 802.1q trunk-öt csinál a portján amin 100-as vlan id-vel küld mindent. Neked ilyenkor szintén egy trunk portot kell csinálnod a HP-n a szemben lévõ portból (ez a vlan100 alatt a tagged), a dhcp szervert és a pc portját meg statikusan a 100-as vlan-ba kell tenned, hogy ne kelljen trunk konfiggal szarakodni linux meg windows alatt. Errõl HP-nál lövésem sincs hogy hogyan, logikusan talán a vlan100 alatt az untagged parancs lehet a portra.

nem mondanám meg, mi ez, mert confidential


nem lehet resetelni, viszont ha eltûnik az áram, autoconfig indul és no VLAN elsõ körben. nem végfelhasználói kütyü..

csakhogy bugos a firmware, aztán megõrizte a vlan beállítást, ezért szenvedtem ennyit.

nemsokára újraflash-elem, van új fw..

[Sumi]

Idézet: Eperkutyus - Dátum: 2005. dec. 15., csütörtök - 17:41

új téma elõtt keresés illik.

nos:

keresés a fórumban -> keresés kulcsszavak alapján -> "vlan" (idézõjelek nélkül) -> megnézheted, mennyit talál.

pontosan 3-at, de az általad említett, TÉNYLEGES vlan link nincsen köztük.

így aztán mosom kezeimet.


Más: megoldódott a bajom.

A switch-en a 30-as port a PC, 32-es az eltûnt eszköz (elvileg 100-as ID-jû VLAN-ban).

Nos, kaptam egy tippet: switch config -> 30-as pc portot betenni VLAN 100-ba, 32-est is, de a 30-ast NE állítsam TAGGED-re, a 32-est pedig igen. Nem moccant.

Megpróbáltam poénból fordítva , és szépen beugrott, megvan az elveszett kütyü. Tehát PC a 30-ason TAGGED port lett, kütyü a 32-esen UNTAGGED, és látják egymást, és kütyü felveszi a PC-rõl a DHCP-s ip címet.

Cserébe viszont a switch szállt el (a config oldal 192.168.1.250), persze ha a pc-t átdugom nem VLAN-os portba, egy tök másikba, egybõl bejön nyilván (és a kütyü tûnik el).

Azt lenne jó tudni, mit szabályoz pontosan ez a TAGGED-UNTAGGED opció a portokra, mert ezek szerint nem is kis hatása van a dolgokra.. (tag=jelölés?)

Mert annak ellenére, hogy tagged vagy nem, mindkettõ port a VLAN 100-ban volt ..

hmm

pedig én is ezzel a keresõvel találtam.. csak talán azt kellett volna választani, hogy bármikor született hozzászólásokon/témákon scanneljen, ne csak az elmúlt hét napban...

nem baszogatásképp:) én is nyitottam volna új topicot:)

Tutorial:

Szerkesztette: Sumi 2005. 12. 15. 18:41 -kor

[Eperkutyus]

semmi gond Sumi, én nem haragszom meg az admin-ra ha ezt a topic-ot belenyomja abba.. nem vagyok berágós fajta.


egyébként ezt a tagged / untagged dolgot a switch-en továbbra sem értem, annak ellenére, hogy beugrott a VLAN

[lrajmon]

Idézet: Eperkutyus - Dátum: 2005. dec. 16., péntek - 1:49

semmi gond Sumi, én nem haragszom meg az admin-ra ha ezt a topic-ot belenyomja abba.. nem vagyok berágós fajta.


egyébként ezt a tagged / untagged dolgot a switch-en továbbra sem értem, annak ellenére, hogy beugrott a VLAN

Sajnos vagy hál'isten? a HP-ket nem ismerem, de a tagged VLAN-nál az adott portot két- vagy több VLAN-ba teheted. A VLAN1 a default általában, ez a management is. A tagged portok azonos  VLAN ID-k esetén látják egymást. Ha ez nem így van, bugos a cucc. Újraindításkor a VLAN beállításoknak meg kell maradniuk.

[Eperkutyus]

Idézet: lrajmon - Dátum: 2005. dec. 16., péntek - 5:03

Sajnos vagy hál'isten? a HP-ket nem ismerem, de a tagged VLAN-nál az adott portot két- vagy több VLAN-ba teheted. A VLAN1 a default általában, ez a management is. A tagged portok azonos  VLAN ID-k esetén látják egymást. Ha ez nem így van, bugos a cucc. Újraindításkor a VLAN beállításoknak meg kell maradniuk.

megmaradnak a beállítások.

úgy ment a cucc, hogy az egyik port tagged, a másik untagged.

ezt egy cisco-s csávó mondta nekem csípõbõl, hozzátéve, hogy õ nem tudja, hp-kon ez hogy megy .

hát kb ugyanúgy ezek szerint.

[Eperkutyus]

Idézet: lrajmon - Dátum: 2005. dec. 16., péntek - 5:03

Sajnos vagy hál'isten? a HP-ket nem ismerem, de a tagged VLAN-nál az adott portot két- vagy több VLAN-ba teheted. A VLAN1 a default általában, ez a management is. A tagged portok azonos  VLAN ID-k esetén látják egymást. Ha ez nem így van, bugos a cucc. Újraindításkor a VLAN beállításoknak meg kell maradniuk.

Nem értem ezt a VLAN-osdit:

egy VLAN switch miben tud többet egy nem-VLAN-osnál ?

Az oké, hogy a portjait össze lehet kötögetni virtuálisan, melyik melyikkel legyen egy VLAN-ban. De ha natúr nem-VLAN-os switch-et használok, mi történik ?


Arról lenne szó, hogy lenne egy kütyü mondjuk Miskolcon, VLAN ID 100-al, és egy másik kütyü Gyõrben, ami ennek a 100-as VLAN-nak a része, mert arra állítom be.

Mi történik ilyenkor ?

Tegyük fel, két ADSL-es kütyürõl van szó. Útközben kettejük között a BIX és rakás router switch stb. Ha azok egyike/negyede/akármi nem támogatja a VLAN-t, mi történik ? A VLAN ID-k megmaradnak a csomagokban ?

És mi történik, ha egy ilyen 100-as VLAN ID-jû csomag egy másik, szintén 100-as VLAN ID-jû kapcsolattal "találkozik" ? Elkezdik az eszközök látni egymást és máris 4-en vannak, ha éppen véletlen még az ip is úgy van beállítva rajtuk ?

[Sumi]

WAN-on akarsz VLAN-t használni?

[kroozo]

Tényleg hülye kérdés.

Na figy.

Ugye a hálózati kommunikációt layerekben szokás értelmezni. Ami minket ez esetben érdekel az az elsõ 3 szint.

Az elsõ a fizikai hordozóra való illesztés, meg az onnan való olvasás szabályait tartalmazza.

A második azt, h azon az egy darab közegen, amit épp használunk, azon kinek szól a valami, meg h hogyan szabályozódik, h ki beszélhet, meg ilyesmi. Ez lan hálókon ált az ethernet (De lehet egy csomó más dolog is. token ring arcnet, stb). Az ethernetben keretek közlekednek, amiben mac alapján lehet eldönteni, h ki a címzett.

A harmadik esetünkben az IP. Na ez már struktúrált, és alkalmas arra, h több állomáson keresztül (mindig megjáratva a csomagot a két eszköz közötti layer 1-2 rétegen keresztül) végül eljuttassa a címzetthez. Vagyis routeolható.

Nomost az van, h az ethernet mint olyan, egy osztott közeges megoldás, vagyis több egység is vehet egy ethernet keretet, majd akinek szólt az foglalkozik vele, a többiek meg eldobják, és kész. Namost ugye ez annyira azért nem jó, mert biztonsági szempontból kissé hülyeség megbízni a felekben Ezért aztán szertnénk, ha ezek csak jól kontorllálható módon pofázhatnának egymással, és nem láthatnák a többi forgalmat. Ezt úgy lehet elérni, hogy csak layer3 szinten engedjük õket beszélgetni, úgy h van köztük egy tüzesfal. Ennek a módja az, h külön lanokra tesszük õket, ami nagy átlagban azt jelenti, h külön switchekbe kerülnek.

Nade ezzel vannak gondok. Ugye sok sw az sok hely, sok admin macera, nem lehet könnyen átszervezni mindent, stb stb.

Ezért aztán kitalálták, h egy swt szét lehessen virtuálisan szedni több switchre, vagyis ott megtiltani, h beszélgessen egymással, akiknek nem kellene. Hence the name virtual lan.

Ez mind szép és jó, csak éppen mi van, ha én egy nagy cég többszáz gépes hálózatát akarom szétszedni, amik lehet, h nincsenek is közvetlenül egy helyen. Ugye többszáz meg többezer portos swt nem nagyon gyártanak, meg h gyártanának, akkor se lehetne félbefûrészelni, h mind a két épületbe jusson.

Vagyis meg kell oldani, h egy ethernet keret valahogyan tartalmazza azt, h melyik vlanhoz tartozik. Namost a bibi az, h amikor az ethernetet kitalálták, akkor még szó nem volt ilyesmirõl, vagyis meg kell hekkelni szegény kereteket, hozzácsapva még a vlan IDt is a fejléchez, és akkor máris jó, adó oldal beleteszi és vevõ oldal kiolvassa (mátmint a sw-ek), azt kész. Igen ám, csak aki nem tudja, h itt nem normális keretek jönnek, annak bizony szópóág van, mert fingja nem lesz, h mi ez...

És akkkor most jön az a pár mondat, ami a válasz a kérdésedre: A szolgáltatók nem tudják, h te ilyet teszel a kereteidbe. De ha tudná is, akkor sincsen arról gõze, h te milyen vlan idket használsz... Sõt, az utazás nagy részén egyáltalán nem ethernet keretekben utazik a dolgog. Vagyis csak úgy simán nem fog ez a dolog menni, h kienegeded a világba.

Amit tenni lehet az az h felhúzni egy tunelt, vagyis ezen speckó ethernet kereteket (vagy legalábbis az elégséges információt) átküldeni adatként (amire ugye jön IP fejléc, aztán meg útközben az épp aktuális layer2 dolgok). Biztos h van ilyen, de konkrét megoldást sajnos nem tudok.

Bocs a szájbarágós meséért, cs ez most így kijött...

[Krusty]

Idézet: kroozo - Dátum: 2006. jan. 3., kedd - 19:20

Amit tenni lehet az az h felhúzni egy tunelt, vagyis ezen speckó ethernet kereteket (vagy legalábbis az elégséges információt) átküldeni adatként (amire ugye jön IP fejléc, aztán meg útközben az épp aktuális layer2 dolgok).

Ez része a Metro ethernet elképzelésnek, a használt technológia a dot1q tunneling, 802.1ad. Elég sokféle wan megoldáson tudsz átvinni így vlan forgalmat, atm, frame relay és mpls felett biztosan. Viszont nem tudok róla hogy Magyarországon lenne ilyen bármelyik szolgáltatónál (Matáv, Pantel).

[kroozo]

Idézet: Krusty - Dátum: 2006. jan. 4., szerda - 11:16

Ez része a Metro ethernet elképzelésnek, a használt technológia a dot1q tunneling, 802.1ad. Elég sokféle wan megoldáson tudsz átvinni így vlan forgalmat, atm, frame relay és mpls felett biztosan. Viszont nem tudok róla hogy Magyarországon lenne ilyen bármelyik szolgáltatónál (Matáv, Pantel).

Megnézegettem, én nem egészen erre gondoltam, hanem arra, h egyszerûen fogom a kereteket és adatként átküldöm a másik oldalra... Majd nézelõdök kicsit ezügyben

[Eperkutyus]

Aaaaaa tökéletes volt ! :Ð Kezdem érteni.

(Hence the expression: as greedy as a pig) :Ð

Idézet

Igen ám, csak aki nem tudja, h itt nem normális keretek jönnek, annak bizony szópóág van, mert fingja nem lesz, h mi ez...

És akkkor most jön az a pár mondat, ami a válasz a kérdésedre: A szolgáltatók nem tudják, h te ilyet teszel a kereteidbe. De ha tudná is, akkor sincsen arról gõze, h te milyen vlan idket használsz... Sõt, az utazás nagy részén egyáltalán nem ethernet keretekben utazik a dolgog. Vagyis csak úgy simán nem fog ez a dolog menni, h kienegeded a világba.

Aha. Szopóágon mi történik ? Dobja ?

2-ik rész: a VLAN tulképpen layer2-t szegmentál virtuálisan, layer3-on? Lehet hülye vagyok, de izé .. ez nekem így nemtiszta. :Ð Egy alacsonyabb réteget nem nagyon lehet szegmentálni egy fentebbirõl, akár virtuális, akár nem, nem ? Magyarul ha én ethernet szinten akarom hogy VLAN1 ilyen keretet, VLAN2 meg amolyat kapjon, akkor tulképpen layer3-ba becsomagolom a layer2 kereteket ?
De ez nagyon hülyén hangzik.

Vagy a b) gondolatom lenne a jó, magyarul a VLAN csak a sima keretek jól megdugása egy VLAN ID-val? És ezért van az hogy a sima switch-ek lófaxt se látnak belõle ? És vajon elakad a VLAN forgalom egy sima switch-nél ? Na és vajon hogyan pakolom bele a szervert, ami a BIX-ben csücsül, egy olyan VLAN-ba, ami mondjuk Gyõrben van? :Ð Ez lenne a tunnel ? (Mert akkor megoldom).

Mondd kérlek, hogy igen, a b) változat a jó és jól értem amit mondasz..




Szóval ha azt mondom, hogy én vagyok a T-Com, és Debrecennek leosztok egy 100-as VLAN ID-t, Gyõrnek meg egy 200-ast, a BIX-bõl pedig mindkét VLAN-t szeretném látni az egyetlen szervergépemmel, akkor .. .. akkor ? :Ð :Ð