// Stai leggendo ...

Hardware

VLAN e SML2008: creiamone una

Continua il nostro “viaggio” alla scoperta degli switch SML2008 di Linksys: piccoli “gioiellini” hardware capaci di gestire al meglio la nostra Lan aziendale. L’ articolo di oggi approfondisce e completa la configurazione e l’utilizzo della funzionalità VLAN in modo da poter “segmentare” a piacere la nostra rete interna. Le possibilità d’utilizzo sono molteplici; vediamone alcune.


Il primo articolo era solo una prima veloce spolverata riguardo a cosa solo le VLAN ed un cenno su come implementarne una.

Con questo secondo articolo invece tratterò con maggior dettaglio una nuova configurazione degli switch SLM2008.

Questa è la configurazione che andremo a fare:

3 VLAN da trasportare in un solo cavo, con la vlan 8 dedicata al trasporto delle altre. Ad ogni vlan ho associato 2 porte in modo da lasciare la possibilità di espanderla in futuro: in figura si vede che le porte 7 e 8 sono libere ed è possibile collegarci SOLO altri switch gemelli (limitazione fatta via software e che verrà spiegata in seguito).

In questo modo il traffico delle vlan 1-3 è isolato tra loro: questo comporta che utenti/periferiche collegati ad una vlan possano “muoversi” solo all’interno della propria.

Configurazione

Partiamo dalla prima pagina…

Prima di tutto settiamo un ip statico per lo switch, seguito da netmask e gateway…. si ma di quale vlan ?
Scegliamo da quale vlan possiamo raggiungere lo switch. Personalmente ho utilizzato la VLAN 1; di conseguenza ho impostato ip mask e gateway facenti parte di quella rete.
Da questo momento in poi l’interfaccia di configurazione dello switch sarà raggiungibile SOLO dalla VLAN 1 tramite l’ip impostato.

Menu Port sezione Port e LAG

LAG significa aggregazione link: se un solo cavo di rete non è sufficiente, o se necessito di una dorsale con sicurezza di continuità (ad esempio in caso venga accidentalmente tagliato un cavo), posso impostare un LAG in modo da unire 2 porte (2 cavi) come se fossero una. Questo garantisce anche la distribuzione del traffico ed il bilanciamento dello stesso per un totale di 2 Gb FULLduplex. Lo SML2008 permette di creare solamente 2 LAG, con la possibilità di riunire nello stesso più porte in modo da aumentarne la ridondanza. Ovviamente ricordate che lo switch ha solo 8 porte!.

Menu VLAN sezione Settings

In questa sezione si ha la possibilità di creare nuove VLAN.
Nel nostro caso ho creato le VLAN 1 2 3 8 associando le relative porte.
Come si vede dalle immagini che seguono le porte 7 e 8 sono presenti in tutte le vlan perchè sono le porte del cavo dorsale. Queste porte poi sono uniche membre della vlan8 che è appunto dedicata al trasporto dei pacchetti taggati.



Menu VLAN sezione Port Settings

E’ qui tutto il gioco delle VLAN !! Spiego in dettaglio ogni voce.
PVID è Port VLAN ID: tutto il traffico NON taggato entrante sulla porta verrà TAGGATO con un VLAN ID identico al PVID. Nel nostro esempio ho settato il PVID coerentemente a quanto impostato in precedenza, quindi se la porta 1 è membro della VLAN 1 ho impostato un PVID = 1 per tale porta.
Questo comporta che tutto il traffico non taggato in ingresso verrà contrassegnato con il VLAN ID = 1 in modo da riconoscerlo. Il traffico entrante nella porta 3 verrà taggato con VLAN ID = 2 e così via.
Tenete presente che NORMALMENTE tutto il traffico è senza un TAG VLAN: la “marcatura” dei pacchetti che transitano nella nostra rete è demandata allo switch!

Enable Tx Force Untag: Quando questa opzione è abilitata tutto il traffico uscente da questa porta viene “smarcato/staggato”. Viceversa, quando questa opzione è disabilitata, solo il traffico con VLAN TAG ID pari al PVID viene “smarcato/staggato”, mentre il restante “esce” con il proprio TAG (diverso da PVID).
In altre parole: questa è la regola che andrà ad applicarsi al traffico uscente dalla porta dello switch, se si abilita questa opzione, a tutti i pacchetti uscenti verrà eliminato il contrassegno VLAN ID e quindi saranno “leggibili” da tutti gli apparecchi collegati a quella porta.
Viceversa, se questa opzione è disabilitata, solo i pacchetti uscenti con VLAN ID = PVID verranno “smarcati/staggati” e quindi saranno leggibili da tutti, mentre gli altri che presentano un TAG VLAN diverso dal PVID, rimarranno TAGGATI e quindi “leggibili” solo dalle periferiche impostate per leggere il traffico con quel TAG.

Enable Ingress Filter: Regolamenta i pacchetti in ingresso alla porta.
Questa opzione determina come vengono processati i pacchetti taggati MA non facenti parte della VLAN abbinata alla porta (VLAN ID diverso da PVID).
Questa regola viene applicata solamente per i pacchetti in entrata precedentemente taggati: se abilitato, tutti i pacchetti entranti con tag DIVERSO da PVID verranno cestinati, viceversa, i pacchetti verranno diretti (“ruotati”) alla VLAN corretta (cosi come risultante dal tag).

Acceptable Frame Type: Tipo di pacchetti accettato.
Viene scelto se accettare in ingresso tutti i pacchetti, sia taggati che non, oppure solo quelli taggati.
Quando si sceglie di riceverli tutti, ogni pacchetto ricevuto SENZA tag verrà ruotato alla VLAN in base al PVID della porta di ingresso.

Bene mi pare di aver spiegato le impostazioni. Ora vediamo come si comporta la nostra configurazione:

Normalmente tutto il traffico presente sulla propria rete è senza un valido tag VLAN, quindi quando entra un pacchetto senza tag in una porta (1-6) viene ridirezionato verso la VLAN definita dal PVID della porta di ingresso, qualora invece fosse già taggato, ma con un VLAN ID diverso da PVID, questo verrà eliminato.
In questo modo isolo le diverse VLAN.
Per quanto riguarda il traffico in uscita da una porta (1-6): qualsiasi pacchetto si presenti verrà “ripulito” dall’eventuale tag e quindi potrà essere “letto” da qualsiasi dispositivo.
Le porte 7 e 8 fanno parte di tutte le VLAN create (1-3) e sono le uniche presenti nella VLAN 8.
Tutti i pacchetti entranti nelle VLAN 1-3 usciranno anche dalle porte 7 e 8 ma mantenendo il proprio tag originale perchè è disabilitata l’opzione Force Untag. Su queste porte (7-8) viene accettato in ingresso SOLO traffico taggato che poi viene ruotato alla VLAN corrispondente. Se quindi colleghiamo un PC (che non ha il supporto VLAN) alla porta 7 o 8, risulterà isolato perchè su quelle porte può transitare solo traffico “taggato”.
Ma allora a cosa serve la VLAN8 ? E’ necessaria per isolare il traffico senza tag entrante nelle porte 7-8!!…
Traffico per altro disabilitato.

Una variante interessante potrebbe rivelarsi la possibilità di unire le porte 7-8 in un LAG in modo da avere piena ridondanza di collegamento tra uno switch e l’altro. Questo implica un collegamento limitato a 2 switch (Punto – Punto). Invece nell’ esempio si possono collegare molti switch in cascata e permettere di derivare localmente le VLAN di interesse. Ovviamente ci si puo sbizzarrire!! Ad esempio sottraendo altre 2 porte a qualche VLAN è possibile costituire un secondo LAG ed andarci a collegare un altro switch…. Le possibilità di utilizzo sono pressochè limitate dalla sola fantasia del maintainer di rete !!

Per finire alcuni dettagli:

Limitiamo un eventuale flood di muticast

ed abilitiamo il protocollo per eliminare i loop generati da una eventuale configurazione non corretta dei cavi e/o degli ip e/o dello switch.

“Uhèè, me par de aver ditto tutto queo ke jera necessario saver par mettere in piè sto affare complicato”.

Io uso correntemente questa configurazione e nel caso facessi delle modifiche migliorative aggiornerò l’articolo.

Ciao Sk3

Stay Tuned with Plug & VoIP

Commenti

commenti


I commenti all'articolo

16 commenti for “VLAN e SML2008: creiamone una”

  1. Ciao Sk3,
    interessante questo switchino Linksys…

    Ti vorrei fare notare una piccola svista nella configurazione di STP: il portfast è sostanzialmente la disattivazione di STP per le porte su cui viene abilitato.

    STP, prima di convergere, transita le porte in diversi stati, di cui l’ultimo è Forwarding (nel caso di una designated/root port) o Blocked (nel caso una porta con una priorità maggiore servisse gia il segmento).

    Portfast viene abilitato solo nelle porte “access”, quelle cui siamo sicuri verranno collegati terminator hosts. Se tu abiliti portfast su tutte le porte, STP considera quelle porte come “sicuramente loop-free”, se quindi includi quelle porte in un aggregator link o in uplink con un altro switch, genererai sicuramente un broadcast storm.

    Portfast va abilitato solo nelle porte destinate a connettere pc, routers, server et similia.

    La tua configurazione quindi è parzialmente inesatta.

    Inoltre, STP è un protocollo di Livello 2, quindi se si fa casino con gli ip (Livello 3), non è un problema di STP.

    Per quanto riguarda l’inserimento di una porta in piu’ VLANs, questo è sconsigliato. La best practice è: una subnet per segmento (VLAN). Le vlan servono per la microsegmentazione e il loro scopo è diminuire i broadcast flood. Se rendi una porta parte di più vlan, i broadcast non vengono divisi.
    A quanto mi pare di capire, questo switchino è un multilayer, quindi dovresti essere in grado di attribuire differenti ip allo stesso (si chiamano SVI) da assegnare come gateway agli host delle singole vlan. Il passaggio da una vlan all’altra (a livello 3) si ha tramite le SVI che configurerai.

    Saluti

    Luca

    Commentato da Luca Gervasi | novembre 3, 2009, 10:36 |
  2. Fantastico !
    Si quella della conf di STP è una svista nella jpg allegata che ora ho corretto.
    Grazie ;)

    Per il discorso degli IP e livelli…
    purtroppo alla gestione web dello switch si puo assegnare solo un IP e solo una VLAN.
    Si chiaro che è la cosa migliore una subnet x ogni VLAN, il mio commento nell’articolo probabilmente non è chiaro e voleva solo far notare che la VLAN separa le reti a prescindere dalle subnet assegnate, se io setto una stessa subnet per 2 VLAN distinte non c’è nessun problema ma è consigliato.

    Ho inserito le porte 7 e 8 su tutte le VLAN in quanto il mio intento è quello di convogliare più reti LAN distinte in un unico cavo dorsale per poi separale dall’altro capo.

    Per passare da una VLAN all’altra bisogna affidarsi ad un router collegato allo switch in maniera opportuna in quanto lo switch non ce l’ha integrato.
    Quello che dici tu è il modello SRW2008P che ha tutto un altro costo ed avendo un potente router interno ci si fanno cose mirabolanti !

    Ciao Sk3 e grazie 1000 per il commento … non si finisce MAI di imparare.

    Commentato da skizzo3000 | novembre 4, 2009, 02:51 |
  3. Mi permetto di linkare l’ottimo riassunto tecnico teorico sulle VLAN fatto da Luca
    Clikka QUI

    Sk3

    Commentato da skizzo3000 | novembre 4, 2009, 03:13 |
  4. Scusate se mi intrometto. Sto tentando, da completo ignorante, a settare 2 vlan all’interno del mio ufficio, dove ci sono 2 ditte che usano lo stesso switch, un SLM224G Cisco. Vorrei separare le 2 ditte in modo che non si vedessero. Ho creato 2 vlan, la 2 e la 3 (la 1 è defalut) ed ho reso membro tagged della prima, le prime 12 porte, e membro della seconda le altre 12 porte. Nel campo pvid ho lasciato a tutte il valore 1. Il risultato è che le due reti continuano a vedersi. Se in pvid metto 2 per una vlan e 3 per l’altra vlan, non va più niente. Ho bisogno di un aiuto, pensavo fosse più semplice…

    Commentato da Massimiliano | novembre 4, 2009, 14:16 |
  5. Ciao massimiliano,
    settiamo insieme la vlan 2 e poi per la 3 sarà la stessa cosa ma con vlan id e pvid = 3.

    Guardando le immagini dell’articolo…
    - Aggiungi le porte alla vlan
    - Nel port settings setta tutte le porte con Force Untag e ingress filter e acceptable ALL
    - setta tutte le porte membre della vlan con il pvid corrispondente

    In questo modo deve funzionare.
    In caso non vada spiega esattamente cosa non va.

    Ciao Sk3

    Commentato da skizzo3000 | novembre 5, 2009, 13:07 |
    • Ciao Sk3, grazie per la risposta, ma non riesco ancora a far funzionare le vlan. Nel port setting non ho force untag ma accettable frame type (all)pvid, ingress filtering e LAG. nella scheda successiva “port to vlan” seleziono la vlan 2 e rendo mebri della vlan2 le prime 12 porte, selezionando untagged (equivale a force untag?)idem per la vlan3, con le altre 12 porte. Se lascio pvid 1, tutto funziona come prima, ma le due reti si vedono. Se assegno pvid 2 alle prime 12 porte, membri della vlan2, nessun pc collegato alle prime 12 porte riesce a vedere la rete. Ciascun pc è isolato. Se vuoi, posso inviarti delle immagini delle schermate di configurazione. ciao e grazie per l’interessamento

      Commentato da massimiliano | novembre 9, 2009, 00:37 |
      • secondo il manuale nel menu
        Port Settings:
        Acceptable Frame Type = all
        PVID = numero della VLAN di cui la porta è membro
        Ingress Filtering = enable

        Port to VLAN:
        Select VLAN = VLAN ID e Tagged

        VLAN to Port:
        Join VLAN to Port -> Tagging = Untagged

        Non avendo mai avuto quel modello non ti posso garantire che funzioni.

        Ciao Sk3

        Commentato da skizzo3000 | novembre 9, 2009, 18:43 |
  6. grazie delle indicazioni, non avevo considerato la scheda vlan to port. Sono riuscito a fare 2 vlan separate, che non si vedono. Però in Port to VLAN:
    Select VLAN = VLAN ID e UNTagged, non ho messo tagged
    Vorrei ora fare in modo che una porta facesse parte delle 2 vlan, in modo che un pc sia accessibile da entrambi. Su Port to VLAN Select VLAN 2 e 3, tagged e in VLAN to Port Join VLAN 2 e 3 to Port tagged. Pensavo andasse bene, ma nn mi funziona. ciao e grazie ancora

    Commentato da Massimiliano | novembre 10, 2009, 11:02 |
  7. Ciao,
    vorrei chiedervi un aiuto: ho 2 switch Linksys SRV208 collegati fra loro ai quali sono collegati, fra le altre cose, 12 cavi di rete su ognuno dei quali arrivano sia pacchetti dati che voce (ossia viene usato un singolo cavo per ogni postazione lavoro: dalla torretta il cavo va nel telefono IP dotato di switch interno e da qui un altro cavo va al PC).
    Dato che le telefonate sono spesso disturbate o addirittura cadono credo vadano create delle VLAN per separare il traffico voce da quello dati, ma non so da dove cominciare..
    Sapete darmi una mano?
    Grazie.
    Stefano

    Commentato da Stefano | ottobre 15, 2010, 17:00 |
    • Mi pare che l’esempio di questo post sia abbastanza auto-esplicativo ed un ottima base da cui partire. Mancherebbe solo completare l’opera impostando delle regole di qos. Ovviamente non si può pretendere che qualcun altro faccia il proprio lavoro gratis :)

      Commentato da skumpic | ottobre 16, 2010, 14:55 |
      • Grazie Skumpic, l’esempio del post è spiegato bene ma descrive una situazione più complessa di quella che serve a me: io devo solo dividere il traffico voce da quello dati, ma seguendo questo esempio non riesco a farlo…
        Scusa la mia ignoranza in materia, non pretendo che qualcun’altro faccia il mio lavoro gratis, ho solo chiesto se qualcuno può postare un esempio che risolva la mia esigenza…

        Commentato da Stefano | ottobre 18, 2010, 09:38 |
        • Questo perchè con questo esempio dividiamo il traffico sulla base della porta utilizzata, mentre a te serve farlo sulla base del traffico generato visto che utilizzi un solo cavo. Se non ricordo male, fortunatamente il SML2008 può gestire il qos anche sulla base dei tag che marcano i singoli pacchetti, quindi qualora io ricordassi bene, in base alla realtà della tua installazione, devi valutare come “taggare” il traffico in uscita dai telefoni voip e dai pc collegati.
          Onestamente, e spero che non ti offenderai, sono cose banalissime che se ti sei preso la briga di cablare un ufficio da 12 postazioni dovresti sapere, poi ovviamente nessuno è onnisciente e conosce perfettamente tutti gli hardware del mondo, ma questa è proprio la base del qos… Spero di esserti stato d’aiuto !! :)

          ps. dai un’ occhiata anche al manuale http://www.cisco.com/en/US/docs/switches/lan/csbss/slm2005_slm2008/administration/guide/SLM2005_SLM2008_V10_UG_A-Web.pdf

          Commentato da skumpic | ottobre 18, 2010, 12:36 |
  8. Come dici tu a me serve dividere le reti in base al tipo di traffico ed è proprio questo che non riesco a capire come si fa, neanche spulciando il manuale…
    L’unica cosa che mi sembra fattibile è classificarlo in base all’indirizzo IP sorgente, ma ciò implica che i PC ed i telefoni devono avere indirizzamenti diversi (ad esempio 192.168.0.xxx e 192.168.1.xxx) giusto?
    E comunque su cosa devo intervenire? VLAN, ACL o QoS o tutti e tre?

    Commentato da Stefano | ottobre 18, 2010, 17:01 |
    • E’ sufficiente che ogni sorgente di traffico “tagghi” in modo diverso i propri pacchetti, poi lato switch attribuisci una regola diversa per ogni “marcatore”.

      Commentato da skumpic | ottobre 18, 2010, 18:57 |
      • OK ho capito, e penso che i telefoni buttano fuori pacchetti già taggati (ma non so in che modo), ma come faccio a far buttar fuori pacchetti taggati ai PC?
        E lato switch come faccio a distinguerli, tramite il match DSCP?
        Scusa se ti sembrano domande banali, sto cercando di risolvere il problema di un cliente ma questo non è propriamente il mio lavoro…

        Commentato da Stefano | ottobre 21, 2010, 12:18 |

Lascia un commento

Devi essere autenticato per lasciare un commento.