Continua il nostro “viaggio” alla scoperta degli switch SML2008 di Linksys: piccoli “gioiellini” hardware capaci di gestire al meglio la nostra Lan aziendale. L’ articolo di oggi approfondisce e completa la configurazione e l’utilizzo della funzionalità VLAN in modo da poter “segmentare” a piacere la nostra rete interna. Le possibilità d’utilizzo sono molteplici; vediamone alcune.
Il primo articolo era solo una prima veloce spolverata riguardo a cosa solo le VLAN ed un cenno su come implementarne una.
Con questo secondo articolo invece tratterò con maggior dettaglio una nuova configurazione degli switch SLM2008.
Questa è la configurazione che andremo a fare:
3 VLAN da trasportare in un solo cavo, con la vlan 8 dedicata al trasporto delle altre. Ad ogni vlan ho associato 2 porte in modo da lasciare la possibilità di espanderla in futuro: in figura si vede che le porte 7 e 8 sono libere ed è possibile collegarci SOLO altri switch gemelli (limitazione fatta via software e che verrà spiegata in seguito).
In questo modo il traffico delle vlan 1-3 è isolato tra loro: questo comporta che utenti/periferiche collegati ad una vlan possano “muoversi” solo all’interno della propria.
Configurazione
Partiamo dalla prima pagina…
Prima di tutto settiamo un ip statico per lo switch, seguito da netmask e gateway…. si ma di quale vlan ?
Scegliamo da quale vlan possiamo raggiungere lo switch. Personalmente ho utilizzato la VLAN 1; di conseguenza ho impostato ip mask e gateway facenti parte di quella rete.
Da questo momento in poi l’interfaccia di configurazione dello switch sarà raggiungibile SOLO dalla VLAN 1 tramite l’ip impostato.
Menu Port sezione Port e LAG
LAG significa aggregazione link: se un solo cavo di rete non è sufficiente, o se necessito di una dorsale con sicurezza di continuità (ad esempio in caso venga accidentalmente tagliato un cavo), posso impostare un LAG in modo da unire 2 porte (2 cavi) come se fossero una. Questo garantisce anche la distribuzione del traffico ed il bilanciamento dello stesso per un totale di 2 Gb FULLduplex. Lo SML2008 permette di creare solamente 2 LAG, con la possibilità di riunire nello stesso più porte in modo da aumentarne la ridondanza. Ovviamente ricordate che lo switch ha solo 8 porte!.
Menu VLAN sezione Settings
In questa sezione si ha la possibilità di creare nuove VLAN.
Nel nostro caso ho creato le VLAN 1 2 3 8 associando le relative porte.
Come si vede dalle immagini che seguono le porte 7 e 8 sono presenti in tutte le vlan perchè sono le porte del cavo dorsale. Queste porte poi sono uniche membre della vlan8 che è appunto dedicata al trasporto dei pacchetti taggati.
Menu VLAN sezione Port Settings
E’ qui tutto il gioco delle VLAN !! Spiego in dettaglio ogni voce.
PVID è Port VLAN ID: tutto il traffico NON taggato entrante sulla porta verrà TAGGATO con un VLAN ID identico al PVID. Nel nostro esempio ho settato il PVID coerentemente a quanto impostato in precedenza, quindi se la porta 1 è membro della VLAN 1 ho impostato un PVID = 1 per tale porta.
Questo comporta che tutto il traffico non taggato in ingresso verrà contrassegnato con il VLAN ID = 1 in modo da riconoscerlo. Il traffico entrante nella porta 3 verrà taggato con VLAN ID = 2 e così via.
Tenete presente che NORMALMENTE tutto il traffico è senza un TAG VLAN: la “marcatura” dei pacchetti che transitano nella nostra rete è demandata allo switch!
Enable Tx Force Untag: Quando questa opzione è abilitata tutto il traffico uscente da questa porta viene “smarcato/staggato”. Viceversa, quando questa opzione è disabilitata, solo il traffico con VLAN TAG ID pari al PVID viene “smarcato/staggato”, mentre il restante “esce” con il proprio TAG (diverso da PVID).
In altre parole: questa è la regola che andrà ad applicarsi al traffico uscente dalla porta dello switch, se si abilita questa opzione, a tutti i pacchetti uscenti verrà eliminato il contrassegno VLAN ID e quindi saranno “leggibili” da tutti gli apparecchi collegati a quella porta.
Viceversa, se questa opzione è disabilitata, solo i pacchetti uscenti con VLAN ID = PVID verranno “smarcati/staggati” e quindi saranno leggibili da tutti, mentre gli altri che presentano un TAG VLAN diverso dal PVID, rimarranno TAGGATI e quindi “leggibili” solo dalle periferiche impostate per leggere il traffico con quel TAG.
Enable Ingress Filter: Regolamenta i pacchetti in ingresso alla porta.
Questa opzione determina come vengono processati i pacchetti taggati MA non facenti parte della VLAN abbinata alla porta (VLAN ID diverso da PVID).
Questa regola viene applicata solamente per i pacchetti in entrata precedentemente taggati: se abilitato, tutti i pacchetti entranti con tag DIVERSO da PVID verranno cestinati, viceversa, i pacchetti verranno diretti (“ruotati”) alla VLAN corretta (cosi come risultante dal tag).
Acceptable Frame Type: Tipo di pacchetti accettato.
Viene scelto se accettare in ingresso tutti i pacchetti, sia taggati che non, oppure solo quelli taggati.
Quando si sceglie di riceverli tutti, ogni pacchetto ricevuto SENZA tag verrà ruotato alla VLAN in base al PVID della porta di ingresso.
Bene mi pare di aver spiegato le impostazioni. Ora vediamo come si comporta la nostra configurazione:
Normalmente tutto il traffico presente sulla propria rete è senza un valido tag VLAN, quindi quando entra un pacchetto senza tag in una porta (1-6) viene ridirezionato verso la VLAN definita dal PVID della porta di ingresso, qualora invece fosse già taggato, ma con un VLAN ID diverso da PVID, questo verrà eliminato.
In questo modo isolo le diverse VLAN.
Per quanto riguarda il traffico in uscita da una porta (1-6): qualsiasi pacchetto si presenti verrà “ripulito” dall’eventuale tag e quindi potrà essere “letto” da qualsiasi dispositivo.
Le porte 7 e 8 fanno parte di tutte le VLAN create (1-3) e sono le uniche presenti nella VLAN 8.
Tutti i pacchetti entranti nelle VLAN 1-3 usciranno anche dalle porte 7 e 8 ma mantenendo il proprio tag originale perchè è disabilitata l’opzione Force Untag. Su queste porte (7-8) viene accettato in ingresso SOLO traffico taggato che poi viene ruotato alla VLAN corrispondente. Se quindi colleghiamo un PC (che non ha il supporto VLAN) alla porta 7 o 8, risulterà isolato perchè su quelle porte può transitare solo traffico “taggato”.
Ma allora a cosa serve la VLAN8 ? E’ necessaria per isolare il traffico senza tag entrante nelle porte 7-8!!…
Traffico per altro disabilitato.
Una variante interessante potrebbe rivelarsi la possibilità di unire le porte 7-8 in un LAG in modo da avere piena ridondanza di collegamento tra uno switch e l’altro. Questo implica un collegamento limitato a 2 switch (Punto – Punto). Invece nell’ esempio si possono collegare molti switch in cascata e permettere di derivare localmente le VLAN di interesse. Ovviamente ci si puo sbizzarrire!! Ad esempio sottraendo altre 2 porte a qualche VLAN è possibile costituire un secondo LAG ed andarci a collegare un altro switch…. Le possibilità di utilizzo sono pressochè limitate dalla sola fantasia del maintainer di rete !!
Per finire alcuni dettagli:
Limitiamo un eventuale flood di muticast
ed abilitiamo il protocollo per eliminare i loop generati da una eventuale configurazione non corretta dei cavi e/o degli ip e/o dello switch.
“Uhèè, me par de aver ditto tutto queo ke jera necessario saver par mettere in piè sto affare complicato”.
Io uso correntemente questa configurazione e nel caso facessi delle modifiche migliorative aggiornerò l’articolo.
Ciao Sk3
Stay Tuned with Plug & VoIP
Cosa sono le VLAN ? Sperimentiamone una…
Ciao Sk3,
interessante questo switchino Linksys…
Ti vorrei fare notare una piccola svista nella configurazione di STP: il portfast è sostanzialmente la disattivazione di STP per le porte su cui viene abilitato.
STP, prima di convergere, transita le porte in diversi stati, di cui l’ultimo è Forwarding (nel caso di una designated/root port) o Blocked (nel caso una porta con una priorità maggiore servisse gia il segmento).
Portfast viene abilitato solo nelle porte “access”, quelle cui siamo sicuri verranno collegati terminator hosts. Se tu abiliti portfast su tutte le porte, STP considera quelle porte come “sicuramente loop-free”, se quindi includi quelle porte in un aggregator link o in uplink con un altro switch, genererai sicuramente un broadcast storm.
Portfast va abilitato solo nelle porte destinate a connettere pc, routers, server et similia.
La tua configurazione quindi è parzialmente inesatta.
Inoltre, STP è un protocollo di Livello 2, quindi se si fa casino con gli ip (Livello 3), non è un problema di STP.
Per quanto riguarda l’inserimento di una porta in piu’ VLANs, questo è sconsigliato. La best practice è: una subnet per segmento (VLAN). Le vlan servono per la microsegmentazione e il loro scopo è diminuire i broadcast flood. Se rendi una porta parte di più vlan, i broadcast non vengono divisi.
A quanto mi pare di capire, questo switchino è un multilayer, quindi dovresti essere in grado di attribuire differenti ip allo stesso (si chiamano SVI) da assegnare come gateway agli host delle singole vlan. Il passaggio da una vlan all’altra (a livello 3) si ha tramite le SVI che configurerai.
Saluti
Luca
Commentato da Luca Gervasi | novembre 3, 2009, 10:36 |Fantastico !
Si quella della conf di STP è una svista nella jpg allegata che ora ho corretto.
Grazie
Per il discorso degli IP e livelli…
purtroppo alla gestione web dello switch si puo assegnare solo un IP e solo una VLAN.
Si chiaro che è la cosa migliore una subnet x ogni VLAN, il mio commento nell’articolo probabilmente non è chiaro e voleva solo far notare che la VLAN separa le reti a prescindere dalle subnet assegnate, se io setto una stessa subnet per 2 VLAN distinte non c’è nessun problema ma è consigliato.
Ho inserito le porte 7 e 8 su tutte le VLAN in quanto il mio intento è quello di convogliare più reti LAN distinte in un unico cavo dorsale per poi separale dall’altro capo.
Per passare da una VLAN all’altra bisogna affidarsi ad un router collegato allo switch in maniera opportuna in quanto lo switch non ce l’ha integrato.
Quello che dici tu è il modello SRW2008P che ha tutto un altro costo ed avendo un potente router interno ci si fanno cose mirabolanti !
Ciao Sk3 e grazie 1000 per il commento … non si finisce MAI di imparare.
Commentato da skizzo3000 | novembre 4, 2009, 02:51 |Mi permetto di linkare l’ottimo riassunto tecnico teorico sulle VLAN fatto da Luca
Clikka QUI
Sk3
Commentato da skizzo3000 | novembre 4, 2009, 03:13 |Scusate se mi intrometto. Sto tentando, da completo ignorante, a settare 2 vlan all’interno del mio ufficio, dove ci sono 2 ditte che usano lo stesso switch, un SLM224G Cisco. Vorrei separare le 2 ditte in modo che non si vedessero. Ho creato 2 vlan, la 2 e la 3 (la 1 è defalut) ed ho reso membro tagged della prima, le prime 12 porte, e membro della seconda le altre 12 porte. Nel campo pvid ho lasciato a tutte il valore 1. Il risultato è che le due reti continuano a vedersi. Se in pvid metto 2 per una vlan e 3 per l’altra vlan, non va più niente. Ho bisogno di un aiuto, pensavo fosse più semplice…
Commentato da Massimiliano | novembre 4, 2009, 14:16 |Ciao massimiliano,
settiamo insieme la vlan 2 e poi per la 3 sarà la stessa cosa ma con vlan id e pvid = 3.
Guardando le immagini dell’articolo…
- Aggiungi le porte alla vlan
- Nel port settings setta tutte le porte con Force Untag e ingress filter e acceptable ALL
- setta tutte le porte membre della vlan con il pvid corrispondente
In questo modo deve funzionare.
In caso non vada spiega esattamente cosa non va.
Ciao Sk3
Commentato da skizzo3000 | novembre 5, 2009, 13:07 |Ciao Sk3, grazie per la risposta, ma non riesco ancora a far funzionare le vlan. Nel port setting non ho force untag ma accettable frame type (all)pvid, ingress filtering e LAG. nella scheda successiva “port to vlan” seleziono la vlan 2 e rendo mebri della vlan2 le prime 12 porte, selezionando untagged (equivale a force untag?)idem per la vlan3, con le altre 12 porte. Se lascio pvid 1, tutto funziona come prima, ma le due reti si vedono. Se assegno pvid 2 alle prime 12 porte, membri della vlan2, nessun pc collegato alle prime 12 porte riesce a vedere la rete. Ciascun pc è isolato. Se vuoi, posso inviarti delle immagini delle schermate di configurazione. ciao e grazie per l’interessamento
Commentato da massimiliano | novembre 9, 2009, 00:37 |secondo il manuale nel menu
Port Settings:
Acceptable Frame Type = all
PVID = numero della VLAN di cui la porta è membro
Ingress Filtering = enable
Port to VLAN:
Select VLAN = VLAN ID e Tagged
VLAN to Port:
Join VLAN to Port -> Tagging = Untagged
Non avendo mai avuto quel modello non ti posso garantire che funzioni.
Ciao Sk3
Commentato da skizzo3000 | novembre 9, 2009, 18:43 |grazie delle indicazioni, non avevo considerato la scheda vlan to port. Sono riuscito a fare 2 vlan separate, che non si vedono. Però in Port to VLAN:
Select VLAN = VLAN ID e UNTagged, non ho messo tagged
Vorrei ora fare in modo che una porta facesse parte delle 2 vlan, in modo che un pc sia accessibile da entrambi. Su Port to VLAN Select VLAN 2 e 3, tagged e in VLAN to Port Join VLAN 2 e 3 to Port tagged. Pensavo andasse bene, ma nn mi funziona. ciao e grazie ancora
Commentato da Massimiliano | novembre 10, 2009, 11:02 |se hai settato in Port to VLAN -> elect VLAN = VLAN ID e UNTagged e funziona, fallo anche sulla porta membro delle due VLAN
Port to VLAN Select VLAN 2 e 3, Untagged e in VLAN to Port Join VLAN 2 e 3 to Port Untagged.
Ciao Sk3
Commentato da skizzo3000 | novembre 13, 2009, 15:07 |