praegune kellaaeg 17.06.2024 09:27:02 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
sõnum   |
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
02.11.2014 13:18:29
VMWare Workstation ja VLAN. |
|
|
Hi, miks Workstation kõrvaldab vlan IEEE 802.1Q headerid nii sisse kui välja pakettidest ning kas selle vastu rohtu on. Siis pean silmas virtuaalmasina virtuaalse võrgukaardi ühendust hosti füüsilise võrgukaardiga bridgena läbi virtualswitchi.
Natuke paremaks sain asja nii et ostsin USB3 kaardi ja USB3-->LAN1000 adapteri, hostis suunasin adapteri Win2012 guesti ja seal tegin windowsi bridge virtuaalmasinate team virtuaalse adapteriga. Nüüd saavad kõik teami VM-id kasutada lan-teami virtuaalvõrgukaarte. Selgus et nii IEEE 802.1Q header siiski jõuab VM-idesse, kuid tagasi tulevad paketid on ikka ilma. Põhimõtteliselt VLAN-e juba teha saab, kuna ühest suunast piisab. Manageeritava virtuaalse switchina saab mingisse VM-i installitult
edukalt kasutada Mikrotikut, mis oskab VLANe suunata, kui tage lisada ja eemaldada. Kuid ikkagi Vmware Workstationi tööga pole rahul.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
 |
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
02.11.2014 19:00:40
|
|
|
| Kas sul on VLAN tagitud kõikides portides kus on mitu VLANi? Virtuaalmasin ei midagi teadma VLANidest kui ta tal neid mitu võrgukaardi/pordi kohta pole.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
02.11.2014 20:20:44
|
|
|
| scrapper kirjutas: |
| "]Kas sul on VLAN tagitud kõikides portides kus on mitu VLANi? Virtuaalmasin ei midagi teadma VLANidest kui ta tal neid mitu võrgukaardi/pordi kohta pole. |
No ilma tagimata vlani pole ju võimalik katsetada et kas vlan läbi läheb.  Virtualmasinates on nii KerioControl, mis tõõtab rava peal ja teeb ise tage, kui ka Mikrotik töötab raua peal ja ka teeb ise tage. Hypervisori virtualswitch keerab essu kokku. Kuna ta ilusti eemaldab 802.1Q headeri vahelt ära, siis ta teab VLANidest väga hästi, muidu ta ei oskaks nii puhast tööd teha. Kahtlustan et see on VMWare poolt pahatahtlikult nii tehtud, umbes nii et kui tahad VLANe, siis s*itu pappi ja osta ESXi. Ja kui saata 802.1Q headeriga pakett näiteks arvutile, siis tavalisest switchist läheb see läbi muutmatult, kuna MAC aadressid on eespool, arvuti jaks aga peaks olema tundmatu MAC protokol. Aga VMWare lasi paketi läbi nagu polekski seda headerit.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
03.11.2014 11:07:18
|
|
|
Workstation toetab VLANe ilusasti - alates 6.0st. Mulle jääb arusaamatuks miks sul virtuaalmasinad VLANe tagivad. Mida sa sellega saavutada soovid, VM-ruuterit? VLANide tagimine on vajalik vaid siis kui sul pordist liigub läbi mitu erinevat VLANi ja reeglina lõppseadmes (VMs) on vaid üks võrk.
Kui sul on füüsilises võrguseadmes mitu võrku ning Workstationis mitu võrku siis peab olema tagitud vaid switchi port ning Workstationi switchipoolne füüsiline port. Kõige lihtsam on aga kui sa WM-Hostis võrgukaardil seadistad VLANid virtuaalseteks võrgukaartideks ja ühendad Workstationis iga guesti virtuaalse võrgukaardi külge. Eeldusel, et hosti võrgukaart VLANe ka toetab.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.11.2014 11:51:34
|
|
|
| scrapper kirjutas: |
Workstation toetab VLANe ilusasti - alates 6.0st. Mulle jääb arusaamatuks miks sul virtuaalmasinad VLANe tagivad. Mida sa sellega saavutada soovid, VM-ruuterit? VLANide tagimine on vajalik vaid siis kui sul pordist liigub läbi mitu erinevat VLANi ja reeglina lõppseadmes (VMs) on vaid üks võrk.
Kui sul on füüsilises võrguseadmes mitu võrku ning Workstationis mitu võrku siis peab olema tagitud vaid switchi port ning Workstationi switchipoolne füüsiline port. Kõige lihtsam on aga kui sa WM-Hostis võrgukaardil seadistad VLANid virtuaalseteks võrgukaartideks ja ühendad Workstationis iga guesti virtuaalse võrgukaardi külge. Eeldusel, et hosti võrgukaart VLANe ka toetab. |
Sellepärast et jutt on IEEE802.1Q standardist. Ja kasutan seda mitmel põhjusel. Esiteks masinasse pole füüsiliselt rohkem võimalik võrgukaarte panna (momendil on 4 x 1GB ja üks usb3-lan1000), teiseks ma ei taha nii palju kaableid vedada mis on lihtsalt kole, kolmandaks ma ei taha raisata manageeritava switchi porte niisama. Võrkusi aga kokku lasta pole tervislik, kuna võib loopima minna, võib olla ebaturvaline häkkerite mõttes, võib tekkida ip-konflikt, võib tekkida mac-konflikt jne. Näiteks üks ühendus on manageerimiseks, teine virtuaalserveritele, kolmas tulemüüri WAN, neljas tulemüüri LAN, viies sama tulemüüri teine lan mis tulemüüri enda poolt on tehtud virtuaalseks VLAN interfaceks ja vaja on selleks et on kaks sisevõrgu subneti (wifi-võrgul teine subnet ), kuues ipTV. Nagu näha kõik need ühendused vajavad hostist väljumist.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
03.11.2014 13:31:06
|
|
|
| Kui sul VM-hosti võrgukaart toetab rauas VLANi siis sul ei olegi vaja mitut porti/kaarti - loe uuesti mida kirjutasin.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.11.2014 13:41:18
|
|
|
| scrapper kirjutas: |
| Kui sul VM-hosti võrgukaart toetab rauas VLANi siis sul ei olegi vaja mitut porti/kaarti - loe uuesti mida kirjutasin. |
Hosti võrgukaart toetab VLANi küll, enamus tänapäeva võrgukaarte toetab. Aga mida selle toe asemel mõtled? See tähendab et kaart laseb läbi. Pole veel näinud et ükski kaart oskaks egress tage ja pvid-e teha. Virtuaalmasina soft oskab ka kõike seda teha. Aga mis ei oska ja mis läbi ei lase, või õigemini laseb läbi kuid eemaldab 802.1q on kas siis hypervisori virtuaalswitch või siis guesti virtualvõrgukaardid. Seda ma ju räägingi koguaeg et VMWare ei lase VLANe läbi, versioon 10.0.3 on kasutusel.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
03.11.2014 14:06:45
|
|
|
| Ma ei tea mis NICe sa kasutad aga näiteks Inteli ProSet tarkvaraga saab küll virtuaalkaarte teha VLANi põhiselt. Broadcomi tarkvaraga ka. Egress tagging pole samuti probleem olnud.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.11.2014 15:10:03
|
|
|
| scrapper kirjutas: |
| Ma ei tea mis NICe sa kasutad aga näiteks Inteli ProSet tarkvaraga saab küll virtuaalkaarte teha VLANi põhiselt. Broadcomi tarkvaraga ka. Egress tagging pole samuti probleem olnud. |
Mul on Intel PRO1000 GT ja mingid Realteki gigased kaardid, mingit tarkvara polegi kasutusel, kuna mul pole tarvis hosti võrgukaarte näppida VLANi kohapealt. VLANide jaoks on mul olemas ühes otsas (masinast eemal) manageeritav switch ja teises otsas on virtuaalmasin mis tunneb VLAne, näiteks KerioControl millel saab teha virtuaalseid võrgukaarte vastavalt VLANile. PVIDi pole (kui pole VLAN siis liiklus läheb tavalisele tulemüüri interfacele) ja egress on taged. Või siis Mikrotik kus saab juba VLANidega kõike teha mida soovid. Esialgu oli mul tarvis et ilma 802.1q paketid käiksid välise switchi ja Kerio tavalise interface vahel ning VLAN8 paketid välise switchi ja Kerio VLAN8 virtuaalse interface vahel. Selgus aga et VLAN8 paketid hakkasid käima switchi ja Kerio tavalise interface vahel, mis tähendab et VMWare eemaldas IEEE802.1Q headeri. Ainus võimalus oligi kasutada USB3--LAN1000 lahendust ja VMWare team-switchi, kus selgus et sisse minevad VLAN paketid tõesti jõuavad virtuaalmasinani IEE802.1Q headeriga, kuid välja minevad on ikkagi jälle eemaldatud. See pole muidugi korrektne, kuid siiski suudab VLAN võrke isoleerida sisenevate pakettide alusel. Väljuvad peketid pean välise manageeritava switchiga lihtsalt igale poole laiali jagama, kuid ühte pidi liiklus nagunii ei toimi ja VLANid jäävad siiski isoleerituks....................Aga selle hosti võrgukaardi VLANide tegemisest. Mõtled nii et hosti võrgukaart eraldab ise VLANid. Kuidas ta saab neid üldse eraldada? Kui on midagi üksteisest eraldatud, siis peaks olema ka väljund kuhu see eraldatud material saata. Kuhu see hosti võrgukaart peaks neid VLANe siis edasi saatma? Hostil endal on ainult üks IP stack mis läheb localhosti. Virtuaalmasinad peavad kõik tegema bridge sellele hosti võrgukaardile. Võrgukaardi VLAN tarkvara ei tea ju halligi mingist VMWarest ja sellest et mingi virtuaalne VMWare switch teeb bridge hosti füüsilisele võrgukaardile. Selleks et VLANe suunata erinevatele virtuaalmasinatele, peab VLANe selekteerima ikka seesama virtuaalne switch mitte hosti füüsiline võrgukaart.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
03.11.2014 15:43:41
|
|
|
| Võrgukaardi driver saab teha iga VLANi jaoks virtuaalse NICi mida saad eraldi hallata OSis nagu päris kaarti. Workstationis lihtsalt bridge'id need guestidega. Inteli kaardid peaks toetama 64 VLANi.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.11.2014 16:19:22
|
|
|
| scrapper kirjutas: |
| Võrgukaardi driver saab teha iga VLANi jaoks virtuaalse NICi mida saad eraldi hallata OSis nagu päris kaarti. Workstationis lihtsalt bridge'id need guestidega. Inteli kaardid peaks toetama 64 VLANi. |
See oleks küll hea lahendus aga kust ma sellise tarkvara saan, näiteks Intel PRO 1000 GT jaoks. Olen paar korda isegi otsinud kuid edutult.......Inteli lehel midagi tundub olema, ma ei teadnudki et see soft teeb virtuaalseid kaarte, pean kontrollima.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
03.11.2014 16:27:48
|
|
|
| Intel Proset on asja nimi ja sa pead installi käigus kindlasti advanced features vmt. linnukese panema.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
03.11.2014 23:31:58
|
|
|
| scrapper kirjutas: |
| Intel Proset on asja nimi ja sa pead installi käigus kindlasti advanced features vmt. linnukese panema. |
Suured tänud, sellest oli nüüd küll abi kõvasti, laadisin alla selle ja nüüd läheb pikemaks katsetamiseks. Ma muidugi teadsin et on olemas soft VLANide jaoks aga ei kujutanud ette et lausa virtuaalkaardid kandikul teeb. Muidugi kui on virtuaalkaardid, siis VMWare switchi bridge saab ju neile teha kui juba VLANid eespool jagatud..............Ei installeeru, teatab et ei leia võrgukaarti. Kaart on Intel PRO 1000 GT Desktop. Opsüsteem on 2012. Võibolla opsüsteem ei sobi, seda ka vahetama ei hakka selle pärast.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
04.11.2014 10:13:29
|
|
|
| Kas sellega saad?
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
04.11.2014 23:50:18
|
|
|
| scrapper kirjutas: |
| Kas sellega saad? |
Proovisin nii CD erinevaid versioone kui ka driverit (kus oli samuti Proset sees), kõik teatavad samamoodi et ei leia Inteli võrgukaarti. Vaatasin et driveri compatiibluslistis polegi üldse ei 2012 ega ka win 8. See ongi suht vaha tyyp kaart, tõenäolisemalt uuemate windowsidega ei tööta, 2012 tundis ise oma driveriga ära ja koguaeg töötanud.............Aga mida see VLAN enabled üldse peab tegema võrgukaardil? Kui tuleb VLAN sisse, mis ta siis peab saatma selle windowsile edasi koos IEEE802.1Q headeriga või peab selle headeri vahelt ära võtma? Ja mida windows teeb siis kui tuleb 802.1Q headeriga pakett? Kas windows oskab sellega midagi teha üldse? Ja kui näiteks on VLAN võrgukaardil disabletud, kas siis kõik 802.1Q headeriga paketid blokeeritakse?................Ongi nii et võrgukaartidel tuleb see "Priority & VLAN" disableda, siis laseb VLANe läbi. Kui see on enabletud, siis lihtsalt eemaldab IEEE802.1Q headeri. Internetis kõik instruktsioonid on täpselt vastupidi kirjutatud ja valed - on kirjutatud et kui selle enabled siis lubab VLANe, hujamunapead oma loogikaga.  See tähendab ühesõnaga et asi töötab ja seda Inteli projurakat polegi väga tarvis, Mikrotikuga virtuaalmasinas saab kõike kommuteerida, seod vlani siseneva interfacega, teed bridge ja lisad portideks vlani ja väljuva interface ning lisaks saab veel bridge-reegleid teha soovi korral. Muidugi see Inteli projurakas oleks selles mõttes mugavam et siis ei peaks eraldi virtuaalmasinat töös hoidma.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
scrapper
HV kasutaja
liitunud: 09.01.2006
|
|
05.11.2014 09:17:09
|
|
|
| Huvitav ma lugesin oma saadetud lingist et on nimelt sinu kaart ja os (Server 2012 ja ka R2) toetatud.
|
|
| Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
05.11.2014 11:39:45
|
|
|
| scrapper kirjutas: |
| Huvitav ma lugesin oma saadetud lingist et on nimelt sinu kaart ja os (Server 2012 ja ka R2) toetatud. |
Ma ei saanudki aru, seal software CD versioonis on kirjas et on toetatud aga driveri kohta et pole. Äkki talle ei meeldi et VMWare Bridge protocol võrgukaardil, kuigi ma võtsin linnukese eest ära üksnes. Aga imelik oleks et see ei meeldi. Teiseks on masinas kunagi olnud Hyper-V, see pole maha installitud vaid bootimisel disabletud. Aga ka see oleks imelik. Kui mingi asi juba installil nii piiripeal töötab, siis on targem see üldse unustada.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
05.11.2014 15:36:22
|
|
|
Nõustun täiesti scrapperi soovitusega. Enamasti puudub reaalne vajadus 802.1q VMi vedada. Mõtle oma võrgu planeering korralikult läbi ja untagi kõik kaadrid virtualiseerimise hostis. Igale VLANile oma bridge ja VMidele "untagged".
Teine asi... see VLANide asi tundub Sul enda jaoks olema korralikult selgeks tegemata. Loe ajaviiteks teooria mõttega läbi ja saad aru, mis on mis ja mis on milleks.
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
05.11.2014 15:54:18
|
|
|
| OFFF kirjutas: |
Nõustun täiesti scrapperi soovitusega. Enamasti puudub reaalne vajadus 802.1q VMi vedada. Mõtle oma võrgu planeering korralikult läbi ja untagi kõik kaadrid virtualiseerimise hostis. Igale VLANile oma bridge ja VMidele "untagged".
Teine asi... see VLANide asi tundub Sul enda jaoks olema korralikult selgeks tegemata. Loe ajaviiteks teooria mõttega läbi ja saad aru, mis on mis ja mis on milleks. |
Juba korras kõik, kõik toimib suurepäraselt. Saladus oligi selles et mitte VMWare ei söönud 802.1q headereid vaid võrgukaardid, suvalised võrgukaardid. Ma ei teadnud seda et propertis tuleb Prioriti & VLAN disableda selleks et 802.1q läbi laseks. Ega vist keegi eriti ei teadnud. Tuleb kõik ilusti läbi virtuaalmasinasse ja kusjuures Mikrotik on VLANidega opereerimiseks ikka peajagu võimsam relv kui manageeritav switch, võid isegi bridgedega kommuteerides ühest vlanist teise teha, mida ei saa teha enamus manageeritavate switchidega.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
karu
HV kasutaja
liitunud: 08.08.2002
|
|
05.11.2014 16:32:24
|
|
|
| vaegkuulja kirjutas: |
| Ma ei teadnud seda et propertis tuleb Prioriti & VLAN disableda selleks et 802.1q läbi laseks. |
Kui ma väga ei eksi, siis see valik viib vlani filtreerimise / tagimise hostist võrgukaarti, st. kui ütled võrgukaardile, et ta on vlan4's, siis laseb läbi ainult siseneva vlan4 ja väljuvatele paneb vlan4 tagid peale. Rauas kiirem teha kui softis.
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
05.11.2014 17:47:43
|
|
|
| karu kirjutas: |
| vaegkuulja kirjutas: |
| Ma ei teadnud seda et propertis tuleb Prioriti & VLAN disableda selleks et 802.1q läbi laseks. |
Kui ma väga ei eksi, siis see valik viib vlani filtreerimise / tagimise hostist võrgukaarti, st. kui ütled võrgukaardile, et ta on vlan4's, siis laseb läbi ainult siseneva vlan4 ja väljuvatele paneb vlan4 tagid peale. Rauas kiirem teha kui softis. |
Mul pole ühelgi võrgukaardil võimalust VLAN ID panna, ainult see Priority & VLAN on. Siiski üks erand on, sellel USB3--LAN1000 adapteri propertis on tõesti VLAN ID koht aga ma ei kasuta teda, lihtsalt disablesin selle Priority. p.s. aga vinge adapter on, 1GB võrk ja USB3, hästi töötab, ostsin USB3 kaardi ka spetsiaalselt.
| OFFF kirjutas: |
Enamasti puudub reaalne vajadus 802.1q VMi vedada.
|
Ma võin rääkida miks ma seda kasutan kui sind huvitab. Äkki annan veel head inspiratsiooni. Ma ei kasuta VLANe üldse nii et kahe võrgupunkti vahel on VLAN ja et neid omavahel ruuteriga ühendada. Mul on hoopis teistmoodi. Mul on igal võrgupunktil eraldi VLAN. Ja switchide või Mikrotikuga kommuteerin kes omavahel suhelda saavad. Seega egress ja ingress ei käi mitte sama vlani kaudu vaid erinevate kaudu. Nüüd võin rääkida miks ma üldse võrke lahutan. Kõigepealt virtuaalmasinate hostile ma ei taha riskuks rohkem kui ühte kaablit. Ühes guestis aga jookseb peamine gateway. Mõistagi ei soovi ma välisvõrgu WANi lasta kokku sisevõrguga. Ka gateway LANi ei soovi ma vabalt sisevõrguga kokku lasta, kuna tahan et osa võrguseadmeid saaks ühenduda ainult gatewayga ja mitte teiste masinatega ning osa jälle ainult teiste masinatega ja mitte gatewayga. Lisaks on gateways veel üks eraldi virtuaalne sisevõrgu interface, VLAN-iga, tulemüüri enda seade. See peab ühenduma eraldi subneti kaudu WiFi ruuteri WAN-iga, et WiFi kliendid saaks interneti. WiFi klientidel on veel eraldi kaks subneti ja seda lasen valikuliselt kokku sisevõrguga (neljas subnet), eraldajaks Visneticu tulemüür, et võimaldada osadele ligipääs serveritele. Visnetik ise aga kasutab põhi sisevõrgu gatewayd ja seega on gatewayga ühenduses. WiFi ruuter ja ükski muu ruuter peale gateway NATi ei tee selleks et gatewayst oleks parem liiklust jälgida. Subnetide ühendused toimuvad ruutimistabelite alusel. Seega gatewayst jookseb piltlikult läbi WiFi ruuteri ring tagasi gatewaysse. WiFi ruuteri WAN poolset subneti ei taha ma lasta kokku sisevõrguga. Sai juba proovitud ning mingi paari tunni pärast jooksis switch loopi. Edasi ei soovi ma ka kõiki virtuaalmasinaid omavahel kokku lasta. VMWare Workstationil puudub virtuaalmasinate eraldamise mehhanism. Saab küll kasutada eraldi LAN-teamingi switchi, kuid see ei pääse hostist välja. vSpherel on selleks olemas tulemüür aga vSpherest loobusin juba ammu kuna kodukasutaja emaplaadiga oli asi väga ebastabiilne. Workstation aga töötab nii stabiilselt nagu kulda, lisaks saan veel kasutada windowsi storagespacet, vSphere puhul ei saa üldse soft-raide kasutada...........Kui edasi huvitab veel miks ma ikkagi võrke eraldan, siis küsi julgelt, küll ma vastan. ......ahjaa, unustasin, veel läheb ju virtuaalmasinasse ipTV, mis on ka välisvõrk ja mida virtuaalmasin EoIP kaudu suvalisse geograafilisse punkti edasi saadab ja mida sisevõrguga kokku lasta ei soovi.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
05.11.2014 22:31:53
|
|
|
Tegelikult teeb VLAN header eetrikaadri suuremaks. Nüüd oleneb väga palju mittemanageeritava kommutaatori max MTUst, kas sealt lähevad nii suured kaadrid läbi või ei lähe.
Tsitaat Wikipediast:
802.1Q does not encapsulate the original frame. Instead, for Ethernet frames, it adds a 32-bit field between the source MAC address and the EtherType/length fields of the original frame, leaving the minimum frame size unchanged at 64 bytes (octets) and extending the maximum frame size from 1,518 bytes to 1,522 bytes (for the payload a 42-octet minimum applies when 802.1Q is present; when absent, a 46-octet minimum applies. IEEE 802.3-2005 Clause 3.5). Two bytes are used for the tag protocol identifier (TPID), the other two bytes for tag control information (TCI). The TCI field is further divided into PCP, DEI, and VID.[1]
ja üks asjakohane lugemine, mees kes on testinud mitmeid odavswitche 802.1q kontekstis
http://blog.thelifeofkenneth.com/2014/03/pushing-vlan-tags-through-unmanaged.html
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
05.11.2014 23:19:16
|
|
|
"Kõigepealt virtuaalmasinate hostile ma ei taha riskuks rohkem kui ühte kaablit. "
Kui sul on TRUNK port, kust kõik VLANid läbi lähevad, siis saab hakkama ka ühe kaabilga. Mina soovitaks miinimum kahte ja 802.3ad "channel bond" sinna teha. Kiirem. Ja tõrkekindlamJa
Ja minu ja scrapperi soovitused ei käinud ÜLDSE selle kohta.
Põhimõtteliselt on kaks võimalust. Virtualiseerimise hosti võrguliides on ühendatud trunk porti, kus sees on ports VLANe (ja võib olla ka native VLAN). See trunk port on sillatud ja kõik VMid näevad oma virtuaalse liidese peal kõiki kaadreid ja korjavad üles ainult need, mille jaoks nende liides on seadistatud.
Teine võimalus on see, et virtualiseerimise hosti tuleb sisse ports vlane, iga vlani jaoks on tehtud vastav liides ja vastav sild. Virtuaalmasinate virtuaalsed liidesed on ühendatud ainult neile määratud VLANi sillaga.
Teine võimalus on üldiselt turva mõttes mõistlikum ja ka ressursihalduse mõttes mõistlikum.
Ma saan aru, et idee on Sul hea, aga Sinu seletuste järgi on natuke raske mõista, milline sinu võrguarhitektuur täpselt on ja mida sa soovid saavutada.
"Ma ei kasuta VLANe üldse nii et kahe võrgupunkti vahel on VLAN ja et neid omavahel ruuteriga ühendada. "
Aga selle jaoks pole VLAN üldse mõeldudki. VLAN on "virtuaalne LAN". Virtuaalne kohtvõrk. Ühes füüsilises seadmes saab olla mitu virtuaalset kohtvõrku. Enamasti pannakse ühte kohtvõrku kokku loogiliselt kokku kuuluvad seadmed. Suurtes võrkudes lahutatakse vahel virtuaalseteks kohtvõrkudeks laiali ka loogiliselt samasse võrku kuuluvad seadmed, et broadcast domain oleks väiksem ja kõiksugune overhead oleks madalam. Sellisel juhul kasutatakse enamasti vlanide vaheliseks marsruutimiseks L3 võimekusega kommotaatoreid.
Kui võrkude vaheline liiklus vajab filtreerimist (tulemüürireeglid), siis suunatakse VLANide vaheline liiklus läbi marsruuter-tulemüüri. Saab ka kommutaatoris ACLe kasutada, aga siis tekib see probleem, et pääsureeglid "roomavad laiali" üle mitme seadme ja hallatavus muutub kehvemaks.
Mul on näiteks ka kodus "kodune VLAN", omaenda väikefirma "test VLAN", "klientide virtuaalmasinate VLAN" ja nii edasi ja nii edasi. Kõigi nende VLANide vahelist marsruutimist toimetab tulemüür, mis lubab, vastavalt reeglitele, sinna kuhu vaja, neid keda vaja.
See segmenteerimise IDEE on Sul isenesest õige, aga teostuse oled sa, IMHO ajanud enda jaoks jaburalt keeruliseks ja raskesti hallatavaks.
Nüüd on tuleb mängu veel selline huvitav asi, nagu 802.1q standardi REALISATSIOON erinevate tootjate poolt.
Näiteks (de-facto standardil) Cisco on "access port" "trunk port" ja "hybrid port"
Access port on "tavaline port" mis kuulub mingisse VLANi (ehk siis ingress on sellesse VLANi kuuluvad kaadrid ja egress on untagged)
Trunk port laseb vaikimisi läbi kõik TAGGED kaadrid koos tagiga ja lisaks võib olla üks "native VLAN" kuhu kuuluvad kaadrid egressis untagitakse. Reeglitega saab piirata, millise markeeringuga kaadreid trunk porti lubatakse.
Hybrid port on selline naljakas perverssus, kus lisaks markeeritud kaadritele võib olla MITU native VLANi, mis lähevad egressi untaggedina. Üldjuhul peab olema VÄGA MÕJUV põhjus seda asja kasutada ja enamasti tehakse siis filtreerimist kommutaatori ACLidega.
Brocadel on asjad samamoodi nagu Ciscol.
HP/3Com maailmas on asi põhimõtteliselt sama moodi v.a. see, et vaikimisi lubab seadistamata trunk port läbi ainult "default VLAN" ehk VLAN1 markeeritud kaadreid. Egress on vaikimisi
markeeritud. Kõik soovitud VLANid tuleb ekskulsiivselt lubada.
Enterasys kasutab seda Sinu poolt mainitud ja ka TP-LINK kommutaatorites kasutusel olevat egress/ingress süsteemi.
Üldiselt vahet pole, kõik ülalmainitud implementatsioonid ajavad asja ära, aga minu isikliku arvamuse kohaselt on trunk-access lähenemine natuke loogilisem ja parimini hoomatavam ja hallatavam, kui see ingress-egressiga mängimine. Tuelmus, kui asja õigesti tööle paned, on mõlemal juhul sama.
Ja üks vahemärkus veel, Sinu probleemid algasid tegelikult sellest, et sa kasutad virtualiseerimise hostis natuke puujalgset operatsioonisüsteemi, millel on kööbakas võrgupinu ja (nagu me Sinu näitel kenasti nägime) probleeme ohjurite, ühilduvuse ja dokumentatsiooniga. Kasuta mõnda mõistlikku, unixi derivatiividel põhinevat, töökindlat virtualiseerimise platvormi ja kõik need probleemid hajuvad isenesest nagu udu. Edu!
P.S. Ja VLAN on L2 kontseptsioon ja IP on L3 ... VLAN Sul nüüd küll kuidagi otseselt IP konflikte vältida ei aita. Sama VLANi sees elavad õnnelikult kõik IP subnetid. Proovi järele, kui ei usu
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
| tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
|
05.11.2014 23:44:26
|
|
|
| OFFF kirjutas: |
Tegelikult teeb VLAN header eetrikaadri suuremaks. Nüüd oleneb väga palju mittemanageeritava kommutaatori max MTUst, kas sealt lähevad nii suured kaadrid läbi või ei lähe.
Tsitaat Wikipediast:
802.1Q does not encapsulate the original frame. Instead, for Ethernet frames, it adds a 32-bit field between the source MAC address and the EtherType/length fields of the original frame, leaving the minimum frame size unchanged at 64 bytes (octets) and extending the maximum frame size from 1,518 bytes to 1,522 bytes (for the payload a 42-octet minimum applies when 802.1Q is present; when absent, a 46-octet minimum applies. IEEE 802.3-2005 Clause 3.5). Two bytes are used for the tag protocol identifier (TPID), the other two bytes for tag control information (TCI). The TCI field is further divided into PCP, DEI, and VID.[1]
ja üks asjakohane lugemine, mees kes on testinud mitmeid odavswitche 802.1q kontekstis
http://blog.thelifeofkenneth.com/2014/03/pushing-vlan-tags-through-unmanaged.html |
Aga midagi ikka ei klapi. Mul on igal pool MTU 1500 ja tõrkeid pole ei ilma ega ka VLAN-iga. Kas see 1500 polnud mitte varuga juba.
| OFFF kirjutas: |
Kui sul on TRUNK port, kust kõik VLANid läbi lähevad, siis saab hakkama ka ühe kaabilga.
|
Ei ole trunki, täitsa tavalised vlan-id on ja vabalt saab ühe kaabliga.
| OFFF kirjutas: |
Teine võimalus on see, et virtualiseerimise hosti tuleb sisse ports vlane, iga vlani jaoks on tehtud vastav liides ja vastav sild. Virtuaalmasinate virtuaalsed liidesed on ühendatud ainult neile määratud VLANi sillaga.
|
Nii on tehtud et hosti sisse tulevas interfaces on VMWare virtual-switchi bridge, switchist läheb virtual-interface kaudu Mikrotiku VMi, seal on interfacele külge poogitud kõik vajalikud VLAN'id, tehtud bridged nende vastavate VLANide ja teiste virtual-interfacede vahel, nendest teistest virtual-interfacedest läheb edasi vastavasse VMi.
| OFFF kirjutas: |
"Ma ei kasuta VLANe üldse nii et kahe võrgupunkti vahel on VLAN ja et neid omavahel ruuteriga ühendada. "
Aga selle jaoks pole VLAN üldse mõeldudki. VLAN on "virtuaalne LAN". Virtuaalne kohtvõrk. Ühes füüsilises seadmes saab olla mitu virtuaalset kohtvõrku. Enamasti pannakse ühte kohtvõrku kokku loogiliselt kokku kuuluvad seadmed. Suurtes võrkudes lahutatakse vahel virtuaalseteks kohtvõrkudeks laiali ka loogiliselt samasse võrku kuuluvad seadmed, et broadcast domain oleks väiksem ja kõiksugune overhead oleks madalam. Sellisel juhul kasutatakse enamasti vlanide vaheliseks marsruutimiseks L3 võimekusega kommotaatoreid.
|
Eesmärk on eraldada. Eraldamiseks lähevad nii sama subnet kui erinev. See pole tähtis kas on sama subnet või mitte, eralduse aluseks on kas siis tulemüürimine (lihtsam, pole tarvis eraldi müüri panna), võrgu turvakaalutlus, ip-konflikt, mac-konflikt või siis oht võrgu sattumine loopi kas siis L3 või L2 tasandil või siis et switch leiab learning protsessis sama MAC-i samalt füüsiliselt seadmelt kahelt erinevalt pordilt, jõudes kohale erinevaid teid pidi.
| OFFF kirjutas: |
Saab ka kommutaatoris ACLe kasutada,
|
Muide, TP-Lingilt tuli vastus et nad avastasid bugi selle ACL asjus minu konfi järgi ja pidid peatselt beta firmware välja andma. Siis TL-SG2008 switchi kohta. Ja sellel 5-pordisel TL-SG105E switchil oli algul DHCP probleem. Seda ma TP-Lingile ei deklareerinud vaid meie garantii võttis tagasi. Mõni aeg tagasi oli uus firmware selle bugi jaoks ja ostsin uuesti sama switchi ning töötab.
| OFFF kirjutas: |
Mul on näiteks ka kodus "kodune VLAN", omaenda väikefirma "test VLAN", "klientide virtuaalmasinate VLAN" ja nii edasi ja nii edasi. Kõigi nende VLANide vahelist marsruutimist toimetab tulemüür, mis lubab, vastavalt reeglitele, sinna kuhu vaja, neid keda vaja.
See segmenteerimise IDEE on Sul isenesest õige, aga teostuse oled sa, IMHO ajanud enda jaoks jaburalt keeruliseks ja raskesti hallatavaks. |
Peaasi et põnev on. )) Aga muide Mikrotikul on ka väga vinged reeglid bridge alammenüü all. Saab testida vlane, mac-e, id-si, protokole, sourcet-destinationi ja veel muud.
.
_________________
[img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
06.11.2014 00:29:49
|
|
|
| vaegkuulja kirjutas: |
Aga midagi ikka ei klapi. Mul on igal pool MTU 1500 ja tõrkeid pole ei ilma ega ka VLAN-iga. Kas see 1500 polnud mitte varuga juba.
|
Loe seda blogi, seal on kenasti kirjas.
| vaegkuulja kirjutas: |
| OFFF kirjutas: |
Kui sul on TRUNK port, kust kõik VLANid läbi lähevad, siis saab hakkama ka ühe kaabilga.
|
Ei ole trunki, täitsa tavalised vlan-id on ja vabalt saab ühe kaabliga.
|
Siin on probleem erinevate tootjate erinevas terminoloogias. Osa tootjaid nimetavad tõesti "truniks" hoopis staatilist v. või dünaamilist L2 lingi agregeerimise tehnoloogiat. 802.3ad ja sõbrad. See tekitab tõesti segadust, sellel tehnoloogial ja selle alamharudel on mitu nime: EtherChannel, Bonding, Static Trunk, Dynamic Trunk (802.3ad), PortChannel, LACP, Bridge Aggregation, (multi)link bundling, NIC teaming, Multi-link trunking jne.
Viisakas on tänapäeval ütelda LACP, 802.1aq ja 802.3ad
http://en.wikipedia.org/wiki/Link_aggregation
Ja "trunk" on ikkagi see
VLANs
Main article: VLAN
In the context of Ethernet VLANs, Avaya[citation needed] and Cisco[7] use the term Ethernet trunking to mean carrying multiple VLANs through a single network link through the use of a trunking protocol. To allow for multiple VLANs on one link, frames from individual VLANs must be identified. The most common and preferred method, IEEE 802.1Q adds a tag to the Ethernet frame, labeling it as belonging to a certain VLAN. Since 802.1Q is an open standard, it is the only option in an environment with multiple-vendor equipment. Cisco also has a proprietary trunking protocol called Inter-Switch Link which encapsulates the Ethernet frame with its own container, which labels the frame as belonging to a specific VLAN.
| vaegkuulja kirjutas: |
Nii on tehtud et hosti sisse tulevas interfaces on VMWare virtual-switchi bridge, switchist läheb virtual-interface kaudu Mikrotiku VMi, seal on interfacele külge poogitud kõik vajalikud VLAN'id, tehtud bridged nende vastavate VLANide ja teiste virtual-interfacede vahel, nendest teistest virtual-interfacedest läheb edasi vastavasse VMi.
|
Kulla mees, see Mikrotik on seal küll täiesti üleliigne overhead seal vahel, kui see ainult bridgesid teeb. Sellega peaks Virtualiseerimise host ikka ISE hakkama saama.
| vaegkuulja kirjutas: |
Eesmärk on eraldada. Eraldamiseks lähevad nii sama subnet kui erinev. See pole tähtis kas on sama subnet või mitte, eralduse aluseks on kas siis tulemüürimine (lihtsam, pole tarvis eraldi müüri panna), võrgu turvakaalutlus, ip-konflikt, mac-konflikt või siis oht võrgu sattumine loopi kas siis L3 või L2 tasandil või siis et switch leiab learning protsessis sama MAC-i samalt füüsiliselt seadmelt kahelt erinevalt pordilt, jõudes kohale erinevaid teid pidi.
|
Nagu ma juba enne ütlesin, ära aja segamini L2 VLANi ja L3 IP alamvõrku. Need on erineva kihi asjad ja pole omavahel üldse seotud. Ja loomulikult pole tarvis panna erali müüri, iisab kui kõik sinu alamvõrgud jooksevad ühest müürist läbi. IP konflikti ei väldi sul VLANid mitte kuidagi. Iseasi, kui sul on IP vahemike ülekattuvus (aga see on haruldane juhus) näiteks VPNi v. erinevate firmade võrkude ühendamisel võib vahel selline probleem tekkida. MAC konflikt -- see on ka rohkem teoreetiline ja võib tuleneda valesti seadistatud virtualiseerimise hostist v. siis ise käsitisi MAC aadresside näppimisest. "Võrgu Sattumine Loopi" -- ma eeldan, et siin peetakse silmas "switching loopi" ja "packetstormi" -- KULLA MEES, mille jaoks siis Spanning Tree ja selle edasiarendused välja on mõeldud??? RSTP? MSTP? ja kõik sõbrad. Ja kuidas saab sattuda "loopi" L3 tasandil? Kui on routing loop, siis selle jaoks on IP paketil TTL. TCP/IPle on algusest peale sisse ehitatud turvamehhanism, et "igavese juudina" aegade lõpuni võrgus ringi rändlevad pakette EI SAA OLLA.
Sinu viimane märkus käib jälle "switching loopi" kohta ja selle vältimiseks on spanning tree protocol ja selle edasiarendused.
Võrkude segmeteerimine isenest on tõesti Hea Asi [tm]
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
