Delucidazioni sulle VLAN

[casperix]

Salve, sto studiando il funzionamento a livello teorico delle VLAN.
Da quello che ho capito le VLAN permettono di dividere gli switch fisici in domini di broadcast separati.
Quindi credo che in una rete con diversi host (circa 100) dividere la rete in più vlan possa essere un buon sistema.

Ora avendo io a disposizione 5 switch da 24 porte vorrei creare una situazione come questa:

switch 1

vlan 1
vlan 2
vlan 3
vlan 4

switch 2

vlan 2


switch 3

vlan 3

...

switch 5

vlan 5

Ho capito che per poterla fare debbo utilizzare le porte vlan 2/3/4/5 del primo switch come trunk per gli altri switch ed utilizzare il protocollo 802.1q.
questo tipo di struttura la posso fare con switch della serie sg300 che non supportano il VTP?
Avendo collegato alla vlan 1 del primo switch un server che mi fa da DHCP server, opportunamente configurato potrebbe farmi da dhcp relay per gli altri switch?

Grazie per qualsiasi aiuto.

[Rizio]

Non ho capito bene il tuo esempio relativo alle vlan per i singoli switch. Non ho capito se ti è chiaro che le vlan possono essere comuni (dominio VTP) o -su switch abbastanza intelligenti tipo i 29xx- anche indipendenti su ogni switch.

Non ho capito neanche cosa vuoi fare tu con le vlan, cioè perchè vorresti segmentare la rete in vlan.
Se è per la sicurezza non contarci più di tanto perchè esiste il vlan-hopping. E' chiaro che è sempre meglio di niente però pensare alla suddivisione della rete in vlan per avere più sicurezza è come pensare al nat come un firewall.....semplicemente sbagliato. Poi, che questo possa contribuire a dar più fastidio a qualcuno che vuole giocare nella tua rete ok, ma non lo scopo principale delle vlan.

Tornando all'implementazione il concetto normale delle vlan è quello di avere un vtp server che "propaga" le vlan a cui tutti gli altri switch connessi fanno riferimento. Questo ti consente di creare la vlan 100 sullo switch vtp server e poterla usare -senza doverla ridefinire- sugli switch periferici ad esso collegato.
Di solito si creano N vlan, si propagano attraverso le porte in TRUNK e si attestano gli host desiderati sugli switch in access nelle determinate vlan.

Se vuoi che gli host di quelle vlan si vedano tra loro devi definirle anche Layer 3 assegnado ad ogni vlan un indirizzo IP su cui fare routing (solitamente sul centro stella che è anche vtp server) altrimenti saranno semplicemente dei "recinti" che permettono ai pacchetti di transitare tra gli switch senza essere "mischiati" con gli altri. Tutt'ora che assegni loro un indirizzo IP e se il core switch è sufficientemente carrozzato puoi anche impostare acl per il controllo d'accesso a quelle vlan.


Per quanto riguarda le ultime due domande però non sò risponderti perchè non conosco lo switch che menzioni e non ho mai dovuto usare il dhcp relay sugli switch. Teoricamente dovrebbe funzionare ma non l'ho mai provato e non sò a cosa puoi andare incontro.

Spero di averti chiarito le idee e non avertele confuse maggiormente
Rizio

[casperix]

Da quello che ho capito è che i modelli sg300 non supportano il vtp.
Hanno invece il supporto la L3.
Volevo utilizzare le Vlan per aumentare la velocità della rete suddividendola.
Mi hanno consigliato di utillizzare le vlan e così ho iniziato a documentarmi.
Quello che vorrei fare io è utilizzare uno di quei switch come centro stella configurando le vlan e poi propagare alcune vlan create tramite trunk agli altri switch. Da quello che ho capito sarebbe più semplice utilizzare il vtp ma dato che quello switch non lo supporta dovrei da quello che ho capito utilizzare 802.1q.

[ghira]

Ho capito che per poterla fare debbo utilizzare le porte vlan 2/3/4/5 del primo switch come trunk per gli altri switch ed utilizzare il protocollo 802.1q.
questo tipo di struttura la posso fare con switch della serie sg300 che non supportano il VTP?
Avendo collegato alla vlan 1 del primo switch un server che mi fa da DHCP server, opportunamente configurato potrebbe farmi da dhcp relay per gli altri switch?

Grazie per qualsiasi aiuto.

Cosa ci fai coi trunk?

Dalla tua descrizione sembra che tu possa semplicemente collegare lo switch2
ad una porta in vlan2 su switch 1, lo switch 3 ad una porta in vlan3 su switch1,
lo switch 4 ad una porta in vlan4 su switch1, ecc.

Niente trunk, niente vtp.

[casperix]

Si esattamente.
In questa maniera collegando una porta dello switch 2 ad una porta vlan 2 dello switch 1 la vlan 2 è come se diventasse un'estensione dell vlan 2 o nello switch gli debbo riassegnare la vlan uguale a quela dello switch 1 in cui è connesso?

[ghira]

Si esattamente.
In questa maniera collegando una porta dello switch 2 ad una porta vlan 2 dello switch 1 la vlan 2 è come se diventasse un'estensione dell vlan 2 o nello switch gli debbo riassegnare la vlan uguale a quela dello switch 1 in cui è connesso?

Non capisco la domanda.

[casperix]

Switch 1 creo 5 vlan
alla vlan 2 collego con un cavo alla porta del secondo ciso.
In questo caso il secondo cisco diventa vlan 2 o debbo crare una vlan 2 anche sul secondo cisco?

[Rizio]

Da quello che ho capito è che i modelli sg300 non supportano il vtp.

Il vtp ti serve solo per amministrare le vlan centralmente ma in una realtà piccola non è realmente necessario

Hanno invece il supporto la L3.

Perciò ti consente di fare routing? In questo caso puoi sviluppare comunque un'idea di centro stella che effettua routing e acl sulle vlan

Volevo utilizzare le Vlan per aumentare la velocità della rete suddividendola.
Mi hanno consigliato di utillizzare le vlan e così ho iniziato a documentarmi.

Scusa chi te l'ha detta questa sciocchezza?! Le vlan e la velocità non centrano una fava.
Sarebbe come se tu cambiassi i copricerchi nella macchina per avere più grip in curva..... vedi tu....
Sicuramente con meno broadcast in rete il traffico è più snello ma da lì a dire che aumenta la velocità ne passa!

Quello che vorrei fare io è utilizzare uno di quei switch come centro stella configurando le vlan e poi propagare alcune vlan create tramite trunk agli altri switch. Da quello che ho capito sarebbe più semplice utilizzare il vtp ma dato che quello switch non lo supporta dovrei da quello che ho capito utilizzare 802.1q.

Come ti dicevo il vtp è solamente (per quanto mi è dato sapere) il metodo di cisco per gestire le vlan centralmente ma in ogni caso le vlan usano il protocollo 802.1q per il tagging a prescindere da come le manutieni.
L'802.1q è uno dei sistemi riconosciuti come standard per il tagging delle vlan, il vtp è un sistema per gestirle centralmente.

Rizio

[Rizio]

Switch 1 creo 5 vlan
alla vlan 2 collego con un cavo alla porta del secondo ciso.
In questo caso il secondo cisco diventa vlan 2 o debbo crare una vlan 2 anche sul secondo cisco?

Dipende come imposti la porta in ingresso dello switch 2.
Se in ingresso non "tagghi" niente e la prendi così com'è tutto lo switch dovrebbe (a meno di sistemi di verifica a me sconosciuti) essere parte della vlan 2 (perciò ogni host dello switch 2 vede solo gli altri client presenti sulla vlan 2).
Se imposti la porta in ingresso sullo switch 2 in trunk (perciò accetta il traffico in ingresso presupponendo che gli arrivi traffico multi-vlan) allora devi creare anche sul secondo switch la vlan 2 ed andare a definire l'appartenenza ad ogni vlan sulle singole porte del secondo switch.
In questo caso però anche la porta in uscita dallo switch 1 deve essere in trunk (magari con il native sulla vlan 2 ma comunque in trunk).

Rizio

[casperix]

Ok, ora è tutto molto più chiaro.
Ma qualsiasi porta fast ethernet/giga ethernet può diventare trunk? c'è un numero massimo di porte che possono fare da trunk?

[Rizio]

Ok, ora è tutto molto più chiaro.
Ma qualsiasi porta fast ethernet/giga ethernet può diventare trunk? c'è un numero massimo di porte che possono fare da trunk?

Non sono a conoscensa di un numero massimo di porte in trunk.
In linea di massima si, qualsiasi porta dello switch può essere gestita in trunk. Ci possono essere delle problematiche su alcuni router che non hanno il modulo di switching ma questa è un'altra cosa.

Rizio

[ghira]

Sicuramente con meno broadcast in rete il traffico è più snello ma da lì a dire che aumenta la velocità ne passa!

Essenzialmente sono d'accordo, ma una volta ho visto una vlan con 2000 pc...

[Rizio]

Sicuramente con meno broadcast in rete il traffico è più snello ma da lì a dire che aumenta la velocità ne passa!

Essenzialmente sono d'accordo, ma una volta ho visto una vlan con 2000 pc...

OdDio!!! Non voglio pensare il traffico tra broadcast, multicast, eigrp, cdp e quant altro!!!!
Insomma un coraggioso il network admin

Rizio

[casperix]

Quindi da queste ultime risposte dividere una rete con tanti pc in diverse vlan, è una cosa da fare giusto?

[Rizio]

Quindi da queste ultime risposte dividere una rete con tanti pc in diverse vlan, è una cosa da fare giusto?

Se ho capito bene quello che intendeva Ghira era che secondo lui è bene farlo. Per quanto mi riguarda credo che lo farei se solo arrivassi ad un numero veramente elevato di client.
Attualmente lavoro in una rete da circa 250 client e ho fatto delle suddivisioni "logiche" in vlan ma i client li ho lasciati tutti insieme.
Ho vlan per i server dell'erp, per i server applicativi e per il managment dei device (router, switch, etc), oltre a qualche vlan per le outside e le dmz. Ma i client li tengo tutti insieme.

Sicuramente non è una pratica sbagliata ma io credo che, per le realtà che abbiamo qui in Italia non sia normalmente necessario.
Il rischio che vedo è quello di complicarti la vita e sovracaricare il core switch di routing essenzialmente superfluo, ma è un parere personale.

Rizio