CCIE.pl

Witam, czy możecie mi podpowiedzieć:
mam dziadka: WS-C2924M-XL i na nim 4 vlany, np. taki scenariusz w powiązaniu z Debianem (tu wcześniejszy post: viewtopic.php?f=43&t=26040)

vlan5 - drukarki
vlan10 - kompy A - podsieć WIFI - 1
vlan11 - kompy B - sieć (ether)- administracja
vlan12 - kompy C - podsieć WIFI - 2

Z tego co wiem WS-C2924M-X nie obsługuje prywatnych vlanów.
Jak zrobić, aby kompy z vlanów, np. vlan 10, 12 (sieci WIFI) vlanu 11 (ether) miały dostęp do drukarek ether (z vlanu 5) ? Wrzucić wszystkie drukarki do vlan1

Parzyłem na to https://www.nastykusieci.pl/prywatne-vlany/ ale na 2924 raczej nie pójdzie?

Wg mnie to spróbuj zrobić routing pomiędzy vlanami na routerze linux-debian (typowa metoda kiedyś stosowana "router on a stick")

Ten swich nie obsługuje routingu między vlanami.
Tak też na to wpadłem na routing między vlanami w debianie, ale niestety nie działa - może być problem, skoro na swichu WS-C2924M-XL vlany są odseparowane...

Próbowałem tak:
#routing do hosta drukarki (192.168.5.2) w innej podsieci
#192.168.5.0/24 - vlan5
#192.168.12.0/24 - vlan12
route add -net 192.168.5.2 netmask 255.255.255.255 gw 192.168.12.254


mam jeszcze pomysł, aby ew. wykorzystać SG300-28, który ma L3/

Sprawdź czy włączony jest forwarding pakietów na linuksie:

roberto100 pisze: ↑28 gru 2018, 14:19 Tak też na to wpadłem na routing między vlanami w debianie, ale niestety nie działa - może być problem, skoro na swichu WS-C2924M-XL vlany są odseparowane...

Próbowałem tak:
#routing do hosta drukarki (192.168.5.2) w innej podsieci
#192.168.5.0/24 - vlan5
#192.168.12.0/24 - vlan12
route add -net 192.168.5.2 netmask 255.255.255.255 gw 192.168.12.254

A co to jest 192.168.12.254? Adres przełącznika? To nie zadziała, 2924M jak już ustaliłeś, nie realizuje routingu.

Musisz dodać jeden port (dla uproszczenia, lub tyle fizycznych portów między Linuxem a przełącznikiem ile masz VLANów, lub dowolna kombinacja) oraz włączyć forwarding IPv4/IPv6 (kolega poniżej już Ci pokazał jak dla IPv4) i to Linux musi przejąć obowiązki domyślnej bramki dla wszystkich VLANów.

Wtedy dowolny host powinien mieć ustawioną domyślną bramkę na adres interfejsu IP Linuxa, a ten będzie sobie robił routing. Oczywiście trzeba wziąć pod uwagę wydajność, ale na początek wystarczy.

lbromirs pisze: ↑28 gru 2018, 21:25 A co to jest 192.168.12.254? Adres przełącznika? To nie zadziała, 2924M jak już ustaliłeś, nie realizuje routingu.

Ponieważ udało mi się pożenić Linuxa z Cisco, tzn. jak pisałem w pierwszym poście
viewtopic.php?f=43&t=26040 więc ma teraz (router on Stick - Debian, który pełni rolę routera (bramy) i serwera DHCP:

Debian
na eth1 >
vlan 1.5 (ifconfig eth1.5 192.168.5.254 netmask 255.255.255.0 up)
vlan 1.10 (ifconfig eth1.10 192.168.10.254 netmask 255.255.255.0 up)
vlan 1.11 (ifconfig eth1.11 192.168.11.254 netmask 255.255.255.0 up)
vlan 1.12 (ifconfig eth1.12 192.168.12.254 netmask 255.255.255.0 up)


> trunk > 2924M (port 1)
>> port 5 (vlan 5)
>> port 10 (vlan 10)
>> port 11 (vlan 11)
>> port 12 (vlan12)

Dlatego dla każdego vlana (na Debianie) jest przypisany oddzielny gw, np. to: 192.168.12.254 dla vlanu 1.12.
Trunk pomiędzy Debian > Cisco jest, i każdy vlan jest tagowany na Cisco na oddzielnych portach.
Zauważyłem, że on nie ma routingu między vlanami ani privat vlan co nowsze modele.

Musisz dodać jeden port (dla uproszczenia, lub tyle fizycznych portów między Linuxem a przełącznikiem ile masz VLANów, lub dowolna kombinacja

Moment. Nie rozumiem. Między Debianem a swichem mam 1 fizyczny interfejs (eth 1) a na nim (w Debianie) wiele vlanow: 1.5, 1.10, 1.11, 1.12 spiętych trunkiem jednym połączeniem z Cisco... Więc mnie bardzo rozumiem...

forwarding IPv4/IPv6 - na pewno jest włączony, bo routing jest, poszczególne vlany widzą bramy (z vlanow utworzonych na Debianie) i wychodzą na świat..


Do tej pory (zanim zacząłem zabawy z vlanami takimi, które obsługiwały by Cisco
viewtopic.php?f=43&t=26040 - routing był realizowany na vlanach w Debianie eth1:1, 1:2, itd. ale to nie były 8021q aby móc zrobić trunk z Cisco (bo powinno być 1.5, 1.10, itp.).

OK, wybrałeś najprostszy model i dobrze - jeden interfejs z subinterfejsami na Debianie.

Teraz konkretnie, co Ci nie działa?

Czy hosty np. w VLANie 5 widzą Linuxa? Czy mogą dostać się do innych hostów w innych VLANach? Jeśli nie, sprawdź na obu testowanych hostach ustawienie domyślnej bramki.

Tak jak pisałem w 1 poście: chciałbym, aby drukarki z vlanu 5 były widoczne dla hostów z vlanu 10 (podsieć WIFI) oraz dla vlanu 11 (hosty PC).

vlan 5 to podsieć (192.168.5.0/24) gw 192.168.5.254
vlan 10 to podsieć (192.168.11.0/24) gw 192.168.10.254
vlan 11 to podsieć (192.168.12.0/24) gw 192.168.11.254

Jak na razie hosty między vlanami się nie pinguja i nie mogą wykryć drukarek z vlanu 5 (Debian pinguje wszystko i każdy host z poszczególnych vlanow pinguje Debiana, i poszczególne gw, oraz wychodzą na świat).

Config Cisco:
WS-C2924M-XL

interface FastEthernet0/1
description Trunk_To_Linux_Router
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,5,10-12,1002-1005
switchport mode trunk

interface FastEthernet0/5
switchport access vlan 5

interface FastEthernet0/10
switchport access vlan 10

interface FastEthernet0/11
switchport access vlan 11


sh vlan

5 VLAN005 active Fa0/5
10 VLAN0010 active Fa0/10
11 VLAN0011 active Fa0/11

Jeśli hosty między vlanami się nie pingują, to coś nadal jest źle - albo bramki na nich nie są ustawione na Debiana, albo Debian nie forwarduje ruchu (albo filtrujesz ten ruch jakoś, etc).

Wyizoluj dwie stacje w różnych VLANach do testów i pokaż dokładnie ich ustawienia - interfejsów sieciowych i routingu. Oraz aktualne ustawienia Debiana.

[ROZWIĄZANY] Przyczyna banalna - zapora w Win10 blokowała echo ;( i pomyłka w jednej bramie...
Chyba czasami trzeba po prostu na chwilę odejść i wrócić jeszcze raz do tematu z nowymi siłami


OK. teraz -między vlanami hosty się pingują oraz pingują drukarkę.