Scelta switch L2 o L3, doppia LAN

[Mamukata]

Vi espongo un problema e chiedo aiuto sulla scelta di uno switch.

Questo è il mio scenario:

1) rete LAN aziendale su range 192.168.0.x con dhcp e gateway per la navigazione internet

2) rete "laboratorio" su range 192.168.30.x con dhcp.

Al momento le due reti sono fisicamente separate, e vorrei renderle comunicanti tramite lo switch.

Ora, vorrei che la rete "laboratorio" possa andare su internet ma che rimanga isolata dalla rete aziendale.

E' sufficente un layer 2 o devo per forza usare un layer 3 per poter impostare filtrare il traffico?

Io penso che un layer 2 non sia sufficente, in quanto dovendo impostare il gateway per la rete laboratorio con una route statica abbia bisogno per forza di un layer 3.

Chiedo info e conferme ed una eventuale "how to configure"


Grazie

P.S. piccola info: in rete è presente un pc con doppia scheda lan connesso su entrambi i network dove è residente il dhcp e altri servizi per la rete "laboratorio"

[Wolfhwk]

Fammi capire, la rete laboratorio non comunica con aziendale, ma la aziendale comunica con laboratorio?


Uno switch layer 2 di norma divide le due reti in vlan. Dunque non comunicano tra loro.
Se piazzi un router (on a stick) o compri un Layer 3, le vlan comunicano tra loro e puoi impostare le relative acl.
Per la rete laboratorio il gateway sarà l'ip dell'interfaccia virtuale switched (SVI) che configuri per la sua vlan sul Layer3, mentre il gateway sarà un router collegato allo switch tramite una routed port.

Ma poi di che dispositivi stiamo parlando? Juniper, Cisco?

[Mamukata]

Le reti devono essere NON comunicanti.
Devo riuscire a dire che la rete 192.168.30.x abbia come default gateway il solo IP del router che poi va su internet.

Stavo guardando degli switch Netgear in quanto lo abbiamo come fornitore.

Avevo guardato questi:

http://www.netgear.it/prodotti/azien...S748T.aspx#two

http://www.netgear.it/prodotti/azien...8-200.aspx#two

Questo va sulla rete laboratorio e una delle 48 porte si collegherà alla rete aziendale

[Wolfhwk]

Quote:

Originariamente inviato da Mamukata

Al momento le due reti sono fisicamente separate, e vorrei renderle comunicanti tramite lo switch.

Puoi fare due vlan, laboratorio e azienda, che quindi non possono comunicare tra loro, mentre il router (o firewall) lo attacchi alla porta untagged (porta con la vlan nativa, non taggata). In questo modo entrambe le vlan possono accedere ad internet. I due dhcp li attacchi alle rispettive porte vlan.
L'ho fatto con un misero tp-link da 70 euro, con la Netgear ti fai pure il caffè.

[Wolfhwk]

Leggo sul modello Netgear:

IEEE 802.1Q Tag VLAN (up to 128 static VLAN groups)

Port trunking – Manual as per IEEE802.3ad link aggregation

Rapid Spanning Tree – 802.1w

Web-based configuration, anywhere on the network


Perfetto.

[Mamukata]

Quote:

Originariamente inviato da Wolfhwk

Puoi fare due vlan, laboratorio e azienda, che quindi non possono comunicare tra loro, mentre il router (o firewall) lo attacchi alla porta untagged (porta con la vlan nativa, non taggata). In questo modo entrambe le vlan possono accedere ad internet. I due dhcp li attacchi alle rispettive porte vlan.
L'ho fatto con un misero tp-link da 70 euro, con la Netgear ti fai pure il caffè.

In questo caso però la rete aziendale logicamente gia connessa al gateway.




Uploaded with ImageShack.us

il gateway dello switch laboratorio per andare su internet deve transitare all'interno dello switch aziendale, non riesco a colleggarmi direttamete al router per poter uscire.

Con le due Vlan ho capito che blocco il traffico e la possibilità di che le due reti si possano parlare, devo capire come dire allo switch che il defaul gateway della rete 192.168.30.x è 192.168.0.x e allo stesso tempo bypassare per questo solo traffico il blocco imposto in precedenza.

Spero di essere stato più chiaro.

P.S. se con il primo modello di switch riesco a fare questo sarebbe meglio in quanto costa relativamente meno del secondo modello.

[Wolfhwk]

Stavo ragionando su questo aspetto.
Allora, cerco di schematizzare:

Switch azienda
la porta che va al router appartiene alla vlan nativa, quindi untagged secondo le specifiche 802.1q.
La porta "trunk" che va allo switch laboratorio sarà taggata con la vlan di laboratorio.
Dunque, quando un host di vlan lab manda un frame al router, aggiunge il tag vlan e lo instrada sulla porta trunk che porta allo switch aziendale.
Al frame, giunto sullo switch aziendale, viene rimosso il tag vlan lab e instradato dunque come untagged alla porta che conduce al router.
Quindi se mi arriva un broadcast tagged vlan lab sullo switch aziendale, non avrà accesso alle porte vlan aziendali, ma sarà instradato sull' unica disponibile, ovvero la porta del router, non tagged.
Che ne pensi?

[Mamukata]

Quote:

Originariamente inviato da Wolfhwk

Stavo ragionando su questo aspetto.
Allora, cerco di schematizzare:

Switch azienda
la porta che va al router appartiene alla vlan nativa, quindi untagged secondo le specifiche 802.1q.
La porta "trunk" che va allo switch laboratorio sarà taggata con la vlan di laboratorio.
Dunque, quando un host di vlan lab manda un frame al router, aggiunge il tag vlan e lo instrada sulla porta trunk che porta allo switch aziendale.
Al frame, giunto sullo switch aziendale, viene rimosso il tag vlan lab e instradato dunque come untagged alla porta che conduce al router.
Quindi se mi arriva un broadcast tagged vlan lab sullo switch aziendale, non avrà accesso alle porte vlan aziendali, ma sarà instradato sull' unica disponibile, ovvero la porta del router, non tagged.
Che ne pensi?

La tua soluzione mi piace molto e ho capito cosa intendi, cosa diversa per me, è capire come "dirla" allo switch.
Pensi quindi che il modello http://www.netgear.it/prodotti/azien...S748T.aspx#two
sia sufficente per realizare questa configurazione?

[Wolfhwk]

Ho alcune perplessità a dir la verità.
In ambiente cisco, in questi casi mi trovo così:

Vlan aziendale e host con un default gateway.

Vlan laboratorio e host con un altro default gateway.

La porta che conduce al router è in realtà un trunk. La porta del router è divisa in sottointerfacce con ciascun ip assegnato come default gateway delle rispettive vlan.
Dunque, se la porta fosse sulla lan nativa e basta, le vlan rimarrebbero isolate dal gateway.
Questo consente anche la comunicazione tra vlan, che blocco con le acl.

Nei tplink e netgear, inspiegabilmente, la porta che va al gateway rimane untagged. E se provo ad assegnarla a tutte le vlan utilizzate, non lo rende possibile (rispondono con un errore, solo una porta per vlan).

Dunque, sembra indifferente lo schema ip usato nelle vlan, dato che la separazione avviene per porta.
Allora, per gli host scelgo una classe unica sia per aziendale che laboratorio, imposto le vlan e configuro il solito gateway sugli host.
Giusto considerare che l'host che intende comunicare con il gateway, manderà una richiesta arp con l'ip del default gateway e dovrà avere una risposta (il reply), altrimenti non va nulla.

Ora controllo attentamente i due prodotti e ti faccio sapere. Magari vedo di fare una prova in laboratorio su un netgear il più possibile simile.

[Mamukata]

Per ora ti ringrazio molto e attendo tue noizie.

Avevo considerato anch'io l'ipotesi di usare la stessa classe per entrambi le vlan, così non ci sarebbe stato il problrma del gateway, ma purtorppo questo mi porterebbe a dover modificare troppe cose all'interno della rete LAB la quale è composta anche di altri apparati che ho omesso di dirti e che non centravano nulla con il discorso che stiamo facendo.

[Wolfhwk]

Dunque, ci sono per forza due subnet.
Inoltre, toccherebbe fare un' aggregazione di porte tra i due switch tramite LACP.

Uhm...è un po' un casino.
Allora, se usiamo degli switch layer 2, le vlan le suddividiamo tranquillamente (tramite l'interfaccia grafica). In sostanza la porta che conduce al router appartiene ad entrambe le vlan. In tal maniera, appena arriva il frame taggato vlan lab, gli viene tolto il tag e instradato sull' unica porta della vlan lab su switch aziendale, ovvero quella del router. Lo stesso vale per la vlan aziendale. E tra loro non comunicano. Il problema è degli host.
L'ip del router è 192.168.0.1 e dunque gli host vlan aziendale avranno quello come gateway.
Gli altri della vlan lab si trovano con 192.168.30.1.
Ma una richiesta arp su quell' indirizzo non porta a nulla.

Dopo continuo...

[Wolfhwk]

Allora, se devo definire due gateway per le vlan, mi trovo a dover usare un Layer 3.
Questo vuol dire che sullo switch L3 devo configurare due SVI, una per vlan, assegnare un ip che fungerà da default gateway di ciascuna. Una delle porte fisiche sarà collegata al router e avrà un ip nella sottorete dell' interfaccia del router, e sia sul L3 che sul router ci abilitamo un protocollo di routing. Il traffico tra le due lan lo blocchiamo tramite access-lists.
Sulle due SVI possiamo abilitare i dhcp delle rispettive sottoreti.

Soluzione costosa ed esagerata probabilmente...

[Mamukata]

Siamo arrivati al capolinea.... dalle tue prove e dalle tue conclusioni, il problema diventa di natura economica, switch 48 porte L3 per economici che siano costano migliaia di euro e a questo punto vado fuori budget.

Ti ringrazio ancora per il tuo tempo e magari spero ti possa essere servito come know-how personale.

[Wolfhwk]

E' stato un piacere.

Sì, diciamo che sarebbe tutto più semplice se fosse possibile avere una sottorete sola con le vlan. Oppure se fosse fattibile avere il router con due porte ethernet uso LAN.

[malatodihardware]

Quote:

Originariamente inviato da Wolfhwk

Oppure se fosse fattibile avere il router con due porte ethernet uso LAN.

Forse è la soluzione migliore.. Installare un L3 solo per condividere il gateway mi sembra uno spreco immane!


Inviato dal mio MB525

[Wolfhwk]

D'accordissimo.