作者 主題: inter vlan routing 問題  (閱讀 12311 次)

0 會員 與 1 訪客 正在閱讀本文。

leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
inter vlan routing 問題
« 於: 2011-07-29 23:43 »
Hello,

假設有一個layer 3 switch (sw0), 而它的port1 連上一個layer 2 switch (sw1), port2 連上另一個layer 2 switch (sw2),

兩個layer 2 switch 都有vlan 10和vlan 20,

vlan 10 subnet = 192.168.0.0/24
vlan 20 subnet = 192.168.1.0/24

請問如何設vlan gateway在layer 3 switch的port1和port2 呢?

因為gateway下有兩個vlan subnet.

Thanks !

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #1 於: 2011-07-30 00:46 »
L3建立兩個VLAN10,20 並設定VLAN 10 INTERFACE 192.168.0.254/24
VLAN 20 INTERFACE 192.168.1.254/24(假定GW設在254).
將L3的port1開啟Tag,指派給VLAN10與VLAN20, port2同port1.

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #2 於: 2011-07-30 08:14 »
以Cisco L3來說~只需要將L3上的vlan 10和20建起來, 然後各建一個 interface 並各指定 192.168.0.254 和 192.168.1.254 然後將 Port 1 塞到 vlan 10 , Port 2 塞到 vlan 20 , 接著把2部 L2 Switch 各接到 Port 1 和 port 2 即可.

不需要設 Tag

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #3 於: 2011-07-31 01:14 »
兩個layer 2 switch 都有vlan 10和vlan 20,

不需要設 Tag

L2在untagged下 sw1與sw2 的vlan10與vlan20應該是無法溝通的~

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #4 於: 2011-07-31 07:21 »
會通的~因為L3的關係~不需要另外去設定Tag. 剛買來的Cisco Switch就可以直接用以下方式做了.

2顆L2本身要建立vlan10和vlan20 各自接在L3上的相同vlan的port上即可. 其他的事L3自己會處理~

但以上是在Cisco Switch上, 例如 3750G + 2960, 其他牌子我就不清楚了.

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #5 於: 2011-07-31 10:59 »
會通的~因為L3的關係~不需要另外去設定Tag. 剛買來的Cisco Switch就可以直接用以下方式做了.

2顆L2本身要建立vlan10和vlan20 各自接在L3上的相同vlan的port上即可. 其他的事L3自己會處理~

但以上是在Cisco Switch上, 例如 3750G + 2960, 其他牌子我就不清楚了.

sw1上的vlan10 與 vlan20 接到L3上的port1後, 由於是在untagged的情況下, L3只知道由port1來的封包是vlan10.
sw2上的vlan10 與 vlan20 接到L3上的port2後, 由於是在untagged的情況下, L3只知道由port2來的封包是vlan20.
當然. 這是傳統的三層架構, 如果是新一代的ethernet fabric(嗯~~不討論).

PS. Cisco VSS or Juniper Virtual Chassis 看起來也不太合版主的架構丫~

allnewlinux

  • 俺是博士!
  • *****
  • 文章數: 1455
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #6 於: 2011-07-31 12:32 »
少看到2個L2各有2個vlan (10/20)~那下面這個方式也不用設定tag~

2部L2 Switch各有vlan 10 和 vlan 20 的情況下~

那就L3的 Port 1 + Port 2 指定到 vlan10 並和2顆L2的 vlan 10 某1個 Port 連接, ( 都是 vlan 10 )

然後 L3 的 Port 3 + Port 4 指定到 vlan20 並和2顆L2的 vlan 20 某 1個 Port 連接, ( 都是 vlan 20 )

L3 的 vlan 10 和 vlan 20 各設定 int 並指定 ip .完工

缺點...2顆 L2 的 vlan 10或 vlaN 20 如果電腦要交換檔案~得多經過 L3.

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #7 於: 2011-07-31 14:04 »
port 的設定應是
sw0 port1 (trunk) -- (trunk) sw1
sw0 port2 (trunk) -- (trunk) sw2

在 sw0 上設定
vlan10 ip = x.x.x.254
vlan20 ip = x.x.x.254

-------
若為 cisco
vtp 預設以高階為 server
sw1 與 sw2 的 vlan 不需設定
只需 access vlan xx
其餘各 vlan 由 VTP 協定自己交換訊息
(VTP 應該是 cisco 獨有)

若下層的 switch 將 vtp 改成 transparent
則下層的 vlan 由 switch 自己 maintain
這時一台有 vlan 9 vlan 8 的 switch
trunk port 如實的丟出帶 9 8 tag 包而已
因他也只懂處理這兩種 tag


而 cisco 的觀念是 access vlan
1. 所以一個 port 不是指派一個 vlan
2. 就是 trunk 所有 vlan ... trunk 一般只能接 switch


3com(HP) , D-link 的觀念為 tagged 與 untagged ... 當然還有 trunk (標準 802.?? .. 在高雄 ?)
個別 port 除了 trunk (全部tag)
還允許加上或去掉 tag id
所以一個 port 可以做到 tagged 10 又 tagged 20 ... untagged 也是

網路卡或一般 server 可丟出帶 tag 包時
該 switch port 也須設定 trunk port
tag 這東西 , "理論上" 只有 switch 看的懂
也該只存在 switch 與 switch 之間
所以 switch vs switch 的有 tag 資訊
不是 tagged vlanID 就是 trunk

若是 sw0 是 cisco -- port 1 設 trunk
sw1 若是 3com -- 這時可設 trunk , 也可只 tag 10 + 20

到此解決了 L2 後 , L3 上各 vlan 設 gateway ip 並起用 routing

而 L3 的好處是
當需要 routing 時 , 當然比對 routing table
但第一個封包處理結束
mac table 中也有網卡資料了
所以第二個封包開始就不需在比對 routing table
直接套用到 L2 層功能就能丟出 port 了



leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #8 於: 2011-08-04 19:29 »
Hi all,

Sorry for delay reply.

請看以下圖片:



請問有沒有問題?

當設了inter vlan routing, 各vlan都會通, 如果想vlan 10不可以到vlan 1,是否需要設ACL ?

Thanks !
« 上次編輯: 2011-08-04 23:26 由 leiw »

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #9 於: 2011-08-04 23:39 »
小弟的環境是brocade, 通常我不會用default vlan.
圖示中, 不太了解vlan 10跟20中各設定2個interface的用途是為什麼?? (cisco switch可以一個vlan 指定2個IP address??)
vlan1跟vlan10 的ACL, 通常會先列出所有規則, 再來決定ACL要下在那個vlan.
« 上次編輯: 2011-08-04 23:41 由 michaelwan »

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #10 於: 2011-08-05 01:53 »
在有使用 vlan 1 與 vlan 10 的 switch 設定 ACL 即可

不過既然有防火牆為什麼不用 ?

還有不需多用 253 ip 吧
port 上不需設 IP ... 設成 L2 介面 trunk 即可
ip 可設在 vlan 上

vlan 10
   name "for10pc"
   ip address 192.168.0.254 255.255.255.0

vlan 20
   name "for20pc"
   ip address 192.168.1.254 255.255.255.0


兩種顏色的設 trunk
firewall 該介面就算不能設 trunk , 應該也能多切 vlan 出來 tag id
把 192.168.2.254 移到 firewall 那切出來的介面上
紅綠 routing 就必須在 firewall 上做了 ... firewall 上訂規則容易又強過 switch

若不知怎麼在 firewall 上切 vlan
也可用兩個實體 port .. 綠 vlan .. 褐 vlan


L3 啟用 routing 後
有提供 routing 網段就有 vlan X -> ip address x.x.x.x
其他就設 L2 介面 ... 這應該比較好維護

« 上次編輯: 2011-08-05 01:56 由 dark »

leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #11 於: 2011-08-05 10:03 »
它們是Netgear switch, 我們不想在Firewall作任何設定, 以在圖變了一些設定, 可以這樣做嗎?



Thanks !
« 上次編輯: 2011-08-05 10:07 由 leiw »

leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #12 於: 2011-08-08 14:10 »
push ~

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #13 於: 2011-08-09 11:01 »
就有 1 跟 10 的 L3 設 ACL ...

... 或您想 L2 設備觀
一份 policy 貼多台

leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #14 於: 2011-08-09 11:30 »
就有 1 跟 10 的 L3 設 ACL ...

... 或您想 L2 設備觀
一份 policy 貼多台
OK, 請問我的圖有沒有錯呢?

Thanks !

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #15 於: 2011-08-09 22:49 »
看不出哪裡錯 ...

哪部分有疑點嗎 ?


leiw

  • 鑽研的研究生
  • *****
  • 文章數: 669
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #16 於: 2011-08-12 14:59 »
ok, 如果沒有錯, 我就知道如何設了, thx !

coreychen

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
Re: inter vlan routing 問題
« 回覆 #17 於: 2011-08-13 23:38 »
如果L2/3都是Cisco的設備的話.....
如 dark 大大所說的.....連接Switch的Port設成trunk....
並啟用VTP來運作就行啦....