vlan wan

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

ciao avrei la necessità di collegare un host esxi e un firewall fisico a uno switch cisco. Per l'esattezza dovrei collegare la wan. Al lavoro ho una configurazione simile ed è stata creata sullo switch una vlan per la wan che comprende le prime tre porte. Penso di fare lo stesso procedimento sul mio switch, di riservare le prime tre porte per il cavo wan che arriva dall'antenna del provider internet, il cavo wan dall host esxi e il cavo wan che arriva dal firewall. Ma non saprei da dove iniziare per creare questa vlan, più che altro i settaggi. Potreste aiutarmi? Grazie!!
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

non si capisce granché dalla spiegazione ma se non ho capito male hai una macchina virtuale che gira su un host ESXi e vuoi che una delle interfacce della tua VM (probabilmente un firewall Linux) lavori su una specifica VLAN (diciamo la 100), mentre il resto della rete gira su una interfaccia e VLAN diversa (diciamo la 1).
Sulla VLAN 100 sarà anche presente l'interfaccia WAN del firewall e l'interfaccia LAN di una CPE di un WISP che fornisce la connettività Internet ed almeno 3 IP (la CPE, il lato WAN del FW e il lato WAN della VM).
Se è così la cosa è piuttosto semplice, basta creare la VLAN 100 (la 1 esiste di default) ed associarla alle porte, in access mode per le connessioni alla CPE ed al FW mentre per la connessione alla porta WAN dell'ESXi deve essere configurato in trunk.

Idealmente la config potrebbe essere questa:

Codice: Seleziona tutto

vlan 100 name WAN
!
interface range fa0/1-3
 description Antenna
 switchport access vlan 100
interface fa0/4
 description WAN FW
 switchport access vlan 100
interface fa0/5
 descrip WAN ESXi
 switchport trunk encap dot1q
 switchport mode trunk
A questo punto non ti serve altro che configurare il virtual switch dell'ESXi in modo che incapsuli l'interfaccia WAN della VM nella VLAN 100.

Saluti
Lorbellu
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

grazie della risposta. in pratica io ho uno switch cisco sg300-10 e dovrei creare una vlan 10 per la wan per le prime tre porte dello switch. perchè una mi serve per il cavo utp che arriva dall'antenna, l'altra per la wan del firewall fisico e l'altra per la wan del firewall virtualizzato. quindi se non ho capito male devo creare una vlan 10 e mettere in tagged le prime tre porte?
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,
devo creare una vlan 10 e mettere in tagged le prime tre porte
No, ti servono le prime due porte untagged sulla vlan 10 e la terza tagged sulla 10 ed untagged sulla 1.

Questo a patto che la porta fisica dell'host ESXi che vai a connettere alla 3^ porta dello switch incapsuli più di una VLAN (ricordati si settare il virtual switch). Altresì, qualora la suddetta porta dell'host ESXi venga utilizzata per solo il traffico WAN della VM allora puoi risparmiarti la fatica di settare il virtual switch e mettere in untagged anche la 3^ porta.

In senso generale, gli apparati diretti (antenna e firewall) NON leggono le frame 802.1q (a meno di configurare le relative porte in tal senso), pertanto le porte dello switch in questo caso devono essere settate UNTAGGED.
Lorbellu
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

allora le metto tutte in untagged. poi ci sono altre operazioni da fare per creare questa vlan per la wan?
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

qualcuno mi aiuti per favore
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

cerco di essere chiaro una volta per tutte:
Crea la VLAN 10 e mettila untagged alle porte che connettono gli host diretti (antenna e firewall).

Per quanto riguarda l'host ESXi (dove per host intendo il server fisico che può avere N schede di rete), dipende dall'utilizzo che fanno le Virtual Machines configurate sull'host e da come utilizzano una determinata scheda di rete dell'host stesso.

Se una sola Virtual Machine utilizza la suddetta NIC e questa VM utilizza questa NIC un solo per un servizio, allora metti la porta dello switch untagged sulla VLAN 10.

Se più di una Virtual Machine utilizza questa scheda di rete, oppure la scheda di rete é utilizzata da una sola VM ma per più scopi, allora devi:
1) Configurare la porta dello switch come trunk e passare la VLAN 10 tagged
2) Creare una Virtual NIC da associare nella Virtual Machine al servizio WAN (IP compatibile alla subnet di ciò che sta nella VLAN 10 - FW e antenna).
3) Configurare il Virtual Switch di VMWare per far lavorare la Virtual NIC sulla VLAN 10.

COME LINEA GENERALE, se una porta lavora untagged su una determinata VLAN, TUTTO QUELLO CHE ci connetti lavorerà su quella VLAN. Pertanto, la manovra sul Virtual switch serve a garantire che anche altre VM che utilizzano la scheda di rete fisica dell'ESXi per trasmettere traffico sulla VLAN 1, continuino a funzionare mentre il traffico che esce dalla WAN della tua VM vada sulla VLAN 10.

Saluti
Lorbellu
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

io ho messo le prime tre porte dello switch untagged e poi ho provato a collegare il cavo dell antenna sulla porta 1 e non avevo connettività. poi ho anche fatto altre operazioni come mettere lo switch in L3. devo configurare anche le rotte ipv4?
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Scusa ma a questo punto è doveroso che tu chiarisca meglio il contesto.
Lorbellu
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

non riesco a capire cosa devo chiarire. ho bisogno di una mano per creare la vlan per la wan e ci siamo. ma poi devo anche navigare collegandomi allo switch, quindi configurazioni rotte statiche e quant'altro. per mia sfortuna sono un novizio in ste cose, anche se ci lavoro. e sono spinto dalla curiosità di imparare e fare esperienza, ma purtroppo mi servono aiuti. comunque il provider mi ha accennato che se ho intenzione di mettere un firewall casalingo, la modalità dell antenna deve essere cambiata da routed (come è ora) a bridged.
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

allora certe precisazioni sono fondamentali per capire quello che vuoi realizzare e con cosa.
In tutte le reti IP c'è bisogno di un gateway, e questo nel tuo caso può essere sia lo switch (nel tuo caso é uno switch con funzionalità L3), un firewall fisico o una macchina firewall virtuale.

Se la connettività ti arriva da un WISP tramite un'antenna CPE posta sul tetto, questa è configurata in modalità routed (ovvero ha un IP lato ethernet ed un altro IP lato wireless), a te va bene così a patto che tu non necessiti dell'IP pubblico sul firewall, in tal caso il WISP deve mettere il CPE in modalità bridge (unisce insieme le interfacce e gli da un IP solo) e comunicarti quale IP pubblico ti assegna.

In ciascun caso, devi creare la VLAN 10 (chiamata WAN) e metterla sulle prime 3 porte dello switch, 2 porte (una per il CPE e per un PC di controllo) mettile in access mode sulla vlan 10, i comandi per la CLI li prendi dal mio primo post. La porta del FW la metti in access sulla VLAN 10 se è una porta secca di un fw fisico, altrimenti la metti in trunk se è la scheda di rete di un host ESXi su cui più macchine virtuali (o più schede virtuali di una stessa macchina virtuali) usano la stessa scheda fisica, in questo caso ricorda che la VLAN 10 generalmente arriva tagged al dispositivo connesso).
Una volta configurata la rete con i relativi IP (es. 192.168.0.0/24), connettendo un PC alla porta WAN di controllo, devi poter pingare il CPE e (eventualmente) il firewall, nonchè impostando GW (il CPE) e DNS puoi navigare direttamente dal PC. Se funziona, ricordati di mettere una default route sul FW che punti al GW.

La tua LAN interna che altresì gira sulla VLAN 1 deve avere una rete IP diversa dalla VLAN 10 (ad es. 192.168.1.0/24), i PC, devono utilizzare il firewall come GW che quindi, sempre a seconda che sia una macchina fisica o virtuale deve avere:
FW fisico - La porta LAN connessa ad una porta dello switch configurata in access mode sulla vlan 1 (condifugrazione di default)
FW virtuale con uso ESCLUSIVO della porta di rete dell'host - come se fosse un FW fisico
FW virtuale con uso promiscuo della porta di rete dell'host - Trunk con VLAN 1 untagged

Saluti
Lorbellu
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

ok allora metto le prime due porte (antenna e fw fisico) in access, la terza (porta wan host esxi) in trunk. posso già fare le opportune prove di navigazione anche se ho ancora l'antenna in routed?
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

allora ho collegato il cavo che arriva dall'antenna e non ho connettività internet. allora ho messo la porta 1 in access ma nonostante questo continuo a non avere connettività. come mai? devo avere l'antenna in bridged?
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

ok ho "risolto" collegando il cavo che arriva dall antenna direttamente alla porta wan del firewall fisico..
napster363
n00b
Messaggi: 11
Iscritto il: lun 20 apr , 2015 8:31 pm

chi mi aiuta?
Rispondi