[fli4l] VLAN einstieg?

kay kay at martinen.de
Mo Okt 31 00:49:44 CET 2016


Am 30.10.2016 um 21:46 schrob Matthias Taube:
> Am 30.10.2016 um 21:23 schrieb kay:
> 
>> Sprichst du hier von mehr als einem FLI?
> 
> Nein, aber von einem Fli welcher mehrere Schnittstellen hat.

Ach so. Da kam ich nicht drauf. Grund, siehe unten.

> Bei mir ist auf eth0 ein VLAN mit den id 100 und 200 konfiguriert.
> Auf eth1 und eth2, welche beide an anderen Ports des gleichen Switch
> hängen, sind auf dem fli keine VLAN konfiguriert, sondern der Switch
> stellt sicher dass dort nur VLAN id 300 bzw. 400 ankommt bzw. getaggt wird.

Du benutzt also sowohl Portbased Vlan (eth1 u 2) als auch
MultiVlanTrunk/802.1Q (eth0) an den 3 Netzwerkports die vom Switch zu
deinem FLI führen.

>> Was ist an Grundlegender Erreichbarkeit über das native Interface wenn
>> die VLAN-Konfig fehlerhaft ist nicht zu verstehen?
> 
> Das genau dies Dein Ziel ist.

Und ich dachte die Sinnhaftigkeit eines solchen Vorgehens würde sich von
selbst erklären.


>> Oder willst du sagen das untagged und Tagged nicht auf einem interface
>> liegen könnten oder dürften? Dann solltest du mir mal bitte sagen warum
>> nicht?
> 
> Das habe ich noch nicht probiert. VLAN ist die eine Sache, aber dann
> müssen die Schnittstellen ja noch intern jeweils IP-Netzen zugeordnet

Dazu hatte Sebastian ja schon etwas gesagt das ich ggf. mal ausprobiere.
Das du nur die VLANs in der advanced_network konfig einträgst, diese
dort dem raw-interace zuordnest und die IP/Maske dann wieder in der base
machst.

> werden. Das stelle ich mir bei Nutzung des gleichen Interface nicht so
> einfach vor. Ich könnte Dir nur mit meiner o.g. - funktionierenden -
> Konfig aushelfen.

Und genau um dabei auf nummer sicher gehen zu können will ich das
basis-interface eben ungetagged lassen. denn dann kann man es m.E.
notfalls auch direkt ansprechen - ohne einen VLAN-Fähigen Switch
dazwischen. Denn, ein PC oder dummer Switch dürfte getaggte Pakete
entweder verwerfen (zu lang) oder (jumboframe-support?) einfach
broadcasten bis sich ein abnehmer findet.

Ich muss wohl doch noch mal auf den Hintergrund eingehen. Ich habe einen
Futro S200 der einige Zeit als FLI diente. Aktuell setze ich Ipfire auf
einem Primergy L100 ein. Der hat 2*e100 onboard und eine compaq dual-NIC
und damit physische Schnittstellen für LAN, WAN, DMZ und WLAN. Aber er
ist auch groß, laut, braucht mehr Strom und ist irgendwie schon overkill.

Jetzt kommt wieder der S200. Der hat nur eine Onboard-Nic und einen
Slot. Eine so kurze Dual oder Quad-Nic das sie dort rein passte
fand/habe ich nicht. Und; nebenbei; die USB-WLAN Sticks die ich hier
habe sollen wohl den richtigen Chip haben damit sie mit hostAP liefen.
Aber unter ipfire tun sie es nicht, und das ist AUCH ein Linux.
Bestenfalls Zweifelhaft das sie beim FLI liefen und bei anderen Linuxen
nicht.

Ergo: VLAN könnte die Lösung sein. Damit liessen sich LAN, DMZ und WLAN
über nur einen Switchport aufdröseln und die 2.NIC bleibt exklusiv für
die WAN-Seite. Und damit im Notfall, also falls z.b. der Switch
ausfällt, er seine VLAN-Konfig vergisst oder anderes quer geht ich den
FLI immer noch erreichen kann, sollen eben nur WLAN und DMZ getaggt
sein, NICHT aber das interface für das LAN selbst.

Ich überlege zwar noch in Richtung einer Anderen Lösung (FLI/S200 an die
WAN-Seite des ipfire und dessen WAN-Seite Statisch machen) aber das gibt
wieder jede menge anderer Probleme auf die ich derzeit keinen Nerv habe.
Z.B. Müsste ich den imonc/imond traffic dann durch die firewall des
ipfire schleusen, und meldungen vom syslog auch - oder dort emfangen.
Beides nicht schön.

Kay
-- 
Posted via SN


Mehr Informationen über die Mailingliste Fli4L