VLAN dentro de VLAN

[Saut]

Galera, não manjo muito de vlans, mas me surgiu uma dúvida em uma implantação.

Numa rede de terceiros, vou receber uma única VLAN transparente (supondo 1000), para usar meus dispositivos.
Essa rede existente, é dividida em diversos racks, com switchs gerenciáveis.
Assim em cada rack terei no switch uma porta específica com a VLAN 1000, onde ligarei switchs simples e conectarei meus dispositivos.

Minha situação.
Terei dois locais, que eu vou receber o cabo com essa VLAN 1000 e "dentro" dela, gostaria de ter outra VLAN para isolar uma comunicação entre dois únicos dispositivos.

Digamos que nesses dois locais, eu coloque um Switch Gerenciável, assim, em cada um deles eu terei uma porta de Uplink (que recebe o cabo com a VLAN 1000), tenha uma porta untagged (para conectar os dispositivos no geral, dentro da VLAN 1000) e crie uma VLAN (2000) para comunicação entre os dois dispositivos nos dois pontos distintos.

Está correto meu raciocínio?
É possível essa segmentação dentro de um VLAN?

Ressalto que nessa rede não haverá Gateway, pois sera somente para uso interno, com IPs fixos, não existindo DHCP, Firewall ou nada do tipo.

Grato pela atenção.
Abraço.

 

[dudu1505]

Galera, não manjo muito de vlans, mas me surgiu uma dúvida em uma implantação.

Numa rede de terceiros, vou receber uma única VLAN transparente (supondo 1000), para usar meus dispositivos.
Essa rede existente, é dividida em diversos racks, com switchs gerenciáveis.
Assim em cada rack terei no switch uma porta específica com a VLAN 1000, onde ligarei switchs simples e conectarei meus dispositivos.

Minha situação.
Terei dois locais, que eu vou receber o cabo com essa VLAN 1000 e "dentro" dela, gostaria de ter outra VLAN para isolar uma comunicação entre dois únicos dispositivos.

Digamos que nesses dois locais, eu coloque um Switch Gerenciável, assim, em cada um deles eu terei uma porta de Uplink (que recebe o cabo com a VLAN 1000), tenha uma porta untagged (para conectar os dispositivos no geral, dentro da VLAN 1000) e crie uma VLAN (2000) para comunicação entre os dois dispositivos nos dois pontos distintos.

Está correto meu raciocínio?
É possível essa segmentação dentro de um VLAN?

Ressalto que nessa rede não haverá Gateway, pois sera somente para uso interno, com IPs fixos, não existindo DHCP, Firewall ou nada do tipo.

Grato pela atenção.
Abraço.

cara ate da pra fazer, mas vc vai ter que criar um tunnel 802.1ad e parada começa a ficar hard de implementar, eu ti recomendaria a partir pra qual quer tipo de vpn pelo simples fato de ser mais fácil de implementar.

 

[Saut]

cara ate da pra fazer, mas vc vai ter que criar um tunnel 802.1q e parada começa a ficar hard de implementar, eu ti recomendaria a partir pra qual quer tipo de vpn pelo simples fato de ser mais fácil de implementar.

No caso da VPN eu teria que ter um server em uma das pontas, certo?

No caso, essa segunda VLAN 2000, seria para interligar um Modem (Administrativo) com um Acess Point (CPD), provendo wireless no CPD, sem que este modem, interfira no restante da VLAN 1000.

Uma RB em cada ponta criaria o VPN? Qual modelo vc me indicaria?
Seria essa a solução mais simples então?

 

[dudu1505]

No caso da VPN eu teria que ter um server em uma das pontas, certo?

No caso, essa segunda VLAN 2000, seria para interligar um Modem (Administrativo) com um Acess Point (CPD), provendo wireless no CPD, sem que este modem, interfira no restante da VLAN 1000.

Uma RB em cada ponta criaria o VPN? Qual modelo vc me indicaria?
Seria essa a solução mais simples então?

da pra fazer com as RB da Mikrotik(em si tratando de mikrotik é melhor a se pergunta o que não da pra fazer com ), mas não vou ti recomendar nem um modelo em especifico por 3 motivos:
- não sou familiarizado com o hardware da mikrotik.
- e pra dimensionar o mesmo para usar com VPN tu tem que ter ideia de qual o throughput vc vai passar nesses 2 hardwares
- e qual tipo de vpn(ipsec, pptp, l2tp, openvpn e etc) que ira onerar esse hardware com a criptografia.

 

[neo666]

da pra fazer com as RB da Mikrotik(em si tratando de mikrotik é melhor a se pergunta o que não da pra fazer com ), mas não vou ti recomendar nem um modelo em especifico por 3 motivos:
- não sou familiarizado com o hardware da mikrotik.
- e pra dimensionar o mesmo para usar com VPN tu tem que ter ideia de qual o throughput vc vai passar nesses 2 hardwares
- e qual tipo de vpn(ipsec, pptp, l2tp, openvpn e etc) que ira onerar esse hardware com a criptografia.

Pra que gastar roteamento/processamento para subir VPN numa rede que já é privada? Não sei se entendi errado mas 802.1ad (Q-in-Q) foi feito pra isso.

Caso o transporte seja transparente (tipo um Clear Channel) com switches nas duas pontas basta fazer trunk entre eles e ir marcando/separando as portas ou dispositivos com as VLANs.

[]´s

 

[dudu1505]

Pra que gastar roteamento/processamento para subir VPN numa rede que já é privada? Não sei se entendi errado mas 802.1ad (Q-in-Q) foi feito pra isso.

Caso o transporte seja transparente (tipo um Clear Channel) com switches nas duas pontas basta fazer trunk entre eles e ir marcando/separando as portas ou dispositivos com as VLANs.

[]´s

sim de fato o 802.1ad foi feito pra isso, o problema é justamente em fazer o mesmo funcionar, no post do @Saut é uma suposição de que eles vão entregar a rede em vlan explicita não transparente, ae já fica complicado de configurar esse tipo de vlan. e se de fato entregarem como vlan explicita eu recomendo partir pra outro tipo de tunel pq fazer q-in-q é um porre.

 

[Saut]

@dudu1505 e @neo666
Grato pela apoio desde já.

Pelo que pude entender, a VLAN que me será fornecida será baseada em portas, pois os dispositivos nela conectados não possuem ajuste de protocolo, assim, os pacotes que saem dos mesmos, com certeza não estarão com as tags da VLAN, cabendo ao switch do terceiro, incluir essa TAG.

No caso o que eu quero fazer tem nome, e como falaram é o Q-in-Q.
Agora estou buscando informações a cerca do protocolo.
Contudo, ao que pude entender, para aceitar o 802.1ad, dependeria de ajuste no Switch de terceiros, ajuste esse que não sei se seria possível.

De toda forma, antecipadamente, vou fazer alguns testes aqui entre roteadores básicos e servidor pfSense, usando o protocolo L2TP.

 

[neo666]

sim de fato o 802.1ad foi feito pra isso, o problema é justamente em fazer o mesmo funcionar, no post do @Saut é uma suposição de que eles vão entregar a rede em vlan explicita não transparente, ae já fica complicado de configurar esse tipo de vlan. e se de fato entregarem como vlan explicita eu recomendo partir pra outro tipo de tunel pq fazer q-in-q é um porre.

Verdade, acabei ficando com o "transparente" na cabeça na minha resposta.

@dudu1505 e @neo666
Grato pela apoio desde já.

Pelo que pude entender, a VLAN que me será fornecida será baseada em portas, pois os dispositivos nela conectados não possuem ajuste de protocolo, assim, os pacotes que saem dos mesmos, com certeza não estarão com as tags da VLAN, cabendo ao switch do terceiro, incluir essa TAG.

No caso o que eu quero fazer tem nome, e como falaram é o Q-in-Q.
Agora estou buscando informações a cerca do protocolo.
Contudo, ao que pude entender, para aceitar o 802.1ad, dependeria de ajuste no Switch de terceiros, ajuste esse que não sei se seria possível.

De toda forma, antecipadamente, vou fazer alguns testes aqui entre roteadores básicos e servidor pfSense, usando o protocolo L2TP.

Cara, se pra você é transparente não há necessidade de interação com os equipamentos do provedor.

Imagine que o provedor está te dando um "tubo" e tudo que você coloca numa ponta sai na outra e vice-versa, se o cenário for este é só colocar um switch, servidor ou roteador em cada ponta e configurar como vc quiser (com ou sem VLAN).

Logicamente o switch não é obrigatório mas dependendo do cenário te dá melhores opções e eventualmente menos dor de cabeça deixando a coisa mais simples, mas o próprio pfsense também trabalha bem com VLANs.

[]´s

 

[Saut]

@neo666

Isso, pelo o que o técnico me passou, vai ser uma VLAN transparente.
Então na forma que coloquei no primeiro post, daria certo?

PS> O pfSense esta em produção em outra empresa. No local que estamos falando não há pfSense, pelo menos na minha rede...

 

[neo666]

@neo666

Isso, pelo o que o técnico me passou, vai ser uma VLAN transparente.
Então na forma que coloquei no primeiro post, daria certo?

PS> O pfSense esta em produção em outra empresa. No local que estamos falando não há pfSense, pelo menos na minha rede...

Funciona sim, inclusive tenho um escritório que trabalha dessa forma: o fornecimento de IPs pelo DHCP e o gateway de navegação e afins estão todos do "outro lado" da rede, por coincidência também é um pfsense. No escritório em questão só há um switch.

Esqueça o termo VLAN por hora, notei que isso está te deixando um pouco confuso, pense como se fosse um cabo de rede esticado entre 2 locais distantes, pq basicamente é isso. O que vc vai fazer com ele não importa para o provedor, vai da sua necessidade.

[]'s

 

[Saut]

Fiz uma simulação pelo Cisco Packet Tracer e não deu certo rsrsrsrs.
Vcs costumam usar esse software?
É confiável para esta análise?

Segue link com o projeto, pra se alguem que usa o software quiser dar uma olhada.
https://www.dropbox.com/s/jk8sgiuiide86x3/VLANs.pkt?dl=0

Basicamente
Os equipamentos ao lado esquerdo dos switchs são de terceiros
Server se comunica com PCs 1, 2, 3, 4 e 5 - OK

Os ao lado direito do switch são meus
ServerT se comunica com Estações 1, 2, 3, 4 e 5 - OK
Gateway se comunica com os NBs 1, 2 e 3 - OK
Gateway se comunicar com o Acces Point - Não deu
A rede do Gateway, NBs e AP, tem que ficar isolada do restante.

O problema esta com a comunicação do Access Point...

 

[neo666]

Eu testo na vida real mesmo

Tô longe do PC agora mas amanhã quando estiver no trabalho tento dar uma olhada pra ti

 

[Saut]

Eu testo na vida real mesmo

Tô longe do PC agora mas amanhã quando estiver no trabalho tento dar uma olhada pra ti

Acabei de conseguir.

Nos switchs que "gerenciam" a segunda vlan, eu estava usando Trunk no "uplink" e access "vlan 100" na saída para o dispositivo.
Coloquei access "vlan100" em ambas portas e tudo funcionou.

EDIT: Na verdade comunicou mas NÃO deu certo.
Após fazer essa configuração das portas, não isolou o AP, NBs e GAteway da rede do ServerT e estações.

Vamos testar mais haha

 

[!NPC]

Considerando que quem te fornece essa interligação na VLAN 1000 não faça nenhum tipo de filtro contra isso, você vai conseguir usar suas VLANs dentro dela normalmente, desde que use Service Tag (802.11ad - QinQ), e não Customer Tag (802.11q), que é o padrão.

 

[yuriqueiroz]

Pensei em algo diferente... Nesses 2 locais vc tem alguma switch L3?

Caso sim, vc pode usar eles para receber o link e fazer o roteamento para as suas VLANs internas.

Se entendi o cenário bem...

 

[Saut]

Considerando que quem te fornece essa interligação na VLAN 1000 não faça nenhum tipo de filtro contra isso, você vai conseguir usar suas VLANs dentro dela normalmente, desde que use Service Tag (802.11ad - QinQ), e não Customer Tag (802.11q), que é o padrão.

Isso, vou verificar com quem vai me fornecer a VLAN, mas acho que não vou ter problema quanto a usar o protocolo QinQ.
Pelo que tive vendo, os equipamentos que fornecem o "primeiro" tunel, tem que ser compativeis 802.1ad, e eles são.
Já os meus, sendo 802.1q servem né?

Pensei em algo diferente... Nesses 2 locais vc tem alguma switch L3?

Caso sim, vc pode usar eles para receber o link e fazer o roteamento para as suas VLANs internas.

Se entendi o cenário bem...

São L3 em todos os racks, mas acho que isso complicaria um pouco mais.

Vou tentar pelo QinQ mesmo que me pareceu mais simples.

Quanto a simulação que fiz pelo software da cisco, acho que não deu certo pois o mesmo esta meio defasado e, aparentemente nao suporta QinQ.

 

[tomz]

Você pode criar private VLAN
https://www.cisco.com/c/en/us/td/do...e/cli/CLIConfigurationGuide/PrivateVLANs.html

Ou pode criar Access Lists bloqueando solicitação e envio para determinados IPs.

ex.: Access list A
Bloqueia todo acesso a IP 1.1.1.1
Access list B
Bloqueia todo acesso a IP 1.1.1.2

No caso de Access Lists, continuará dividindo o mesmo domínio de broadcast.
 
Você pode criar private VLAN
https://www.cisco.com/c/en/us/td/do...e/cli/CLIConfigurationGuide/PrivateVLANs.html

Ou pode criar Access Lists bloqueando solicitação e envio para determinados IPs.

ex.: Access list A
Bloqueia todo acesso a IP 1.1.1.1
Access list B
Bloqueia todo acesso a IP 1.1.1.2

No caso de Access Lists, continuará dividindo o mesmo domínio de broadcast.

 

[!NPC]

Isso, vou verificar com quem vai me fornecer a VLAN, mas acho que não vou ter problema quanto a usar o protocolo QinQ.
Pelo que tive vendo, os equipamentos que fornecem o "primeiro" tunel, tem que ser compativeis 802.1ad, e eles são.
Já os meus, sendo 802.1q servem né?

Seus switches têm que suportar 802.1ad, porque eles precisam enviar os pacotes já com Service Tag. 802.1q usa a Customer Tag, que quem te fornecer essa interconexão já estará usando nos pacotes para te isolar na rede deles.

A não ser que em cada ponta dessa interconexão você tenha um switch com capacidade de traduzir a tag 802.1q de dentro da rede para uma tag 802.1ad quando for passar pela interconexão, e reverter isso na outra ponta. Assim, você pode manter as tags 802.1q dentro da rede.