Jump to content

Question

Posted

Привет всем.

 

От недостатка знаний столкнулся с проблемой после приобретения управляемого коммутатора.

 

Вкратце - при выставлении тэга в настройках сетевого адаптера виртуальной машины она не может достучаться до сети (не видна в списке устройств на роутере и не получает адрес по DHCP).

В скриншотах прикладываю настройки. 1 порт роутера соединен с 1 портом коммутатора, 8 порт коммутатора смотрит в гипервизор.

Если в настройках ВМ не указывать тэг, то она логичным образом попадает в 10 vlan через значение pvid на 8 порту коммутатора, далее в роутер и все работает. Если указать 10 vlan в настройках ВМ, то она не получает адрес с роутера. И ВАЖНОЕ ЗАМЕЧАНИЕ - если в настройках ВМ указать 10 vlan и руками вписать адрес из правильной сети, то ОНА ПОЯВЛЯЕТСЯ В СПИСКЕ УСТРОЙСТВ НА РОУТЕРЕ, но не может ни с чем обмениваться трафиком, не ходит никакой и никуда, не представляю как это и с чем связано.

2024-12-24 11.26.09.png

2024-12-24 11.26.40.png

2024-12-24 11.26.45.png

2024-12-24 11.27.01.png

2024-12-24 11.27.31.png

14 answers to this question

Recommended Posts

  • 0
Posted
4 часа назад, SOFAXA сказал:

Вкратце - при выставлении тэга в настройках сетевого адаптера виртуальной машины она не может достучаться до сети

Так из ваших скриншотов видно, 8 порт коммутатора на котором, как вы пишите, подключена ВМ не тегирован, зачем выставлять тег на адаптере ВМ?

  • 0
Posted
7 minutes ago, mrGhotius said:

Так из ваших скриншотов видно, 8 порт коммутатора на котором, как вы пишите, подключена ВМ не тегирован, зачем выставлять тег на адаптере ВМ?

Понял кажется. Надо сделать бридж гипервизора тегируемым, порт 8 тоже и изменить на нем PVID на любой кроме 10, тогда ВМ взлетят.

  • 0
Posted (edited)

Основное: вам нужно согласовать настройки гипервизора и порта коммутатора, куда он подключен. С Проксмоксом не работал.  Как у вас настроен гипервизор? И управление им, и ВМ в одном сегменте? Тогда так:

Порт8 коммутатора в режим access в VLAN10, PVID порта тоже 10. УБРАТЬ с этого порта VLAN1 (Not member). На гипервизоре и ВМ VLAN'ы не указываете.

Если картина другая, и управление гипервизором в одном VLAN'е, а виртуальные машины в другом, напишите, что и как.

 

И заметка на полях: я бы все-таки на Кинетике для порта 1 оставил бы VLAN1 нетегированным (галочка "Входит в сегмент"), VLAN10 оставить тегированным, как есть. Далее, Порт1 коммутатора VLAN1 без тега, PVID1, VLAN10 тегированный. Ну и Порт8 коммутатора в зависимости от ваших настроек гипервизора и ВМ. Не знаю вашей конфигурации, но, подозреваю, что Порты 4-7 коммутатора нуждаются в корректировке: если у вас там серверы, тогда нот мембер VLAN1 (иначе, VLAN10 Not Member и PVID вернуть в 1) - в общем, чтобы на одном порту нетегированным был только один VLAN, его же и указать в PVID порта.

 

Edited by KeenTaur
  • 0
Posted

После того, как разберетесь с VLAN'ами может потребоваться еще проверить и, возможно, настроить DHCP-snooping, если коммутатор это умеет.

После всего этого, если потребуется, по доступу между сегментами: Статья "Сегменты сети":

Цитата

...

Важно! По умолчанию доступ между основной домашней сетью и дополнительным сегментом запрещен.

...
Примечание. Разрешить доступ между сегментами можно двумя способами:
1. Рекомендуемый способ. С помощью правил межсетевого экрана.

...

 

Не поделитесь моделью коммутатора у вас? Вменяемая настройка VLAN.

  • 0
Posted
2 минуты назад, KeenTaur сказал:

Не поделитесь моделью коммутатора у вас? Вменяемая настройка VLAN.

согласен, потому у меня такой же - TL-SG108E 6 ревизия

  • Thanks 1
  • 0
Posted
53 minutes ago, KeenTaur said:

Основное: вам нужно согласовать настройки гипервизора и порта коммутатора, куда он подключен. С Проксмоксом не работал.  Как у вас настроен гипервизор? И управление им, и ВМ в одном сегменте? Тогда так:

Порт8 коммутатора в режим access в VLAN10, PVID порта тоже 10. УБРАТЬ с этого порта VLAN1 (Not member). На гипервизоре и ВМ VLAN'ы не указываете.

Если картина другая, и управление гипервизором в одном VLAN'е, а виртуальные машины в другом, напишите, что и как.

Спасибо.

Управление гипервизором и часть ВМ в 10 vlan, вторая часть ВМ в 100 vlan, он пока не заведен на коммутатор

 

Я сделал порт 8 тегируемым - 10 vlan, pvid - 1, создал отдельный сабинтерфейс с тегом 10, на него повесил бридж управления гипервизором, таким образом он подружился с коммутатором. Туда же завел нужные ВМ и с указанием тега они тоже завелись. Позже добавлю по аналогии для 100

  • Upvote 1
  • 0
Posted
9 minutes ago, KeenTaur said:

После того, как разберетесь с VLAN'ами может потребоваться еще проверить и, возможно, настроить DHCP-snooping, если коммутатор это умеет.

После всего этого, если потребуется, по доступу между сегментами: Статья "Сегменты сети":

 

Не поделитесь моделью коммутатора у вас? Вменяемая настройка VLAN.

TL-SG108E v5

DHCP выдает адреса в серверную сеть сквозь коммутатор

правила на фаерволе завел для тех кто может ходить к серверам

  • 0
Posted

Кстати, у меня более старая версия: TL-SG108E 4.0

И отлично подружился с Ультрой. То есть, модель, которая в разных версиях однозначно дружит с VLAN Кинетика.

  • Upvote 1
  • 0
Posted

802.1Q очень простой протокол, и вообще я непомню несовместимости между вендорами.

Единственное что - довольно часто VID 1 и VID 4095 зарезервированы для каких-то своих целей в оборудовании, поэтому если вам нужен именно тегированный трафик - этих VID стоит избегать.

  • 0
Posted
10 minutes ago, Le ecureuil said:

802.1Q очень простой протокол, и вообще я непомню несовместимости между вендорами.

Единственное что - довольно часто VID 1 и VID 4095 зарезервированы для каких-то своих целей в оборудовании, поэтому если вам нужен именно тегированный трафик - этих VID стоит избегать.

Можно ли считать лучшей практикой перетаскивать предустановленный в кинетике Home сегмент во что-то кастомное с vlan отличным от 1 ?

 

  • 0
Posted
13 минут назад, SOFAXA сказал:

Можно ли считать лучшей практикой перетаскивать предустановленный в кинетике Home сегмент во что-то кастомное с vlan отличным от 1 ?

 

Нет, как раз VLAN1 зарезервирован всегда для домашней сети у нас. Правильным будет всегда выдавать его растегированным или вообще отключать на порту, если он не нужен.

  • 0
Posted
3 минуты назад, Le ecureuil сказал:

Нет, как раз VLAN1 зарезервирован всегда для домашней сети у нас. Правильным будет всегда выдавать его растегированным или вообще отключать на порту, если он не нужен.

Пардон за офтопик, но не планируется ли отвязать VLAN1 от домашней сети? Точнее так, не планируется ли дать возможность назначать сегменту Домашняя сеть произвольный номер VLAN, а VLAN1 оставить для служебных целей (в нем же BPDU etc ходят?)? У меня на работе сейчас с десяток Кинетиков, большинство из них работают в режиме точки доступа, wifi "живут" в отдельных vlan'ах. Мне приходится либо отказываться от использования wifi в сегменте Домашняя сеть, либо сознательно идти на vlan mistmatch, когда на Кинетике это VLAN1, а на порту коммутатора в качестве native я вынужден выставлять другой VLAN.

 

37 минут назад, Le ecureuil сказал:

довольно часто VID 1 и VID 4095 зарезервированы для каких-то своих целей в оборудовании, поэтому если вам нужен именно тегированный трафик - этих VID стоит избегать

Я сталкивался с коммутаторами, которые считали, что на порту в режиме транк нетегированным обязан быть исключительно VLAN1, остальное с тегами. Также встречал рекомендации не использовать VLAN1 в качестве рабочего. Для себя стараюсь придерживаться этих правил и избегать экзотики типа асимметричных vlan.

  • 0
Posted
3 часа назад, KeenTaur сказал:

Пардон за офтопик, но не планируется ли отвязать VLAN1 от домашней сети? Точнее так, не планируется ли дать возможность назначать сегменту Домашняя сеть произвольный номер VLAN, а VLAN1 оставить для служебных целей (в нем же BPDU etc ходят?)? У меня на работе сейчас с десяток Кинетиков, большинство из них работают в режиме точки доступа, wifi "живут" в отдельных vlan'ах. Мне приходится либо отказываться от использования wifi в сегменте Домашняя сеть, либо сознательно идти на vlan mistmatch, когда на Кинетике это VLAN1, а на порту коммутатора в качестве native я вынужден выставлять другой VLAN.

 

Я сталкивался с коммутаторами, которые считали, что на порту в режиме транк нетегированным обязан быть исключительно VLAN1, остальное с тегами. Также встречал рекомендации не использовать VLAN1 в качестве рабочего. Для себя стараюсь придерживаться этих правил и избегать экзотики типа асимметричных vlan.

1. Нет, к сожалению это сейчас "мировая константа".

2. Все верно, но у нас VID 1 не выходит наружу в физику, а значит проблем совместимости с другими быть не должно.

  • 0
Posted

Спасибо за ответ! Хотя жаль, конечно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.