Перейти к содержанию

Вопрос

Опубликовано

Привет всем.

 

От недостатка знаний столкнулся с проблемой после приобретения управляемого коммутатора.

 

Вкратце - при выставлении тэга в настройках сетевого адаптера виртуальной машины она не может достучаться до сети (не видна в списке устройств на роутере и не получает адрес по DHCP).

В скриншотах прикладываю настройки. 1 порт роутера соединен с 1 портом коммутатора, 8 порт коммутатора смотрит в гипервизор.

Если в настройках ВМ не указывать тэг, то она логичным образом попадает в 10 vlan через значение pvid на 8 порту коммутатора, далее в роутер и все работает. Если указать 10 vlan в настройках ВМ, то она не получает адрес с роутера. И ВАЖНОЕ ЗАМЕЧАНИЕ - если в настройках ВМ указать 10 vlan и руками вписать адрес из правильной сети, то ОНА ПОЯВЛЯЕТСЯ В СПИСКЕ УСТРОЙСТВ НА РОУТЕРЕ, но не может ни с чем обмениваться трафиком, не ходит никакой и никуда, не представляю как это и с чем связано.

2024-12-24 11.26.09.png

2024-12-24 11.26.40.png

2024-12-24 11.26.45.png

2024-12-24 11.27.01.png

2024-12-24 11.27.31.png

Рекомендуемые сообщения

  • 0
Опубликовано
4 часа назад, SOFAXA сказал:

Вкратце - при выставлении тэга в настройках сетевого адаптера виртуальной машины она не может достучаться до сети

Так из ваших скриншотов видно, 8 порт коммутатора на котором, как вы пишите, подключена ВМ не тегирован, зачем выставлять тег на адаптере ВМ?

  • 0
Опубликовано
7 minutes ago, mrGhotius said:

Так из ваших скриншотов видно, 8 порт коммутатора на котором, как вы пишите, подключена ВМ не тегирован, зачем выставлять тег на адаптере ВМ?

Понял кажется. Надо сделать бридж гипервизора тегируемым, порт 8 тоже и изменить на нем PVID на любой кроме 10, тогда ВМ взлетят.

  • 0
Опубликовано (изменено)

Основное: вам нужно согласовать настройки гипервизора и порта коммутатора, куда он подключен. С Проксмоксом не работал.  Как у вас настроен гипервизор? И управление им, и ВМ в одном сегменте? Тогда так:

Порт8 коммутатора в режим access в VLAN10, PVID порта тоже 10. УБРАТЬ с этого порта VLAN1 (Not member). На гипервизоре и ВМ VLAN'ы не указываете.

Если картина другая, и управление гипервизором в одном VLAN'е, а виртуальные машины в другом, напишите, что и как.

 

И заметка на полях: я бы все-таки на Кинетике для порта 1 оставил бы VLAN1 нетегированным (галочка "Входит в сегмент"), VLAN10 оставить тегированным, как есть. Далее, Порт1 коммутатора VLAN1 без тега, PVID1, VLAN10 тегированный. Ну и Порт8 коммутатора в зависимости от ваших настроек гипервизора и ВМ. Не знаю вашей конфигурации, но, подозреваю, что Порты 4-7 коммутатора нуждаются в корректировке: если у вас там серверы, тогда нот мембер VLAN1 (иначе, VLAN10 Not Member и PVID вернуть в 1) - в общем, чтобы на одном порту нетегированным был только один VLAN, его же и указать в PVID порта.

 

Изменено пользователем KeenTaur
  • 0
Опубликовано

После того, как разберетесь с VLAN'ами может потребоваться еще проверить и, возможно, настроить DHCP-snooping, если коммутатор это умеет.

После всего этого, если потребуется, по доступу между сегментами: Статья "Сегменты сети":

Цитата

...

Важно! По умолчанию доступ между основной домашней сетью и дополнительным сегментом запрещен.

...
Примечание. Разрешить доступ между сегментами можно двумя способами:
1. Рекомендуемый способ. С помощью правил межсетевого экрана.

...

 

Не поделитесь моделью коммутатора у вас? Вменяемая настройка VLAN.

  • 0
Опубликовано
2 минуты назад, KeenTaur сказал:

Не поделитесь моделью коммутатора у вас? Вменяемая настройка VLAN.

согласен, потому у меня такой же - TL-SG108E 6 ревизия

  • 0
Опубликовано
53 minutes ago, KeenTaur said:

Основное: вам нужно согласовать настройки гипервизора и порта коммутатора, куда он подключен. С Проксмоксом не работал.  Как у вас настроен гипервизор? И управление им, и ВМ в одном сегменте? Тогда так:

Порт8 коммутатора в режим access в VLAN10, PVID порта тоже 10. УБРАТЬ с этого порта VLAN1 (Not member). На гипервизоре и ВМ VLAN'ы не указываете.

Если картина другая, и управление гипервизором в одном VLAN'е, а виртуальные машины в другом, напишите, что и как.

Спасибо.

Управление гипервизором и часть ВМ в 10 vlan, вторая часть ВМ в 100 vlan, он пока не заведен на коммутатор

 

Я сделал порт 8 тегируемым - 10 vlan, pvid - 1, создал отдельный сабинтерфейс с тегом 10, на него повесил бридж управления гипервизором, таким образом он подружился с коммутатором. Туда же завел нужные ВМ и с указанием тега они тоже завелись. Позже добавлю по аналогии для 100

  • 0
Опубликовано
9 minutes ago, KeenTaur said:

После того, как разберетесь с VLAN'ами может потребоваться еще проверить и, возможно, настроить DHCP-snooping, если коммутатор это умеет.

После всего этого, если потребуется, по доступу между сегментами: Статья "Сегменты сети":

 

Не поделитесь моделью коммутатора у вас? Вменяемая настройка VLAN.

TL-SG108E v5

DHCP выдает адреса в серверную сеть сквозь коммутатор

правила на фаерволе завел для тех кто может ходить к серверам

  • 0
Опубликовано

Кстати, у меня более старая версия: TL-SG108E 4.0

И отлично подружился с Ультрой. То есть, модель, которая в разных версиях однозначно дружит с VLAN Кинетика.

  • 0
Опубликовано

802.1Q очень простой протокол, и вообще я непомню несовместимости между вендорами.

Единственное что - довольно часто VID 1 и VID 4095 зарезервированы для каких-то своих целей в оборудовании, поэтому если вам нужен именно тегированный трафик - этих VID стоит избегать.

  • 0
Опубликовано
10 minutes ago, Le ecureuil said:

802.1Q очень простой протокол, и вообще я непомню несовместимости между вендорами.

Единственное что - довольно часто VID 1 и VID 4095 зарезервированы для каких-то своих целей в оборудовании, поэтому если вам нужен именно тегированный трафик - этих VID стоит избегать.

Можно ли считать лучшей практикой перетаскивать предустановленный в кинетике Home сегмент во что-то кастомное с vlan отличным от 1 ?

 

  • 0
Опубликовано
13 минут назад, SOFAXA сказал:

Можно ли считать лучшей практикой перетаскивать предустановленный в кинетике Home сегмент во что-то кастомное с vlan отличным от 1 ?

 

Нет, как раз VLAN1 зарезервирован всегда для домашней сети у нас. Правильным будет всегда выдавать его растегированным или вообще отключать на порту, если он не нужен.

  • 0
Опубликовано
3 минуты назад, Le ecureuil сказал:

Нет, как раз VLAN1 зарезервирован всегда для домашней сети у нас. Правильным будет всегда выдавать его растегированным или вообще отключать на порту, если он не нужен.

Пардон за офтопик, но не планируется ли отвязать VLAN1 от домашней сети? Точнее так, не планируется ли дать возможность назначать сегменту Домашняя сеть произвольный номер VLAN, а VLAN1 оставить для служебных целей (в нем же BPDU etc ходят?)? У меня на работе сейчас с десяток Кинетиков, большинство из них работают в режиме точки доступа, wifi "живут" в отдельных vlan'ах. Мне приходится либо отказываться от использования wifi в сегменте Домашняя сеть, либо сознательно идти на vlan mistmatch, когда на Кинетике это VLAN1, а на порту коммутатора в качестве native я вынужден выставлять другой VLAN.

 

37 минут назад, Le ecureuil сказал:

довольно часто VID 1 и VID 4095 зарезервированы для каких-то своих целей в оборудовании, поэтому если вам нужен именно тегированный трафик - этих VID стоит избегать

Я сталкивался с коммутаторами, которые считали, что на порту в режиме транк нетегированным обязан быть исключительно VLAN1, остальное с тегами. Также встречал рекомендации не использовать VLAN1 в качестве рабочего. Для себя стараюсь придерживаться этих правил и избегать экзотики типа асимметричных vlan.

  • 0
Опубликовано
3 часа назад, KeenTaur сказал:

Пардон за офтопик, но не планируется ли отвязать VLAN1 от домашней сети? Точнее так, не планируется ли дать возможность назначать сегменту Домашняя сеть произвольный номер VLAN, а VLAN1 оставить для служебных целей (в нем же BPDU etc ходят?)? У меня на работе сейчас с десяток Кинетиков, большинство из них работают в режиме точки доступа, wifi "живут" в отдельных vlan'ах. Мне приходится либо отказываться от использования wifi в сегменте Домашняя сеть, либо сознательно идти на vlan mistmatch, когда на Кинетике это VLAN1, а на порту коммутатора в качестве native я вынужден выставлять другой VLAN.

 

Я сталкивался с коммутаторами, которые считали, что на порту в режиме транк нетегированным обязан быть исключительно VLAN1, остальное с тегами. Также встречал рекомендации не использовать VLAN1 в качестве рабочего. Для себя стараюсь придерживаться этих правил и избегать экзотики типа асимметричных vlan.

1. Нет, к сожалению это сейчас "мировая константа".

2. Все верно, но у нас VID 1 не выходит наружу в физику, а значит проблем совместимости с другими быть не должно.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.