Buonasera a tutti. Premetto che sono abbastanza nuovo in ambito VLAN, vorrei chiedere qualche consiglio/dritta circa la seguente situazione.
Premessa: si tratta della mia rete di casa; al piano superiore mi arriva la linea Vodafone, al piano inferiore ho un armadio rack con il mio router Mikrotik e alcuni server. Il mio obiettivo è utilizzare il Mikrotik come router principale per la LAN, collegando attraverso l'unica linea ethernet che va dal piano superiore a quello inferiore sia un AP wifi sia la Vodafone Station come upstream, ma mantenendo separato il traffico (ergo intendo utilizzare un paio di VLAN 802.1Q).
Cosa ho fatto: ho acquistato 3 switch gestiti TP-LINK (2 TL-SG608E e un TL-SG605E) e li ho impostati secondo la topologia indicata nella seguente foto (chiamiamoli, da sinistra, switch 1, switch 2 e switch 3):

Nota: quella che ho indicato come vlan 1 (che in realtà è quella presente di default) "vorrebbe" essere una vlan di trunk, che trasmetta il traffico sia di LAN che di DMZ sullo stesso conduttore.

Quello che vorrei è banalmente che la vodafone station si collegasse alla porta 1 del primo switch e che questo traffico venisse assegnato alla VLAN 10. Un ipotetico pacchetto dalla LAN verso Internet dovrebbe quindi entrare nella porta 2 del Mikrotik, uscire dalla porta 1, entrare nella porta 2 del terzo switch (e quindi essere assegnato alla VLAN 10), transitare nel secondo switch, uscire dalla porta 1 del primo switch e infine entrare nella Vodafone station per poi essere indirizzato verso Internet. In breve, vorrei che la Vodafone station "vedesse" il Mikrotik come se fosse fisicamente "in mezzo" tra lei e la LAN.

Ho configurato gli switch in questo modo:
Switch 3:

Switch 2:

Switch 1

Ora... con questa configurazione io navigo e tutto "sembra" funzionare, ma non sono convinto di aver raggiunto la separazione del traffico che volevo. La sensazione che ho è che, siccome su tutti gli switch tutte le porte sono untagged sulla VLAN 1 (e da manuale deve essere così) questi switch si comportino esattamente come switch non gestiti, ignorando bellamente la configurazione che gli ho dato.
Per cui chiedo a chi è più esperto: ho sbagliato qualcosa? E se sì, cosa?

Grazie a tutti
Gabriele

    Gabriele-F Così in teoria gli switch stanno facendo inter-VLAN routing, o più probabilmente Q-in-Q, cioè stai applicando due tag VLAN a ogni frame Ethernet, ma non ne sono sicuro. Una configurazione più precisa dovrebbe vedere le porte che usi per collegare tra loro gli switch configurate come porte trunk, in maniera tale che trasportino tutte le VLAN, e configurare le altre porte come access, quindi legate a una sola VLAN (sullo switch 1, la porta dove è collegata la Station configurata sulla VLAN DMZ, le altre configurate sulla VLAN LAN; sugli altri switch, escluse le porte trunk, tutte sulla VLAN LAN). La configurazione trunk si può anche applicare alla porta collegata al uTik, così da risparmiare un cavo. Non ho familiarità con l'interfaccia dei TP-Link, quindi non so se quei listati derivano dalla configurazione che ho descritto poc'anzi. In caso bene, altrimenti si potrebbe modificare. Per verificare se il traffico è correttamente separato dovrebbe bastare una verifica con Wireshark: se su una porta posta logicamente a valle del uTik vedi pacchetti che dovrebbero trovarsi a monte dello stesso, c'è qualche problema. 😉

    Allora, ho provato con wireshark ed effettivamente ho visto qualche pacchetto avente come sorgente la Station e destinazione un dispositivo in LAN (considera che la station ha ip 192.168.10.1, l'interfaccia 1 del Mikrotik 192.168.80.2 e la LAN è una 192.168.80.0/24; io vedevo pacchetti con sorgente 192.168.10.1 e destinazione 192.168.80.xx, ma nessuno con destinazione 192.168.10.2).

    Il fatto è che sto facendo una gran fatica a capire come come configurare questi switch. Questi non permettono una configurazione estremamente fine, permettono "solo" per ogni VLAN 802.1Q di selezionare quali porte sono Tagged, quali Untagged e quali Not member, oltre che di configurare il PVID.

    Da alcuni manuali che ho trovato su internet sembrerebbe che impostare una porta come tagged su più VLAN di fatto voglia dire creare un trunk, che è quello che ho fatto... non mi convince la presenza delle stesse porte come untagged sulla VLAN 1 e tagged sulla VLAN 80. Il fatto è che se rimuovo le porte dalla VLAN 1 poi non riesco più ad accedere allo switch (da manuale la VLAN 1 è quella utilizzata per il management) e devo effettuare un factory reset.
    Ho visto che non posso utilizzare le port-based VLAN perché, da manuale, non permettono il trunking (di fatto permettono solo di dividere lo switch in due sottoswitch più piccoli).

    Banalmente non riesco a capire come devo configurare queste porte... in una configurazione di questo tipo,chi deve essere tagged e chi untagged? Purtroppo sono ancora ignorante in questo ambito...

    Grazie mille
    Gabriele

      Gabriele-F Questi non permettono una configurazione estremamente fine, permettono "solo" per ogni VLAN 802.1Q di selezionare quali porte sono Tagged, quali Untagged e quali Not member, oltre che di configurare il PVID.

      Le vlan funzionano così. Non è che ci siano altre impostazioni eh 😅

      Ho letto velocemente la discussione e credo di poterti dare alcune dritte fondamentali dato che a casa dei miei ho fatto una cosa simile anni fa.

      Premessa. Io solitamente la vlan1 la lascio attiva come untagged solo su una porta e la uso come “scorta” per gestire lo switch se dovessi fare cagate nella configurazione. Negli switch che uso di solito si possono attivare le vlan tramite le quali è possibile gestire lo switch e i relativi ip dello switch associati ad ogni vlan ma non credo che possa farlo su questi che hai tu.

      Tutte le porte che collegano tra loro gli switch devono essere dei trunk.
      Su queste porte le vlan devono essere necessariamente taggate e puoi lasciare pvid 1

      La porta dove hai collegato la station deve avere untagged vlan 10 pvid 10
      La porta dove hai collegato la wan del Mikrotik deve avere untagged vlan 10 pvid 10
      La porte dove hai collegato la lan del Mikrotik deve avere untagged vlan 80 pvid 80

      Tutte le porte degli switch che vuoi usare come lan del Mikrotik dovrai metterle untagged vlan 80 e pvid 80

      Tutte le porte degli switch che vuoi usare come lan della Vodafone station dovrai metterle untagged 10 e pvid 10

      La vlan 1 mettila not member su tutte le porte tranne 1 da usare come management. Ricordati di assegnare un ip statico ad ogni switch in modo da poterlo raggiungere facilmente.

      Se gli switch ti permettono di modificare questa impostazione potresti anche cambiare la vlan di gestione impostando la 80 così li vedi dalla lan.

      Questo è uno switch con 3 VLAN e ho due porte di trunk che vanno verso altri due switch.

      Grazie mille!! Ho seguito alla lettera i tuoi consigli e ora mi funziona tutto a dovere. Mi mancava tutto questo discorso tagged/untagged/pvid, ora mi è tutto molto più chiaro.
      Interessante la questione della gestione, effettivamente avevo provato a mettere tutte le porte come Not member di VLAN 1 (pensando che non mi servisse a niente), ma in quel caso perdevo appunto accesso alla configurazione e dovevo fare il reset dello switch e ricominciare da capo. Purtroppo come hai detto questi switch non permettono di cambiare la VLAN di management, quindi la 1 devo tenermela.
      Comunque ora funziona tutto come deve, tra l'altro passare agli switch gestiti, anche se semplici come questi, apre un mondo.

      Grazie ancora!
      Gabriele

        Gabriele-F son contento di averti aiutato 😊
        Buona navigazione 😉

        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
        P.I. IT16712091004 - info@fibraclick.it

        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile