Problema Tosto Di VLAN

Tutto sulle reti Wired!

Problema Tosto Di VLAN

Messaggiodi thema3x » 22 luglio 2012, 18:46

Ciao,

ringrazio tutti coloro che mi risponderanno perchè so che l' argomento è complesso. :ninja:

Posto in allegato stralcio di mappa infrastruttura con le sole cose che interessano; in alcuni casi vado a semplificare ciò che nn serve sapere in questo caso ( tipo associo ad un collegamento semplice LAN un segnale che arriva invece per esempio da un altro/altri link P2P "dritti" cioè assimilabili ad un cavo ... )

Dato che il disegno è complesso racconto lo schema:

TUTTE LE ANTENNE SONO IN BRIDGE WDS ( ap o sta ) e con MULTICAST DISATTIVATO.

1. Si parte da AP- PBM5 - con ip 192.168.1.124/24 e gtw 192.168.1.100

Nello specifico il gateway 100 è un videoserver ( MWS2008r2 ) che riceve lo stream video da tutto ciò che è classe 192.168.1.X ( 25 sorgenti video, tutte esclusivamente unicast udp )

L' AP in oggetto ha 2 client station:

- la prima ( 192 - sta rosso ) riceve in LAN 5 camere.

- la seconda ( 172.16.12.252/24 con gateway 172.16.12.1 ) inietta in tutta la 192 da qui un PROXY HOTSPOT che e collegato a lei via LAN e che fa da dchp server e da gateway verso il web

L' access point che collega le due antenne ha il client iso attivato.

Via cavo l' ap in oggetto arriva in uno switch managed dove ho attivato l STP ( come su tutte le antenne )

Lo switch collega via cavo LAN il Videoserver in 192.168.1.100 e altre 3 tratte composte in modo identico a quella che segue:

- STA in classe 192
- AP in classe 192 --> via lan all' ap sono collegate diverse camere in classe 192 ( ap con client ISO off in questo caso )

- STA in classe 172 con a cascata lan un AP ( pico 2 ) anche lui in classe 172.

A quest' ultimo AP si collegano in radio poi diversi client wifi 2.4 Ghz ( pc, smart, ecc ) che usufruiscono del servizio hotspot in classe 172.16.12.X trasportato sulla rete 192.168.1.X

Quindi in sostanza usiamo la stessa infrastruttura di rete per portare due classi di rete distinte, per due servizi distinti, e con 2 gateway distinti ( 192.168.1.100 e 172.16.12.1 )

Regole di firewall ad-hoc bloccano sulla WLAN della 172.16.12.252 tutto ciò che è UDP in ingresso dalla 192 e sempre sulla WLAN tutto ciò che ha provenienza 0.0.0.0/0 e destinazione 192.168.1.X/24.

In aggiunta su tutti gli AP pico2 ci sono delle regole del tipo:
IF ATH0 DROP 0.0.0.0/0 --> 192.168.1.X/24
IF ATH0 DROP 192.168.1.X/24 --> 0.0.0.0/0

In questo modo chi è dietro gli AP non può accedere alla 192 in alcun caso e l' hotspot cmq dal suo lato non può vedere ne lo stream video udp ( che blocca la WLAN dell' antenna ) ne cmq tutta la 192 ( un eventuale ping nn troverebbe cmq risposta alcuna un quanto qualsiasi sorgente viene bloccata sempre dalla WLAN dell' antenna in risposta ad una destinazione in classe 192 ).

ORA:

tutto funziona stabilmente, lo stream scorre, la banda c'è perchè i link sono buoni, e il dhcp si propaga ovunque senza problemi raggiungendo i client finali e concedendogli una corretta e buona navigazione web.

SUCCEDE QUESTO:

random, ma credetemi, veramente random, si generano dei loop o meglio vengono propagati dei pacchetti, non si capisce cosa, che arrivano a generare da un traffico medio di 20Mbps un trafficio di anche 60-70Mbps.

Questo propagarsi random, manda tutto in collasso, stream, navigazione e gli stessi link di alcune antenne.

ORA:

osseviamo il fenomeno da diversi mesi: può accadere 10 volte al giorno come una volta ogni 72 ore. Il loop può durare diversi miunti o alcuni secondi, prima di esaurirsi naturalmente. Il traffico nn si capisce da dove si genera, ma solo che si propaga ovunque, su tutte e due le classi.
Il tipo di traffico, monitorato con wireshark in diversi punti, è normale traffico di rete, semplicemente moltiplicato alla n.

di sicuro se viene staccato il gateway in classe 172 ( l' hotspot ) il problema si risolve.

Quindi --> rete con due gateway = PROBLEMA


Pensavamo quindi di sviluppare una soluzione del genere: VLAN

Partendo dal punto di ingresso dell' hotspot: la STA 172.16.12.252

Fare un bridge di questo tipo:
BRIDGE0:
LAN0
WLAN0.2 ( VLAN radio con ID = 2 )

In questo modo notiamo che sul suo AP 192.168.1.124 il link radio è su ma il traffico in 172 non è disponibile.

Quindi:

Sull' AP 192.168.1.124 facciamo una regola di questo tipo:

BRIDGE0:
LAN0
WLAN0

bridge per portare la 192

BRDIGE1:
WLAN0.2 ( VLAN radio con ID = 2 )
LAN0.3 ( VLAN di rete con ID = 3 )


In questo modo notiamo che lo switch ci indica come info che ha trovato un VLAN con ID=3 sulla porte di rete corrispondente all' AP in questione.


Proseguendo sulla STA in classe 192 che è collegata nello switch inseime all' AP di cui sopra, facciamo una regola del tipo:

BRIDGE0:
LAN0
WLAN0

bridge per portare la 192

BRDIGE1:
LAN0.3 ( VLAN di rete con ID = 3 )
WLAN0.2 ( VLAN radio con ID = 2 )

A questo punto lo switch ci dice che ha trovato un altra porta di rete con VLAN tag=3 e ci chiede se vogliamo permettere il join: ok, permettiamo il join e sulla STA ci compaino nei dettagli della sua bridge table in BRDIGE 0 i MAC degli apparati in 192 e in BRIDGE1 i mac di quelli in 172.

Ottimo.

Da qui non riusciamo però a proseguire....Ciò che è in VLAN ( la classe 172 ) ci risulta sempre inaccessibile anche se andiamo avanti a fare regole come sopra fino agli AP finali.

Nello specifico andando avanti, abbiamo saltato l' AP successivo in classe 192 in quanto non ha client ISO e abbiamo fatto subito la regola sulla prima su STA in 172.

BRDIGE0
LAN0
WLAN0.2 ( VLAN radio con ID = 2 )

Sulla sta nei dettagli della bridge table ci compaiono in questo caso giustamente solo tutti i MAC degli apparati in 172 ( mentre prima vedevamo tutto ) correttamente peraltro associati all' interfaccia WLAN0.2, ma anche dal ping test interno non sono + raggiungibili.

......

xkè ? cosa sbagliamo ?

Grazie mille
Allegati
Scan_Pic0001.jpg
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: Problema Tosto Di VLAN

Messaggiodi elettrovox » 23 luglio 2012, 16:52

ciao con una mikrotik verrebbe semplice quello che vuoi fare,ma noi siamo per il difficile :eheh:
ai fatto una prova a fare delle rotte statiche ? sinceramente tempo fa noi abbiamo fatto tipo quello che desideri fare tu ma avevamo swicth manager cisco e ti puoi sbizzarrire le cpe trasparenti e il trunk sull cisco.devo fare alcune prove .
elettrovox
Expert
 
Messaggi: 445
Iscritto il: 17 marzo 2010, 15:48

Re: Problema Tosto Di VLAN

Messaggiodi thema3x » 23 luglio 2012, 17:00

Grazie EVox, contavo sul tuo aiuto.

Come e dove le faresti le static routes ?

:emo_pic_18:

Ciao

M
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: Problema Tosto Di VLAN

Messaggiodi redfive » 24 luglio 2012, 22:53

ciao thema3x , premetto che non ho mai usato le vlan sugli ubnt , ed ora non ne ho sottomano per fare 2 prove ,quindi ..potrei dire delle... castronerie !!
Con la 5.5 è possibile fare qualcosa tipo ( prendo ad esempio , dalla tua topologia , la pico M2hp 172.16.12.246 considerandola come punto di accesso hot spot wifi e collegata wired a sta M , 172.16.12.250):

lan0
lan0.100
wlan0
bridge0(lan0.100,wlan0)
managemen interface lan0 , ip add.192.168.1.quellochevuoi

sta M 172.16.12.250
lan0
lan0.100
wlan0
wlan0.100
bridge0(lan0,wlan0)
bridge1(lan0.100,wlan0.100)
managemen interface bridge0 , ip add.192.168.1.quellochevuoi

ap traliccio 192.168.1.122
lan0
wlan0
wlan0.100
bridge0(lan0,wlan0)
managemen interface bridge0 , ip add.192.168.1.quellochevuoi

sta MRG 192.168.1.123
lan0
lan0.100
wlan0
wlan0.100
bridge0(lan0,wlan0)
bridge1(lan0.100,wlan0.100)
managemen interface bridge0 , ip add.192.168.1.quellochevuoi

(questa collegata ad una porta trunk dello switch managed)

AP PBM5 192.168.1.124
lan0
lan0.100
wlan0
wlan0.100
bridge0(lan0,wlan0)
bridge1(lan0.100,wlan0.100)
managemen interface bridge0 , ip add.192.168.1.quellochevuoi

(anche questo questa collegato ad una porta trunk dello switch managed)

il resto non capisco se sono tratte radio o rame , comunque il concetto sarebbe lo stesso , ovvero avere sulle tratte condivise i frames taggati , ( in realtà in questo caso è taggata solo la vlan 100 ,
avendo lasciato le altre interfacce/bridge sulla nativa) che poi escono sulle rispettive porte access. Es. : se sta gialla (172.16.12.252) fosse collegata wired verso hot spot e wifi verso PBM5 (192.168.1.124)
lan0
wlan0
wlan0.100
bridge0(lan0,wlan0.100)
managemen interface wlan0 , ip add.192.168.1.quellochevuoi

Un dhcp-discover packet ( quindi broadcast ) che "entra" via wifi dalla pico M2HP , viaggierà taggato(vlan 100) sulle tratte wifi , per poi uscire untagged solo dalla lan di sta gialla.
Con le management interfaces appartenenti allo stesso dominio di broadcast , potresti gestire il tutto dalla rete 192.168.1.0/24 , senza dover ricorrere ad un router con 2 interfacce , ognuna delle quali direttamente connessa alle 2 reti .

è solo un esempio , e sopprattuto, ... again ... ragionamento in linea del tutto teorica !!
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Problema Tosto Di VLAN

Messaggiodi thema3x » 25 luglio 2012, 11:19

Ciao e grazie !

Anche secondo me è cosi e a grandi linee è quello che stavamo cercando di fare ma a questo punto credo proprio che sbagliamo qlksa nellaprocedura di creazione della vlan.

Nello specifico "managemen interface lan0 , ip add.192.168.1.quellochevuoi" come ca** si fa ad impostarlo ?

Se creo la vlan ( o il bridge1 del caso ) nella IP configuration vedo che posso mettere una config di rete differente per ognuno dei bridge o delle vlan, ma quando cambio l' ip da un lato melo cambia anche dall' altro, quindi se prendo la lan.100 ad esempio e gli cambio l' ip mi cambia anche su tutto il bridge 0 .... certamente sbaglio qlksa. cosa ? :scrolleye:

Grazie mille RED

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: Problema Tosto Di VLAN

Messaggiodi elettrovox » 25 luglio 2012, 11:47

Ok anch'io col il vlan 5.5 non ci ho smanettato tanto infatti la soluzione piu semplice e tecnica secondo il mio parere sarebbe scaraventare il tutto su uno switch manager e fare i trunk li.microtik come interfacce LAN.wan,wlan,tunnel ecc e piu versatile e piu di routing,ubiquity PTP al momento
elettrovox
Expert
 
Messaggi: 445
Iscritto il: 17 marzo 2010, 15:48

Re: Problema Tosto Di VLAN

Messaggiodi redfive » 25 luglio 2012, 13:10

Vedo se riesco oggi a recuperare un paio di NS e fare 2 prove...nel frattempo.."dirty solution".. piazzare switch managed ad ogni lan degli ubnt collegati con porte trunk , e fare uscire solo il traffico della vlan interessata da porte access dello stesso switch... tutto il traffico di backbone wifi viaggerà taggato , e gli switch toglieranno il vlan-id prima di forwardare i frames dalle porte access ( ed il contrario , ovvero dovrebbero taggare quello che entra da una determinata porta in funzione della vlan di appartenenza di tale porta ) . Ora sono un pò di fretta , spero sia comprensibile ciò che ho scritto....
Eventualmente , switch managed low cost...
http://www.ebay.it/itm/Net-Switch-10-10 ... 460298c9f8

se invece ti piace qualcosa di piu' professionale , che ne dici di un cisco smb layer3 ?
http://www.ebay.it/itm/CISCO-SF-300-08- ... 4ab9aa38f0
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Problema Tosto Di VLAN

Messaggiodi redfive » 25 luglio 2012, 22:49

Update...NSM2 loco oggi ne ho recuperata 1 , domani dovrei avere una pico 2Mhp ed una NSM2 , credo che si potranno fare prove un pò piu' approfondite :) :) comunque... NSM2 loco collegata a ad una porta trunk di un 2960, con altra porta trunk collegata ad un router con sub-interfaces , eth02 192.168.194.1/27 (vlan1 , nativa) ,eth02.5 192.168.194.33/29 (vlan5) ,eth02.10 192.168.194.41/29 (vlan10) . Per ognuna delle networks è presente un pool dhcp. Nella NSM2 loco , da bridge0 ho tolto wlan0 , ho poi creato le vlan lan0.5 , wlan0.5 , lan0.10 , wlan0.10 .
creato bridge1 (lan0.5, wlan0) e bridge2 (lan0.10, wlan0.10) . La wlan0 , si comporta come una porta access della vlan5 , collegando un pc via wifi alla rete ubnt , vengono passati i parametri ip relativi alla vlan5 . Disabilitando sul router la vlan5 , e spegnendo e riaccendendo il wifi sul pc , si vede sempre la rete ubnt , ma non viene rilasciato alcun ip di quelli relativi al pool per la vlan10 , ( anche settando manualmente un ip appartenente alla network della vlan 10 non si và da nessuna parte) ,"sembra" quindi che la wlan0.10 si comporti in effetti come una porta trunk "wifi".....in management interface ho lasciato bridge0( dal quale ricordo ho tolto wlan0) , con ip 192.168.194.2 , def-gw 192.168.194.1 bla bla bla...la ubnt è gestibile solo via interfaccia lan ( locale o remota tramite def-gw). Appena recupero gli altri dispositivi provo a...."shakerare" il tutto...
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Problema Tosto Di VLAN

Messaggiodi thema3x » 29 luglio 2012, 23:27

Ciao,

grazie mille. Parzialmente risolto. Nel senso con le Vlan non mi era chiaro il concetto di IP Management; ora ho capito.

L' indirizzo IP dell' antenna è raggiungibile sono sull' interfaccia che io decido e quell' interfaccia diventa a quel punto accessibile solo da dispositivi inclusi o esclusi dalla VLAN creata.

Va bene e grazie mille per l' aiuto.

Il problema però è altrove perchè i loop rimangono lo stesso e non capisco perchè...

Domani provo a cambiare lo switch con uno unmanaged cosi le vlan le gestiscono solo le ubiqiti.

T faccio saxe

Grazie mille ancora

M
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia


Torna a Wired Network

Chi c’è in linea

Visitano il forum: Nessuno

cron