סוויץ' "לא מנוהל"-אז מה ההגדרות שלו למשל VLAN?

[lavifighter]

סוויץ' "לא מנוהל"-אז מה ההגדרות שלו למשל VLAN?

לא חסרים לצערנו מקומות שאין להם תקציב למתג מנוהל.
אז עולה לי המחשבה, במתג לא מנוהל, אז מה בעצם הVLAN?
האם זה אומר שאין VLAN(כולם vlan 0)? או שהכל trunk? או שהכל VLAN עם מספר כלשהו?
והאם אפשר לחבר דברים כמו esxi או netapp או דברים שיש להם vlan tagging ברמת מערכת ההפעלה, למתג לא מנוהל, אם משתמשים בvlan tagging? ואם כן אז איזה vlan אמורים לתת להם?
יכול להיות שיש לי פה איזה "חור" בידע שאני לא מבין, אבל אשמח להסבר. נגיד אני רוצה לחבר משהו כמו esxi למתג מנוהל, אז אני חייב לשים את כל הדברים שלו באותו הvlan ברמת הvswitch? או שההיפך-כדי לעשות הפרדה בסוויץ' כזה, עליי להשתמש בvlan tagging?

 

[SysAdmin1]

על מתגים VLANs ומה שבינהם...

נתחיל מהיסודות. בכל מערכת IT קיים מושג בשם: תשתיות תקשורת. המושג הזה מתייחס בדרך כלל לרשת נתונים של המערך IT והוא מקביל ליסודות שעליהם מתבסס כל המבנה. ובידיוק כמו שבמקומות שאין להם תקציב לבנות יסודות למבנה שלהם והם בונים את המבנה על חול, ידוע מראש שגורלו של המבנה מסוג הזה במוקדם או במאוחר לקרוס ( ויקרוס כל המבנה ולא רק המרפסות ), כך יהיה גם מצב של מערך IT באותן המקומות שאין להם תקציב לתשתיות תקשורת היגיוניות ( בידיוק כך תקרוס גם כל המערכת מחשוב ולא רק רכיב בודד, ולא משנה, אם מדובר על רשת קטנה או גדולה ). כרגע לא נתמקד על כל התכונות אחרות של מתג מנוהל שהופכות אותו למחויב המציאות בכל מערך IT , אלה רק בתכונה ששמה VLAN .
בידיוק כשמו הוא VLAN דומה לכבל וירטואלי נפרד, ואם רוצים להפריד מספר רשתות, אז מפרידים אותן על ידי שימוש ב VLAN נפרד. מערכות שצריכות לרכז מספר VLANs נפרדים באותו הכרטיס רשת ( כמו למשל שרתים שמחזיקים מכונות וירטואליות, נתבים, שרתים שמחוברים למספר רשתות משנה וכו' ) מתחברים לפורט במתג שמוגדר כ VLAN Trunk , שכל ה VLANs שמשתתפים בו יהיו בפורט הזה מתוייגים. בניגוד לזה כל ההתקני רשת שעל הכרטיסי רשת שלהם לא מוגדר תיוג ל VLAN ספציפי יתחברו לפורט במתג שיוגדר כפורט גישה ( לא מתוייג ו VLAN בודד ) .
בקשר ל ESXI , נהוג להשתמש בו בשני כרטיסי רשת נפרדים, שמחוברים ל VLANs שונים, אחד ל VLAN של ניהול והשני ל VLAN אחד או יותר שעליו או עליהם יושבות כל המכונות הוירטואליות, החיבור הלוגי הזה יכול להתבצע בדרך כלל דרך vswitch . אופצייה נוספת, פחות טובה, היא שבשרת ESXI קיים כרטיס רשת אחד, שהמוגדר בו VLAN אחד לניהול ושאר ה VLANs למכונות הוירטואליות.
והתשובה הפשוטה היא, שאת השרת ESXI חייבים לחבר למתג לפורט שיוגדר כ VLAN Trunk , שבו ישתתפו כל ה VLANs הנדרשים.

עכשיו לתשובה לנושא של, אז מה בעצם הVLAN , במתג לא מנוהל. והתשובה היא פשוטה. מתג מנוהל לא מבין מה זה VLAN . ובשביל להבין בכלל מה זה VLAN חייבים להבין, שזה בסך הכל עוד שדה מוגדר נוסף בתוך ה FRAME שמשודר בתוך המערכת. מתג מנוהל יודע להבין את השדה הזה ולהתנהג עם ה FRAME המדובר לפי הלוגיקה שהוגדרה מראש ( למשל לא להעביר את ה FRAME לפורט שלא שייך ל VLAN שמופיע בשדה או להסיר את השדה, לפני שמעבירים את ה FRAME לפורט גישה וכו' ) .
בניגוד לזה מתג לא מנוהל יעביר את כל המסגרות לכל הפורטים, כי הוא לא מבין את מה שכתוב בשדה של VLAN . אבל גם כאן יכולה להיות בעייה, ברגע שלמסגרת רגילה מתווסף שדה חדש, כל המסגרת גודלת בהתאם, ואם המתג הלא מנוהל יודע להתמודד רק עם הגודל סטנדרטי של המסגרות, אז מסגרות שגדולות יותר לא יעברו בצורה תקינה. ואת זה מין הסתם לא ניתן לדעת מראש. כמובן קיימים גם היביטים נוספים, כמו למשל טבלאות לניהול ולימוד MACs במתג וכו'.

בכל מקרה מדובר כאן על פרק בסיסי ביותר מתוך הנושא של הכרת המחשב ומאוד מומלץ לקרוא את הספרים למתחילים בנושאים של הכרת המחשב, כי בלי זה לא ניתן להבין גם את יתר הדברים הפשוטים.
צירפתי גם תרשים פשוט שמסביר את המבנה של המסגרת.

 

[lavifighter]

קודם כל תודה על ההסבר, וחג שמח

דבר שני אמיר מכיר ויודע מה זה VLAN ואיך עובדים עם זה, פשוט עד לא מזמן עוד לא עבדתי במקומות קטנים עם מתגים לא מנוהלים ולכן לא ידעתי כיצד מתמודדים עם זה ומה זה אומר. במקומות הגדולים יש להם תקשורת נורמלית.
אז בתכלס, מבחינת אבטחה, מתג לא מנוהל לא טוב הרבה יותר מhub, שהרי גם במתג לא מנוהל כל רכיב יכול ליירט את התקשורת של כל מתג אחר(הlayer 2 מגיע לכולם), גם אם בשרת מוגדרים vlanים. נכון שזה לא אותו הדבר כי צריך לעשות arp spoofing או שיטות אחרות לman in the middle בניגוד לHUB שפשוט כולם מקבלים את הכל, ועדיין זה בעייתי. גם מבחינת broadcast storm זה נשמע בעייתי אם יש הרבה רכיבים ברשת.

 

[SysAdmin1]

כמו שכבר כתבתי מקודם...

כמו שכבר כתבתי מקודם, לא מקומות גדולים ולא מקומות קטנים שרוצים לשמור על סוג כלשהו של מערכת מידע ארגונית לא משתמשים במתגים לא מנוהלים. ובמיוחד במקומות קטנים בגלל מגוון רחב של שיקולים. למשל בגלל שבמקום קטן, בניגוד למקום גדול לא תמיד קיים צוות של מומחי מערכות מידע שיכולים לנטר ולאבחן את הבעייות ואחרי זה לפתור אותן, ויהיה צורך להמתין עד שיגיעה גורם חוץ, שגם בדרך כלל הוא לא יהיה הסכין הכי חדה במגירה, בגלל שמקומות קטנים בדרך כלל ינסו להעסיק כל מיני גורמים זולים שלא מבינים אפילו את הדברים הכי בסיסיים. וזה סיבה מספיק טובה שבמקום כזה מראש חייבים לנסות למנוע את האסונות שיכולים לקרות, על ידי תכנון נכון של התשתיות. הסיבה הנוספת, היא שבמקומות קטנים לא קיימות בדרך כלל מערכות ניטור ודיאגנוסטיקה אוטומטיות, כמו שנהוג מבמקומות גדולים, מערכות שיכולות לא רק לזהות ולנתח את התקלות ואיומים, אלה גם לטפל בהם מבלי שהמשתמשי המערכת יסבלו מהבעייה. וזו הסיבה שמראש נדרש תכנות עם שרידות ואמינות גבוהה. קיימים עוד מספר רב של שיקולים שהסיכום החד משמעי שלהם, הוא שלא ניתן להשתמש במתגים לא מנוהלים. ועל הנושא של אבטחת מידע אפילו אין מה לדבר, בגלל שהדבר היסודי שממנו מתחילים, זה הגדרה של static arp ואימות 802.1x שחייב להתבצע על כל ה access ports בארגון, דבר שלא אפשרי במתגים לא מנוהלים.
אפשר גם להזכיר את הנושא של loop detection , שלא קיים במתגים לא מנוהלים והעדר שלו גורם במוקדם או במאוחר להשבתה מלאה של רשת נתונים וחיפושים על עיוור מה הוא הגורם לתופעה.
בכל מרקה מדובר על נושאים שהם אלף-בית של תקשורת נתונים.

 

[lavifighter]

אני איש אחסון, לא תקשורת, בגלל זה שאלתי

 

[SysAdmin1]

מההיבט של אחסון...

מההיבט של אחסון, פי כמה וכמה , צריך בכלל לזכור, לשכוח ולהוציא מהלקסיקון את המונח והתופעה בשם מתגים לא מנוהלים ואת כל אחד שמזכיר אותו ברבים, לשלוח לשטוף את הפה במי מלח עד שזה יעבור לו והוא יגמל מההרגל המגונה ומזיק הזה.