VLAN - Dummy-Port noch sinnvoll?

Started by saveNAT, January 26, 2023, 10:16:32 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 26, 2023, 10:16:32 AM
Hallo,

ich bin wieder ein gutes Stück weiter gekommen in meinem Testaufbau.
Trunk-Port zum Anschluss des Switches funktioniert und auch am Switch lassen sich die VLANs als untagged Ports aufteilen. Soweit erst mal alles super.
Ich habe es so gemacht wie es in diversen Themen hier steht und habe für den physikalischen Trunk Port ein "Dummy-VLAN" angelegt, weil es sonst nicht funktionieren soll.
Allerdings habe ich jetzt testweise den Dummy Port gelöscht und alles neu gestartet.
Die Funktion ist identisch.
Ich nutze OPNsense 22.7.11.
Ist hier der Dummy-Port nicht mehr nötig?
Oder sollte man diesen dennoch anlegen?
January 26, 2023, 11:04:05 AM #1
Was meinst mit Dummy-Port ?

Es gab mal die Aussage, das FreeBSD Problem hat,  tagged und untagged VLAN auf einem Interface zu nutzen. Ob das immer noch so ist, weiss ich nicht.

Bei mir läuft derzeit aber auch noch ein LAN-Port der OPNSense ohne vLAN-Tag, mein Management-Netz worin die Switche und AccessPoints und der Controller dafür hängen
Und 3xLAN-Ports als LACP mit allen vLAN's drauf zum Switch dahinter.

Ich hatte aber auch schon alles auf einem Interface und damit auch keine Probleme über Wochen.
January 26, 2023, 11:30:16 AM #2
Das FreeBSD selbst hat hier kein generelles Problem. Es gab allerdings in der Vergangenheit immer mal wieder "Effekte" mit Diensten, die den Promiscuous Mode benutzen und die Header nicht ordentlich parsen.

Z.B. ein DHCP-Server auf dem untagged Interface, der dann auch Anfragen aus den VLANs beantwortet.

Ähnliches mit IDS/IPS ...

Daher kommt die Empfehlung, das zu lassen. Erschwert die Fehlersuche deutlich.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 26, 2023, 01:23:45 PM #3
Quote from: pmhausen on January 26, 2023, 11:30:16 AM
Daher kommt die Empfehlung, das zu lassen. Erschwert die Fehlersuche deutlich.
Danke für die Info - hab derzeit auch keinen Grund, das zu ändern, läuft ja bei mir mit getrennten Interfacen wunderbar.
January 26, 2023, 02:53:45 PM #4
Nachtrag: eine echte Einschränkung gibt es dann doch noch. Wenn man ein phys. Interface bridged, dann kann man nicht gleichzeitig VLANs darauf betreiben. Ist kein Bug sondern "isso".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 26, 2023, 06:16:46 PM #5
Quote from: Tuxtom007 on January 26, 2023, 11:04:05 AM
Was meinst mit Dummy-Port ?

Damit meinte ich z.B. folgendes.
Man hat igb1 und legt für diesen bei den "Assignments" nicht nur die VLANs mit "Parent = igb1" an sondern auch ein "Assignment" das zwar auf "enable" gesetzt ist allerdings kein Subnetz oder ähnliches hat. Also ein Dummy. :)

Also wenn ich es dann richtig verstehe, dann ist es immer sinnvoll den Dummy Port anzulegen, dass nicht fälschlicherweise untagged Frames in den Trunk Port gelangen können?
January 26, 2023, 08:16:02 PM #6 Last Edit: January 26, 2023, 08:17:54 PM by franco
In 22.1 wurde es notwendig die VLAN Parents zuzuweisen wegen den Media und Hardware Einstellungen. Das hat sich dann aber mit 22.7.4 wieder erledigt. Hinterher weiss man es ja bekanntlich besser. ;)

Also: kann man machen, aber muss man nicht mehr. Eine Anwendung hierfür sind ggf. abweichende Settings die benötigt werden und nicht auf dem VLAN gesetzt werden können (selbige Media und Hardware) sowie die MAC spoofen und/oder Promiscuous Mode zu aktivieren.

Und vor dem "hä": ja es gab Spezialisten die sich unterschiedliche MAC spoofs für VLANs und Parent gewünscht hatten. Geht dann aber nur wenn man Promiscuous Mode aktiviert da der Parent sonst die MACs für die VLANs in vorauseilendem gehorsam ablehnt. :)


Grüsse
Franco
Print
Go Up Pages1
User actions