VLAN: tagged und untagged auf einem physikalischen Interface

[gxyz]

ich suche gerade nach einer Lösung für ein ziemlich vertracktes Netz-Konfigurations-Problem:

Ausgangspunkt: Ein paar Server, deren Netzkonfiguration exzessiven Gebrauch von VLANs macht.
Die Maschinen sind also über ein (oder 2) NICs mit einem Switch verbunden, wobei die betreffendem Ports auf dem Switch als "Trunk" konfiguriert sind, die eingehenen Ethernetnet-Pakete sind alle "tagged".
im Augenblick haben die Maschinen jeweils ein lokales Root-Filesystem und alles funktioniert.
Ziel: Die Maschinen sollen diskless über PXE/NFS laufen

Da für Booten über Netz keine Feinsinnigkeiten bezüglich VLANs vorgesehen sind, läuft es also darauf hinaus, dass ich über die gleichen pysikalischen Netz-Interfaces sowohl 802.1Q-Frames als auch "normale" Ethernet-Frames verschicken und empfangen müsste.
Ich kann nirgends etwas darüber finden, ob diese Konstellation grundsätzlich möglich ist, aber ich kann im grossen weiten Internet auch nichts finden, dass sich überhaupt mit der Frage befasst. Allerdings sehe ich auch keinen Grund, weshalb es nicht möglich sein sollte und auch die Doku des Switches, an dem das Zeug hängt kling so, als sollte es eigentlich möglich sein. also habe ich 'mal ein paar "Trockenübungen" versucht:

Code: Alles auswählen

ifconfig eth0 up;    ifconfig eth0   192.168.30.1
vconfig add eth0 20; ifconfig vlan20 192.168.20.1
vconfig add eth0 21; ifconfig vlan21 192.168.21.1
...

Dazu noch auf dem Switch als Default-VLAN "30" und als Egress-Regel "UNTAG" gesetzt.
Die Idee ist also, Pakete in die Netze 192.168.20 und 21 wie gehabt "tagged" zu schicken, in das Netz 192.168.30 jedoch direkt über das Interface eth0, also untagged. Beim Empfang sollte der Switch Pakete ohne Tag in das Default-VLAN taggen, bei der Weiterleitung an einen so konfigurierten Port bei Paketen, die mit dem Default-VLAN getagged sind als "normale" Ethernet-Frames weiterleiten.

Soweit die Theorie. In der Praxis bekomme ich allerdings über das Netz 192.168.30 keine Verbindung zustande (alles weitere klappt wie zuvor). Wenn ich z.B. von versuche, einen Rechner anzupingen, werden die ARP-Reqests brav übermittelt und der Sender bekommt auch die Antwort. Der nächste Schritt wäre nun also, über das Interface eth0 einen Echo-Request an die jetzt bekannte MAC-Adresse zu schicken - tatsächlich sehe ich mit dem Packet-Sniffer aber nicht einmal beim Absender irgendwelche ICMP-Pakete. Obwohl wie gesagt auch die ARP-Replies ankommen, verschickt der Sender nur weitere ARP-Requests, ohne jemals zu versuchen, Daten zu verschicken.

Hat irgend jemand eine Idee, was da schiefläuft (und womöglich gar, wie es klappen würde?
Notfalls könnte ich natürlich ein 2. Interface zum Booten verwenden, aber wenn's nicht unbeding sein muss, würde ich mir die zusätzlichen Kabel und Switch-Ports gerne ersparen ...

[unitra]

Server die an mehreren VLAN's hängen, quasi Router, diskless?
Lass das lieber sein mit diskless, das macht alles viel einfacher.

[gxyz]

die Kisten dienen als reine "Rechenknechte" für virtuelle Maschinen - der Datenspeicher ist zentral und das System soll bis auf IP-Adressen und dergleichen identisch sein - ein Zustand, der mit lokalen Platten ziemlich aufwändig beizubehalten ist, sich mit einem geteilten NFS-Root-Dateisystem aber von ganz alleine ergibt ...

[unitra]

at irgend jemand eine Idee, was da schiefläuft (und womöglich gar, wie es klappen würde?

Hänge einen Wireshark an den Port und schaue aus welchem VLAN du Broadcasts bekommst, dann weisst du im welchen VLAN die Machinen befinden. Dann weisst du was was da schief, und wo du die Konfiguration anpassen musst (Netz oder Host). So hättest Du einen Ansatz zur Lösung des Problems.

[gxyz]

Ich dachte eigentlich, meine Ausführungen wären klar genug:
- Ich weiß, in welchem/n VLAN sich die Maschinen "befinden" (alle, die ich auf dem Switch für den betreffenden Port zulasse ;-) und
- kann mit explizitem 801.Q VLAN-Tagging auch problemlos kommunizieren

Es geht nur darum, ob es überhaupt möglich ist (und wenn ja, dann wie) zusätzlich in einem bestimmten VLAN auch "untagged" zu kommunizieren ...

[unitra]

Ich fasse kurz zusammen:

1) Du hast also einen Server der an einem Trunk Port hängt, also mehrere VLAN's.
2) Mehrere VLAN's bedeuten mehrere IP Netze die über ein Laye3 Interface (Router) miteinander verbunden sein müssen.
3) Du meintest was von einem Default VLAN, heisst "native VLAN" über das native VLAN kommunizieren Switche miteeinander um BPDU, STP, und VTP Informationen auszutauschen. Meistens ist das das VLAN1.

Der Host kann nicht entscheiden in welches VLAN ein Frame oder ein Packet reingeschickt werden sollte, da Hosts normalerweise "VLAN" unaware sind.
Ein einzelner Host der an einem Access Switchport hängt weiss nichts von einem VLAN weil der VLAN Tag am Switchport vom Ethernet Frame entfernt wird sobald das Frame richtung Host geschickt wird. Sobald am Switchport ein Ethernet Frame ankommt, wird ein dazugehörige VLAN ID in den Frame Header vermerkt.

Dein Server muss also schon am Anfang bevor er noch gebootet hat, da er an einem Trunk hängt, die Funktion eines Switches übernehmen. Es sei denn Du würdest das VLAN1 das native VLAN benutzen um dein PXE oder BOOTP zum laufen zu bringen. Alle anderen VLAN's sind zu dem Zeitpunkt nicht erreichbar da der Server die VLAN's nicht taggen kann und den Ethernet Header mit entsprechenden VLAN Informationen nicht versehen könnte.

Ob der Server wirklich über das VLAN1, native VLAN, untagged VLAN, kommunizieren kann, das musst du ausprobieren. Es sollte gehen. Ich kann aber sonst nicht mehr viel dazu sagen, da die Informationen über die Netztopologie die du benutzt (Layer1, über Layer2 bis Layer3) unbekannt sind.

Viel Efolg.

Hier noch ein interessanter Thread dazu:
https://learningnetwork.cisco.com/thread/8721