RE: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Jérôme Quintard]

> Il faut configurer 2 fois ? Qu'est-ce qui se passe si on ne met pas la même 
> valeur ?

Bah pas essayé mais comment veux-tu que ça fonctionne  

Comme le dit Laurent-Charles, si tu ne précises par le PVID sur le VLAN natif 
qui utilisé en lieu et place.

De toutes les manières je te rejoints, le terme hybrid, ce n'est pas top et 
inutile.



De : Michel Py 
Envoyé : samedi 29 août 2020 20:17
À : 'Laurent Fabre' ; Jérôme Quintard 

Cc : frnog@frnog.org 
Objet : RE: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

> Jérôme Quintard a écrit :
> Déjà sur allied, un trunk c’est en fait la désignation donnée pour du LACP. 
> Allied
> précisant dans une doc (me redemandez pas la source c’était il y 3 jours) que 
> c’est
> Cisco qui a tord d’utilisez ce vocabulaire pour le trunking de 802.1q

C'est n'importe quoi, le terme "trunk" çà fait plus de 20 ans qu'on l'utilise 
pour 802.1q, on l'utilisait déjà avant même que 802.1q existe, avec ISL chez 
Cisco par exemple.

> Laurent Fabre a écrit :
> Ça vaut sinon répond un samedi ?

Mais oui !
Ce que je ne comprends pas avec le mode hybride, c'est à quoi çà sert. Quel est 
le cas de figure dans lequel c'est désirable ou utile ?

> Un trunk ne détag jamais
> Un accès détag toujours
> Un hybrid , Bein ça dépend de la conf.

Pour la partie "Un accès détag toujours", je ne comprends pas la logique non 
plus. Pourquoi ?

Ce mode hybride, je n'y vois que des emmerdes potentielles. Par exemple, la 
latence : rajouter le tag du VLAN, çà va forcément prendre du temps, et dans un 
environnement HFT/HPC ou ils se battent à la nanoseconde, c'est pas glop.
Aussi, ce truc avec un mélange de plusieurs vendeurs qui n'ont pas forcément la 
même interprétation, ajouté à d'autres technologies qui manipulent le tag des 
VLANs comme Q-in-Q, çà sent pas la rose. Récemment on a eu un fil à propos de 
mettre un câble en boucle entre 2 ports du même switch, le mode hybride c'est 
exactement le genre de chose qui pourrait provoquer un effondrement, car c'est 
un cas qui n'a jamais été prévu ni testé.

> Jérôme Quintard a écrit :
> Par contre le soucis provenait du fait que malgré qu’un port soit untagged, 
> il est nécessaire
> en plus de lui configurer un PVID sur le même VLAN. Je comprends pas ce 
> double emploi. Pourquoi
> le PVID ne force par le untagged et inversement. Un access étant forcément 
> untagged.

Il faut configurer 2 fois ? Qu'est-ce qui se passe si on ne met pas la même 
valeur ?

> Laurent Fabre a écrit :
> Sur brocade et ATI c’est plus du à un logique fabric L2 où on programme le 
> comportement
> de l’Asic du port. Si on discute avec leurs ingé, un switch C’est un genre de 
> FW L2 avec
> plein d’acl et de buffer.  Un VLan c’est une acl sur le tag du paquet par 
> exemple.

A rapprocher avec ce que Jérôme écrivait ci-dessus, c'est pas parce que 
techniquement on peut configurer l'ASIC pour faire tout et surtout n'importe 
quoi qu'il faut laisser à l'utilisateur la possibilité de le faire; c'est super 
dangereux, car quelqu'un qui comprend la logique d'un ASIC particulier et qui 
configure un switch avec un autre ASIC d'un autre vendeur en assumant que çà va 
marcher pareil, là çà va être joyeux.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Laurent-Charles FABRE]

Hello,

> Donc quand ça rentre on rajoute un tag (celui du pvid ou du default vlan)
>
> Justement, c'est là ou çà commence à coincer : pourquoi il y a 2 valeurs ?
>

Bein t'es pas obligué de vouloir tagger sur le default
Si tu ne dis rien, c'est le default
Si tu précise le PVID, c'est lui qui joue.
Je crois que sur TP-Link on ne peut pas changer le default et que le PVID
est obligatoire (la liste ?)


> C'est pas moi qui ai soulevé la question, mais elle est complètement
> valide. Quelle est la différence entre PVID et default VLAN et native VLAN
> ? Chez moi, default VLAN c'est native VLAN (par défaut : 1) qu'on n'a pas
> configuré, d’où çà sort ce PVID ?
>

De mémoire sur le tas de RTFM que j'ai subit :
le PVID sert à définir le Native Vlan d'un port qui n'est pas forcément le
Default Vlan du Switch
IMHO

Soit tu ne mets pas de conf spécifique sur le port est le TAG qui sera
ajouté est celui du default VLan.
Le default Vlan n'est pas forcément le 1.
D'ailleurs, mon habitude est de prendre autour de 4000 pour le default Vlan
(suivant ce qui est libre chez tous les constructeurs présent dans la
boutique)
Comme cela, *les* vlan 1 de diverses origine ne peuvent pas être
silencieusement transmis par erreur/oublie de config

En supposant que 4000 est mon default :
- je ne mets pas de PVID, le paquet TAG-Less rentre dans le 4000 qui est un
blackHole pour moi
- je mets un PVID, ça va ou on a décidé

> Quand ça sort, en théorie vers le switch qui ne cause pas le vlan, et
> donc avec un seul
> > domaine de bcast, on detag car le tag sera au mieux ignoré, au pire
> fauteur de trouble.
>
> Là encore je suis ta logique, mais tu as oublié le mot "toujours". On
> parlait du mode hybride, et si j'ai compris, çà peut retagger le VLAN natif
> au lieu du untag (en sortie), en fonction de la config, d’où ma confusion.
> Toi aussi, tu as vu la partie "fauteur de trouble".
>

Le touchscreen n'est pas propice à l'épanchement littéraire, là : j'ai un
clavier :-)
Mais il faut bien omettre toujours.
Chez brocade (rufus pour les puristes) le switch il fait ce que tu dis, et,
il ne fera pas ce que tu as oublié de dire...
Si tu n'es pas en hybride, il va toujours UnTag le paquet qui sort par un
port access et qui match le PVID.
Si tu es en hybride,  le PVID est obligatoire.
Il va laisser sortir avec un TAG si tu déclares le VLan en TG ou détagué si
VLan en UT.

Je suis d'accord que le terme hybrid est inutile et je pense utilisé à
titre documentaire ou pour basculer truc dans l'ASIC.
Car si on se dit que le port fait en egress ce que la conf TG/UT lui dit de
faire et accepte en ingres du UT qu'il va TG suivant DefVLan ou PVID si
précisé, on a tout dit.

TPLink n'utilise pas le verbiage HYBRID mais (et ca va te plaire) le terme
GENERAL.
A bein oui, si tu fais, de l'Access, du Trunk et les deux en même temps,
bein tu utilises tout et donc tu es en mode General :-)

En l'écrivant ça fait bien penser à une aide pour les ASIC de switch.
Trunk : rien a surveiller, c'est TG ou drop
Access : 1 vlan à surveiller, ça tient dans un registre
Hybrid/General : inspection de N Vlan, faut bosser voir prévoir une table
de N Vlan à lookup
Ca fait sens, mai ça n'engage que moi.

Et dernière pour t'occuper : sur TPLink, tu peux mettre un port en mode
passoire
de mémoire switchport acceptable frame all
Là il laisse tout passer sans rien traiter (vlan ou pas)
Sans doute très reposant pour l'ASIC et peut être bon pour la latence.
Pas de TP-Link sous la main pour tester, je laisse la liste donner son
avis..

Un tronc, çà ne veut PAS dire que tous les VLANs sont taggés. Il y a
> toujours eu un VLAN untaggé sur chaque tronc.
>

Presque :
chez TP-Link et Brocade tu peux refuser les paquets non TG.
Chez Dell ou Huawei il faut ruser avec un PVID=1 + deny VL1
Comme ça, pas de DefVlan et pas de VL1 qui s'infiltre insidieusement avec
ses stealth bpdu.

Chez Brocade (me rappelle plus chez TP-Link)
Tu peux untag tous les Vlan que tu veux en les déclarant UT sur le port
Juste, tu n'en taguera en ingress que 1  via PVID ou DefVlan
Mais, si tu es un vicieux, et je te soupçonne de l'être, au moins
pinailleur, tu peux aussi tagguer en ingress sur plusieurs VL via mac ou IP
!

Comment ? personne n'a plein de plages IP mélangées sur des vieux HUB voir
des centaine de /16 ?
Quand on doit collecter un tel bazar sans rien pouvoir changer, c'est là
que le cerveau malade des ingés Brocade prend toute sa saveur !

> Ceci bien sur quand on ne peut pas router, sinon: L3 is the way to go.
> Merci de supporter cette opinion, je plussoie 1000.
>

Gaffe tu ramollis !
C'est justement pour ne pas avoir à over supporter que je prône le L3 ;-)

Anxieux de voir ce que tu vas encore trouver à redire,
A+

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Michel Py]

> Laurent-Charles FABRE a écrit :
> Yo, la logique du access qui detag toujours c'est plutot trivial. Un port
> acces est fait pour causer à un(e) switch/infra qui ne comprend pas les vlans

Jusque là je suis d'accord.

> Donc quand ça rentre on rajoute un tag (celui du pvid ou du default vlan)

Justement, c'est là ou çà commence à coincer : pourquoi il y a 2 valeurs ?
C'est pas moi qui ai soulevé la question, mais elle est complètement valide. 
Quelle est la différence entre PVID et default VLAN et native VLAN ? Chez moi, 
default VLAN c'est native VLAN (par défaut : 1) qu'on n'a pas configuré, d’où 
çà sort ce PVID ?

> Quand ça sort, en théorie vers le switch qui ne cause pas le vlan, et donc 
> avec un seul
> domaine de bcast, on detag car le tag sera au mieux ignoré, au pire fauteur 
> de trouble.

Là encore je suis ta logique, mais tu as oublié le mot "toujours". On parlait 
du mode hybride, et si j'ai compris, çà peut retagger le VLAN natif au lieu du 
untag (en sortie), en fonction de la config, d’où ma confusion. Toi aussi, tu 
as vu la partie "fauteur de trouble".

> Pour ce qui est des idiotismes (mot extraordinaire :-) j'ai toujours dit à 
> mes stagiaires
> ou collègues, ce que l'on fait sur un brocade, ne le faite jamais ailleurs.

Là on est bien d'accord aussi, d'ailleurs je dirais probablement la même chose 
avec Cisco.

> Pour le cas d'usage du hybride, moi c'est quand je récupére une infra, même 
> taggué
> mais avec un default vlan. Le port L2 qui cause à cette infra est un Trunk 
> pour
> chopper tout les vlan Mais il est "Hybride" (suivant brocade) car je récupère 
> le
> "vlan" Untag pour l'injecter dans un vlan (taggué donc) de mon infra.

Cà fait plus de 20 ans qu'on fait çà sans la dénomination "hybride". Sur un 
tronc, il y a toujours eu un VLAN non taggué qu'on appelle "native VLAN", par 
défaut VLAN 1 chez Cisco (et probablement plein d'autres). On peut changer la 
valeur : au lieu que çà soit VLAN 1 qui ne soit pas taggué, on peut choisir un 
autre VLAN. Contrairement à la croyance populaire, un tronc, depuis la nuit des 
temps et même avant que 802.1q ne soit défini, çà a toujours été hybride : tous 
les VLANs sont taggués, sauf UN : le native VLAN. C'était déjà le cas avec les 
troncs ISL, avant que 802.1q ne soit normalisé.

Un tronc, çà ne veut PAS dire que tous les VLANs sont taggés. Il y a toujours 
eu un VLAN untaggé sur chaque tronc.

Je l'a écrit il a quelques jours et je le répète : ce mode "hybride" à la con, 
çà ne répond à aucun besoin, et je l'ai écrit il y a quelques jours, et tu n'as 
toujours pas fourni de justification. (faut bien que je patate un peu, quand 
même).

Là ou je suis d'accord pour dire que Cisco a abusé le langage "access", c'est 
dans le cas suivant :
switchport mode access
switchport access vlan x
switchport voice vlan y
Cette config, ce n'est pas un port "access", c'est un tronc qui a 2 vlans, 1 
untaggé (data, vlan x) et l'autre taggué (voice, vlan y). Techniquement, c'est 
donc un tronc avec 2 VLANs, 1 untaggé et l'autre taggé; donc c'est logiquement 
pas un port "access". C'est donc bien un tronc, sauf que la partie "hybride", 
çà fait plus de 20 ans que çà existe et je me rappelle avoir fait çà avec du 
Bay Netorks / Nortel il y a 20 ans, et que çà n'a jamais été appelé "hybride".

> Ceci bien sur quand on ne peut pas router, sinon: L3 is the way to go.

Merci de supporter cette opinion, je plussoie 1000.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Laurent-Charles FABRE]

Yo,
la logique du access qui detag toujours c'est plutot trivial.
Un port acces est fait pour causer à un(e) switch/infra qui ne comprend pas
les vlans
Donc quand ça rentre on rajoute un tag (celui du pvid ou du default vlan)
Quand ça sort ,en théorie vers le switch qui ne cause pas le vlan, et donc
avec un seul domaine de bcast, on detag car le tag sera au mieux ignoré, au
pire fauteur de trouble.

Pour ce qui est des idiotismes (mot extraordinaire :-) j'ai toujours dit à
mes stagiaires ou collègues, ce que l'on fait sur un brocade, ne le faite
jamais ailleurs.

Par exemple, sur un brocade, quand tu mets un port dans un LAG (statique
mais surtout dynamique) le port commence toujours par être bloquant.
Un peut comme learnig sur un STP, même si pas de STP sur le port.
Après réception d'un BPDU, préférablement de LACP, il joint un LAG (même
singleton) et il devient passant sans avoir eu la possibilité de générer
une boucle.

La même chose sur un autre switch sans aucune forme de STP ou apparenté,
c'est joueur.
Sur Brocade c'est safe et même best practice.

Chez Huawei, c'est interdit par exemple et il y a même un VSTP ad-hoc prévu
pour ce cas d'usage.

Pour le cas d'usage du hybride, moi c'est quand je récupére une infra, même
taggué mais avec un default vlan.
Le port L2 qui cause à cette infra est un Trunk pour chopper tout les vlan
Mais il est "Hybride" (suivant brocade) car je récupère le "vlan" Untag
pour l'injecter dans un vlan (taggué donc) de mon infra.
Pour éviter les questions, je detaggue le dit vlan quand ça ressort vers
l'infra cliente
Ceci bien sur quand on ne peut pas router, sinon: L3 is the way to go.

Après, les gouts et les couleurs :-)...

Laurent-Charles FABRE
+33 6 6201 5196


Le sam. 29 août 2020 à 20:17, Michel Py 
a écrit :

> > Jérôme Quintard a écrit :
> > Déjà sur allied, un trunk c’est en fait la désignation donnée pour du
> LACP. Allied
> > précisant dans une doc (me redemandez pas la source c’était il y 3
> jours) que c’est
> > Cisco qui a tord d’utilisez ce vocabulaire pour le trunking de 802.1q
>
> C'est n'importe quoi, le terme "trunk" çà fait plus de 20 ans qu'on
> l'utilise pour 802.1q, on l'utilisait déjà avant même que 802.1q existe,
> avec ISL chez Cisco par exemple.
>
> > Laurent Fabre a écrit :
> > Ça vaut sinon répond un samedi ?
>
> Mais oui !
> Ce que je ne comprends pas avec le mode hybride, c'est à quoi çà sert.
> Quel est le cas de figure dans lequel c'est désirable ou utile ?
>
> > Un trunk ne détag jamais
> > Un accès détag toujours
> > Un hybrid , Bein ça dépend de la conf.
>
> Pour la partie "Un accès détag toujours", je ne comprends pas la logique
> non plus. Pourquoi ?
>
> Ce mode hybride, je n'y vois que des emmerdes potentielles. Par exemple,
> la latence : rajouter le tag du VLAN, çà va forcément prendre du temps, et
> dans un environnement HFT/HPC ou ils se battent à la nanoseconde, c'est pas
> glop.
> Aussi, ce truc avec un mélange de plusieurs vendeurs qui n'ont pas
> forcément la même interprétation, ajouté à d'autres technologies qui
> manipulent le tag des VLANs comme Q-in-Q, çà sent pas la rose. Récemment on
> a eu un fil à propos de mettre un câble en boucle entre 2 ports du même
> switch, le mode hybride c'est exactement le genre de chose qui pourrait
> provoquer un effondrement, car c'est un cas qui n'a jamais été prévu ni
> testé.
>
> > Jérôme Quintard a écrit :
> > Par contre le soucis provenait du fait que malgré qu’un port soit
> untagged, il est nécessaire
> > en plus de lui configurer un PVID sur le même VLAN. Je comprends pas ce
> double emploi. Pourquoi
> > le PVID ne force par le untagged et inversement. Un access étant
> forcément untagged.
>
> Il faut configurer 2 fois ? Qu'est-ce qui se passe si on ne met pas la
> même valeur ?
>
> > Laurent Fabre a écrit :
> > Sur brocade et ATI c’est plus du à un logique fabric L2 où on programme
> le comportement
> > de l’Asic du port. Si on discute avec leurs ingé, un switch C’est un
> genre de FW L2 avec
> > plein d’acl et de buffer.  Un VLan c’est une acl sur le tag du paquet
> par exemple.
>
> A rapprocher avec ce que Jérôme écrivait ci-dessus, c'est pas parce que
> techniquement on peut configurer l'ASIC pour faire tout et surtout
> n'importe quoi qu'il faut laisser à l'utilisateur la possibilité de le
> faire; c'est super dangereux, car quelqu'un qui comprend la logique d'un
> ASIC particulier et qui configure un switch avec un autre ASIC d'un autre
> vendeur en assumant que çà va marcher pareil, là çà va être joyeux.
>
> Michel.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Michel Py]

> Jérôme Quintard a écrit :
> Déjà sur allied, un trunk c’est en fait la désignation donnée pour du LACP. 
> Allied
> précisant dans une doc (me redemandez pas la source c’était il y 3 jours) que 
> c’est
> Cisco qui a tord d’utilisez ce vocabulaire pour le trunking de 802.1q

C'est n'importe quoi, le terme "trunk" çà fait plus de 20 ans qu'on l'utilise 
pour 802.1q, on l'utilisait déjà avant même que 802.1q existe, avec ISL chez 
Cisco par exemple.

> Laurent Fabre a écrit :
> Ça vaut sinon répond un samedi ?

Mais oui !
Ce que je ne comprends pas avec le mode hybride, c'est à quoi çà sert. Quel est 
le cas de figure dans lequel c'est désirable ou utile ?

> Un trunk ne détag jamais
> Un accès détag toujours 
> Un hybrid , Bein ça dépend de la conf. 

Pour la partie "Un accès détag toujours", je ne comprends pas la logique non 
plus. Pourquoi ?

Ce mode hybride, je n'y vois que des emmerdes potentielles. Par exemple, la 
latence : rajouter le tag du VLAN, çà va forcément prendre du temps, et dans un 
environnement HFT/HPC ou ils se battent à la nanoseconde, c'est pas glop.
Aussi, ce truc avec un mélange de plusieurs vendeurs qui n'ont pas forcément la 
même interprétation, ajouté à d'autres technologies qui manipulent le tag des 
VLANs comme Q-in-Q, çà sent pas la rose. Récemment on a eu un fil à propos de 
mettre un câble en boucle entre 2 ports du même switch, le mode hybride c'est 
exactement le genre de chose qui pourrait provoquer un effondrement, car c'est 
un cas qui n'a jamais été prévu ni testé.

> Jérôme Quintard a écrit :
> Par contre le soucis provenait du fait que malgré qu’un port soit untagged, 
> il est nécessaire
> en plus de lui configurer un PVID sur le même VLAN. Je comprends pas ce 
> double emploi. Pourquoi
> le PVID ne force par le untagged et inversement. Un access étant forcément 
> untagged.

Il faut configurer 2 fois ? Qu'est-ce qui se passe si on ne met pas la même 
valeur ?

> Laurent Fabre a écrit :
> Sur brocade et ATI c’est plus du à un logique fabric L2 où on programme le 
> comportement
> de l’Asic du port. Si on discute avec leurs ingé, un switch C’est un genre de 
> FW L2 avec
> plein d’acl et de buffer.  Un VLan c’est une acl sur le tag du paquet par 
> exemple.

A rapprocher avec ce que Jérôme écrivait ci-dessus, c'est pas parce que 
techniquement on peut configurer l'ASIC pour faire tout et surtout n'importe 
quoi qu'il faut laisser à l'utilisateur la possibilité de le faire; c'est super 
dangereux, car quelqu'un qui comprend la logique d'un ASIC particulier et qui 
configure un switch avec un autre ASIC d'un autre vendeur en assumant que çà va 
marcher pareil, là çà va être joyeux.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Laurent Fabre]

Plop

Ça vaut sinon répond un samedi ?

Sur ATI et Brocade (foundry) le ingress et egress sont gerable indépendamment. 

Le accès + pvid va taguer tout paquet entrant sur un port qui n’est pas déjà 
taggué

On peut avoir le comportement inverse, untag si =pvid OU conserver le tag

D’où la conf dusimetrique et le verbiage hybrid 

Un trunk ne détag jamais
Un accès détag toujours 
Un hybrid , Bein ça dépend de la conf. 

Sur TP-Link c’est plus une bizarrerie de l’interface web que l’on ne subit pas 
en CLI. 

Sur brocade et ATI c’est plus du à un logique fabric L2 où on programme le 
comportement de l’Asic du port. 

Si on discute avec leurs ingé, un switch C’est un genre de FW L2 avec plein 
d’acl et de buffer. 

Un VLan c’est une acl sur le tag du paquet par exemple. 

Bon WE !

Envoyé depuis mon mobile
Laurent-Charles FABRE
+33 6 6201 5196

> Le 28 août 2020 à 17:12, Jérôme Quintard  a écrit :
> 
> Je viens de comprendre.
> 
> Si on connecte un périphérique sur un port untagged lorsqu’un paquet sort 
> (tout cast confondu) il supprime (untag) le TAG associé. 
> 
> Le PVID fait finalement le sens inverse. Lorsque le périphérique envoie des 
> paquets, ils sont dépourvus du VLAN associé au port. Le PVID (donc VLAN) est 
> donc ajouté à la volée.
> 
> En bref chez Cisco, cette opération est fait en une seule fois car enlever un 
> VLAN en sortie pour en ajouter un autre entrant n’aurait pas de logique. 
> 
>> Le 28 août 2020 à 13:47, Daniel via frnog  a écrit :
>> 
>> 
>> Le 28/08/2020 à 12:46, David Ponzone a écrit :
>> Le 28 août 2020 à 09:45, Jérôme Quintard  a écrit 
>> :
> 
> Alors en fait.
> 
> Déjà sur allied, un trunk c’est en fait la désignation donnée pour du 
> LACP. Allied précisant dans une doc (me redemandez pas la source c’était 
> il y 3 jours) que c’est Cisco qui a tord d’utilisez ce vocabulaire pour 
> le trunking de 802.1q et que leur mode trunk c’est pas bien (sur le fond, 
> sans maîtrise, ça reste effectivement dangereux).
> 
> La gestion des VLAN chez Allied se passe, dans l’interface web, via une 
> table map dans lequel on définit pour un port et un VLAN donné si il est 
> exclu, taggué ou non taggé. Rien d’extraordinaire c’est identique ne 
> serait-ce que chez Alcatel et probablement d’autres.
> 
> Que l’on mette un seul port en untagged (équivalent à un access) ou x 
> tagged (equivalent a un trunk allowed) tout est hybrid.
> 
> Par contre le soucis provenait du fait que malgré qu’un port soit 
> untagged, il est nécessaire en plus de lui configurer un PVID sur le même 
> VLAN.
> 
> Je comprends pas ce double emploi. Pourquoi le PVID ne force par le 
> untagged et inversement. Un access étant forcément untagged.
>>> Ce délire là, je l’ai eu sur un petit TP-link récemment.
>>> Tant que tu mets pas le même PVID sur le port que ce que tu as mis comme 
>>> VLAN untag, ça marche pas.
>>> Pas eu le temps de chercher la raison et/ou la pertinence de cette 
>>> subtilité.
>> Idem sur les Netgear GSxxx et HPE19xx
>> 
>> -- 
>> Daniel Huhardeaux
>> +33.368460...@tootai.net  sip:8...@sip.tootai.net
>> +41.445532...@swiss-itech.chtootaiNET
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> https://nam10.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=02%7C01%7C%7Cfc88c54a87504e26390a08d84b481669%7C84df9e7fe9f640afb435%7C1%7C0%7C637342120267633976sdata=n6ZeQJacTXOA7U9RKHO0eiiZTPFnTnupcjSUFjtwFdg%3Dreserved=0
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Jérôme Quintard]

Je viens de comprendre.

Si on connecte un périphérique sur un port untagged lorsqu’un paquet sort (tout 
cast confondu) il supprime (untag) le TAG associé. 

Le PVID fait finalement le sens inverse. Lorsque le périphérique envoie des 
paquets, ils sont dépourvus du VLAN associé au port. Le PVID (donc VLAN) est 
donc ajouté à la volée.

En bref chez Cisco, cette opération est fait en une seule fois car enlever un 
VLAN en sortie pour en ajouter un autre entrant n’aurait pas de logique. 

> Le 28 août 2020 à 13:47, Daniel via frnog  a écrit :
> 
> 
> Le 28/08/2020 à 12:46, David Ponzone a écrit :
 Le 28 août 2020 à 09:45, Jérôme Quintard  a écrit :
>>> 
>>> Alors en fait.
>>> 
>>> Déjà sur allied, un trunk c’est en fait la désignation donnée pour du LACP. 
>>> Allied précisant dans une doc (me redemandez pas la source c’était il y 3 
>>> jours) que c’est Cisco qui a tord d’utilisez ce vocabulaire pour le 
>>> trunking de 802.1q et que leur mode trunk c’est pas bien (sur le fond, sans 
>>> maîtrise, ça reste effectivement dangereux).
>>> 
>>> La gestion des VLAN chez Allied se passe, dans l’interface web, via une 
>>> table map dans lequel on définit pour un port et un VLAN donné si il est 
>>> exclu, taggué ou non taggé. Rien d’extraordinaire c’est identique ne 
>>> serait-ce que chez Alcatel et probablement d’autres.
>>> 
>>> Que l’on mette un seul port en untagged (équivalent à un access) ou x 
>>> tagged (equivalent a un trunk allowed) tout est hybrid.
>>> 
>>> Par contre le soucis provenait du fait que malgré qu’un port soit untagged, 
>>> il est nécessaire en plus de lui configurer un PVID sur le même VLAN.
>>> 
>>> Je comprends pas ce double emploi. Pourquoi le PVID ne force par le 
>>> untagged et inversement. Un access étant forcément untagged.
>> Ce délire là, je l’ai eu sur un petit TP-link récemment.
>> Tant que tu mets pas le même PVID sur le port que ce que tu as mis comme 
>> VLAN untag, ça marche pas.
>> Pas eu le temps de chercher la raison et/ou la pertinence de cette subtilité.
> Idem sur les Netgear GSxxx et HPE19xx
> 
> -- 
> Daniel Huhardeaux
> +33.368460...@tootai.net  sip:8...@sip.tootai.net
> +41.445532...@swiss-itech.chtootaiNET
> 
> 
> ---
> Liste de diffusion du FRnOG
> https://nam10.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2Fdata=02%7C01%7C%7Cfc88c54a87504e26390a08d84b481669%7C84df9e7fe9f640afb435%7C1%7C0%7C637342120267633976sdata=n6ZeQJacTXOA7U9RKHO0eiiZTPFnTnupcjSUFjtwFdg%3Dreserved=0

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Daniel via frnog]

Le 28/08/2020 à 12:46, David Ponzone a écrit :

Le 28 août 2020 à 09:45, Jérôme Quintard  a écrit :

Alors en fait.

Déjà sur allied, un trunk c’est en fait la désignation donnée pour du LACP. 
Allied précisant dans une doc (me redemandez pas la source c’était il y 3 
jours) que c’est Cisco qui a tord d’utilisez ce vocabulaire pour le trunking de 
802.1q et que leur mode trunk c’est pas bien (sur le fond, sans maîtrise, ça 
reste effectivement dangereux).

La gestion des VLAN chez Allied se passe, dans l’interface web, via une table 
map dans lequel on définit pour un port et un VLAN donné si il est exclu, 
taggué ou non taggé. Rien d’extraordinaire c’est identique ne serait-ce que 
chez Alcatel et probablement d’autres.

Que l’on mette un seul port en untagged (équivalent à un access) ou x tagged 
(equivalent a un trunk allowed) tout est hybrid.

Par contre le soucis provenait du fait que malgré qu’un port soit untagged, il 
est nécessaire en plus de lui configurer un PVID sur le même VLAN.

Je comprends pas ce double emploi. Pourquoi le PVID ne force par le untagged et 
inversement. Un access étant forcément untagged.

Ce délire là, je l’ai eu sur un petit TP-link récemment.
Tant que tu mets pas le même PVID sur le port que ce que tu as mis comme VLAN 
untag, ça marche pas.
Pas eu le temps de chercher la raison et/ou la pertinence de cette subtilité.

Idem sur les Netgear GSxxx et HPE19xx

--
Daniel Huhardeaux
+33.368460...@tootai.net  sip:8...@sip.tootai.net
+41.445532...@swiss-itech.chtootaiNET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[David Ponzone]

> Le 28 août 2020 à 09:45, Jérôme Quintard  a écrit :
> 
> Alors en fait. 
> 
> Déjà sur allied, un trunk c’est en fait la désignation donnée pour du LACP. 
> Allied précisant dans une doc (me redemandez pas la source c’était il y 3 
> jours) que c’est Cisco qui a tord d’utilisez ce vocabulaire pour le trunking 
> de 802.1q et que leur mode trunk c’est pas bien (sur le fond, sans maîtrise, 
> ça reste effectivement dangereux). 
> 
> La gestion des VLAN chez Allied se passe, dans l’interface web, via une table 
> map dans lequel on définit pour un port et un VLAN donné si il est exclu, 
> taggué ou non taggé. Rien d’extraordinaire c’est identique ne serait-ce que 
> chez Alcatel et probablement d’autres. 
> 
> Que l’on mette un seul port en untagged (équivalent à un access) ou x tagged 
> (equivalent a un trunk allowed) tout est hybrid.
> 
> Par contre le soucis provenait du fait que malgré qu’un port soit untagged, 
> il est nécessaire en plus de lui configurer un PVID sur le même VLAN.
> 
> Je comprends pas ce double emploi. Pourquoi le PVID ne force par le untagged 
> et inversement. Un access étant forcément untagged. 

Ce délire là, je l’ai eu sur un petit TP-link récemment.
Tant que tu mets pas le même PVID sur le port que ce que tu as mis comme VLAN 
untag, ça marche pas.
Pas eu le temps de chercher la raison et/ou la pertinence de cette subtilité.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Jérôme Quintard]

Alors en fait. 

Déjà sur allied, un trunk c’est en fait la désignation donnée pour du LACP. 
Allied précisant dans une doc (me redemandez pas la source c’était il y 3 
jours) que c’est Cisco qui a tord d’utilisez ce vocabulaire pour le trunking de 
802.1q et que leur mode trunk c’est pas bien (sur le fond, sans maîtrise, ça 
reste effectivement dangereux). 

La gestion des VLAN chez Allied se passe, dans l’interface web, via une table 
map dans lequel on définit pour un port et un VLAN donné si il est exclu, 
taggué ou non taggé. Rien d’extraordinaire c’est identique ne serait-ce que 
chez Alcatel et probablement d’autres. 

Que l’on mette un seul port en untagged (équivalent à un access) ou x tagged 
(equivalent a un trunk allowed) tout est hybrid.

Par contre le soucis provenait du fait que malgré qu’un port soit untagged, il 
est nécessaire en plus de lui configurer un PVID sur le même VLAN.

Je comprends pas ce double emploi. Pourquoi le PVID ne force par le untagged et 
inversement. Un access étant forcément untagged. 

Quelqu’un a l’explication ?


> Le 28 août 2020 à 08:37, Michel Py  a 
> écrit :
> 
> 
>> 
>>> Michel Py a écrit :
>>> Faut dire que "switchport mode hybrid" c'est un peu cheulou dès le départ 
>>> :-(
>>> Encore une de ces nouvelles conneries dont on se serait très bien passé.
> 
>> David Ponzone a écrit :
>> J’ai parcouru les docs Allied and hybrid semble vouloir dire trunk sur la 
>> gamme de
>> switch industriels. Sur les autres, c’est switch port mode trunk. Aux fous.
> 
> Comme c'est déjà trolldi, j'ai une question con :
> D'après moi, il y a soit 2 types de ports, soit 2 1/2 types de ports, soit 3 
> types de ports.
> 
> Commençons par les faciles :
> - switchport mode access avec switchport access vlan TOTO : 1 VLAN et rien 
> que 1 VLAN, pas taggé.
> - switchport mode trunk, éventuellement avec switchtport trunk encap dot1q 
> (je passe ISL), tous les VLANs qu'on veut avec UN non taggé, par défaut 
> VLAN1, on peut changer avec native vlan TOTO.
> 
> Bon maintenant le compliqué :
> switchport mode access
> switchport access vlan TOTO
> switchport voice vlan TATA
> Techniquement, c'est un tronc, avec un VLAN untaggé (data) et l'autre taggé 
> (voice).
> En regardant CDP et possiblement LLDP, on voit les paquets en multicast qui 
> annoncent les VLANs, si ma mémoire est bonne.
> 
> Maintenant, la question con à 1000 balles : si c'est un tronc, pourquoi 
> est-ce que c'est configuré avec "switchport mode access" ?
> La question con à 1 balles : c'est qui le con qui a inventé "switchport 
> mode hybrid" ? comme si c'était pas déjà assez compliqué avant.
> 
> Michel.
> 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Michel Py]

>> Michel Py a écrit :
>> Faut dire que "switchport mode hybrid" c'est un peu cheulou dès le départ :-(
>> Encore une de ces nouvelles conneries dont on se serait très bien passé.

> David Ponzone a écrit :
> J’ai parcouru les docs Allied and hybrid semble vouloir dire trunk sur la 
> gamme de
> switch industriels. Sur les autres, c’est switch port mode trunk. Aux fous.

Comme c'est déjà trolldi, j'ai une question con :
D'après moi, il y a soit 2 types de ports, soit 2 1/2 types de ports, soit 3 
types de ports.

Commençons par les faciles :
- switchport mode access avec switchport access vlan TOTO : 1 VLAN et rien que 
1 VLAN, pas taggé.
- switchport mode trunk, éventuellement avec switchtport trunk encap dot1q (je 
passe ISL), tous les VLANs qu'on veut avec UN non taggé, par défaut VLAN1, on 
peut changer avec native vlan TOTO.

Bon maintenant le compliqué :
switchport mode access
switchport access vlan TOTO
switchport voice vlan TATA
Techniquement, c'est un tronc, avec un VLAN untaggé (data) et l'autre taggé 
(voice).
En regardant CDP et possiblement LLDP, on voit les paquets en multicast qui 
annoncent les VLANs, si ma mémoire est bonne.

Maintenant, la question con à 1000 balles : si c'est un tronc, pourquoi est-ce 
que c'est configuré avec "switchport mode access" ?
La question con à 1 balles : c'est qui le con qui a inventé "switchport 
mode hybrid" ? comme si c'était pas déjà assez compliqué avant.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[David Ponzone]

J’ai parcouru les docs Allied and hybrid semble vouloir dire trunk sur la gamme 
de switch industriels.
Sur les autres, c’est switch port mode trunk.
Aux fous.

> Le 28 août 2020 à 08:02, Michel Py  a 
> écrit :
> 
>> Jérôme Quintard a écrit :
>> Oui. J'ai passé le port en access côté meraki et fait les modifications côté
>> Allied ça fonctionne donc c'est vraiment le trunk allowed qui lui pose 
>> soucis.
> 
> 
> Faut dire que "switchport mode hybrid" c'est un peu cheulou dès le départ :-(
> Encore une de ces nouvelles conneries dont on se serait très bien passé.
> 
> Michel.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Michel Py]

> Jérôme Quintard a écrit :
> Oui. J'ai passé le port en access côté meraki et fait les modifications côté
> Allied ça fonctionne donc c'est vraiment le trunk allowed qui lui pose soucis.


Faut dire que "switchport mode hybrid" c'est un peu cheulou dès le départ :-(
Encore une de ces nouvelles conneries dont on se serait très bien passé.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Jérôme Quintard]

Oui. J'ai passé le port en access côté meraki et fait les modifications côté 
Allied ça fonctionne donc c'est vraiment le trunk allowed qui lui pose soucis.

De : Axel HAUGUEL 
Envoyé : mardi 25 août 2020 14:01
À : Jérôme Quintard 
Cc : frnog-t...@frnog.org 
Objet : Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

Salut,

Les interfaces sont-t-elles UP ? Je ne vois pas de no shutdown dans ta config.

Cordialement / Best regards
--
Axel HAUGUEL
Vice-Président de Dyjix | a...@dyjix.eu<mailto:a...@dyjix.eu>
Responsable des infrastructures systèmes & réseaux
Téléphone : (+33) 07 61 59 67 11 | 
www.dyjix.eu<https://eur03.safelinks.protection.outlook.com/?url=https%3A%2F%2Fdyjix.eu%2F=02%7C01%7C%7Ca710f11526f94daf2ef708d848eeadc9%7C84df9e7fe9f640afb435%7C1%7C0%7C637339537232353598=%2F7hIlneFiklRkWCbdupFP%2Fv4DtOFZ4NYnt0G3yuxD8A%3D=0>




Le 25 août 2020 à 13:21, Jérôme Quintard 
mailto:jquint...@outlook.com>> a écrit :

Salut à tous

On rencontre un soucis de VLAN entre un switch meraki et un allied telesis. 
D'un côté le meraki à un port connecté en trunk avec plusieurs VLAN autorisés.

De l'autre, le switch est configuré de la manière suivante :



vlan 20

name "Management"

vlan 50

name "abc"

vlan 200

name "def"



management-vlan vlan 20

// Interface connecté au meraki

interface gi9

switchport mode hybrid

switchport hybrid allowed vlan add 50 tagged

switchport hybrid allowed vlan add 200 tagged

switchport hybrid allowed vlan add 20 untagged

switchport hybrid allowed vlan remove 1

no spanning-tree link-type point-to-point

// Interface connecté à un périph…

interface gi1

switchport mode hybrid

switchport hybrid allowed vlan add 50 untagged

switchport hybrid allowed vlan remove 1

no spanning-tree link-type point-to-point


Rien ne passe. Quelqu'un voit un soucis dans la conf ??

Jérôme

---
Liste de diffusion du FRnOG
http://www.frnog.org/<https://eur03.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F=02%7C01%7C%7Ca710f11526f94daf2ef708d848eeadc9%7C84df9e7fe9f640afb435%7C1%7C0%7C637339537232363591=S5NflUgnbG1g2NyLrtXwSnwQWU2IZJyTPl5eFtg86b4%3D=0>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Axel HAUGUEL]

Salut,

Les interfaces sont-t-elles UP ? Je ne vois pas de no shutdown dans ta config.

Cordialement / Best regards
-- 
Axel HAUGUEL
Vice-Président de Dyjix | a...@dyjix.eu 
Responsable des infrastructures systèmes & réseaux
Téléphone : (+33) 07 61 59 67 11 | www.dyjix.eu 



> Le 25 août 2020 à 13:21, Jérôme Quintard  a écrit :
> 
> Salut à tous
> 
> On rencontre un soucis de VLAN entre un switch meraki et un allied telesis. 
> D'un côté le meraki à un port connecté en trunk avec plusieurs VLAN autorisés.
> 
> De l'autre, le switch est configuré de la manière suivante :
> 
> 
> 
> vlan 20
> 
> name "Management"
> 
> vlan 50
> 
> name "abc"
> 
> vlan 200
> 
> name "def"
> 
> 
> 
> management-vlan vlan 20
> 
> // Interface connecté au meraki
> 
> interface gi9
> 
> switchport mode hybrid
> 
> switchport hybrid allowed vlan add 50 tagged
> 
> switchport hybrid allowed vlan add 200 tagged
> 
> switchport hybrid allowed vlan add 20 untagged
> 
> switchport hybrid allowed vlan remove 1
> 
> no spanning-tree link-type point-to-point
> 
> // Interface connecté à un périph…
> 
> interface gi1
> 
> switchport mode hybrid
> 
> switchport hybrid allowed vlan add 50 untagged
> 
> switchport hybrid allowed vlan remove 1
> 
> no spanning-tree link-type point-to-point
> 
> 
> Rien ne passe. Quelqu'un voit un soucis dans la conf ??
> 
> Jérôme
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] VLAN / Meraki vs Allied Telesis

[Jérôme Quintard]

Salut à tous

On rencontre un soucis de VLAN entre un switch meraki et un allied telesis. 
D'un côté le meraki à un port connecté en trunk avec plusieurs VLAN autorisés.

De l'autre, le switch est configuré de la manière suivante :



vlan 20

 name "Management"

vlan 50

 name "abc"

vlan 200

 name "def"



management-vlan vlan 20

// Interface connecté au meraki

interface gi9

 switchport mode hybrid

 switchport hybrid allowed vlan add 50 tagged

 switchport hybrid allowed vlan add 200 tagged

 switchport hybrid allowed vlan add 20 untagged

 switchport hybrid allowed vlan remove 1

 no spanning-tree link-type point-to-point

// Interface connecté à un périph…

interface gi1

 switchport mode hybrid

 switchport hybrid allowed vlan add 50 untagged

 switchport hybrid allowed vlan remove 1

 no spanning-tree link-type point-to-point


Rien ne passe. Quelqu'un voit un soucis dans la conf ??

Jérôme

---
Liste de diffusion du FRnOG
http://www.frnog.org/