#71
 5,111     Sørnorge     0

-Betyr det at om du kjører feks 10 forskjellige vlan fra port 24 på swichen din og over til din router som også støtter vlan, så må switchen ha 10 iper og 10 subnett? (og strider ikke sistnevnte mot det du sier lengre ned)

- Tror ikke noen har snakket om at en PC skal gjøre noe ruting her, men swtichen på lag 2 vil jo sørge for at disse to portene i utgangpsunktet har kontakt med hverandre, akkurat som om det var en "dum switch" med to porter?

- Hva gjør denne jobben så vanskelig? Jeg synes det bare virker rotete å ha flere subnett, for da jo så mye via ruteren, hvorfor kan ikke bare PCen sende alle pakkene ut på samme interface, tagget med alle vlanene? Det er jo lag2? Hvorfor blande lag 3 inn i det i det hele tatt? Betyr det at om man for eksperimenttrenings skyld bare setter opp en switch, uten ruter i det hele tatt, så vil ikek tagged vlan fungere særlig i det hele tatt?


En switch trenger ikke ha noen ip i det hele tatt. Det eneste en IP på en switch brukes til er administrasjon. Du trenger ikke administrere switchen fra alle nettene.

Enheten router er en minipc optimalisert for en bestemt oppgave. Funksjonen router kan hver en hvilken som helst enhet som er i stand til å utføre routing.

Du jobber meget hard for å gjøre noe enkelt svært vanskelig. Ingen som leser noe av det du skriver, eller svarene du får vil tørre å røre vlan. Aksepter at vlan er å anse som separate nett.

   #72
 5,111     Sørnorge     0


Det er vel ikke snakk om å ønske at de skal snakke med noe utenfor sitt eget VLAN, men hvorfor man trenger en ruter når de er på samme vlan, eller hvorfor det må være to interface for den saks skyld.

La oss si switchen har 3 porter

Port 1: Untagged vlan 10
Port 2: Untagged vlan 20
Port 3: Tagged Vlan 10 og 20.

Selv om maskinen på port 3 har kun en ip, vil ikke den kunne snakke med både port 1 og 2, mens port 1 og 2 ikke kan snakke med hverandre? Er ikke dette en lag2-greie helt uavhengig av ruter, og hvor mange iper og subnaett maskinen på port3 har?


Veldig få ønsker et hjemmenett som ikke kan snakke med andre nett. Det ville funke fint til f.eks spille av film fra en nettverksdisk. Imidlertid ønsker de fleste som setter opp et hjemme nett å ha tilgang til internett,. De trenger en router.

Maskinen du setter på port 3 i eksempelet vil ikke kunne snakke med noen om den ikke støtter vlan. Taggede pakker blir ignorert av alt som ikke forstår taggene.
   #73
 3,216     0


Er det virkelig sånn? For det første, så er det ikke sånn at man automatisk ikke har kontakt med ting på ett annet subnett, snarere tvert imot, man kan ha kontakt med folk på annet subnett enn deg selv. (det vil si, litt forskjell er det selvfølgelig når all trafikken må igjennom en ruter) Man kan ikke overvåke andres trafikk som sådan, uansett om man er på samme subnett på de.

Ellers vil vel denne lag2-vlan-funskjonaliteten overstyre det at man har kontakt med med den andre maskinen? Om to maskiner er på forskjellige vlan vil de vel ikke ha kontakt selv om de er på samme subnett?


Skal enheter i to subnet snakke sammen må noe sørge for routing - uavhengig om de er i samme fysiske nett eller ikke.
Du kan fint ha samme subnett på alle vlan. Lykke til med å sette opp en router som betjener mer enn ett av disse av gangen.
(Det finnes mange gater med samme navn, de har adresser med forskjellige postnummer. Flere gater med samme navn innen samme postnummer vil gjøre postmannens jobb vanskelig.)

Det du diskuterer har ingen relevans for trådstarters spørsmål. Lag din egen tråd!


Ja, selvfølgelig, men det har man jo gjerne, det var derfor at jeg ikke skjønte påstanden din om at å ha to subnett gir en (stor?) sikkerhetsmessig gevinst? Og jeg skjønner ikke helt hva du tenker på med at ruteren ikke klarer å betjene mer enn en av gangen? Mener du at en ruter som støtter vlan bare kan ha ett vlan per subnet?

Kan vel diskuteres, hvordan vlan fungerer virker for meg relevant for trådstarters spørsmål.
   #74
 3,216     0



Det er vel ikke snakk om å ønske at de skal snakke med noe utenfor sitt eget VLAN, men hvorfor man trenger en ruter når de er på samme vlan, eller hvorfor det må være to interface for den saks skyld.

La oss si switchen har 3 porter

Port 1: Untagged vlan 10
Port 2: Untagged vlan 20
Port 3: Tagged Vlan 10 og 20.

Selv om maskinen på port 3 har kun en ip, vil ikke den kunne snakke med både port 1 og 2, mens port 1 og 2 ikke kan snakke med hverandre? Er ikke dette en lag2-greie helt uavhengig av ruter, og hvor mange iper og subnaett maskinen på port3 har?


Veldig få ønsker et hjemmenett som ikke kan snakke med andre nett. Det ville funke fint til f.eks spille av film fra en nettverksdisk. Imidlertid ønsker de fleste som setter opp et hjemme nett å ha tilgang til internett,. De trenger en router.

Maskinen du setter på port 3 i eksempelet vil ikke kunne snakke med noen om den ikke støtter vlan. Taggede pakker blir ignorert av alt som ikke forstår taggene.


Jeg ville tro hovedgrunnen til å ha vlan i en privat setting nettopp er å skille maskiner fra hverandre, så de ikke har kontakt, og kanskje QoS. Virker som det er målet til trådstarter også?

Kanskje litt uklart, men i dette eksmeplet støtter maskinen vlan, jeg bare lurte på hvorfor den må ha to iper, når vlan er en lag2-greie?
   #75
 178     Nordeuropa     0


Har du multiple VLAN og ønsker at maskinene på ett VLAN skal kunne snakke med noe utenfor sitt eget VLAN, ja så må du ha en enhet på lag3 som håndterer ruting.


Det er vel ikke snakk om å ønske at de skal snakke med noe utenfor sitt eget VLAN, men hvorfor man trenger en ruter når de er på samme vlan, eller hvorfor det må være to interface for den saks skyld.

La oss si switchen har 3 porter

Port 1: Untagged vlan 10
Port 2: Untagged vlan 20
Port 3: Tagged Vlan 10 og 20.

Selv om maskinen på port 3 har kun en ip, vil ikke den kunne snakke med både port 1 og 2, mens port 1 og 2 ikke kan snakke med hverandre? Er ikke dette en lag2-greie helt uavhengig av ruter, og hvor mange iper og subnaett maskinen på port3 har?


nerd alert......


Untagged betyr at det er switchen som legger på/tar vekk taggen. AKA Acces port.
Tagged betyr at det som kommer inn til switchen allerede har VLANinformasjon, og at det som sendes ut på porten skal ha VLANinformasjon, i form av 4 ekstrabytes i rammeheaderen. AKA Trunk port.

Port 1 og 2 er her aksessporter i to *forskjellige* VLAN.
Port 3 er her en trunk port. IPstacken på PC vet ingenting om VLAN. IPstacken vet bare hvilket logisk interface trafikken skal ut. Følgelig må nettverkskort (og/eller driveren til kortet) håndtere denne informasjonen. Maskinen på port 3 må ha to logiske interface (og to IPadresser), for å kunne snakke IP med hoster på to forskjellige VLAN. Og den må håndtere tagging av VLAN.

Det finnes også noe som heter port-based VLAN, der switchen tagger trafikken dynamisk. Men det er basert på mac-adressen til source. Dette krever noe som heter en VMPSserver, og masse manuelt arbeide i forkant.

Man kan saktens tenke seg et nettverkskort (eller ditto driver) som gjør dynamisk tagging, basert på en potensielt enorm tabell over hvilket VLAN destination mac address hører hjemme i. Men det vil for det første ikke skalere, og for det andre vil det være et sikkerhetsproblem. (Hva skal vi tagge med, om vi ikke kjenner destination MAC address? Til sammenligning: en switch som mottar en pakke med ukjent destination MAC, vil kun floode denne pakken ut til alle porter i samme VLAN.)

Det du ønsker deg, er en feature som kalles Private VLAN. https://en.wikipedia.org/wiki/Private_VLAN
Isolated ports kan settes opp til å kun kunne kommunisere med promiscious ports. Dette er meg bekjent ikke en feature som er tilgjengelig på annet enn high-end switcher.

Om TS ønsker å sikre seg, så trenger man ikke esoteriske løsninger eller å finne opp kruttet helt på nytt. Skaff en brannmur. Med minst tre interface.
  (trådstarter)
   #76
 1,812     Sør-Trøndelag     0
Jeg skal informere om hvordan det fungerer for meg når jeg har fått koblet opp utstyret.

Har planlagt følgende oppsett:
* Oppretter tre nye VLAN, id 10, 20 og 99.
* Definerer portene 1-10 som medlemmer av VLAN 10 (tagged).
* Definerer portene 11-19 som medlemmer av VLAN 99 (tagged).
* Definerer port 20 som medlem av VLAN 20 (tagged).
* Definerer port 24 som medlem av VLAN 10 og VLAN 20 (tagged).
* Kobler routeren til port 24.

Skal gi tilbakemelding på hvilket oppsett jeg ender opp med, enten det fungerer eller ikke.
Signatur
   #77
 5,111     Sørnorge     0
Med det oppsettet vil du kun kunne koble til utstyr som støtter vlan.
Bytt "tagged" med "untagged" på alle porter bortsett fra #24, så har du det fungerende slik du ønsker. Oppsettet forutsetter dog at router støtter vlan ettersom den kobles til en tagged port.

   #78
 5,111     Sørnorge     0
ATWindsor. Du har fått forklart alt du spør om i detalj. Jeg har lest innleggene dine i andre forum og sett at du har mer enn nok kunnskap til å forstå forklaringene du har fått. Problemet ditt her er at du jobber livet av deg for å nekte å godta forklaringene. Blank hodet ditt, les forklaringene en gang til med åpent sinn, så forstår du alt.
  (trådstarter)
   #79
 1,812     Sør-Trøndelag     0

Oppsettet forutsetter dog at router støtter vlan ettersom den kobles til en tagged port.


For ordens skyld, hvilken standard må støttes av router? 802.1q?
Signatur