(trådstarter)
   #91
 1,811     Sør-Trøndelag     0
Har snakket med Netgear, og det er faktisk ikke noen bug.

If it´s v1 or v2 that might be a limitation but otherwise a port can be a member of more than one VLAN and be untagged in both.


Her er oppsettet fra Netgear (alle porter UNTAGGED):
VLAN 1 - Default (port 3-10,24)
VLAN 20 - Sokkelleilighet (Port 1, 24)
VLAN 30 - TV (port 2, 23)
VLAN 100 - Internett (1, 3-10, 24)

Altibox er koblet til port 23 og 24.

Port 1 PVID 20
Port 2 PVID 30
Port 3-10 PVID 1
Port 23 PVID 30
Port 24 PVID 100
Signatur

   #92
 98     Oslo     0

Har snakket med Netgear, og det er faktisk ikke noen bug.

If it´s v1 or v2 that might be a limitation but otherwise a port can be a member of more than one VLAN and be untagged in both.


Her er oppsettet fra Netgear (alle porter UNTAGGED):
VLAN 1 - Default (port 3-10,24)
VLAN 20 - Sokkelleilighet (Port 1, 24)
VLAN 30 - TV (port 2, 23)
VLAN 100 - Internett (1, 3-10, 24)

Altibox er koblet til port 23 og 24.

Port 1 PVID 20
Port 2 PVID 30
Port 3-10 PVID 1
Port 23 PVID 30
Port 24 PVID 100


Kaster meg inn her igjen.  Nå har jeg gjort et nytt forsøk på å forstå tankegangen bak oppsettet ditt (og grunnen til at det tilsynelatende fungerer).

Det essensielle her er at en ports PVID bestemmer hvilket VLAN innkommende rammer skal tilhøre.  Alle Ethernet-rammer fra din leieboers PC (DHCP-forespørsel, forsøk på å nå vg.no etc) kommer inn på port 1 som har PVID 20, og rammene havner derfor i VLAN 20 internt i switchen.  Port 24 (routeren/default gateway) er også blant annet medlem av vlan 20, så rammene går videre ut der til routeren.

Imidlertid har port 24 PVID 100, med andre ord havner alle rammer FRA routeren i vlan 100 når de når switchen, inkludert f.eks svaret på DHCP-forespørselen.  Port 1 er også medlem i vlan 100, derfor kan disse rammene fra routeren finne veien tilbake til din leieboers PC på port 1.

I dette scenarioet ender du da også opp med ett felles subnett (IP-range) for alle enheter i nettet uavhengig av vlan, akkurat som det ble hevdet tidligere i tråden.

Dette Netgear- konseptet med "tur-VLAN" og "retur-VLAN" er fullstendig på tvers av hvordan vi benytter VLAN i det "profesjonelle markedet", og jeg synes det er både rotete og krever en stor grad av tunga rett i munnen.  Imidlertid fungerer det jo til sitt bruk og eliminerer behovet for en router som trunker når målet kun er å skille enheter internt men samtidig tillate alle å nå internett.

Det er interessant å observere at dere som ikke har nettverksballast fra utdanning og yrkesliv tydeligvis "tar" dette konseptet.  (Men hvis du har en pode som tenker seg en framtid som nettverksingeniør bør han kanskje ikke bruke akkurat dette nettverksoppsettet til å øve seg på... Wink )
   #93
 428     Dal     0
Prøvde å forklare deg for en god stund siden, at skal du få trafik fra ett VLAN til ett annet, så må du  enten ha en switch som router, eller en router som enten har 2 soner, eller støtter VLAN, og som da kan sette opp virituelle  soner basert på VLAN... En port kan kun ha en port utagget, og PVID må være det samme som utagget vlan (hva  som skjer, hvis du ikke gjør det skal vi ikke begynne å tenke på en gang).. foreslår at du kjøper deg en brannmur med 2 soner, og kobler den ene sona til en gruppe porter som er til ditt nett (samme VLAN), og den andre sona til en gruppe porter som er til utleie.. Er det bare en port som skal til utleie, nuker du hele configen på switchen din, og kobler sona di til switchen, og sona til utleie rett i routern  (utenom switchen)..
   #94
 5,111     Sørnorge     0
@sta fanvh
Sjelden noen er så standhaftige på at virkelighetstilnærming dreier seg om å lure seg selv til å tro at en drøm er virkelig. Ja, du kan ha flere vlan untagged på samme port. Du kan fortsatt bare kommunisere på ett av dem. Du kan altså ha fler, men bare en vil være brukbar. Du har et ønske om å skille utleienett fra privat nett - det har du ikke gjort. Fasiten på hvordan det skal gjøres er skrevet mange ganger av flere i denne tråden. Minst en gang burde også du oppfatte den.
   #95
 98     Oslo     0
Til de to siste, leste dere i det hele tatt innlegget mitt? Jeg tror oppsettet hans vil funke til det begrensede formålet han har (slippe alle ut på internett men hindre noen i å snakke sammen), selv om dette ikke er måten vi ville gjort det på.

Det ser ut til at Netgear har laget sin egen relativt dirty metode for bruk av vlan i et hjemmemiljø.
  (trådstarter)
   #96
 1,811     Sør-Trøndelag     0

@sta fanvh
Sjelden noen er så standhaftige på at virkelighetstilnærming dreier seg om å lure seg selv til å tro at en drøm er virkelig. Ja, du kan ha flere vlan untagged på samme port. Du kan fortsatt bare kommunisere på ett av dem. Du kan altså ha fler, men bare en vil være brukbar. Du har et ønske om å skille utleienett fra privat nett - det har du ikke gjort. Fasiten på hvordan det skal gjøres er skrevet mange ganger av flere i denne tråden. Minst en gang burde også du oppfatte den.


Du er bare merkbart frekk her så skal ikke dra den videre, men dersom du leser hele tråden så vil du oppfatte at det er mange "fasiter" her. Eksempelvis sies det i posten før din at man bare kan ha én untagged vlan pr. port, mens du sier det motsatte. Manualen til Netgear sier det motsatte av deg, mens tekniker hos netgear sier det samme som deg.

Før ditt innlegg hvor samtlige porter skal være untagged, var det en gjenganger at det skulle være én tagged port i hvert VLAN - noe som også var det første forsøket mitt, og som jeg ikke fikk til å fungere.

Og når det vrimler av forslag til fasit, ja da gjør jeg som du så fint sa det i posten før siste - da tar jeg meg en sykkeltur.

Joham: Det er en interessant observasjon du kommer med, og jeg kan komme med en ny tilnærming av konseptet til deg, antageligvis på grunn av min posisjon og mitt behov. Jeg tenker nå på VLAN nesten som brukergrupper i et AD oppsett. Hvertfall etter at netgear sa det ikke var noe i veien for å ha flere untagged vlan pr. port. Det blir som du oppsummerte trafikken i nettet. En port i VLAN 20 og 100 kan nå andre porter med samme VLAN. Og PVID bestemmer 'default' VLAN.

Jeg vil fortsette å forsøke å finne ut av dette, og unngå i det lengste å stappe mer utstyr inn i racket mitt, men jeg trenger selvfølgelig ikke å poste til forumet underveis.
Signatur
   #97
 59     0
Angående Vlan tagging å måten Netgear gjøre dette på og det profesjonelle markedet: Cisco har ett konsept som heter EVC.  Der kan vi styre tagging/retagging hvordan vi vil (vlan id,mpls, tunnelering,endre bridge domain etc).  I denne sammenhengen hadde vi løst dette med å bruke noe som heter  EVC med bridge domain split horizon løsning.  Eller PVLAN som er en gammel måte å gjøre dette på. Dessverre finnes det det ikke slikt på hjemme switcher. 

I dette tilfelle trenger man bare to nett hvor vi lager en regel som sier at disse får ikke snakke med hverandre og gi DHCP service til begge nettene: Problem løst. Man trenger enten ruter/L3switch/brannvegg/server med ruter funksjonalitet for å gjøre dette.

Så skulle du ha gjort det enkelt:
Hvis målet er å ha færrrest mulig bokser kan man kjøpe en billig cisco 800 boks brukt eller Microtik etc. Bare sørge er L3 med litt ekstra funsjonalitet og har ekstra porter eller legge til en L2 switch for port utvidelse. På microtik kan du ha 2W trådløst så kanskje du får wifi dekning helt til butikken og skal visst ha mange funksjoner som kan dekke ditt behov  Smile petter kan sikkert svare på om man ha to DHCP scope/pool og lage regler mellom nett og har nok porter. Kanskje det koster det ett par lapper men sparer deg å tid å sette det opp.

Spørsmålet mitt er om Netgear boksen kan gi DHCP tjeneste til begge VLANene er i samme nett? Hvis du har allerede dialog med Netgear kan de jo svare deg på dette?


Hilsen en som har jobbet i utviklingsavdelingen for nettverk i Altibox og 3. linjedrift stamnett/aksess.




   #98
 5,111     Sørnorge     0

Du er bare merkbart frekk her så skal ikke dra den videre, men dersom du leser hele tråden så vil du oppfatte at det er mange "fasiter" her.

Det er med vilje. Du er sta og trenger et spark bak for å få bakkekontakt.


Eksempelvis sies det i posten før din at man bare kan ha én untagged vlan pr. port, mens du sier det motsatte.


Jeg sier du kan BARE HA EN FUNGERENDE. Du kan legge til mange som ikke fungerer. Hvorfor skulle noen ha interesse av å samle på mye som ikke fungerer?


Manualen til Netgear sier det motsatte av deg, mens tekniker hos netgear sier det samme som deg.


Igjen, det er forskjell på hva du får til å fungere, og hva du klarer å gjøre feil uten at en programmerer har tenkt på at du kan gjøre akkurat det og skrevet en feilmelding for det.


Før ditt innlegg hvor samtlige porter skal være untagged, var det en gjenganger at det skulle være én tagged port i hvert VLAN - noe som også var det første forsøket mitt, og som jeg ikke fikk til å fungere.

Tagged er for å har MER ENN ETT NETT  PÅ SAMME PORT. Du prøver på to. To er mer enn ett!



Og når det vrimler av forslag til fasit,


Og så godt som alle sier det samme. Utallige forsøk på å formulere akkurat det samme så du skal komme på rett vei.


Enda en måte å bruke vlan på: mac-vlan. Da lager man en tabell over mac-adressene til alt utstyr man skal koble til, og switchen setter/stripper vlan tagg automatisk basert på mac-adresse. Krav for at det skal virke er at dingser settes direkte i boksen som har denne funksjonen. Du kan ikke ha en switch (uten denne funksjonen) imellom. Det den i praksis gjør er at så fort den oppdager at en dings kobles til en port, slår den opp i mac-vlan-tabellen og setter det vlanet untagged på porten hvor dingsen ble tilkoblet. Det er absolutt ikke en funksjon du skal bry deg om, men det kan være med tanke på den funksjonen at boksen din ikke har gitt feilmelding. (Tviler dog sterkt på at din boks har denne funksjonen.)
   #99
 98     Oslo     0
@petterg - vi er enige i hvordan vi ville gjort dette, segmentert switchen med vlan per sone og trunk mot en ruter som skjønner vlan og tagging.

Men jeg heller altså etter hvert mot at dette oppsettet noen poster over (som tilsynelatende kommer fra Netgear?) vil fungere på sitt vis, og i tiraden din mot stefan kan jeg ikke se at du kommer med noe motsvar.

For meg ser det altså ut til at Netgear bruker vlan til å segmentere enheter som er i felles subnett, på en måte som kan minne om private vlan.  Innkommende (alltid utaggede) rammer til en port vil alltid havne i default-vlan'et for den porten (pvid) og det er bare å håpe at mottakeren henger på en port som (blant annet) er medlem i det vlan'et.

En ports PVID blir tilkoblede enhets "source vlan", og de andre vlan'ene som er tilordnet porten (utagget) definerer hvilke vlan som får lov til å sende rammer til enheten.  Uten at jeg gidder å bla sider tilbake tror jeg det var noe sånt som ble hevdet av stefanhv og/eller atwindsor, og avfeid av blant annet meg.

Jeg synes du skal gå gjennom innlegget mitt lenger oppe og fortelle meg hva det er som ikke henger på greip.  (Utover at det framstår som grisete.)
  (trådstarter)
   #100
 1,811     Sør-Trøndelag     0

Spørsmålet mitt er om Netgear boksen kan gi DHCP tjeneste til begge VLANene er i samme nett? Hvis du har allerede dialog med Netgear kan de jo svare deg på dette?


Hilsen en som har jobbet i utviklingsavdelingen for nettverk i Altibox og 3. linjedrift stamnett/aksess.


Ja, det fungerer. Zyxel routeren er koblet til port 24 som har PVID 100, og portene i begge VLAN er medlemmer i dette VLAN'et. De er i samme range, men det har jo ikke noe å si.

Du har vært ansatt i Altibox? Vet du hvorfor akkurat TV signalene nekter å delta i et VLAN hos meg? Har satt opp eksempelvis kun 2 porter i eget VLAN (en port til router og en port til dekoder), disse er ikke på noen måte inkludert i noe annet oppsett på switchen, men samme hva jeg setter på disse portene så får jeg ikke opp portalen. Har til og med forsøkt å sette ID'en på VLAN'et til 101 som jeg har lest er den ID'en som benyttes på Zyxel'en.
Signatur