Port 1 (ut på verdensveven): VLAN 10 og VLAN 20 Port 2: VLAN 10 Port 3: VLAN 20
Dersom bruker på port 2 skal ut på internett, så blir pakkene tagget med VLAN id 10. Port 1 gjør ikke noe med pakken da den allerede er tagget. Pakker fra Port 2 til Port 3 blir forkastet, siden port 3 kun aksepterer pakker med VLAN 20 eller uten VLAN id.
Eller?
Da må utstyret som står på port 1 støtte vlan tagging, man kan kun ha ett pvid vlan pr port, dvs 1 utagga nett... Man kan jo tagge opp vlan 1 på port 4 og vlan 2 på port 5 og sette en patche snor i mellom de, men da kan du jo like gjerne glemme hele vlan greiene... Skal du få til noe vettu med dette så kjøp deg en brannmur med 2 soner, som støtter båndbredde begrensning.. Tipper du kun trenger en port til leieboer, og da eliminerer du hele vlan problematikken, ved å plugge han direkte inn i brannmuren. Det finnes 1 milion måter å gjøre dette på, men denne vil løse det du ønsker på en enkel og grei måte..
Må det det? Med bare en switch er det vel bare å sette det i acess mode istedet for trunkmode? Så fungerer vel det fint?
Det er litt begrepsforvirring her (dvs diskusjonen går på litt forskjellig nivå, jeg mener ikke å si at alle deltagerne er forvirret )
For å ta utgangspunkt i VLAN 10 og 20 som tidligere nevnt. Si at du har en lag2-switch med 24 porter. Du setter port 1-10 til å være aksessporter i vlan 10, og port 11-20 til å være aksessporter i vlan 20. Dette betyr at en dings tilkoblet port 1 kan sende trafikk til en dings tilkoblet port 2, men ikke til en dings tilkoblet port 15. Og vice versa (port 14 og 17 kan snakke sammen, men ikke med port .
Vi har nå i praksis laget to "virtuelle" switcher som er helt uavhengige fra hverandre (VLAN=virtuelt LAN). De forskjellige enhetene tilkoblet port 1-20 sender ikke tagget trafikk inn mot switchen, de har faktisk ikke noe begrep om denne VLAN-nummereringen i det hele tatt.
Derimot assigner man forskjellige subnett til enhetene i hvert VLAN, feks kan man gi enheter i VLAN 10 en IP-adresse innenfor 10.1.1-nettet (10.1.1.2 - 254) og enheter i VLAN 20 ha IP-adresse innenfor 10.1.2-nettet. Antar her 255.255.255.0 nettmaske. Dette har ingenting som sådan med switchen å gjøre, den forholder seg bare til hvilke pakker som kommer inn på hvilken port.
Men så er det ønskelig å la trafikken fra disse forskjellige enhetene nå internett. Vi kobler derfor port 21 på switchen mot vår internett-tilkoblede router/brannmur/tjeneste-enhet. Denne porten konfigureres da som en trunk-port, slik at pakker som kommer fra enheter på port 1-10 tagges med VLAN 10 og pakker som kommer fra enheter på port 11-20 tagges med VLAN 20. Likeledes må ruteren tagge pakker som sendes den andre veien - hvis en IP-pakke har mottakeradresse 10.1.1.5 må ruteren tagge pakken med VLAN 10 slik at switchen blir i stand til å sende den riktig videre, mens en IP-pakke med mottakeradresse 10.1.2.145 må tagges med VLAN 20.
Ruteren opererer som default gateway for de to subnettene, dvs den har en IP-adresse i hvert nett og alle enhetene sender sine pakker mot denne IP-adressen for å nå internett. (Typisk 10.1.1.1 og 10.1.2.1 i dette tilfellet.) Igjen, switchen opererer ikke på IP-nivå, den skyfler ethernet-rammer basert på MAC-adresser.
Så ja, du trenger en ruter som støtter vlan-tagging, slik at den kan terminere flere VLAN på en og samme port på "innsiden" (den siden som ikke vender mot internett). Alternativt en ruter med flere innsideporter som kan være i forskjellige ip-nett (da kunne man i prinsippet koblet den ene porten mot port 10 på switchen og den andre porten mot port 20 på switchen, og slik unngått å tagge noe som helst).
Og hvis en enhet i vlan 10 ønsker å snakke med en enhet i vlan 20 må dette gå via ruteren (konseptet kalles "router on a stick"). I praksis vil da pakken gå utagget fra enhet 1 til switchen, tagget med vlan 10 fra switchen til ruteren, ruteren stripper taggen, ser på ip-pakken og ser at denne skal til vlan 20, den tagger derfor pakken med vlan 20 og sender tilbake til switchen samme vei, switchen sender pakken utagget til riktig mottaker på vlan 20. Ruteren har da all mulighet til å tillate eller nekte dette basert på regelsett ("brannmurfunksjonalitet").
Håper dette ga noen mening. Det er flere konsepter som er hoppet over eller forenklet her, (feks forskjellen på ip-pakker og ethernet-rammer, måten lag2-switcher mapper ip-adresser mot mac-adresser, sikkerhetsfunksjoner på lag2, med mere). Det skal også sies at jeg lever til daglig i Cisco-verden, og har begrenset direkte erfaring med hjemmeroutere og switcher.
Jeg ser fortsatt ikke poenget med å bruke to subnett? Og hvorfor kan man ikke bare gjøre som jeg sier med når man har en router uten vlan? (i en hjemmesituasjon), bare kjøre porten til ruteren i acsessmode med de riktige vlanene tagged? Jeg ser ikke helt hvorfor routeren må støtte vlan i en så lite kompleks topologi?
Jeg ser fortsatt ikke poenget med å bruke to subnett? Og hvorfor kan man ikke bare gjøre som jeg sier med når man har en router uten vlan? (i en hjemmesituasjon), bare kjøre porten til ruteren i acsessmode med de riktige vlanene tagged? Jeg ser ikke helt hvorfor routeren må støtte vlan i en så lite kompleks topologi?
For hvis ikke vil du få et problem med å returnere trafikk tilbake til rett VLAN når det finnes en maskin som hardnakket påstår at den er 10.0.0.2 i begge nettene og de ikke ser hverandre og dermed heller ikke har noen mulighet for å oppdage at det i ruter-vlanet er adressekollisjon.
Dette kan du selvfølgelig løse ved å minnelig fortelle naboen din (eller vha DHCP tvinge det igjennom) at du får adresser sånn og sånn.
Dog da forsvinner vel noe av sikkerhetsaspektet ved to vlan, ettersom trafikk fra internett må returneres i begge nett, og jeg kan da bare sette en IP som jeg vet finnes hos min nabo for å få en kopi av inngående datatrafikk.
Signatur
eier NTH-ring, men ikke på grunn av ferdigheter innen boligbygging.
Jeg ser fortsatt ikke poenget med å bruke to subnett? Og hvorfor kan man ikke bare gjøre som jeg sier med når man har en router uten vlan? (i en hjemmesituasjon), bare kjøre porten til ruteren i acsessmode med de riktige vlanene tagged? Jeg ser ikke helt hvorfor routeren må støtte vlan i en så lite kompleks topologi?
Skal prøve å svare kjapt:
Det er mulig jeg ikke har lest de tidligere innleggene dine godt nok (og jeg innrømmer gladelig at jeg ikke fullt ut skjønner hva du prøver å si). Men en aksessport nettopp en port der det går utagget trafikk ut. Altså, all trafikk inn og ut av porten anses (av switchen) å tilhøre det VLAN'et som aksessporten tilhører. På en trunkport går det tagget trafikk (inn og ut).
Du skrev tidligere: "Jeg trodde poenget med VLAN var å dele opp logisk uten bruk av subnett?"
VLAN er en måte å lage flere virtuelle lag2-domener (virtuelle switcher, om du vil) på en fysisk switch. På hver av disse virtuelle switchene kobler du til utstyr som skal snakke sammen, men som ikke skal kunne snakke med utstyr på den andre virtuelle switchen.
Så skal jo alle enheter ha en ip-adresse, dvs tilhøre et subnett. Dette har i prinsippet ikke noe med vlan å gjøre (VLAN=lag 2, IP-adressering=lag 3), men alle enheter i et vlan bør også ha ip-adresse i samme subnett - noe annet er grisete oppsett.
Det du skisserer minner mer om konseptene private vlan eller protected port, dette er metoder for å velge ut enkelte porter i et vlan som kun får lov til å snakke med default gateway (i dette tilfellet betyr dette at de får nå internett men ikke andre enheter på switchen), eller at de kun får snakke med enkelte andre porter på switchen. Da trenger man bare å ha ett vlan på switchen og allikevel oppnå separasjon mellom enheter. Men om dette i det hele tatt støttes av en switch i "hjemmemarkedet" er det atskillig mer avansert switchoppsett enn bare å lage to vlan. Til gjengjeld slipper ruteren å støtte vlantagging.
Blir det noe klarere?
stefanvh, det du sier i det nest siste innlegget gir dessverre ikke mening. Hvis du skal ha to vlan for å skille hjemme-enheter fra hverandre, og alle enhetene skal kunne nå internett via ruteren: Da må ruteren støtte vlan-tagging og være medlem i begge disse vlan'ene (dvs koblet mot en trunk-port på switchen).
stefanvh, det du sier i det nest siste innlegget gir dessverre ikke mening. Hvis du skal ha to vlan for å skille hjemme-enheter fra hverandre, og alle enhetene skal kunne nå internett via ruteren: Da må ruteren støtte vlan-tagging og være medlem i begge disse vlan'ene (dvs koblet mot en trunk-port på switchen).
Porten routeren er koblet til er medlem i begge VLAN, det er korrekt.
Signatur
--- Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
Med felles DHCP skal det vell godt gjøres å få to maskiner med samme IP på de to nettene?
Tja ikke vanskeligere enn at jeg setter adressen min manuelt til noe innen adresseområdet som deles ut av DHCP. DHCP alene er mer bekvemmelighet enn sikkerhet.
Signatur
eier NTH-ring, men ikke på grunn av ferdigheter innen boligbygging.
Jeg kan ikke se at dette ikke skulle fungere. Har ikke forsøkt selv, men flere sier jo at de bare tagger portene med vlan så fungerer det uten videre.
Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
Må det det? Med bare en switch er det vel bare å sette det i acess mode istedet for trunkmode? Så fungerer vel det fint?
For å ta utgangspunkt i VLAN 10 og 20 som tidligere nevnt. Si at du har en lag2-switch med 24 porter. Du setter port 1-10 til å være aksessporter i vlan 10, og port 11-20 til å være aksessporter i vlan 20. Dette betyr at en dings tilkoblet port 1 kan sende trafikk til en dings tilkoblet port 2, men ikke til en dings tilkoblet port 15. Og vice versa (port 14 og 17 kan snakke sammen, men ikke med port
Vi har nå i praksis laget to "virtuelle" switcher som er helt uavhengige fra hverandre (VLAN=virtuelt LAN). De forskjellige enhetene tilkoblet port 1-20 sender ikke tagget trafikk inn mot switchen, de har faktisk ikke noe begrep om denne VLAN-nummereringen i det hele tatt.
Derimot assigner man forskjellige subnett til enhetene i hvert VLAN, feks kan man gi enheter i VLAN 10 en IP-adresse innenfor 10.1.1-nettet (10.1.1.2 - 254) og enheter i VLAN 20 ha IP-adresse innenfor 10.1.2-nettet. Antar her 255.255.255.0 nettmaske. Dette har ingenting som sådan med switchen å gjøre, den forholder seg bare til hvilke pakker som kommer inn på hvilken port.
Men så er det ønskelig å la trafikken fra disse forskjellige enhetene nå internett. Vi kobler derfor port 21 på switchen mot vår internett-tilkoblede router/brannmur/tjeneste-enhet. Denne porten konfigureres da som en trunk-port, slik at pakker som kommer fra enheter på port 1-10 tagges med VLAN 10 og pakker som kommer fra enheter på port 11-20 tagges med VLAN 20. Likeledes må ruteren tagge pakker som sendes den andre veien - hvis en IP-pakke har mottakeradresse 10.1.1.5 må ruteren tagge pakken med VLAN 10 slik at switchen blir i stand til å sende den riktig videre, mens en IP-pakke med mottakeradresse 10.1.2.145 må tagges med VLAN 20.
Ruteren opererer som default gateway for de to subnettene, dvs den har en IP-adresse i hvert nett og alle enhetene sender sine pakker mot denne IP-adressen for å nå internett. (Typisk 10.1.1.1 og 10.1.2.1 i dette tilfellet.) Igjen, switchen opererer ikke på IP-nivå, den skyfler ethernet-rammer basert på MAC-adresser.
Så ja, du trenger en ruter som støtter vlan-tagging, slik at den kan terminere flere VLAN på en og samme port på "innsiden" (den siden som ikke vender mot internett). Alternativt en ruter med flere innsideporter som kan være i forskjellige ip-nett (da kunne man i prinsippet koblet den ene porten mot port 10 på switchen og den andre porten mot port 20 på switchen, og slik unngått å tagge noe som helst).
Og hvis en enhet i vlan 10 ønsker å snakke med en enhet i vlan 20 må dette gå via ruteren (konseptet kalles "router on a stick"). I praksis vil da pakken gå utagget fra enhet 1 til switchen, tagget med vlan 10 fra switchen til ruteren, ruteren stripper taggen, ser på ip-pakken og ser at denne skal til vlan 20, den tagger derfor pakken med vlan 20 og sender tilbake til switchen samme vei, switchen sender pakken utagget til riktig mottaker på vlan 20. Ruteren har da all mulighet til å tillate eller nekte dette basert på regelsett ("brannmurfunksjonalitet").
Håper dette ga noen mening. Det er flere konsepter som er hoppet over eller forenklet her, (feks forskjellen på ip-pakker og ethernet-rammer, måten lag2-switcher mapper ip-adresser mot mac-adresser, sikkerhetsfunksjoner på lag2, med mere). Det skal også sies at jeg lever til daglig i Cisco-verden, og har begrenset direkte erfaring med hjemmeroutere og switcher.
Kort fortalt tror jeg man kun trenger å opprette tre VLAN hvor router er koblet til eget VLAN, og de to andre er medlem i sitt eget + router-VLAN.
Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
For hvis ikke vil du få et problem med å returnere trafikk tilbake til rett VLAN når det finnes en maskin som hardnakket påstår at den er 10.0.0.2 i begge nettene og de ikke ser hverandre og dermed heller ikke har noen mulighet for å oppdage at det i ruter-vlanet er adressekollisjon.
Dette kan du selvfølgelig løse ved å minnelig fortelle naboen din (eller vha DHCP tvinge det igjennom) at du får adresser sånn og sånn.
Dog da forsvinner vel noe av sikkerhetsaspektet ved to vlan, ettersom trafikk fra internett må returneres i begge nett, og jeg kan da bare sette en IP som jeg vet finnes hos min nabo for å få en kopi av inngående datatrafikk.
Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
Skal prøve å svare kjapt:
Det er mulig jeg ikke har lest de tidligere innleggene dine godt nok (og jeg innrømmer gladelig at jeg ikke fullt ut skjønner hva du prøver å si). Men en aksessport nettopp en port der det går utagget trafikk ut. Altså, all trafikk inn og ut av porten anses (av switchen) å tilhøre det VLAN'et som aksessporten tilhører. På en trunkport går det tagget trafikk (inn og ut).
Du skrev tidligere: "Jeg trodde poenget med VLAN var å dele opp logisk uten bruk av subnett?"
VLAN er en måte å lage flere virtuelle lag2-domener (virtuelle switcher, om du vil) på en fysisk switch. På hver av disse virtuelle switchene kobler du til utstyr som skal snakke sammen, men som ikke skal kunne snakke med utstyr på den andre virtuelle switchen.
Så skal jo alle enheter ha en ip-adresse, dvs tilhøre et subnett. Dette har i prinsippet ikke noe med vlan å gjøre (VLAN=lag 2, IP-adressering=lag 3), men alle enheter i et vlan bør også ha ip-adresse i samme subnett - noe annet er grisete oppsett.
Det du skisserer minner mer om konseptene private vlan eller protected port, dette er metoder for å velge ut enkelte porter i et vlan som kun får lov til å snakke med default gateway (i dette tilfellet betyr dette at de får nå internett men ikke andre enheter på switchen), eller at de kun får snakke med enkelte andre porter på switchen. Da trenger man bare å ha ett vlan på switchen og allikevel oppnå separasjon mellom enheter. Men om dette i det hele tatt støttes av en switch i "hjemmemarkedet" er det atskillig mer avansert switchoppsett enn bare å lage to vlan. Til gjengjeld slipper ruteren å støtte vlantagging.
Blir det noe klarere?
stefanvh, det du sier i det nest siste innlegget gir dessverre ikke mening. Hvis du skal ha to vlan for å skille hjemme-enheter fra hverandre, og alle enhetene skal kunne nå internett via ruteren: Da må ruteren støtte vlan-tagging og være medlem i begge disse vlan'ene (dvs koblet mot en trunk-port på switchen).
Porten routeren er koblet til er medlem i begge VLAN, det er korrekt.
Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
Tja ikke vanskeligere enn at jeg setter adressen min manuelt til noe innen adresseområdet som deles ut av DHCP. DHCP alene er mer bekvemmelighet enn sikkerhet.