Ι-χα vlans

**badweed** · 27-01-24, 08:13

για να μην μπερδευομαστε , το ι-χα , ειναι για να εκφρασει το τι μπαστουνοβλαχος ειμαι στην κατανοηση των vlans, δεν ειναι καποια συντομογραφια ιδιαιτερης τεχνολογιας

να προχωρησω στην ερωτηση

εχω switch με 5 θυρες που συμπασχει με vlan δρομολογηση

θελω να συνδεσω ,το μοντεμ του ιντερνετ , 2 κεραιες wifi , και εναν υπολογιστη σερβερ (με unraid ) που να τρεχει σαν virtual machine ενα ρουτερ . το ρουτερ αυτο θελω να παιρνει την συνδεση του ιντερνετ σαν ξεχωριστη εικονικη καρτα δικτυου και να την δινει στις δυο κεραιες wifi , ενα δικτυο ξεχωριστο για την καθε μια .

αυτο θελω να το κανω με οσο το δυνατον λιγοτερες καρτες δικτυου στον σερβερ , που εχει δυο καρτες δικτιου (και θα μπορουσα να βαλω και αλλες 2 καρτες δικτυου ) . αλλα θα ηθελα και με μονο μια καρτα να μπορουν να γινουν αυτα .

σκεφτομουν το ενδεχομενο να παιρνει ο σερβερ ip απο το εικονικο μηχανημα που θα παιζει τον ρολο του ρουτερ αλλα φοβαμαι οτι ευκολα θα πεσω με αυτον τον τροπο σε αδυναμια συνδεσης στον σερβερ . δεν θα ηθελα να του βαλω μια σταθερη ip , θα προτιμουσα να παιρνει ip απο το dhcp του router του internet . εκει ερχεται η δευτερη καρτα που σκεφτομαι οτι θα μπορει ανα πασα στιγμη να προσφερει μια αμεσοτητα προσβασης στον σερβερ αν τα κανω θαλασσα ή πειραξω κατι που εχω ξεχασει οτι ειναι απαραιτητο .

φανταζομαι λοιπον το ενδεχομενο οτι εχει ως εξης

στο vlan switch :

στην θυρα που μπαινει το ιντερνετ αποδιδω ενα vlan , vlan10 ας το πουμε
στην θυρα που μπαινει το wifi 1 αποδιδω vlan , vlan22 ας το πουμε αυτο
στην θυρα που μπαινει το wifi 2 αποδιδω vlan , vlan33 ας το πουμε αυτο
στην θυρα που μπαινει ο σερβερ , και θελω vlan10 για τον server απο οπου να παιρνει βασικη ip, αλλα vlan10 , vlan22 και vlan33 για το virtual machine ρουτερ ,αλλα και προσβαση στο vlan22 και στο vlan33 απο τον σερβερ για να παρεχει υπηρεσιες

ειναι λεει τα tagged και τα untagged αλλα και τα "not a member" για τις θυρες

στα untagged λεει περναει ενα μονο vlan ;
ενω στο tagged , οσα vlan εχουν οριστει ;
μπορω να ορισω σε μια θυρα και tagged και untagged vlans νομιζω , αλλα πως διαχειριζεται αυτο ; δεν μπορω να το σκεφτω

τι ειναι το default που εχει ολα τα vlan στο 1 ;

που παει το τραφικ που ειναι σε μια θυρα του switch που δεν ειναι καταχωρημενη ως vlan θυρα ; ειναι αυτο το default o λογος που λειτουργει σαν κανονικο switch οταν δεν εχω κανει καμια ρυθμιση ;

αποτελει επιπλεον ρυθμιση αυτο το default ; γιατι το βλεπω να ισχυει παραλληλα σε καποιες ρυθμισεις στο switch

στην διαθεση μου εχω δυο vlan switches , ενα 5πορτο 260gs mikrotik και ενα 8πορτο tp-link tl-sg108e

νομιζω οτι ειναι ενα κομματι του παζλ που δεν εχω καταλαβει για να μπορεσω να ασχοληθω με αισιοδοξια με τα vlans ,

αν καταλαβατε τιποτα απο τα παραπανω και εντοπισατε καποια λυση ,προταση ,συμβουλη , με χαρα να την διαβασω

**netblues** · 27-01-24, 10:09

Κατι βασικο. Μια πορτα οταν οριζεται ως trunk, τοτε περναει traffic απο διαφορετικα vlans, το καθενα με το δικο του vlan tag.
Λες ετσι γενικα ενα virtual router. Πρεπει να ξερεις α. Αν μπορει να διαχειρισθει vlans. B. Αν φτανουν τα vlans μεσα απο το virutalised interface. Μπορει για παραδειγμα τα vlans να αναλυονται σε διαφορετικα virtual interfaces σε επιπεδο host και να τα βλεπει ετσι ο router.

Επειδη το B εξαρταται απο διαφορα αλλα δεν ειναι και το καταλληλοτερο περιβαλλον για πειραματισμους και κατανοηση.

**John82** · 27-01-24, 11:07

Ένα VLAN είναι χοντρικά ένα virtual Ethernet δίκτυο μέσα στο φυσικό σου δίκτυο και ορίζεται από το πρότυπο IEEE 802.11Q. Αυτό γίνεται ας πούμε προσθέτοντας ένα μαρκάρισμα με το ID του VLAN στα Ethernet frames. (Δες https://en.wikipedia.org/wiki/IEEE_802.1Q)

Οπότε σε ένα switch που υποστηρίζει το 802.11Q μπορούμε να ορίσουμε κάθε θύρα σε ποιο VLAN θα είναι μέλος.

Untagged: ορίζεις σε ποιο VLAN θα είναι μέλος η θύρα χωρίς τα frames να φέρουν το μαρκάρισμα. Κάθε συσκευή που κουμπώνεις εκεί μπορεί να παίξει σε αυτό το VLAN χωρίς να χρειάζεται να υποστηρίζει το 802.11Q.

Tagged: ορίζεις σε ποια VLAN θα είναι μέλος η θύρα με τα frames αυτά να φέρουν το μαρκάρισμα. Αν η συσκευή που κουμπώνεις εκεί υποστηρίζει το 802.11Q - tagging, π.χ. ένας virtual server, ESXi που έχει 10 virtual guest, θα μπορούσε κάθε guest να έχει ένα ξεχωριστό δίκτυο, σα να είχες 10 διαφορετικές κάρτες δικτύου.

Άλλο παράδειγμα:

Έστω ότι έχεις 3 switch και θες να έχεις σύνολο 10 δίκτυα, ένα switch θα έχει κάμερες & το BMS του κτιρίου. Άλλο servers & άλλες υπηρεσίες, και ένα άλλο clients σε διαφορετικών τμημάτων.

Οπότε θα μπορούσες να έχεις:
Switch A (κάμερες & BMS): VLANs 20 & 30.
Switch B (clients): VLANs: 40..48

Που θα κουμπώνουν στο Switch C (servers & services).

Άρα, στις θύρες του A που θα κουμπώσεις τις κάμερες αυτές θα πρέπει να είναι untagged στο 20 (ή αλλιώς native lan), και οι θύρες για τις συσκευές του BMS στο 30. Η θύρα του A που θα κουμπώνει στο C (uplink) θα πρέπει να είναι tagged με τα 20 & 30, ομοίως και η θύρα του C, κάνεις ένα trunk. Untagged θα μπορούσε να είναι με το VLAN 1.

Με την ίδια λογική ορίζεις και τις θύρες του Β. Αν τώρα ήθελες να κουμπώσεις και μια κάμερα στο B, θα πρέπει να προσθέσεις στο trunk του Β-C και το 20 και η θύρα που είναι κουμπωμένη η κάμερα επίσης στο 20.

Στο C μπορείς να έχεις τους servers σε δικό τους VLAN. Αν σε αυτό έχεις το καταγραφικό των καμερών τότε η θύρα που συνδέεται θα πρέπει να είναι Untagged στο 20.

Υπόψη, αν θες να «μιλήσει» μια συσκευή που ανήκει σε ένα VLAN με μια συσκευή που ανήκει σε διαφορετικό VLAN θα πρέπει να υπάρχει και κάποιος router (αυτό είναι Layer 3 λειτουργία).

Δες καλύτερα σχήματα στο google όπως το https://documentation.meraki.com/Gen...Q_VLAN_Tagging

Επίσης χρήσιμο για τους περιορισμούς των VLANs: https://www.reddit.com/r/Ubiquiti/co...urity_benefit/

Το default VLAN, το 1, είναι αυτό που λέει, το προκαθορισμένο. Τίποτα ιδιαίτερο αλλά θέλει προσοχή στη διαχείριση του π.χ. ένας admin αν παραμετροποιήσει μόνο τις θύρες που θα συνδέσει συσκευές και δεν ασχοληθεί με τις υπόλοιπες θα μπορούσε αυτό να είναι τρύπα στην ασφάλεια καθώς θα επέτρεπε π.χ. πρόσβαση στη διαχείρηση των switches…

Ελπίζω να βοήθησα και να μη το έκανα πιο μπερδεμένο…

**badweed** · 27-01-24, 12:24

καπως ετσι το ειχα υποψη μου αλλα καπου δεν μου καθεται η συνταγη , ισως πειραζω πολλα

δηλαδη θα βαλω untagged τις θυρες στα 2 wifi (vlan22 και vlan33) και στο modem του ιντερνετ(vlan10) , και tagged (vlan10,vlan22,vlan33) τα προηγουμενα vlans στην θυρα που θελω τον σερβερ να τα βλεπει ολα , και μονο εφοσων η θυρα

δεν πειραζω το default για αρχη . το αφηνω στο 1 αρκει να μην δομολογησω τιποτα για εκει .

θα το δοκιμασω

trunk ,ειναι αυτο το tagged που συνανανται στην ορολογια εκτος cisco ετσι ;

**netblues** · 27-01-24, 12:56

Πολλα tagged σε μια πορτα ειναι trunk

**SfH** · 27-01-24, 14:17

Αρχικό μήνυμα από badweed

καπως ετσι το ειχα υποψη μου αλλα καπου δεν μου καθεται η συνταγη , ισως πειραζω πολλα

δηλαδη θα βαλω untagged τις θυρες στα 2 wifi (vlan22 και vlan33) και στο modem του ιντερνετ(vlan10) , και tagged (vlan10,vlan22,vlan33) τα προηγουμενα vlans στην θυρα που θελω τον σερβερ να τα βλεπει ολα , και μονο εφοσων η θυρα

δεν πειραζω το default για αρχη . το αφηνω στο 1 αρκει να μην δομολογησω τιποτα για εκει .

θα το δοκιμασω

trunk ,ειναι αυτο το tagged που συνανανται στην ορολογια εκτος cisco ετσι ;

Off Topic

Και η cisco trunk τα λέει. Οι περισσότεροι θεωρούν αυτό που είπε κι ο netblues - δηλαδή μια πόρτα που κουβαλάει πολλαπλά vlan. Η HPE όμως με τον όρο trunk θεωρεί link aggregation.

**John82** · 27-01-24, 15:53

Έστω ότι έχεις ένα access point και θες να βγάλεις στον αέρα τα VLANs 10, 11 & 12 μέσω των SSID wifi10, wifi11 & wifi12.

Κάνεις ένα trunk με τα VLAN 10, 11 & 12 (δηλ. η θύρα που κουμπώνει το access point τα πρέπει να έχει tagged τα 10, 11 & 12 και untagged το management lan σου ας πούμε το 1.). Δηλώνεις και αντιστοιχείς τα VLAN στα SSID και τέλος.

**netblues** · 27-01-24, 16:43

Αρχικό μήνυμα από SfH

Off Topic

Και η cisco trunk τα λέει. Οι περισσότεροι θεωρούν αυτό που είπε κι ο netblues - δηλαδή μια πόρτα που κουβαλάει πολλαπλά vlan. Η HPE όμως με τον όρο trunk θεωρεί link aggregation.

Με το κατα aruba η πλεον με το Juniper ευαγγελιον?

**badweed** · 27-01-24, 22:23

νομιζω κατι καταφερα αλλα θελω να κανω μερικες δοκιμες ακομη και στις αλλες πορτες του switch να δω τι γινεται .
τουλαχιστον το να περνανε ολα απο μια ethernet θυρα , το πετυχα !

λιγο για το ποιο dhcp θα δωσει ip στο vlan-switch προβληματιζομαι (του μοντεμ ; το vlan10 , του lan ; το vlan22 ; παει κατα αυξοντα αριθμο ; γιατι τωρα εχει παρει απο το μοντεμ ) .

καταφερα και να παιρνει ο unraid σερβερ ip σε ενα vlan απο το virtual machine ρουτερ .

σας ευχαριστω για ολη την μεχρι τωρα βοηθεια , αν θελετε να προσθεσετε οτιδηποτε , παρακαλω καντε το

οταν εχω κατι νεοτερο θα ενημερωσω .

εβαλα untagged το μοντεμ , το wifi του lan και το wifi των φιλοξενουμενων , tagged αυτες που πηγαινουν στον σερβερ , τις εβγαλα απο το default που ηταν 1 , και επρεπε να κανω μια ρυθμιση ακομη , στο tp-link tl-sg108e που τελικα εστησα, το "802.1Q VLAN PVID Setting" στο οποιο εβαλα αντιστοιχες με τις untagged , vlan αριθμισεις , στις θυρες που εχω ρυθμισει ηδη

Θέμα: Ι-χα vlans

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές