[VLAN] Informatie / Duidelijkheden

[b]Silver7 schreef op woensdag 26 oktober 2005 @ 18:18:
Met welke manier van scheiden?
- Op basis van layer 2 van OSI, dus het werken met de IP-adressen
- Op basis van layer 3 van OSI, dus het werken met de subnetten
- Op basis van de fysieke poorten

Layer 2 is LLC, mac-address
Layer 3 zitten netwerken.

VLAN
Virtual Local Area Network
Het is een virtueel netwerk binnen de fysieke netwerk.

Zoals het op deze manier uitgelegd wordt, denkt men eerder aan een VPN.
Vlan is het opdelen van je netwerk, door op de switches bepaalde poorten een ID te geven, en alleen poorten met zelfde vlan-nummer met elkaar te laten praten.

[ Voor 32% gewijzigd door Wirehead op 26-10-2005 19:05 ]

Evil_Homer schreef op woensdag 26 oktober 2005 @ 19:02:
[...]

Layer 2 is LLC, mac-address
Layer 3 zitten netwerken.


[...]

Zoals het op deze manier uitgelegd wordt, denkt men eerder aan een VPN.
Vlan is het opdelen van je netwerk, door op de switches bepaalde poorten een ID te geven, en alleen poorten met zelfde vlan-nummer met elkaar te laten praten.

Ofwel je kan ook twee verschillende VLAN's elkaar laten overlappen. Dus het is niet alleen nuttig in grote netwerken maar ook in kleine/thuis netwerken. Zo kun je bijvoorbeeld een aantal mensen de zelfde internet verbinding laten delen zonder dat zij op elkaars netwerk kunnen.

Binnenkort ga ik ook een eenvoudige level2 switch eens onder handen nemen om het een en ander er bij te leren. Vlan is een van de dingen wat deze kan.

[ Voor 3% gewijzigd door Schapie op 26-10-2005 19:11 ]

VLAN's worden op layer 2 geïmplementeerd, aan de hand van een bepaalde "tag" in de Ethernet-frame-header kan een switch zien tot welke VLAN-nummer het frame behoord en hierdoor enkel naar de poorten met dat VLAN-nummer. Zo kan je een netwerk scheiden.

Andere manieren van scheiden:

• 2 aparte switches die niet doorverbonden zijn
• layer 3, subnetting (andere ip-ranges)

[ Voor 3% gewijzigd door rapture op 26-10-2005 19:52 ]

Er zijn 2 soorten (Layer2) VLANs, namelijk port-based VLANS en IEEE 802.1Q Tag VLANs.

Bij die eerste vertel je de switch welke fysieke poorten met elkaar mogen praten (Lees: MOGEN dus niet kunnen, dan wordt het Layer1 ), en dat in meerdere (elkaar eventueel overlappende) groepen.
Deze vorm beperkt zich tot de switch, eenmaal de switch verlaten mag alles weer, er worden dan (afaik) ook geen ethernet-frames aangepast.

Bij IEEE 802.1Q Tag VLANs geef je poorten ook (een) nummertje(s), en een binnenkomend pakketje met de goede tag mag naar die poort. Dit pakketje kan (wederom afaik) op alle poorten binnenkomen, alleen de doelpoort is van belang. Komt er een pakketje binnen zonder tag, dan krijgt deze de default tag die is ingesteld voor de poort waarop deze binnenkomt.

Aan de Layer3 VLAN die jij bedoelt, op basis van subnetten, is vrij makkelijk te ontsnappen, namelijk door je eigen ip-adres te veranderen (Dat er misschien nog meer beveiliging op je netwerk zit die her weer tegen in verweer komt okee, maar je "VLAN" ben je iig al uit
Er zijn ook maar weinig mensen die bij "VLAN" aan layer1 of layer3 denken Op layer1 is het gewoon een ander (fysiek) netwerk, bij layer3 heten die dingen subnetten ipv VLANs

[ Voor 23% gewijzigd door Paul op 26-10-2005 20:39 ]

Silver7 schreef op woensdag 26 oktober 2005 @ 20:07:
[...]
Als je zo zegt, dan klinkt dat we VLAN maken op basis van de fysieke poorten.Maar het is toch mogelijk op basis van IP-ranges in ongeachte netwerk of gekoppeld aan de switchs.

[...]
Daarvoor moet je bepaalde apparatuur aanschaffen of extra apparatuur erbij zetten/bestellen.
zie link: 2x vlan, 1 internet verbinding

Intressante link. Vandaar dat ik ook zeg dat ik het nog ga proberen en eens ga onderzoeken wat de switches aankunnen die ik nu heb liggen. Ik ben namelijk vooral benieuwd wat er allemaal mogelijk is. Voor zover ik weet zijn de switches namelijk layer 2 managed maar welke vorm het precies is durf ik op dit moment nog niet vaststellen. (Het kan ook een van de vormen zijn die Paul Nieuwkamp vermeld. En dan denk ik vooral aan de tagged variant.)

Voor thuis gebruik:
al heb je niet de switches maar wel bv een pc(kan soms ook met een breedband routertje) kan je netwerken scheiden van elkaar.
je mikt eigenlijk een paar netwerk kaarten (meer als 2 zeg maar) in 1 pc en elke verbinding gaat naar zijn eigen "pc/switch",
ik weet dat je met behulp van een linux/bsd gebasseerd OS heel simpel dit op kan zetten,

voor/nadelen van VLAN's zijn in mijn optiek:
- minimalizeren van broadcast verkeer
- voegt complexiteit toe.

Met VLAN je creeëert in principe een aantal gescheiden LANs op een reeds bestaand fysiek netwerk. Je doet dit echter niet met hardware (fysiek), maar mbv software (virtueel).
Hence the name Virtual.

Het zelfde geld voor VPN, daarmee creeër je ook een verbinding tussen client en server, met behulp van software (virtueel), over een bestaande lijn (fysiek).

En natuurlijk ook bij Virtual Reality.

Oftewel: virtueel wil niets anders zeggen dan dat je iets doet mbv software, in plaats van hardware.

Ik ga binnenkort op een Cisco 3550 drie VLANs creeëren:
Het DMZ en twee intranet subnetten op één switch
Dat wordt in ieder geval dikke pret

Misschien is het ook handig in de SP op te nemen wat het verschil(en voor -en nadelen) tussen VLAN en VPN is en wanneer je welke soort het beste kan kiezen?

Silver7 schreef op woensdag 26 oktober 2005 @ 18:18:
...
Indien dat jij het wilt dat ze elkaar moeten communiceren, dan is VLAN zinloos
...

Hoezo is het dan zinloos? Wij maken gebruik van een VLAN voor het industriële netwerk, maar moeten wel met elkaar communiceren. Dit is puur voor de verduidelijking van het ip-plan en de industriële automatiseerders hebben een eigen ip-range voor 'hun' adressering en kunnen daar in principe mee doen wat zij willen.

[ Voor 7% gewijzigd door Kroontje op 27-10-2005 18:57 ]

Silver7 schreef op donderdag 27 oktober 2005 @ 17:33:
[...]
Interesante informatie:
- Over die poorten: Daarbij moet je goed opletten welke computers op welke poorten van switch zitten

Klopt, dat is de hele bedoeling van dat VLAN: _bepaalde_ (en dus niet: willekeurige ) computers in 1 groep zetten

- Layer 1: ja fysieke netwerk wel gescheiden op basis van fysieke poorten

Fysieke switches. Of je moet koperbaantjes door gaan krassen

- Layer 3: subnetten in plaats van VLAN opzetten
als ik goed begrijp/denkt, dat het subnetten niet mogelijk is binnen de switch tenzij je VLAN neemt, of heb ik het mis?

Dan heb je het mis Neem maar een huis-tuin-en-keuken switch waar niets aan in te stellen valt (heeft due niet eens een ip-adres of een mac-adres), en zet je pc in het ene subnet en je laptop oid in het andere: ze kunnen elkaar (zonder router) niet meer bereiken

Ah leuk, wil me nog steeds grondig inlezen in VLAN's maar is er nog niet van gekomen..

Heb een Procurve 24p 10/100Mb manages switch staan, en daar hangen nu 4 machines aan.. Nu wil ik de andere NIC's van die machines op een andere switch hangen, om een apart management netwerk te maken, maar ik heb natuurlijk geen zin om nog een switch neer te hangen.

Dit zou dus heel makkelijk op te lossen zijn door bijv poort 1 t/m 12 in 1 VLAN te stoppen en 13 t/m 24 in een ander VLAN, dan is het net alsof ik 2 switches heb? En ook al zou iemand een machine in het ene VLAN compromizen en gaan sniffen, dan zou ie nog steeds niets zien (broadcasts e.d.) van het andere VLAN?

[ Voor 3% gewijzigd door axis op 27-10-2005 22:11 ]

Ik zou zeggen...
http://www.ciscopress.com...article.asp?p=102157&rl=1
en de info over de VLAN.
Van Cisco.
(Heb ooit op school es wat voor mn CCNA gedaan )

axis schreef op donderdag 27 oktober 2005 @ 22:11:
Dit zou dus heel makkelijk op te lossen zijn door bijv poort 1 t/m 12 in 1 VLAN te stoppen en 13 t/m 24 in een ander VLAN, dan is het net alsof ik 2 switches heb? En ook al zou iemand een machine in het ene VLAN compromizen en gaan sniffen, dan zou ie nog steeds niets zien (broadcasts e.d.) van het andere VLAN?

Met een portbased VLAN inderdaad niet nee, Tagged VLAN zou nog wel eens de tagging uit kunnen rollen met een goeie sniffer.

Een schopje: Netgear heeft in de usermanual (pdf 744kb) van de GS274T op pagina 20 en verder een duidelijke uitleg van beide soorten VLANs