Toon posts:

VLAN vraagje

Pagina: 1
Acties:
  • 133 views sinds 30-01-2008
  • Reageer

woensdag 29 november 2006 23:21

Acties:

Verwijderd

Topicstarter
Graag zou ik volgende netwerk configuratie willen bereiken, maar omdat ik een netwerk leek ben weet ik niet of dit haalbaar is met de vooropgestelde hardware. Misschien is het concept ook niet juist. Ideën of oplossingen zijn dus welkom !

Situatie schets:

Ik heb een paar pc's en laptops die op internet gaan via een routertje met ingebouwde ADSL modem. Nu wens ik deze apparaten in te delen in 3 gescheiden netwerken. Elk netwerk geef ik een klasse C, dus net1 - 192.168.1.x, net2 - 192.168.2.x , net3 - 192.168.3.x

Net1 en net2 zullen dus enkele pc's en of laptops bevatten. Deze zijn met elkaar verbonden door een router met wireless capaciteiten. Ik heb dus 2 routers, voor elk net 1. Net3 bevat slechts één apparaat, namelijk de router+adsl modem voor het internet (met ip 192.168.3.1). De routers uit de 3 netwerken zijn dan elk verbonden met een poort op de linksys SRW208 (poort 1, 2 en 3).

De requirements:

1. De bedoeling is nu de linksys switch zodanig in te stellen dat alle computers in net1 en net2 naar net3 kunnen gaan. Ze zullen immers in hun DHCP lease het adres '192.168.3.1' krijgen voor DNS en gateway.

2. Verder zou ik nog diepgaander moeten kunnen instellen voor de toegangen tussen net1 en net2 te regelen. bv. ik wil kunnen zegggen dat: PC1 op NET1 krijgt toegang tot volledig NET2 en eventueel tot op PC naar PC niveau: PC2 op NET1 krijgt enkel toegang tot PC1 op NET2.

In de manual van de switch had ik iets gelezen over VLAN's, zou dit een oplossing zijn voor mijn probleem ? Hoe dan ook, afgaande de configuratie mogelijkheden zie ik enkel een oplossing voor punt1. Ik zou dan 2 VLAN combinaties kunnen maken, VLAN1 = poort1 + poort3 en VLAN2 = poort2 + poort3. Voor de 2de requirement zie ik echter niet in hoe ik dit kan configureren. Er valt namelijk nergens een MAC adres in te stellen of een IP adres....

Ideën of opmerkingen zijn welkom !
Uiteraard als je een ander aparaat kent dat dit kan, mag je dat ook vermelden (zolang het maar in dezelfde prijs klasse blijft)

De manual van de SRW208 vindt je op linksys.com en dan bij search 'SRW208' intypen en dan de eerste link bij de resultaten.

woensdag 29 november 2006 23:34

Acties:
  • rapture
  • Registratie: Februari 2004
  • Laatst online: 16:20

rapture

Zelfs daar netwerken?

Met VLAN's kan je een aantal poortjes als gescheiden netwerkje maken, zo kan je idd verschillende "netten" (zoals je zegt) maken. Tussen de VLAN's moet er gerouteerd worden, meestal ben je met een layer 3 switch bezig, deze kan het routeren. DHCP-server wordt naar andere "netten" doorgegeven als je het instelt.

Dan wil je bepaalde security invoeren, pc1 mag ... wel en mag ... niet, enzovoort. Ik zou verdiepen in ACL's (Access control list).

De linksys is niet zo uitgebreid. Een tekening van je netwerk zou handig zijn. En ik ben benieuw hoe je tussen de vlans en de verschillende subnets wilt routeren.
* rapture gaat eerst slapen en zal morgen (of overmorgen wel zien).

[ Voor 4% gewijzigd door rapture op 29-11-2006 23:34 ]

woensdag 29 november 2006 23:40

Acties:
  • YaaD
  • Registratie: April 2005
  • Laatst online: 27-03 22:13

YaaD

Een VLAN (afkorting van het Engelse Virtual LAN) is een virtueel lokaal netwerk (LAN). Een VLAN bestaat uit een groep eindstations en switches die zich fysiek in één of meerdere netwerken kunnen bevinden, maar toch logisch één enkel gemeenschappelijke LAN vormen. In een netwerk kunnen meerdere VLAN's naast elkaar bestaan. De IEEE-standaard IEEE 802.1Q definieert VLAN's in Ethernetnetwerken.
Volgens WIKI is dat een VLAN, maar als ik zo naar je opstelling kijk zou ik er eerder een Active Directory voor gebruiken, kun je ook policys op netwerkniveau kunnen instellen, en ik vraag me ook af waarom je daarvoor 3 routers voor wil gaan gebruiken. Lijkt mij een beetje omslachtig. Een switch doet zijn werk net zo goed en heeft ook (meestal) uitbreidingsmogelijkheden. :)

bl44t

donderdag 30 november 2006 10:39

Acties:

Verwijderd

Topicstarter
YaaD schreef op woensdag 29 november 2006 @ 23:40:
[...]


Volgens WIKI is dat een VLAN, maar als ik zo naar je opstelling kijk zou ik er eerder een Active Directory voor gebruiken, kun je ook policys op netwerkniveau kunnen instellen, en ik vraag me ook af waarom je daarvoor 3 routers voor wil gaan gebruiken. Lijkt mij een beetje omslachtig. Een switch doet zijn werk net zo goed en heeft ook (meestal) uitbreidingsmogelijkheden. :)
Ik denk niet dat er een AD voorhanden zal zijn. Verder zoek ik een 'fysische' scheiding, AD blijft een beetje kunstmatig in de zin dat je andere pc's in het netwerk (linux clients bv.) niet echt kan verhinderen op een bepaald ip te accessen. Als er een route naartoe is kan iedereen er in principe aan. Vandaar dus die gescheiden lans.

Die 2 andere routers (voor net1 en net2) zijn eigelijk gewoon van die home routertjes voor internet access, maar die ook als wireless switch/hub fungeren. Ze dienen dus gewoon als verzamelpunt voor net1 en net2.

donderdag 30 november 2006 10:55

Acties:

Verwijderd

Topicstarter
rapture schreef op woensdag 29 november 2006 @ 23:34:
Met VLAN's kan je een aantal poortjes als gescheiden netwerkje maken, zo kan je idd verschillende "netten" (zoals je zegt) maken. Tussen de VLAN's moet er gerouteerd worden, meestal ben je met een layer 3 switch bezig, deze kan het routeren. DHCP-server wordt naar andere "netten" doorgegeven als je het instelt.

Dan wil je bepaalde security invoeren, pc1 mag ... wel en mag ... niet, enzovoort. Ik zou verdiepen in ACL's (Access control list).

De linksys is niet zo uitgebreid. Een tekening van je netwerk zou handig zijn. En ik ben benieuw hoe je tussen de vlans en de verschillende subnets wilt routeren.
* rapture gaat eerst slapen en zal morgen (of overmorgen wel zien).
Die linksys kan toch routeren tussen de verschillende VLAN's ? Uiteraard als je een beter apparaat weet, dan mag je dat zeker voorstellen, het hoeft die linksys dus niet te zijn. Het moet liefst wel binnen dezelfde prijs range blijven.

Het schema is als volgt (ik heb een ander net bijgemaakt om het wat duidelijk te maken)

Afbeeldingslocatie: http://home.scarlet.be/~tsa30906/schema.jpg

De rules tabel ziet er als volgt uit:
(dus positive ruling, alles wat niet gelist staat is dus denied)

- Net1,2 en 3 moet aan net 4 kunnen om op internet te raken.
- Net4 mag enkel aan net2 (dus er kan niet vanop internet naar net1 of 3 gegaan worden)
- Net1 mag naar net2, maar enkel bepaalde PC's uit net1 mogen dit

---EDIT---

Het zou uiteraard goed kunnen zijn dat deze 'rules' in principe beter in de firewall gestopt worden. Het leek mij als leek logischer dat dit een soort conditionele routing zou zijn, en dus niet zozeer geregeld via de firewall.

Maar het zou dus misschien kunnen dat ik alle routes naar eender welk netwerk toelaat. De switch leer dan (dynamische VLAN ofzoiets) hoe hij elk subnet kan bereiken en welke subnetten hij heeft. Alle access rules worden dan geconfigureerd op de firewall.

[ Voor 14% gewijzigd door Verwijderd op 30-11-2006 11:03 ]

donderdag 30 november 2006 15:51

Acties:
  • Andre_J
  • Registratie: September 2005
  • Laatst online: 15:17

Andre_J

Kijk eens naar : http://www.ipcop.org

donderdag 30 november 2006 18:20

Acties:
  • rapture
  • Registratie: Februari 2004
  • Laatst online: 16:20

rapture

Zelfs daar netwerken?

Verwijderd schreef op donderdag 30 november 2006 @ 10:55:
Die linksys kan toch routeren tussen de verschillende VLAN's ? Uiteraard als je een beter apparaat weet, dan mag je dat zeker voorstellen, het hoeft die linksys dus niet te zijn. Het moet liefst wel binnen dezelfde prijs range blijven.
Layer 2 apparatuur doet niet aan routeren, zie OSI-lagen-model. In de datasheet van die switch staat het woord "route/routing/..." en "layer 3" nog eens niet in.
Het schema is als volgt (ik heb een ander net bijgemaakt om het wat duidelijk te maken)

[afbeelding]
Daar zijn er meerdere oplossingen afhankelijk van je budget en eisen.
De rules tabel ziet er als volgt uit:
(dus positive ruling, alles wat niet gelist staat is dus denied)

- Net1,2 en 3 moet aan net 4 kunnen om op internet te raken.
- Net4 mag enkel aan net2 (dus er kan niet vanop internet naar net1 of 3 gegaan worden)
- Net1 mag naar net2, maar enkel bepaalde PC's uit net1 mogen dit

Het zou uiteraard goed kunnen zijn dat deze 'rules' in principe beter in de firewall gestopt worden. Het leek mij als leek logischer dat dit een soort conditionele routing zou zijn, en dus niet zozeer geregeld via de firewall.

Maar het zou dus misschien kunnen dat ik alle routes naar eender welk netwerk toelaat. De switch leer dan (dynamische VLAN ofzoiets) hoe hij elk subnet kan bereiken en welke subnetten hij heeft. Alle access rules worden dan geconfigureerd op de firewall.
Het ziet duidelijk eruit als ACL's nodig hebben.

De mogelijke oplossingen ga ik morgen of overmorgen bespreken.

vrijdag 1 december 2006 08:56

Acties:

Verwijderd

Topicstarter
rapture schreef op donderdag 30 november 2006 @ 18:20:
[...]
Layer 2 apparatuur doet niet aan routeren, zie OSI-lagen-model. In de datasheet van die switch staat het woord "route/routing/..." en "layer 3" nog eens niet in.

[...]
Daar zijn er meerdere oplossingen afhankelijk van je budget en eisen.

[...]
Het ziet duidelijk eruit als ACL's nodig hebben.

De mogelijke oplossingen ga ik morgen of overmorgen bespreken.
Ok, bedankt voor de reactie.

Uiteindelijk ben ik tot de conclusie gekomen dat ik eigelijk geen VLAN nodig heb, maar gewoon router functionaliteit. De router gaat dan op basis van rules (ACL's) packetjes al dan niet van het ene naar het andere subnet routeren.

Een router die ik dan zou willen gebruiken is de linksys RV042. Deze heeft load balancing op de WAN poort (heeft er dus 2). Na het bekijken van de handleiding is het mij ook hier niet duidelijk of deze de routerings taak aankan ? Er staat namelijk ook nergens 'layer2' in vermeld.

Verder: er is een mogelijkheid tot dynamisch en statisch routeren, echter het ziet er nogal wat primitief uit. Je kan dus niet specefiëren naar welke poort ofzo, je hebt de keuze tussen "WAN1/WAN2/DMZ en LAN"

Er staat ook nog volgend in de handleiding (by dynamische routing)
Working Mode: Select Gateway mode if your Router is hosting your network’s connection to the Internet. Select
Router mode if the Router exists on a network with other routers, including a separate network gateway that
handles the Internet connection. In Router Mode, any computer connected to the Router will not be able to
connect to the Internet unless you have another router function as the gateway.
De bedoeling zou wel zijn om de ADSL modem aan de WAN poort te hangen (via PPPoE) . Dus als ik het goed begrijp kan ik niet de router functionaliteit gebruiken én de gateway functie op hetzelfde moment ? Bij statische routing staat wel niks vermeld over 'operating' mode.

In principe is het toch vrij simpel, ik hoef gewoon een 'default' route leggen naar de poort (WAN in dit geval) om naar het internet te gaan. Voor de rest specifieer in de routes van het ene naar het andere subnet conform vooropgestelde ACL's.

donderdag 7 december 2006 21:08

Acties:
  • rapture
  • Registratie: Februari 2004
  • Laatst online: 16:20

rapture

Zelfs daar netwerken?

Eerst verwijzen naar meest basale uitleg over het verschil tussen routers en switches. Huishoudrouters hebben slechts 2 interfaces (WAN & LAN), sommigen hebben 3 interfaces (WAN1 & WAN2 & LAN). 4 LAN-poortjes zijn slechts een ingebakken switchje dat aan de ene LAN-interface hangt.
rapture in "Netwerk configuratie"

Computers die samen (in een subnet) horen, smijt je op een switch, dan kunnen ze elkaar gemakkelijk zien en lekker snel data uitwisselen. Routers zijn bruggen tussen verschillende "werelden" (subnets). Een Linksys switch zal ook niet veel meer dan werken als een switch, tenzij als het layer 3 is en men zal dat duidelijk in de handleiding/advertenties vermelden.
Afbeeldingslocatie: http://users.telenet.be/rapture/stockage/got/vraagstelling.gif
ff de vraagstelling verifiëren.
Verwijderd schreef op donderdag 30 november 2006 @ 10:55:
De rules tabel ziet er als volgt uit:
(dus positive ruling, alles wat niet gelist staat is dus denied)

- Net1,2 en 3 moet aan net 4 kunnen om op internet te raken.
- Net4 mag enkel aan net2 (dus er kan niet vanop internet naar net1 of 3 gegaan worden)
- Net1 mag naar net2, maar enkel bepaalde PC's uit net1 mogen dit
  • Alle subnets moeten online kunnen.
  • Vanuit het Internet kan men enkel aan de server.
  • Vanuit subnet 1 mag niet iedereen naar de server, om verbinding te kunnen maken zal er in beide richtingen moeten gaan. Dus de server moet ook aan bepaalde computers van subnet 1 kunnen.
  • Subnet 3 mag dus alleen surfen en voor de rest niks?
  • De server kan niet bij subnet 3 gaan?
Afbeeldingslocatie: http://users.telenet.be/rapture/stockage/got/huishoudrouters.gif
De goedkoopste opstelling met 2 huishoudrouters (die een ingebakken Access Point hebben) en 1 gewone huishoudrouter.
  • Op huishoudrouter 1 en 3 NAT afzetten, routing tabellen instellen.
  • Als de routingtabellen juist staan, dan kan iedereen online geraken en NAT in de borderrouter zorgt ervoor dat men vanuit het Internet niet zomaar binnen kan. De server kan vanuit het Internet bereikt worden door port forwarding, je zegt tegen de borderrouter: "hey, als iemand op poort 80 klopt, dan zal het naar de webserver op die ip-adres doorgestuurd worden en nergens anders.". DMZ kan je ook configureren, de server staat dan op een plekje dat niet beveiligd is door de router en kan gemakkelijk vanuit het Internet bereikt worden.
  • Als huishoudrouter 1 firewalling ondersteunt, kan je de firewall instellen. Anders zal je op server moet instellen om bepaalde ip-adressen te weigeren. De DHCP-leases lock je op de huishoudrouters best zodat iedereen continue dezelfde ip-adressen krijgt of met vaste ip-adressen werken. Bij veranderlijke ip-adressen kan je moeilijk op ip-adressen iemand blokkeren. In praktijk kunnen de huishoudroouters heel weinig, het zal dus vaste ip-adressen en softwarematige firewallen op de server worden.
  • Hetzelfde voor huishoudrouter 3.
Linksys BEFSR41 routers kunnen slechts enkele Mbps verwerken, de performance is aan de lage kant en de mogelijkheden zijn beperkt. Deze opstelling is wel spotgoedkoop.

Voordat ik aan duurdere en ingewikkeldere opstellingen begin. Is het bovenstaande verstaanbaar of is het "Chinees"? Dan weet je ook wanneer je netwerkbeheerders moet optrommelen of niet. Beetje serieuze oplossing zal een layer 3 switch met 400+ euro prijskaartje bevatten en wat netwerkbeheerders knowhow.

[ Voor 1% gewijzigd door rapture op 09-05-2007 20:32 . Reden: links van plaatjes updaten ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026