Twee VLAN's op 1 internetverbinding.

Ja is wel mogenlijk. Met een ACL (Acces Control List) kun je instellen welk verkeer wel en niet door mag.

Verwijderd schreef op woensdag 09 mei 2007 @ 16:27:
Ik heb me wat in gelezen over VLAN's en de voordelen daarvan. Ik heb een aantal topcis gelezen maar mijn ict niveau is niet hoog genoeg om mijn vraag daaruit te halen.

Ik ben benieuwd of het volgende mogelijk is.

Vlan1: Poort 1 t/m 18 Alle normale computers + data server
Vlan2: Poort 19 t/m 23 Webservers
VLan 3 :Poort 24 Internet verbinding


Vlan 1 en 2 moeten gescheiden zijn van elkaar. Er mag geen verkeer plaats vinden tussen deze 2 Vlans.

Vraag 1:
Vlan 1 en 2 moeten beide gebruik kunnen maken van Vlan 3 (internet dus). Kan dit via een Layer 2 switch.

Vraag 2:
Kan Vlan 3 niet achterwegen gelaten worden? Dus Vlan 1 & 2 en een internet verbinding.


P.s: Ik ben geen systeembeheerder of zo:). Ik vraag dit uit pure interesse.

Vraag 1:
Dit kan geregeld worden bij Access-Control Lists. De communicatie tussen de VLAN's moet door een Layer 3 device gebeuren, dit kan een router met een trunk zijn óf een Layer 3 switch. Je hebt voor Inter-VLAN communicatie dus sowieso een Layer 3 Device nodig.

Vraag 2:
Ja dat kan, dan moet je op de internetrouter (die normaal in VLAN 3 zou zitten) zgn. subinterfaces aanmaken, en de router dan koppelen op een Trunk-poort op je switch. Je kan de router op die manier meerdere ip-adressen geven (één per VLAN).

Of het met een simpele 3com kan weet ik niet, maar een linksys of asus met aangepaste software kan het volgens mij wel. http://www.dd-wrt.com/wiki/index.php/VLAN_Configuration.

Draytek kan dit ook, iig de 2800.

Zal straks in de trein, de mogelijke oplossingen uittekenen. Gelieve nog snel wat details mee te geven.

Eerst verwijzen naar meest basale uitleg over het verschil tussen routers en switches. Huishoudrouters hebben slechts 2 interfaces (WAN & LAN), sommigen hebben 3 interfaces (WAN1 & WAN2 & LAN). 4 LAN-poortjes zijn slechts een ingebakken switchje dat aan de ene LAN-interface hangt.
rapture in "Netwerk configuratie"

Je begint met de vraagstelling, bv manager stelt een probleem/project aan de netwerkbeheerder voor.


Interpretatie van de vraagstelling, bv netwerkbeheerder controleert of hij alles goed begrepen heeft. In deze opstelling kunnen de public servers niet het intern netwerk benaderen, maar het intern netwerk kan wel via het Internet naar de public servers.


Een mogelijke oplossing, we hebben een intern netwerk dat fysiek gescheiden is van de public servers. Een router met 3 interfaces (2 LAN en 1 WAN) routeert tussen de subnets. Default wordt er tussen alle interfaces gerouteerd, met ACL's kunnen we dat inperken (bv van de ene LAN-interface mag er niks naar de andere LAN-interface gaan). Met NAT, overloading (ookwel PAT genoemd) kan je de computers van het intern netwerk op het Internet laten gaan met slechts 1 publieke IP-adres. De werking van NAT in de overloading vorm (PAT) ga ik hier niet uitleggen, via NAT kan je de buitenwereld benaderen, maar de buitenwereld ziet slechts het publieke IP-adres zodat het de interne computers niet ziet staan. Met static NAT kan je een webserver met een private IP-adres doorkoppelen aan een publieke IP-adres, als de buitenwereld naar die publieke IP-adres een request stuurt, dan zal het naar een bepaalde private IP-adres doorgestuurd worden. Portforwarding is in huishoudnetwerken ook een mogelijkheid. Met ACL's kunnen we het verder dichttimmeren.


De public server staan hier direct verbonden met je Internet-verbinding, businesslijnen kunnen meerdere publieke IP-adressen hebben, dan kunnen we de servers publieke IP-adressen geven. Het intern netwerk is nog altijd beschermd door de router met NAT in de overloading vorm (PAT) in combinatie met de nodige ACL's.


De public servers liggen onbeschermd, een extra router is interessant voor verdediging in de diepte. Eerst moeten ze voorbij de border router geraken, dan zien ze de public servers en een interne router.


Waarvoor zijn VLAN's dan goed, als je het probleem zonder VLAN's ook kan oplossen? In deze voorbeelden is het intern netwerk een fysiek geheel (bv een hoop clients in het kantoor) en er is een serverhok met wat public servers. Als de public servers en het intern netwerk om 1 of ander reden door elkaar lopen, dan zou je extra kabels en extra switches moeten voorzien om het fysiek van elkaar gescheiden te houden. Overstappen naar een ander netwerk gebeurt dan door een kabel te patchen.

VLAN-hub, 2 routers, WAN over WiFi,... leuke labo-oefening Het geeft een idee van welk soort netwerkmateriaal.

VLAN's zijn gemaakt om een dikke switch in meerdere virtuele switches op te delen, dit gebeurt op laag 2. Je kan op een switch instellen dat poort 0 bij VLAN 2 hoort en poort 1 bij VLAN 3 hoort, zo kan je ook een gescheiden netwerk creëren zonder extra switches/kabels en je kan naar een ander VLAN overstappen zonder dat er kabels gepatch moeten worden.


Een router met 3 interfaces is niet zo goedkoop zodat men trunk-verbindingen uitgevonden heeft, je kan een poort van je switch als trunkpoort instellen. Deze geeft alle VLAN's door en de router krijgt van alles en nog wat binnen. Op de router kan je voor elke VLAN een subinterface maken, hieraan kan je een IP-adres toekennen en zo'n subinterface kan je gebruiken alsof je router meerdere interfaces/verbindingen naar de VLAN's op de switch heeft.


Technisch gezien is er niks verkeerd met een 1-interface-router.


Het duurde niet lang of iemand kwam op het idee om het boeltje in 1 doos te steken. Met als verschil tov voorgaande is dat Layer 3 switches het routeren op hardware doen ipv de routers die op software werken. Op een layer 3 switch heeft elke VLAN een interface, dat kan je configureren zoals een gewone interface en routing tussen deze VLAN-interfaces instellen.



Je krijgt een idee van mogelijke oplossingen en netwerkmateriaal. Met meer informatie over het netwerk, beschikbaar materiaal, budget, eisenpakket, mogelijkheden,... kunnen we verder kijken.

[ Voor 97% gewijzigd door rapture op 09-05-2007 23:19 ]

Deze kan het denk ik wel: Vigor 2800
Of is het vlan gebeuren op dit apparaat wat anders dan het in dit topic besprokene?

Verwijderd schreef op donderdag 10 mei 2007 @ 13:37:
Met behulp van een Layer 2 switch kan ik 2 poortgebaseerde Vlan's maken. De internetverbinding sluit je dan aan op een trunk poort (waar alle VLAN info dus samen komt)?

Da's niet echt een goede oplossing: dan hang je beide VLAN's rechtstreeks aan't internet en ik veronderstel dat dat niet de bedoeling is.

Rapture heeft al een schoon verhaal geschreven, maar om't heel simpel voor te stellen:

Als je bv. 3 VLAN's (je hebt er wschl 3 nodig voor je configuratie) hebt kun je dat voorstellen alsof je 3 aparte (niet aan elkaar hangende switches hebt.

Als je een trunking poort hebt is't alsof daar dan 3 kabeltjes uitkomen; voor elke VLAN ééntje (in de praktijk gebeurt dat door tagging: als er iets door die poort gestuurd wordt, wordt bijgehouden van welke VLAN't komt / voor welke VLAN het is). Als je alles dan weer aan elkaar wilt hangen kun je beter geen VLAN definieren omdat alles op't zelfde netwerk terecht komt )

Wat je dus moet/kunt doen is 3 VLAN's definieren, en een VLAN-aware firewall/router/NAT op de trunking poort aansluiten. (of anders in iedere VLAN een poort voorzien om naar een aparte ingang van de router te gaan)

Wat je dus in de praktijk zou kunnen doen is:
Vlan1: poort 1 t/m 18 en trunking op 24 (pc's)
Vlan2: poort 19t/m22 en trunking op 24 (web)
Vlan3: poort 23 en truning op 24 (inet)

Een VLAN-aware router/firewall/NAT (bv. linksys met niet-officiele firmware zoals door cannonball voorgesteld) die je op poort 24 aansluit kan dan de brug tussen de verschillende VLAN's maken zonder ze volledig aan elkaar te verbinden...

Verwijderd schreef op donderdag 10 mei 2007 @ 13:37:
Met behulp van een Layer 2 switch kan ik 2 poortgebaseerde Vlan's maken. De internetverbinding sluit je dan aan op een trunk poort (waar alle VLAN info dus samen komt)?

Zal eerst uitleggen wat het verschil tussen poortgebaseerde en tagged VLAN's (IEEE 802.1Q) is.

De linkse switch krijgt een frame langs een poort van VLAN 2 binnen en kan deze frame langs andere poorten van VLAN 2 naar buiten sturen. Er vertrekt vanuit VLAN 2 een verbinding naar de rechtse switch en onze frame kan dus ook naar de rechtse switch gaan. De rechtse switch krijgt een frame langs een poort van VLAN 4 binnen en kan deze frame langs andere poort van VLAN 4 buiten sturen.

Poortgebaseerde VLAN's bestaan enkel op de switch/hub zelf, je verdeelt figuurlijk een switch in meerdere kleine switches en de kleinere switches kan je met fysieke verbindingen aan elkaar hangen. Bij welke VLAN een frame hoort, wordt bepaald door de poort langs waar de frame binnenkomt. Hierdoor kan een frame de ene keer bv bij VLAN 2 horen en de andere keer bv bij VLAN 4 horen.

Switch op lokatie A krijgt een frame op een poort van VLAN 2 binnen, de frame wordt getagd. Eenvoudig gezegd, er wordt op de etiket van een frame de VLAN-id genoteerd zodat iedereen kan zien dat deze frame bij VLAN 2 hoort. Tagged frames kunnen samen door de trunk-verbinding naar de switch op lokatie B gestuurd worden. De switch op lokatie B heeft geen poorten die bij VLAN 2 horen, maar je kan perfect een poortloze VLAN 2 op deze switch configureren. Uiteindelijk zal de frame over een trunk-verbinding bij de switch van lokatie C geraken, deze switch heeft poorten die bij VLAN 2 horen en de frame kan daarheen gestuurd worden.

De bovenstaande tekening kan bv een bedrijfspand met 3 verdiepingen zijn, de werknemers worden gegroepeerd in VLAN 3, verkopers/administratie in VLAN 2 en de managers/directeur zitten in VLAN 4. Je kan met VLAN's verkopers van verschillende verdiepingen bij elkaar groeperen ipv de klassieke benadering dat de verkopers fysiek bij elkaar moeten zitten.

Zo kunnen beide Vlans gebruikmaken van intenret, zonder elkaar in de weg te zitten.

En kan deze (zie plaatje) samen stelling gerealiseerd worden met een simpele NAT/huis-tuin-keuken router?
http://users.telenet.be/r...outer-3interface-vlan.gif

Met een simpele huishoudroutertje kan dat niet, maar er zijn tegenwoordig geavanceerde huishoudrouters.

Met een Vigor 2800 heb je poortgebaseerde VLAN's, je kan instellen dat bv LAN-poort 1 gescheiden is van LAN-poort 2. Aan LAN-poort 1 hang je het ene netwerk en aan LAN-poort 2 hang je het andere netwerk. Aan de WAN-poort hangt de Internet-verbinding.

Interne structuur van een Linksys huishoudrouter lijkt verdacht op een layer 3 switch, maar is weldegelijk een router on a stick in combinatie met een VLAN-ondersteunende switchje. Voor meer uitleg zie: http://felipe-alfaro.org/...enwrt-and-multiple-vlans/ En nog meer diehard-tweaking, afhankelijk van welke chips in je Linksys huishoudrouter kan je zelfs tagged en poortgebaseerde VLAN's door elkaar gebruiken en poortjes als trunkverbindingen gebruiken: http://forum.openwrt.org/viewtopic.php?id=5087

Als je gemakkelijk wilt houden, pak een Vigor 2800, configureer een VLAN met een poort voor je intern netwerk en een andere VLAN met een andere poort voor de public servers. Zorg ervoor dat de VLAN's op je switch met aparte fysieke verbindingen aan de VLAN's van de Vigor 2800 hangt. De Internet-verbinding hangt wel aan de WAN-poort en je eindigt bij de gekozen tekening.


Als je goedkoop en hoge performance nodig hebt, dan kan je Clarkconnect, pfsense,... draaien op een Pentium 2 of 3 met een bak netwerkkaarten. Uiteraard mag je ook zoals ik dat eens op een examen moeten doen, een eigen router/firewall bij elkaar scripten met iptables.

[ Voor 3% gewijzigd door rapture op 10-05-2007 23:49 ]

Verwijderd schreef op maandag 14 mei 2007 @ 11:33:
Niemand die hier het antwoord op weet ?

(Ik neem al genoegen met een simpele ja

Ik ga eerst de verslaggeving van mijn stage regelen voordat ik verder de VLAN-uitleg uitschrijf. Het is geen simpele ja en zal bepaalde voorgaande uitleg wat duidelijker herschrijven.

Dat ziet er goed uit

Dat ziet er werkend uit, poortgebaseerde VLAN's fysiek gescheiden houden. Uit de Vigor 2900 komen er untagged frames en deze gaat direct naar de VLAN waar je ze wilt hebben. Er zijn geen trunkverbindingen (een verbinding waar tagged frames over gaan).