802.11q vlan met 3 netgear smart switches

Pagina: 1
Acties:

  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Ik probeer 3 netgear switches in een vlan te configureren, maar kom er niet helemaal uit hoe ik dit het beste kan doen. Ik zal eerst de situatie schetsen.

Ik maak gebruik van 2 24p gb smart switches waar alle servers/workstations op aangesloten zijn. De twee switches zijn verbonden via een 2gb trunk, via poort 1 en 2 van beide switches. De apparaten aangesloten op deze switches wil ik scheiden van de rest van het netwerk. Beide switches zijn tevens via poort 3 verbonden met een router

Op de 24p POE switch zijn een aantal wifi accespoints aangesloten, deze accespoints moeten gescheiden worden van de workstations en servers. Echter zijn er op de POE switch ook printers en ip camera's aangesloten, deze moeten toegangkelijk zijn via zowel de wifi accespoints als ook de vaste pcs en servers van de gb switches. De POE switch is via zijn gb poorten verbonden met poort 4 van beide GB switches. Het is overigens nodig dat alle verkeer de router kan bereiken.

Ik hoop dat het zo duidelijk is.

Verder zit ik dan ook nog met het probleem met alle dubbele links die er ontstaan om de boel enigszins redundant te houden. Zo zijn de servers bijvoorbeeld altijd op beide gigabit switches aangesloten in failover mode, dit werkt zonder probleem. Echter wanneer ik de router op beide switches aansluit ontstaat er een loop en gaat het netwerk down. Hetzelfde zal dus ontstaan wanneer ik de POE switch op beide gb switches aansluit. Nu beschikken alle drie de switches over het Spanning Tree protocol, echter wanneer ik dit aanzet onstaat de loop nog steeds. De router (Draytek Vigor 2930) beschikt overigens niet over dit protocol, kan dit het probleem zijn, of moeten de switches gewoon deze dubbele link kunnen zien en er één blokken?

  • DukeBox
  • Registratie: April 2000
  • Laatst online: 20:31
Een schema zou handig zijn..

Wanneer een device (zoals een printer) in 2 VLAN's bereikbaar moet zijn dan moet deze of 2 interfaces (of 1 met 2 IP's en tagging) in de 2 VLAN's hebben.
Een soort van multihomed oplossing maar security technisch is dat niet gewenst.
Of je moet toegang via een firewall regelen die tussen de 2 VLAN's kan communiceren.

[ Voor 86% gewijzigd door DukeBox op 19-01-2012 22:35 ]


  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Bij dezen

Afbeeldingslocatie: http://img821.imageshack.us/img821/8043/switches.jpg

[ Voor 21% gewijzigd door shoof op 19-01-2012 22:39 ]


  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 27-01 18:54

MAX3400

XBL: OctagonQontrol

Deze dus:
Afbeeldingslocatie: http://img821.imageshack.us/img821/8043/switches.jpg

Uploaded with ImageShack.us

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Ik kwam bijvoorbeeld dit voorbeeld tegen waarbij twee vlans gescheiden zijn, maar allen wel toegang hebben tot de router. Ik snap het voorbeeld eerlijk gezegd niet helemaal, vooral de laatste stappen met de toegang tot de router, het komt bij mij over alsof je dan ook alle pcs toegang geeft tot elkaar en de eerste stappen verwaarloosd worden.

Als het wel zou werken, zou ik de printer toch lid kunnen maken van bijvoorbeeld de laatste vlan waar de router in zit, dan is hij voor allen bereikbaar?

  • DukeBox
  • Registratie: April 2000
  • Laatst online: 20:31
Misschien nog wat meer info in je plaatje zoals ip's en subnetten e.d..

VLAN is een management oplossing, niet een security oplossing. Het voorbeeld is voornamelijk bedoeld voor het segmenteren van het netwerk (bijv. meerdere subnetten) de router gebruik je dan om de systemen met elkaar te laten communiceren.

De oplossing die je nu zou kunnen doen (maar niet 100% secure) is je printers e.d. opnemen in je WiFi VLAN en vervolgens middels je router alleen de ip's van de printers e.d. routeren tussen de 2 VLAN's.

Mocht je router per interface kunnen routeren, dan kan je je printers e.d. ook in een 3e VLAN zetten en tussen je WiFi VLAN en je printer VLAN en de normale VLAN en printer VLAN routeren.

Maar nogmaals, normaal los je dit soort dingen op met een firewall.

[ Voor 5% gewijzigd door DukeBox op 19-01-2012 22:55 ]


  • plizz
  • Registratie: Juni 2009
  • Laatst online: 16:26
Ondersteunt die Draytek wel trunk poort? Ik zie dat ie wel Port-Based VLAN ondersteunt. Misschien is dan handig per vlan een poort toekennen in de Draytek?

  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Hij ondersteund geen trunk, vandaar dat ik aan STP dacht, is dit een mogelijkheid? Vlan kan wel poort-based inderdaad. Maar om nog even terug te komen op het security punt, wellicht een wat rare vraag maar in hoeverre is het niet 100% secure? We werken namelijk maar met een klein netwerkje, 10 workstations en op de wifi wat gasten en af en toe wat eigen laptops. Dat wil ik proberen te scheiden en een firewall is misschien wat overkill voor deze situatie.

  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Wat zou een slimme firewall oplossing zijn om dit te kunnen realiseren? Momenteel gebruik ik alleen de Draytek Vigor 2930 als router met daarachter 2 modems en aan de lan kant de twee switches. Mijn voorkeur gaat uit naar een hardwarematige firewall, echter ben ik hier totaal niet in thuis.

  • DukeBox
  • Registratie: April 2000
  • Laatst online: 20:31
Wat wil je met STP bereiken ?

Qua firewall, ben zelf wel fan van de Cisco ASA series, die kan meteen je Vigor vervangen.
Wil je een appart 'gast' vlan, dan moet je bij de 5505 wel een upgrade hebben naar + of meteen voor de 5510 gaan.

  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Top, ik ga eens kijken naar de Cisco ASA

Met STP wil ik alles redundant verbinden, dus twee switches aan elkaar en beide een link naar de Vigor, mocht er dan een van de switches wegvallen blijft er iig altijd een link met de vigor. De vigor ondersteund echter geen STP, dus wanneer ik dit nu doe dan gaat het netwerk plat. De switches beide wel, is er een manier om het dan toch werkend te krijgen?

  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 01-02 19:30

webfreakz.nl

el-nul-zet-é-er

Voor de Draytek Vigor heb je geen STP nodig. Het is een router, geen switch, dus broadcasts vliegen niet zomaar door het apparaat heen. En dat is het probleem dat STP wil tackelen (in the long run, atleast...)... Switches hebben STP nodig, voor routers boeit het niet.

Volgens http://www.routershop.nl/...edband-router-100-vpn.htm kan je firewalling doen met die Draytek Vigor. Ik kan niet goed zien hoe uitgebreid dat is, maar kijk eens in hoeverre je een Cisco ASA 5505 nodig gaat hebben. Een andere optie kan zijn een Juniper SRX (bijvoorbeeld de SRX210 / SRX220).

Wat jij nodig hebt is voor elk VLAN een interface op een router mét een IP address. Dit kan een fysieke interface zijn, maar je kan (lees: behoort) ook "subinterfaces" aan te kunnen maken. Of dit met de Draytek kan weet ik niet, maar met elke fatsoenlijke professionele router (Cisco / Juniper) moet dat kunnen.

Verder zou ik aan je schema niks veranderen.

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!


  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Ik ben nog even aan het klooien geweest en het lukt om fysieke interfaces van de draytek te scheiden, op zich voldoet dat voor datgene waar ik het wil gebruiken.

Firewalling is redelijk beperkt in de Draytek, ik kan lan to wan of wan to lan beperkingen instellen op ip adres, maar geen lan to lan verkeer blokkeren. Verder kan hij ook maar 1 ip reeks uitgeven.

Zet ik echter stp aan op beide gigabit switches, en verbind ik de switches beide met de router, dan gaat het netwerk nog steeds plat. Ik gebruik dan dus twee poortjes van de ingebouwde switch van de router.

  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 01-02 19:30

webfreakz.nl

el-nul-zet-é-er

Ah, blijkbaar heeft die Draytek een ingebouwde switch. Het is dus niet puur een router, zoals ik wel verwachtte en beschreef in de eerste alinea van mijn vorige post. Ben niet bekend met Drayteks.

Als je een van de kabels verwijderd uit de Draytek, en de rest is aangesloten als volgens het schema. Werkt het dan wel goed? Dan moet STP nog wel ingrijpen, omdat je een loop hebt met de POE switch.

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!


  • shoof
  • Registratie: Juni 2009
  • Laatst online: 21-02 22:40
Ja, alles werkt volgens schema. Alleen de dubbele link van de switches met de router geeft problemen. Zouden de switches één van deze links moeten kunnen blokkeren via STP, of moet de ingebouwde switch van de router dan ook over STP beschikken?

  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 01-02 19:30

webfreakz.nl

el-nul-zet-é-er

shoof schreef op dinsdag 31 januari 2012 @ 22:14:
Ja, alles werkt volgens schema. Alleen de dubbele link van de switches met de router geeft problemen. Zouden de switches één van deze links moeten kunnen blokkeren via STP,
Als de ingebouwde switch in de router de STP pakketten ongemoeid door zou sturen dan zou het schema moeten werken. Maar of die dat dus doet, dat weet ik niet. Ik gok van niet, anders zou het wel werken :+
of moet de ingebouwde switch van de router dan ook over STP beschikken?
Ja, dan gaat het sowieso werken.

En wat is er zo belangrijk aan? Het kan toch prima af met één touwtje. En als je de uptime écht belangrijk vindt van de infrastructuur dan zou ik je aanraden om bijvoorbeeld een Juniper SRX-{100 / 210 / 220} te kopen... Dan kan je je naar hartenlust uitleven met spanning-tree, VPNs, link-aggregates en propere firewalling.

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

Pagina: 1