802.11q vlan met 3 netgear smart switches

Ik probeer 3 netgear switches in een vlan te configureren, maar kom er niet helemaal uit hoe ik dit het beste kan doen. Ik zal eerst de situatie schetsen.

Ik maak gebruik van 2 24p gb smart switches waar alle servers/workstations op aangesloten zijn. De twee switches zijn verbonden via een 2gb trunk, via poort 1 en 2 van beide switches. De apparaten aangesloten op deze switches wil ik scheiden van de rest van het netwerk. Beide switches zijn tevens via poort 3 verbonden met een router

Op de 24p POE switch zijn een aantal wifi accespoints aangesloten, deze accespoints moeten gescheiden worden van de workstations en servers. Echter zijn er op de POE switch ook printers en ip camera's aangesloten, deze moeten toegangkelijk zijn via zowel de wifi accespoints als ook de vaste pcs en servers van de gb switches. De POE switch is via zijn gb poorten verbonden met poort 4 van beide GB switches. Het is overigens nodig dat alle verkeer de router kan bereiken.

Ik hoop dat het zo duidelijk is.

Verder zit ik dan ook nog met het probleem met alle dubbele links die er ontstaan om de boel enigszins redundant te houden. Zo zijn de servers bijvoorbeeld altijd op beide gigabit switches aangesloten in failover mode, dit werkt zonder probleem. Echter wanneer ik de router op beide switches aansluit ontstaat er een loop en gaat het netwerk down. Hetzelfde zal dus ontstaan wanneer ik de POE switch op beide gb switches aansluit. Nu beschikken alle drie de switches over het Spanning Tree protocol, echter wanneer ik dit aanzet onstaat de loop nog steeds. De router (Draytek Vigor 2930) beschikt overigens niet over dit protocol, kan dit het probleem zijn, of moeten de switches gewoon deze dubbele link kunnen zien en er één blokken?

Bij dezen

[ Voor 21% gewijzigd door shoof op 19-01-2012 22:39 ]

Ik kwam bijvoorbeeld dit voorbeeld tegen waarbij twee vlans gescheiden zijn, maar allen wel toegang hebben tot de router. Ik snap het voorbeeld eerlijk gezegd niet helemaal, vooral de laatste stappen met de toegang tot de router, het komt bij mij over alsof je dan ook alle pcs toegang geeft tot elkaar en de eerste stappen verwaarloosd worden.

Als het wel zou werken, zou ik de printer toch lid kunnen maken van bijvoorbeeld de laatste vlan waar de router in zit, dan is hij voor allen bereikbaar?

Hij ondersteund geen trunk, vandaar dat ik aan STP dacht, is dit een mogelijkheid? Vlan kan wel poort-based inderdaad. Maar om nog even terug te komen op het security punt, wellicht een wat rare vraag maar in hoeverre is het niet 100% secure? We werken namelijk maar met een klein netwerkje, 10 workstations en op de wifi wat gasten en af en toe wat eigen laptops. Dat wil ik proberen te scheiden en een firewall is misschien wat overkill voor deze situatie.

Wat zou een slimme firewall oplossing zijn om dit te kunnen realiseren? Momenteel gebruik ik alleen de Draytek Vigor 2930 als router met daarachter 2 modems en aan de lan kant de twee switches. Mijn voorkeur gaat uit naar een hardwarematige firewall, echter ben ik hier totaal niet in thuis.

Top, ik ga eens kijken naar de Cisco ASA

Met STP wil ik alles redundant verbinden, dus twee switches aan elkaar en beide een link naar de Vigor, mocht er dan een van de switches wegvallen blijft er iig altijd een link met de vigor. De vigor ondersteund echter geen STP, dus wanneer ik dit nu doe dan gaat het netwerk plat. De switches beide wel, is er een manier om het dan toch werkend te krijgen?

Ik ben nog even aan het klooien geweest en het lukt om fysieke interfaces van de draytek te scheiden, op zich voldoet dat voor datgene waar ik het wil gebruiken.

Firewalling is redelijk beperkt in de Draytek, ik kan lan to wan of wan to lan beperkingen instellen op ip adres, maar geen lan to lan verkeer blokkeren. Verder kan hij ook maar 1 ip reeks uitgeven.

Zet ik echter stp aan op beide gigabit switches, en verbind ik de switches beide met de router, dan gaat het netwerk nog steeds plat. Ik gebruik dan dus twee poortjes van de ingebouwde switch van de router.

Ja, alles werkt volgens schema. Alleen de dubbele link van de switches met de router geeft problemen. Zouden de switches één van deze links moeten kunnen blokkeren via STP, of moet de ingebouwde switch van de router dan ook over STP beschikken?