Aanmaken VLAN - Netwerken

maandag 11 mei 2015 15:58

Acties:

0Henk 'm!

Wij zijn bijna door onze IP adressen dus wil ik een nieuw VLAN aanmaken en daarin een aantal apparaten stoppen. In eerste instantie wil ik de communicatie tussen deze VLAN's volledig open zetten. Als alles werkt wil ik alleen nog maar bepaald verkeer toestaan.

Ik heb een router waarop switches zijn aangesloten, op de swiches zitten alle werkstations, servers, printers enzovoorts aangesloten.

Ik heb op de Router al een VLAN aangemaakt met ID 10 vervolgens op de switches een poort aan VLAN10 toegewezen en hierop een werkstation (handmatig IP adres 10.1.1.10 ingesteld) aangesloten. Ik kan echter vanuit het normale netwerk het werkstation in VLAN10 niet pingen en andersom ook niet.

Ons huidige subnet 192.168.0.0 (gateway 192.168.0.1)
Onze nieuwe IP reeks (VLAN 10) 10.1.1.0 (gateway 10.1.1.1)

Hoe kan ik dit nu het beste aanpakken? Moet ik op de switches ook een configuratie maken of kan ik alleen af met de router?

maandag 11 mei 2015 16:00

Acties:

0Henk 'm!

CyBeR

💩

Heb je een trunk gemaakt vanaf je switches naar je router?

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 11 mei 2015 16:04

Acties:

0Henk 'm!

TommieW

Numa numa.

Over wat voor apparatuur hebben we het? Beetje zakelijke meuk?
In het principe is het voldoende als je op je router een port toewijst aan een VLAN (dus "switchport access vlan 10" bij Cisco IOS). Vervolgens kan je een unmanaged switch aan die poort hangen.
Het is echter wel van belang dat je een IP op de router instelt. Dit IP moet je natuurlijk op de PC als de gateway instellen. Kan je de router wel pingen vanaf de PC in het VLAN?

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
Xiaomi Mi 9T Pro

maandag 11 mei 2015 16:08

Acties:

0Henk 'm!

tel2

Topicstarter

CyBeR schreef op maandag 11 mei 2015 @ 16:00:
Heb je een trunk gemaakt vanaf je switches naar je router?

Ja ik heb poort 1 van de switch aangesloten op de interne poort van de router. Poort 1 op de switch is geconfigureerd met VLAN 1 untagged en VLAN 10 tagged.

Poort 2 van de switch waarop het werkstation is aangesloten heeft alleen VLAN 10 untagged.

maandag 11 mei 2015 16:18

Acties:

0Henk 'm!

tel2

Topicstarter

TommieW schreef op maandag 11 mei 2015 @ 16:04:
Over wat voor apparatuur hebben we het? Beetje zakelijke meuk?
In het principe is het voldoende als je op je router een port toewijst aan een VLAN (dus "switchport access vlan 10" bij Cisco IOS). Vervolgens kan je een unmanaged switch aan die poort hangen.
Het is echter wel van belang dat je een IP op de router instelt. Dit IP moet je natuurlijk op de PC als de gateway instellen. Kan je de router wel pingen vanaf de PC in het VLAN?

De router is een Fortigate 60, de switch is een HP 1910-24-PoE+.

Ik kan vanaf de PC in VLAN 10 de router ook niet pingen. Ik kan het IP van het aangemaakte VLAN op de router (10.1.1.1) vanuit het VLAN vanuit het huidige netwerk wel pingen.

maandag 11 mei 2015 21:25

Acties:

0Henk 'm!

mbaltus

tja, zonder een verder overzicht van de configs van de firewall (de fortigate 60) en (eventueel) de switch, valt er weinig zinnigs te zeggen. Maar ik zou nog eens kijken naar:
- of je de interface van de firewall ook zo (dus vlan 1 untagged en vlan 10 tagged) is ingesteld
- of de fortigate een IP adres heeft in VLAN10
- of je routering tussen vlans hebt toegestaan (geen idee of een fortigate dat automatisch doet als je een extra vlan aanmaakt)
- of de firewall regels geen roet in het eten gooien (een allow-any regel om te testen)

om maar een aantal mogelijke probleremen op te noemen

The trouble with doing something right the first time is that nobody appreciates how difficult it is

maandag 11 mei 2015 21:39

Acties:

0Henk 'm!

KennieNL

Kan je het IP van je interface met VLAN10 pingen?
Heb je policies tussen je interface met VLAN10 en je normale LAN interface? (geen NAT oid aanvinken)

maandag 11 mei 2015 21:48

Acties:

0Henk 'm!

martinvdm

www.martinvdm.nl

Check eens of je Fortigate je nieuwe netwerk wel als "inside" ziet. Daarnaast zul je de logging in die Fortigate moeten raadplegen.

He who laughs last thinks slowest! | MartinvdM.nl | 3000Wp Zonnepanelen

dinsdag 12 mei 2015 15:11

Acties:

0Henk 'm!

tel2

Topicstarter

Bedankt voor jullie reacties. Ik begrijp dat het op deze manier niet meevalt dit op te lossen.

Ik zal een externe partij hier naar laten kijken.

dinsdag 12 mei 2015 15:18

Acties:

0Henk 'm!

bregweb

Je bent bijna door je IP adressen heen en je gebruikt 192.168.0.x

Wat is er mis met 192.168.1.x?

Hattrick: Thorgal Eagles

dinsdag 12 mei 2015 15:33

Acties:

0Henk 'm!

tel2

Topicstarter

bregweb schreef op dinsdag 12 mei 2015 @ 15:18:
Je bent bijna door je IP adressen heen en je gebruikt 192.168.0.x

Wat is er mis met 192.168.1.x?

Je bedoelt dat ik dan niets met VLAN's hoef te doen maar alleen voor de juiste routing hoef te zorgen?

dinsdag 12 mei 2015 16:02

Acties:

0Henk 'm!

bregweb

Je kunt je huidige netwerk uitbreiden door je subnet aan te passen.
Je gebruikt nu waarschijnlijk 192.168.0.x met subnet 255.255.255.0, dat zijn 254 adressen die je tot je beschikking hebt. Als je 255.255.254.0 gaat gebruiken mag je 254 extra adressen uitgeven.

Hattrick: Thorgal Eagles

dinsdag 12 mei 2015 16:13

Acties:

0Henk 'm!

tel2

Topicstarter

bregweb schreef op dinsdag 12 mei 2015 @ 16:02:
Je kunt je huidige netwerk uitbreiden door je subnet aan te passen.
Je gebruikt nu waarschijnlijk 192.168.0.x met subnet 255.255.255.0, dat zijn 254 adressen die je tot je beschikking hebt. Als je 255.255.254.0 gaat gebruiken mag je 254 extra adressen uitgeven.

Ok, maar dan moet ik dus in ieder apparaat met een vast IP adres het subnet aanpassen. Dit is best veel werk. Daarnaast kan ik dan in de toekomst nog steeds geen delen van het netwerk scheiden wat wel gewenst is. Ik denk dat de optie om wat VLAN's aan te brengen in mijn situatie de beste oplossing is.

Evengoed bedankt voor het meedenken!

dinsdag 12 mei 2015 16:14

Acties:

0Henk 'm!

Paul

...je moet dan wel op alle apparaten het subnetmasker aanpassen want anders kunnen de machines waarop je dat niet hebt gedaan niet communiceren met de machines met IP 192.168.1.x

Als dat (overwegens) apparaten zijn waar je via DHCP een adres krijgt dan is dat zo gedaan, als je 250 machines af moet ben je wel even bezig.

Sowieso is het één groot broadcast-domein, met (bijvoorbeeld) WireShark kun je kijken hoeveel broadcast-verkeer je nu hebt (en wat voor verkeer, en hoe je dat eventueel terug kunt dringen). Teveel in één subnet is niet goed, al heb je daar met de verbindingen van tegenwoordig niet heel snel last van, en bij deze aantallen (256 -> 512 adressen) zit je ook niet snel tegen de 8192 MAC-adressen die je switch op kan slaan.

Al met al kun je waarschijnlijk gewoon het subnet vergroten

Wil je wel met VLAN's werken dan kun je zelf op cursus gaan en het zelf doen, of het door een externe partij laten regelen (of beide, doe je het in het vervolg zelf). We kunnen hier wel uitgebreid uit de doeken doen hoe je het allemaal in moet stellen, maar als je dan een derde VLAN aan wilt maken of er gaat iets stuk, dan kun je nog niks

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 12 mei 2015 16:17

Acties:

0Henk 'm!

tel2

Topicstarter

Paul schreef op dinsdag 12 mei 2015 @ 16:14:
...je moet dan wel op alle apparaten het subnetmasker aanpassen want anders kunnen de machines waarop je dat niet hebt gedaan niet communiceren met de machines met IP 192.168.1.x

Als dat (overwegens) apparaten zijn waar je via DHCP een adres krijgt dan is dat zo gedaan, als je 250 machines af moet ben je wel even bezig.

Sowieso is het één groot broadcast-domein, met (bijvoorbeeld) WireShark kun je kijken hoeveel broadcast-verkeer je nu hebt (en wat voor verkeer, en hoe je dat eventueel terug kunt dringen). Teveel in één subnet is niet goed, al heb je daar met de verbindingen van tegenwoordig niet heel snel last van, en bij deze aantallen (256 -> 512 adressen) zit je ook niet snel tegen de 8192 MAC-adressen die je switch op kan slaan.

Al met al kun je waarschijnlijk gewoon het subnet vergroten Wil je wel met VLAN's werken dan kun je zelf op cursus gaan en het zelf doen, of het door een externe partij laten regelen (of beide, doe je het in het vervolg zelf). We kunnen hier wel uitgebreid uit de doeken doen hoe je het allemaal in moet stellen, maar als je dan een derde VLAN aan wilt maken of er gaat iets stuk, dan kun je nog niks

Ben het met je eens, wil zelf meekijken zodat ik in de toekomst zelf eventueel een extra VLAN kan opzetten.

dinsdag 12 mei 2015 16:23

Acties:

0Henk 'm!

Paul

Let overigens wel, aangezien je een losse router gebruik ipv een L3 switch: Alle verkeer moet via die router

Als je dus heel zwaar verkeer krijgt tussen twee VLAN's (als bijvoorbeeld je router maar 100mbit aankan en je 25 IP-camera's in VLAN A ieder 10 mbit laat streamen naar de videoserver in VLAN

dan kan dat een bottleneck zijn

Ik lees trouwens dat de 1910-24POE+ 'basic layer 3 routing' kan, ik weet niet hoe de fysieke topologie eruit ziet; met 24p-switches moet je er 11 of meer hebben om aan de 254 IP-adressen te komen

Als je de routering van de VLAN's die zonder beperking met elkaar mogen kletsen termineert op de switch dan ben je al een groot deel van die bottleneck hierboven kwijt. Vervolgens maak je een koppel-VLAN naar de firewall/router (en zet je de VLAN's die niet overal bij mogen tagged door naar die firewall) en geef je de L3-switch als gateway de firewall/router op het koppel-VLAN op.

Ik zou me hier online een beetje over inlezen en dan aan je externe partij vragen met een design te komen

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 12 mei 2015 16:25

Acties:

0Henk 'm!

bregweb

En probeer je in te lezen/verdiepen in IP-adressen en subnetten en DHCP, genoeg te vinden op Internet.

Hattrick: Thorgal Eagles

dinsdag 12 mei 2015 16:59

Acties:

0Henk 'm!

CyBeR

💩

tel2 schreef op dinsdag 12 mei 2015 @ 16:13:
[...]

Ok, maar dan moet ik dus in ieder apparaat met een vast IP adres het subnet aanpassen. Dit is best veel
werk.

Neuh. Alleen daar waar communicatie tussen je hosts in je oude (kleinere) subnet en je nieuwe (uitgebreide) subnet nodig is en waar één van die hosts in het uitgebreide deel valt.

Daarnaast kan ik dan in de toekomst nog steeds geen delen van het netwerk scheiden wat wel gewenst is. Ik denk dat de optie om wat VLAN's aan te brengen in mijn situatie de beste oplossing is.

IMO is dat wel waar; als je wilt segmenteren is multinetten niet de oplossing.

All my posts are provided as-is. They come with NO WARRANTY at all.

Pagina: 1

Reageer