Unmanaged switch en toch VLAN's?

Trommelrem schreef op zaterdag 03 oktober 2015 @ 18:02:
Kan het toch zijn dat iemand met de interne console poort een firmware erop heeft gezet die hem managed maakt? Hoe achterhaal ik het IP of uberhaupt het MAC adres van zo'n "hack"-switch? Unmanaged is de switch zeker niet, anders konden er geen vlan's overheen...

Dat lijkt mij onwaarschijnlijk aangezien het hier om een switch gaat die hier gewoonweg de mogelijkheid niet toe heeft. De switch ondersteund echter wel jumbo frames (groter dan 1500 bytes). Dit zorgt ervoor dat de packets met VLAN tag gewoon doorgegeven worden. Dat is gelijk de reden waarom je stelling "Unmanaged is de switch zeker niet, anders konden er geen vlan's overheen..." onjuist is.

Een "unmannaged" switch doet niks met VLan Tag's en stuurt gewoon alles wat 'ie aangeboden krijgt door naar alle oveirge poorten . Aangeboden VLan's zijn dus gewoon beschikbaar op zo'n ding op alle poorten.

[ Voor 35% gewijzigd door Will_M op 03-10-2015 18:20 ]

wimmel_1 schreef op zaterdag 03 oktober 2015 @ 18:17:
Een "unmannaged" switch doet niks met VLan Tag's en stuurt gewoon alles door. Alle aangeboden VLan's zijn dus gewoon beschikbaar op zo'n ding.

Een "unmanaged" switch die frames ondersteunt die groter zijn dan 1500 bytes. Indien de switch enkel frames van 1500 bytes aan kan, zal de switch vreemde problemen veroorzaken.

luxan schreef op zaterdag 03 oktober 2015 @ 18:19:
[...]

Een "unmanaged" switch die frames ondersteunt die groter zijn dan 1500 bytes. Indien de switch enkel frames van 1500 bytes aan kan, zal de switch vreemde problemen veroorzaken.

Meestal kijken die "krengen" daar ook niet eens naar. MTU, wa's dâ Jumbo Frames.... Eeeeuh.... Nope, die ken ik niet, dus stuur ook maar door.

[ Voor 9% gewijzigd door Will_M op 03-10-2015 18:22 ]

wimmel_1 schreef op zaterdag 03 oktober 2015 @ 18:21:
[...]
Meestal kijken die "krengen" daar ook niet eens naar. MTU, wa's dâ Jumbo Frames.... Eeeeuh.... Nope, die ken ik niet, dus stuur ook maar door.

MTU is wel degelijk van belang en de switch 'kijkt' er zeker naar. Er is maar een beperkte ruimte beschikbaar voor een frame. Indien een device meer data stuurt dan de max MTU van de switch, word het teveel aan bytes gewoonweg niet doorgestuurd. Jumbo frames ondersteuning (meestal 8000 bytes) is daarom een feature waar je ook bij unmanaged switches op moet letten.

Een "unmanaged" switch is niks meer (óf minder) dan een Switching Hub. Enige verschil ten opzichte van een hub is dat zo'n ding (héél basaal) op basis van ip-packages de afzender én dus de ontvanger binnen z'n eigen poortrange bepaalt. VLAN's zijn feitelijk niets meer dan een extra "bit" toevoeging aan het IP packet....En die worden niet gelezen door een unmannaged switch óf hub

Om het simpeler uit te leggen: Er wordt een extra bit toe gevoegd aan het IP packet door de router, dat is een beetje te vergelijken met een extra veld in een MP3 tag .... Kun je dat veld (óf tag) niet lezen.....

[ Voor 50% gewijzigd door Will_M op 03-10-2015 19:00 ]

Trommelrem schreef op zaterdag 03 oktober 2015 @ 18:41:
[...]
Dat is toch een hub? Een switch stuurt toch alleen broadcasts door naar alle poorten?

Er is een verschil tussen "gewoon alles doorsturen" en "gewoon doorsturen naar alle poorten". Een unmanaged switch stuurt de pakketjes door naar de poort die toegewezen is aan het destination MAC adres, managed of unmanaged, VLAN of niet.

Trommelrem schreef op zaterdag 03 oktober 2015 @ 18:41:
Maar als ik het goed begrijp, dan stuurt de switch dus alles gewoon door inclusief de tags. Is er dan nog wel security met een unmanaged switch? Of kan een WiFi terminal de pakketjes beinvloeden waardoor ze in een andere vlan terecht komen? Of zorgt een AP er voor dat ze toch nog de juiste tag krijgen?

Een unmanaged switch praat geen VLAN en er is dus ook geen security. Alle apparaten die direct aan de switch hangen kunnen besluiten een VLAN tag toe te voegen zonder dat de switch hier iets tegen doet. Apparaten (terminals) die aan de WiFi accesspoints hangen zijn echter niet direct verbonden met de switch maar met het accesspoint. Of een apparaat zelf de VLAN tag van een pakketje kan beinvloeden hangt af van het WiFi accesspoint.

luxan schreef op zaterdag 03 oktober 2015 @ 18:52:
[...]


Er is een verschil tussen "gewoon alles doorsturen" en "gewoon doorsturen naar alle poorten". Een unmanaged switch stuurt de pakketjes door naar de poort die toegewezen is aan het destination MAC adres, managed of unmanaged, VLAN of niet.


[...]


Een unmanaged switch praat geen VLAN en er is dus ook geen security. Alle apparaten die direct aan de switch hangen kunnen besluiten een VLAN tag toe te voegen zonder dat de switch hier iets tegen doet. Apparaten (terminals) die aan de WiFi accesspoints hangen zijn echter niet direct verbonden met de switch maar met het accesspoint. Of een apparaat zelf de VLAN tag van een pakketje kan beinvloeden hangt af van het WiFi accesspoint.

Misschien ten overvloede, maar: VLans bieden géén veiligheid! Met ARP Poisoning kom je óver de VLan's heen.

VLan's zijn er om management scheidingen aan te brengen in je LAN op basis van hardware ID's (MAC adressen), niet om security te garanderen.

Zelfs als vlan's door een unmanaged switch gaan ben je er nog niet. Je retourverkeer word immers door de switch niet getagged.

Formeel gezien kan een tagged vlan niet door een unmanaged switch omdat die alleen packages van 1514 bit doorstuurt en de vlan tagging er vier bij heeft geplakt.
In de praktijk blijken de meeste switches die ook jumbo frames aankunnen een paar extra bytes meer ook meepakken.
Zelf als je 9K jumbo frames gebruikt blijken de meeste switches die extra bytes ook nog wel aan te kunnen

Het retour verkeer wordt neem ik aan gewoon door die AP's getagged dus dat gaat dan ook wel goed.

Aansluitende vraag die wel in dit draadje past denk ik.

Momenteel deel ik mijn internet met een paar buren en heb ik mijzelf in een subnet geplaatst zodat mijn apparaten en IoT niet zichtbaar/bestuurbaar is door de buren.
Hiervoor heb ik een router aangesloten op een van de lan poorten van de expeiabox, de IP in de DMZ geplaatst en de eigen router netjes ingesteld met alle veiligheidsprotocollen.

De buren zijn geen gebruikers van IoT apparaten en niet handig genoeg om elkaar het leven zuur te maken door elkaars apparaten te benaderen en te willen inbreken. Het is een vredige aangelegenheid hier

Nu is de situatie iets veranderd met een nieuwe buurvrouw die ook graag gebruik maakt van mijn internet maar wél IoT apparaten wil en gaat gebruiken. Echter kan ik niet nóg een subnet aanmaken omdat je in de Experiabox geen 2e DMZ kunt instellen. De beste optie is VLAN en ik ben dus nu bezig met het inlezen op VLAN en krijg eindelijk een beetje een idee hoe alles in elkaar steekt. Helaas beschikt de router RT-AC53 niet over een VLAN optie en moet ik iets nieuws.

Mijn idee is om aan de Experiabox een router met VLAN optie aan te sluiten, bijvoorbeeld een Ubiquiti EdgeRouter X. Daarmee komt de huidige (wireless) router te vervallen. Ik stel op de verschillende poorten van de EdgeRouter diverse gewenste VLAN's in om het netwerk te scheiden in een VLAN voor mijn buurvouw en een voor mijzelf. (De rest van de buren zit op een gast-netwerk instelling van de router)

Vraag: Als ik die oude router als AP instel en aan de gewenste poort van de EdgeRouter hang, zitten dan alle apparaten (zowel bedraad als draadloos) in dat ene VLAN?
En kan ik aan de poort met VLAN voor mijzelf mijn unmanaged switch hangen en er van uit gaan dat alles wat op die switch zit in dat toegewezen VLAN blijft zitten?

Thanks alvast!

[ Voor 94% gewijzigd door Stevvh op 27-12-2020 17:09 . Reden: Drukte op een fout sneltoets ]

@Stevvhzou je even een nieuw topic willen aanmaken? Dat heeft de voorkeur boven het kicken van een oud topic.