How to Vlan ? (gasten wlan) - Netwerken

maandag 27 februari 2017 10:51

Acties:

0 Henk 'm!

Topicstarter

Omdat ik mij toch voor een aantal zaken meer begin te interesseren en er nu het materiaal voor heb zou ik graag op een juiste manier te werk willen gaan. Ik lees vaak dat andere mensen hier ook problemen uitdagingen mee hebben vandaar dat dit topic misschien een soort "handleiding" kan worden.

Huidige situatie:

Afbeeldingslocatie: http://i67.tinypic.com/33nf1h4.png

Afbeeldingslocatie: http://i67.tinypic.com/33nf1h4.png

- Drie switches (allemaal managed)
- 1x HP Procurve 1800-24G
- 2x Netgear Prosafe

Stel dat ik nu een apart Vlan op mijn gastennetwerk wil plaatsen en de rest intact wil laten, is dit mogelijk?

- Krijgt elk device dat ik in een ethernetpoort gewoon een IP adres van mijn DHCP server (192.168.1.x/24).
- Komt een Vlan boven op de bestaande configuratie te staan of moet de huidige configuratie apart in een VLAN gezet worden
- Hoe gaat het hier in zijn werk met Trunks/Access enzovoort, aangezien ik alleen mijn Wifi Gastennetwerk in een apart Vlan wil plaatsen en geen losse poorten in een VLAN wil zetten.
- Hoe zorg ik er voor dat als ik in 192.168.1.x/24 zit, ik wel de andere apparaten kan zien/beheren maar andersom niet? (momenteel doet mijn Unifi netwerk dit in guestmodus)

Ik zie door alle manuals en tutorials door de bomen het bos niet meer. Vaak worden alleen tutorials overgenomen en ik zou het ook graag begrijpen.

maandag 27 februari 2017 11:25

Acties:

0 Henk 'm!

MdBruin

1. Ja, deze blijven gewoon werken. Je kunt de configuratie zo maken dat alleen de poorten van de ap's en de up link poorten toegang hebben tot het guest tagged vlan.
2. Hangt er vanaf wat je plannen zijn. Er kan een tagged vlan bijgezet worden voor je guest vlan, dit is voor jou het minste configuratie werk. Zorg dat de route helemaal beschikbaar is naar je router. Denk ook aan je firewall regels als je alleen bepaalde diensten beschikbaar wilt hebben en je netwerk onzichtbaar.
3. Eigen netwerk zorg je dat deze untagged zijn, en op dezelfde poort maak je een tagged vlan welke gekoppeld worden aan het guest ssid/netwerk.
4. Hoe bedoel je dit? In de meeste gevallen met een guest vlan krijg je een ander subnet (bijvoorbeeld 192.168.2.x/24) dit netwerk zal alleen toegang krijgen richting de routering en verder niet. Je erl3 zal dus een vlan krijgen met een tweede dhcp voor het guest gedeelte. Daarna zal je hierin de firewall moeten instellen om te zorgen dat het guest gedeelte niet bij het normale netwerk kan als je dit niet wilt. Denk wel aan de toegang tot het portal indien je deze wilt gebruiken.

[ Voor 6% gewijzigd door MdBruin op 27-02-2017 11:28 . Reden: Correctie ]

maandag 27 februari 2017 12:25

Acties:

0 Henk 'm!

Borne

Topicstarter

Bedankt voor de snelle reactie.

Dus:
Op Edgerouter 192.168.2.x/24 als Vlan aanmaken, als ik deze zichtbaar wil maken op alle switches moet ik dan nog iets aanpassen in de switches zelf? dus op de switchpoorten aangeven dat ze een "vlan kunnen verwachten"

maandag 27 februari 2017 21:12

Acties:

0 Henk 'm!

MdBruin

Op de Edgerouter moet je op de poort naar de switch(en) een 2de interface maken (kan onderaan op de homepage).
In de interface kies je het VLAN wat je wilt gebruiken.

Bijvoorbeeld

Add interface
VLAN
VLANID --> 10
Interface --> eth1
Address --> Manual define IP Address
192.168.2.254/24

Dit maakt op interface eth1 een eth1.10 vlan aan met het ip-adres van 192.168.2.254 subnetmask 255.255.255.0

Op de switches zorg je dat ze weten dat niet alleen VLAN 1 aanwezig is maar ook het tagged VLAN 10
Vooral opletten dat je het tagged vinkje aan hebt staan bij 10
Dit hoeft alleen bij de up/down link poorten tussen de switches en de poorten van de router en ap's

Merk alleen dat je netgear GS105e alleen maar de ap erop heeft zitten, deze zou kunnen vervallen.
Of zit er toch nog meer op dan je getekend hebt?

maandag 27 februari 2017 21:35

Acties:

+1 Henk 'm!

Jeroen_ae92

Kleine aanvulling is natuurlijk wel een aantal essentiële zaken en een nice to have

Na het aanmaken van het VLAN op de Edgerouter dien je hiervoor ook een DHCP scope te maken. Immers, je wilt wel dat je clients een DHCP lease krijgen. Daarnaast wil je ook dat de Edgerouter de DNS requests hiervoor afhandelt dus voeg je VLAN interface toe aan de DNS tab.

Last but nice to have, maak 2 firewall rulesets. Één op de vlan10 in (GUEST_IN) en één op vlan10 local (GUEST_LOCAL). Hiermee kun je guest verkeer beter beheersen. O.a. met de GUEST_LOCAL kun je verkeer naar de GUI en SSH blokkeren en via GUEST_IN kun je alles naar internet/andere LAN segmenten blokkeren behalve wat jij wilt dat toegestaan moet zijn.

U+

maandag 27 februari 2017 21:54

Acties:

0 Henk 'm!

Paul

Hierboven gaat het het vooral over de router; maar ook op de switches zul je aan de slag moeten

Maak op alle switches een 2e VLAN aan, en zet daar alle poorten in (tagged!) die gebruikt worden om twee switches met elkaar te verbinden, om een AP aan te sluiten en niet te vergeten de poort waar je router op zit.

De PVID laat je staan, en je laat al die poorten ook lid van het default VLAN (dat untagged op alle poorten zit).

De software voor de Netgears moet je ergens installeren (en helaas moet er Adobe AIR bij, en de software zelf is ook niet altijd even lekker), en dan kun je ze zoeken op je netwerk. Als je niet teveel met VLAN's hebt zitten opknippen op de HP (wat niet de bedoeling is, alle poorten blijven in jouw geval lid van VLAN 1) dan zijn ze gewoon te vinden, maar ze moeten in hetzelfde broadcast domain zitten als de computer met de Netgear software.

Je moet in die software naar het stukje over VLAN's, en dan de advanced VLAN's (802.1q). De port-based VLANs moet je uit laten staan, daar heb je in dit geval niks aan (sterker nog, ik heb er nog nooit iets aan gehad, maar ik zit misschien ook iets te diep in de materie

[ Voor 13% gewijzigd door Paul op 27-02-2017 21:56 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 27 februari 2017 22:14

Acties:

0 Henk 'm!

MdBruin

Jeroen_ae92 schreef op maandag 27 februari 2017 @ 21:35:
Kleine aanvulling is natuurlijk wel een aantal essentiële zaken en een nice to have
....

Helemaal gelijk, ben echt weer wat stappen vergeten. De nice to have stappen zijn eigenlijk wel noodzakelijk om het guest gedeelte geen toegang te verlenen naar je netwerk/router.

dinsdag 28 februari 2017 09:53

Acties:

0 Henk 'm!

Borne

Topicstarter

MdBruin schreef op maandag 27 februari 2017 @ 21:12:
Op de Edgerouter moet je op de poort naar de switch(en) een 2de interface maken (kan onderaan op de homepage).
In de interface kies je het VLAN wat je wilt gebruiken.

Bijvoorbeeld

Add interface
VLAN
VLANID --> 10
Interface --> eth1
Address --> Manual define IP Address
192.168.2.254/24

Dit maakt op interface eth1 een eth1.10 vlan aan met het ip-adres van 192.168.2.254 subnetmask 255.255.255.0

Op de switches zorg je dat ze weten dat niet alleen VLAN 1 aanwezig is maar ook het tagged VLAN 10
Vooral opletten dat je het tagged vinkje aan hebt staan bij 10
Dit hoeft alleen bij de up/down link poorten tussen de switches en de poorten van de router en ap's

Merk alleen dat je netgear GS105e alleen maar de ap erop heeft zitten, deze zou kunnen vervallen.
Of zit er toch nog meer op dan je getekend hebt?

Bedankt! er zit nog meer op de switches (Beveilingscamera en ICS-2000), maar dat heb ik erbuiten gelaten omdat dat in dit geval onoverzichtelijker wordt.

dinsdag 28 februari 2017 09:55

Acties:

0 Henk 'm!

Borne

Topicstarter

Paul schreef op maandag 27 februari 2017 @ 21:54:
Hierboven gaat het het vooral over de router; maar ook op de switches zul je aan de slag moeten

Maak op alle switches een 2e VLAN aan, en zet daar alle poorten in (tagged!) die gebruikt worden om twee switches met elkaar te verbinden, om een AP aan te sluiten en niet te vergeten de poort waar je router op zit.

De PVID laat je staan, en je laat al die poorten ook lid van het default VLAN (dat untagged op alle poorten zit).

De software voor de Netgears moet je ergens installeren (en helaas moet er Adobe AIR bij, en de software zelf is ook niet altijd even lekker), en dan kun je ze zoeken op je netwerk. Als je niet teveel met VLAN's hebt zitten opknippen op de HP (wat niet de bedoeling is, alle poorten blijven in jouw geval lid van VLAN 1) dan zijn ze gewoon te vinden, maar ze moeten in hetzelfde broadcast domain zitten als de computer met de Netgear software.

Je moet in die software naar het stukje over VLAN's, en dan de advanced VLAN's (802.1q). De port-based VLANs moet je uit laten staan, daar heb je in dit geval niks aan (sterker nog, ik heb er nog nooit iets aan gehad, maar ik zit misschien ook iets te diep in de materie ).

Deze netgears hebben gewoon een Webinterface die ik kan benaderen. Zoals in de tekening aangegeven heb ik ze ook static IP's toegewezen.

dinsdag 28 februari 2017 12:25

Acties:

0 Henk 'm!

Frogmen

Voor de edgerouter is er een keurige how to te vinden op hun website is misschien zelfs makkelijker werkt dan wel met een extra poort en kabel naar je switch maar dat maakt niet uit. Alleen je switch vlan config wordt iets anders. Maar daar zijn handleidingen voor lees deze voor je speciefieke switch want vooral de trunk term wordt nog wel eens verschillend gebruikt. In het geval van HP maak je geen trunk voor het gebruik van Vlan's.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 28 februari 2017 16:21

Acties:

0 Henk 'm!

laurens0619

Hierboven is alles al gezegd maar met de volgende guides moet je er zeker uitkomen

https://help.ubnt.com/hc/...est-Network-on-EdgeRouter
https://help.ubnt.com/hc/...ample-Enterprise-Topology

Afbeeldingslocatie: https://help.ubnt.com/hc/en-us/article_attachments/202811330/sample_LAN_topology_w_VLANs_1-5.png

Afbeeldingslocatie: https://help.ubnt.com/hc/en-us/article_attachments/202811330/sample_LAN_topology_w_VLANs_1-5.png

CISSP! Drop your encryption keys!

Pagina: 1

Reageer