Netwerk omzetten naar Vlans -> welke volgorde beginnen?

Precies andersom: Draytek configureren; je switches switchen alleen maar (die hoef je dus niet te configureren want het VLAN zit in je payload) en daarna misschien eens je UB bekijken om de nieuwe WiFI-SSID's bekend te maken.

BlackWhizz schreef op woensdag 26 juni 2019 @ 11:11:
[...]

Kun je deze beter uitleggen?

Ja, je TCP-packet bevat je VLAN-tag, bot gezegd. Je switch kijkt alleen naar source/destination MAC en gooit het pakketje door over de kortste ARP-route.

Andersom, waarom denk je dat je je switches moet configureren? Want als je denkt dat VLAN2 alleen over poort 6 mag, bijvoorbeeld en VLAN172 over poort 9, dan hoef je geen VLAN's aan te maken maar ga je op OSI-layer 1 je netwerk scheiden (fysiek) met bekabeling.

Uiteindelijk moet er wel een data-layer scheiding zijn op de punten waar ze bij elkaar komen zoals je router. En dus VLANs.

/edit:

Bovenste balk is een "gewoon" packet. Onderste balk is een "VLAN'ed" packet; er wordt een 802.1Q stukje ingevoegd met de VLAN-informatie.

[ Voor 12% gewijzigd door MAX3400 op 26-06-2019 11:22 ]

MAX3400 schreef op woensdag 26 juni 2019 @ 11:20:
[...]

Ja, je TCP-packet bevat je VLAN-tag, bot gezegd.

Fout, dat zit op ethernetniveau.

Je switch kijkt alleen naar source/destination MAC en gooit het pakketje door over de kortste ARP-route.

Ook fout, die kijkt naar het src/dst MAC en inwelk VLAN het packet zit.

Andersom, waarom denk je dat je je switches moet configureren? Want als je denkt dat VLAN2 alleen over poort 6 mag, bijvoorbeeld en VLAN172 over poort 9, dan hoef je geen VLAN's aan te maken maar ga je op OSI-layer 1 je netwerk scheiden (fysiek) met bekabeling.

Ook fout, VLANs zijn er juist om dat probleem op te lossen.

---

In welke volgorde je 't doet maakt eigenlijk vrij weinig uit als je er fysiek naast staat, zolang je uiteindelijk maar alles goed ingesteld hebt staan. Als je 't via het netwerk moet doen, dan is 't het handigst om dat van achter naar voor te doen. Dus eerst de aangesloten apparaten (unifi's e.d.), dan de switch, dan de router. Zo heb je steeds iets dat werkt, knikker je dat er uit met een configwijziging op dat apparaat, en zorg je een niveau hoger dat 't weer werkt.

Ik denk dat het het makkelijkste is om je default VLAN (normaal 1) gewoon te laten draaien.
Vervolgens ga je VLANS aanmaken op je Draytek, switches en je AP's.
Zolang je zorgt dat je default VLAN overal blijft draaien en alles en IP in de default range hebt zit je goed en kun je overal bij.
Als je je VLANs en (WiFi) netwerken geconfigureerd hebt kun je deze testen.
Werkt je aparte WiFi netwerk niet maak je weer verbinding met je default VLAN en kun je weer overal bij.

Als je nu gewoon je Draytek VLAN 1 uit laat geven + andere VLANs en op je switchpoorten de extra VLANs tagged er bij zet blijft je default VLAN draaien en zul je altijd je verbinding behouden.

Als alles werkt schakel je het default VLAN uit en heb je alles gescheiden over je VLANs lopen.

BlackWhizz schreef op woensdag 26 juni 2019 @ 10:51:
De vraag is eigenlijk vrij simpel. We hebben een melkveebedrijf, en er komen steeds meer externe partijen die graag internettoegang willen. Nu wil Ik graag een gastnetwerk instellen en een goede scheiding houden tussen de netwerken.

De apparatuur die ik heb is allemaal managed en kan vlans aan, en ik heb het idee dat ik de theorie snap. Maar het praktisch omzetten naar vlans zonder dat ik aan het resetten blijf van apparatuur kan ik nog niet helemaal goed beredeneren.

code:

1 2 3 4 5 6 7 8

Draytek 2133fVn -tagged, meerdere vlans-> Netgear GS724T -tagged, meerdere vlans-> Unifi AP -tagged, meerdere vlans-> Netgear GS105E -tagged, meerdere vlans -> Unifi AP Andere apparatuur wordt untagged vlan 2 Vlan 2: Prive Vlan 172: Gast

Is het dan handig om eerst de unifi's te veranderen, daarna de GS105E, daarna de GS724T en dan pas de Draytek? Of moet het nog weer anders?

Aangezien je UniFi gebruikt; als je een apart Guest SSID aanmaakt en onder settings\Wireless Networks bij dat SSID het vinkje ‘Apply Guest policies’ aanvinkt voorkom je al dat devices die daarmee verbinden elkaar of bedrade apparaten zien (voorwaarde is wel dat je gasten alleen via WIFi verbinden en niet bedraad). Hoef je verder geen VLAN’s aan te maken en ben je met een paar klikken direct klaar!

BlackWhizz schreef op woensdag 26 juni 2019 @ 12:53:
[...]

Ik dacht dat je je switch wel moest instellen, dat er een aantal tagged poorten waren waar je apparatuur die met vlans om kunnen gaan en een aantal untagged poorten waar de switch vlan tags op zet.

@CyBeR @Rensjuh Fysiek naast is lastig, zeker omdat de unifi's op totaal niet praktische locaties hangen. Dus liever alles vanaf mn bureau als het lukt

@Tomba Heb ik gezien, maar ja hobby he. Ik wil er eens mee experimenteren, net als een grotere IP range niet omdat het moet maar omdat het kan.

Ik moest mijn switch ook wel degelijk configureren. Een switch kan een pakketje met VLAN doorgeven aan een poort (tagged), maar ook verwijderen (untagged). Daarnaast heb ik een PVID aangegeven op poorten. Daarmee geef je aan in welk VLAN verkeer dat wordt aangeboden zonder tag terecht komt. Ik denk dat BlackWhizz er even naast zit.

[ Voor 11% gewijzigd door valkenier op 26-06-2019 15:33 ]

Een managed switch moet je altijd instellen om met vlans om te gaan. Een tagged poort is een poort waarop je meerdere vlans kunt gebruiken, daarvoor wordt dan een tag in de ethernet frames gestopt om aan te geven welke dat betreft. Veel switches kunnen op die poorten ook nog een vlan untagged gebruiken (vaak aangeduid met pvid). De frames van dat vlan worden dan untagged op de kabel gezet.

Een untagged poort is verder gewoon een normale switchpoort; elk binnenkomend frame op een dergelijke poort wordt toebedeeld aan een vooraf ingesteld vlan.

MAX3400 schreef op woensdag 26 juni 2019 @ 11:20:
[...]

Ja, je TCP-packet bevat je VLAN-tag, bot gezegd. Je switch kijkt alleen naar source/destination MAC en gooit het pakketje door over de kortste ARP-route.

Andersom, waarom denk je dat je je switches moet configureren? Want als je denkt dat VLAN2 alleen over poort 6 mag, bijvoorbeeld en VLAN172 over poort 9, dan hoef je geen VLAN's aan te maken maar ga je op OSI-layer 1 je netwerk scheiden (fysiek) met bekabeling.

Uiteindelijk moet er wel een data-layer scheiding zijn op de punten waar ze bij elkaar komen zoals je router. En dus VLANs.

/edit:
[Afbeelding]
Bovenste balk is een "gewoon" packet. Onderste balk is een "VLAN'ed" packet; er wordt een 802.1Q stukje ingevoegd met de VLAN-informatie.

Sorry, hoog klok/klepel gehalte, en bovendien onjuist.

Allereerst: een 802.1q tag zit niet in een TCP pakket. die zit in het Ethernet pakket. (osi laag 2) In het ethernet pakket zit meestal een IP pakket. (laag 3) In dat IP pakket kan dan uiteindelijk weer een TCP pakket zitten. (laag 4)

Terug naar laag 2, ethernet en switching. Een onderwerp waar ik wel iets vanaf schijn te weten

een fatsoenlijke switch zal pakketen met een 802.1q tag die binnenkomen op een untagged poort droppen.

De switch zal dus minstens met trunk poorten geconfigureerd moeten worden.

Daarna is het weer afhankelijk van hoe de switch werkt, maar de meeste switches zullen verkeer met een 802.1q tag die ze niet kennen droppen.

Het het netwerk zal dus wel degelijk van de vlans op de hoogte moeten zijn. Praktisch is van buiten naar binnen waarschijnlijk het makkelijkst, dus eerst de AP's, hopen dat je alles goed doet. Dan de switch, dan de router, en dan zou alles daarna weer moeten werken. In de praktijk maak je dan snel een foutje, maar daar hebben we 't maar niet over


Ohja: Arp routing bestaat ook niet. (ik neem tenminste even aan dat we zaken als LISP, VXlan, TRILL en EVPN even buiten beschouwing laten, en dan nog bestaat hooguit MAC routing, geen ARP routing)