Hulp: Meerdere VLAN's / subnetten creëren middels switch

woensdag 30 juni 2021 18:23

Acties:

0Henk 'm!

Wat ik wil doen is zo'n 25 UTP-kabels aansluiten op een 48-port managed netwerkswitch en deze opdelen in allemaal een eigen VLAN (dus 25 aparte VLAN's).

Eén van de UTP-kabels loopt naar een internetmodem, de andere 24 UTP-kabels lopen naar diverse apparaten. Dit kunnen eindapparaten zijn, maar soms ook een andere router bijvoorbeeld (waar weer een gescheiden netwerkje achter komt middels WAN) of een (wifi) accesspoint of iets dergelijks.

Op alle 24 kabels/poorten moet een internetsignaal komen via het internetmodem.

Het is de bedoeling dat alle 24 poorten een eigen DHCP server krijgen als het ware die IP-adressen uitdeelt.
Dit moeten dus alle 24 aparte/verschillende subnetten zijn.

En deze 24 aparte netwerken moeten dus ook beslist gescheiden blijven van elkaar. Verkeer van poort 1 mag dus niets kunnen zien van poort 2, bijvoorbeeld, etc.
Wél moeten de apparaten BINNEN een subnet/netwerk met elkaar kunnen communiceren (hetzij door een op die UTP-kabel aangesloten andere router, hetzij door het VLAN uitgedeelde IP-adressen).

Belangrijkste is dus dat alle 24 aansluitingen wél het internetsignaal ontvangen. Het internetmodem moet dus wél uitgaande en inkomende pakketjes kunnen doorsturen naar het juiste VLAN, etc.

Mijn vragen:
* kan het hierboven door mij geschetste voorbeeld in de praktijk worden uitgevoerd?
* kan het binnenkomende internetsignaal vanuit modem direct van LAN-op-LAN poort aangesloten worden op de switch of moet er voor de switch nog een router komen welke ook een bepaalde configuratie / VLAN-voorbereiding vereist? Of kan alle configuratie enkel via de switch verlopen?

NETGEAR vind ik altijd wel mooi qua uiterlijk en degelijk/robuust design, maar het schijnt dat Draytek bijvoorbeeld een stuk duidelijker is in configuratie (interface).

Ik zie bijvoorbeeld dat deze NETGEAR switch 256 verschillende VLAN's aankan, dus ook 256 aparte DHCP servers/256 aparte subnetten, klopt dat?

Als ik dan kijk naar deze Draytek switch dan had ik ergens gelezen dat je maar 8 VLAN's kan instellen of iets dergelijks en de rest dan middels VLAN routing moet gebeuren. Maar op de website van Draytek zie ik: 'Max. Number of VLAN: 256' en in de datasheet van Draytek zie ik weer: 'DHCP Server Supports 8 Subnet, Up to 1023 pool of each'. Ik ben er vrij zeker van dat ik diverse zaken door elkaar haal, maar daarom deel ik mijn verhaal dan ook hier.
Betekent 256 VLAN's ook de mogelijkheid tot 256 verschillende DHCP servers/IP-subnetten?

Wie kan samen met anderen duidelijkheid scheppen voor mij en wil me op weg helpen hiermee?
Ik beantwoord graag de vragen die jullie eerst nog hebben.

Alvast bedankt!

Groet,

Jorn

woensdag 30 juni 2021 19:12

Acties:

+2Henk 'm!

ijske

256 vlan's met 256 DHCP servers is madness.. dat doet niemand...

ik ken organisaties die +- 25 vlan's met bijhorende DHCP's lopen, maar daar loopt het aantal users al in de tienduizenden,verdeeld over 100+ locaties , dat heb je thuis absoluut niet nodig

just for the sake of thinking, mijn Cisco RV340 Router kan 32 Vlan's maken & serveren

inclusief firewall regeltjes ..mijn Cisco WAP'jes accespoint kan al 16 SSID's uitzenden (elks op apart vlan)

wil je bv niet liever 1 groot vlan met client isolatie ? of dmv firewalling verkeer tussen elkaar afblokken.
ik neem een beetje aan dat je use-case een gebouw is waar je 24 lokaaltjes onderverhuurd aan derden en je eigenlijk ISP'tje gaat spelen

alsook is het je Router die de vlan's en DHCP's afhandeld, je switch verdeeld het maar

[Voor 42% gewijzigd door ijske op 30-06-2021 19:22]

woensdag 30 juni 2021 19:12

Acties:

0Henk 'm!

lier

MikroTik nerd

Mijn vragen:
* kan het hierboven door mij geschetste voorbeeld in de praktijk worden uitgevoerd?
* kan het binnenkomende internetsignaal vanuit modem direct van LAN-op-LAN poort aangesloten worden op de switch of moet er voor de switch nog een router komen welke ook een bepaalde configuratie / VLAN-voorbereiding vereist? Of kan alle configuratie enkel via de switch verlopen?

Ja
Nee (tenzij het modem...welk modem? VLAN ondersteunt).

Je ontkomt er niet aan om een router in te zetten die VLAN ondersteunt, naast een managed switch die het ook ondersteunt.

Netgear ken ik niet, ik gebruik al heel lang MikroTik (welke een hele leuke prijs/pret verhouding heeft). Maar over smaak valt niet te twisten (maar misschien moet je je niet blind staren op uiterlijk).

Eerst het probleem, dan de oplossing

woensdag 30 juni 2021 19:22

Acties:

0Henk 'm!

PD2JK

Een Vigor 3910 kan 100 VLAN's aan, en is redelijk makkelijk te configureren. Zoals gezegd ontkom je niet aan een deftige router.

AMD DX4 100 (3.11) / Pentium MMX 200@233 (95) / Athlon Slot A Thunderbird 1000 (98SE) / P!!!-S 1,4GHz (ME+2K) / AthlonXP 1700+@3200+ (XP) / Opteron 165 (XP x64) / Q6600 (Vista) / Ryzen 5 5600X (10)

woensdag 30 juni 2021 19:34

Acties:

+3Henk 'm!

DutchKel

Kun je de usecase eens uitleggen? Je vraagt nu alleen naar een bepaalde technische oplossing.

Misschien is er voor jou specifieke usecase wel een andere/betere oplossing.

Don't drive faster than your guardian angel can fly.

woensdag 30 juni 2021 19:43

Acties:

0Henk 'm!

Piebas

Ik gebruik een dergelijke setup op meerdere locaties.

Hier heeft de router alle vlans en deelt per vlan DHCP uit in een eigen subnet.
De switches hebben poorten in de verschillende vlans
Middels firewall rules wordt voorkomen dat er verkeer van het eene naar het andere vlan mag.
Alle vlans hebben internet toegang.

woensdag 30 juni 2021 23:34

Acties:

0Henk 'm!

Jorn23

Topicstarter

Wat @ijske al suggereerde: het is de bedoeling om 24 ruimten van elkaar te scheiden als ware het 24 individuele internettoegangspunten/24 gescheiden netwerken.
Maar dan werkt client isolatie toch niet in geval van het willen scheiden van 24 'internet-lijntjes'? (is dat niet dat je voor elk apparaat moet gaan configureren waarmee deze wel/niet verbinding mag maken?)

Dus een layer 3 switch (met soort van routerfunctie en VLAN-functie dus) kan op zichzelf niet zorgen voor werkende VLAN?
VLAN-configuratie middels een switch moet altijd samenwerken met een ingestelde VLAN-configuratie op een router? Oftewel, die twee moeten altijd gecombineerd worden in zo'n geval?

@Piebas Piebas, dus puur gescheiden VLAN's (zoals ik graag wil) die niet met elkaar kunnen communiceren is niet mogelijk ZONDER firewall-configuratie?

woensdag 30 juni 2021 23:45

Acties:

0Henk 'm!

Paradox

Jorn23 schreef op woensdag 30 juni 2021 @ 23:34:
Wat @ijske al suggereerde: het is de bedoeling om 24 ruimten van elkaar te scheiden als ware het 24 individuele internettoegangspunten/24 gescheiden netwerken.
Maar dan werkt client isolatie toch niet in geval van het willen scheiden van 24 'internet-lijntjes'? (is dat niet dat je voor elk apparaat moet gaan configureren waarmee deze wel/niet verbinding mag maken?)

Dus een layer 3 switch (met soort van routerfunctie en VLAN-functie dus) kan op zichzelf niet zorgen voor werkende VLAN?
VLAN-configuratie middels een switch moet altijd samenwerken met een ingestelde VLAN-configuratie op een router? Oftewel, die twee moeten altijd gecombineerd worden in zo'n geval?

@Piebas Piebas, dus puur gescheiden VLAN's (zoals ik graag wil) die niet met elkaar kunnen communiceren is niet mogelijk ZONDER firewall-configuratie?

volgens mij is er in theorie meer mogelijk dan je denkt. Dure switches kunnen ook routeren, de vraag is of je dit echt wel wilt. Layer 3 switches kunnen een hoop..
https://www.cisco.com/c/n...-L3-intervlanrouting.html

client isolatie is de term dat machines niet met elkaar kunnen praten, enkel het internet op mogen.

[Voor 6% gewijzigd door Paradox op 30-06-2021 23:47]

donderdag 1 juli 2021 00:00

Acties:

+1Henk 'm!

SgtElPotato

Afhankelijk van de apparatuur die je hebt heeft ieder VLAN zijn eigen subnet.
Ik denk dat je de 256 VLANS moet laten varen, dat is een hel om op te zetten.

Maar 24 VLANS moet makkelijk kunnen.
VLAN 1 - 10.20.10.0/24
VLAN 2 - 10.20.20.0/24
etc

Dan ben je er al.

1. Router - VLAN 1 tot 24 - ieder VLAN eigen subnet (met eigen gateway adres)
2. Managed switch - poort 1 tot 24 heeft een eigen VLAN toegewezen
3. Per ruimte een managed switch die alles een VLAN tag meegeeft

Clien isolation is makkelijker, maar zorgt voor 'problemen' als je onderling wilt communiceren als ik het goed heb.

_{correct me if i'm wrong}

donderdag 1 juli 2021 00:24

Acties:

0Henk 'm!

AlsyconBV

SgtElPotato schreef op donderdag 1 juli 2021 @ 00:00:
Afhankelijk van de apparatuur die je hebt heeft ieder VLAN zijn eigen subnet.
Ik denk dat je de 256 VLANS moet laten varen, dat is een hel om op te zetten.

Maar 24 VLANS moet makkelijk kunnen.
VLAN 1 - 10.20.10.0/24
VLAN 2 - 10.20.20.0/24
etc

Dan ben je er al.

1. Router - VLAN 1 tot 24 - ieder VLAN eigen subnet (met eigen gateway adres)
2. Managed switch - poort 1 tot 24 heeft een eigen VLAN toegewezen
3. Per ruimte een managed switch die alles een VLAN tag meegeeft

Clien isolation is makkelijker, maar zorgt voor 'problemen' als je onderling wilt communiceren als ik het goed heb.

_{correct me if i'm wrong}

Helemaal mee eens, behalve punt 3.

Ik zou persoonlijk gewoon vlan X untagged naar ruimte X sturen, waarna de gebruiker zelf een "domme" switch of router kan plaatsen.

@Jorn23 Als ik jou was zou ik gewoon voor een EdgeRouter X van UBNT gaan met een EdgeSwitch 48 lite gaan.

Goedkoop, werkt prima, super veel info over te vinden op internet.

MikroTik minder ervaring mee, maar RB is zeker ook een aanrader voor prijs/kwaliteit.

[Voor 12% gewijzigd door AlsyconBV op 01-07-2021 00:28]

donderdag 1 juli 2021 07:36

Acties:

+4Henk 'm!

lier

MikroTik nerd

SgtElPotato schreef op donderdag 1 juli 2021 @ 00:00:
Maar 24 VLANS moet makkelijk kunnen.
VLAN 1 - 10.20.10.0/24
VLAN 2 - 10.20.20.0/24
etc

Waarbij je, naar mijn mening, VLAN 1 niet moet gebruiken. Maar dat staat los van deze oplossingsrichting.

Eerst het probleem, dan de oplossing

donderdag 1 juli 2021 07:54

Acties:

0Henk 'm!

Jorn23

Topicstarter

En hoe stel ik het VLAN van het binnenkomende internetsignaal dan in?
Er gaat één UTP kabel van router naar switch, toch....?

En zoals jullie hierboven schetsen kunnen apparaten uit één subnet (10.20.10.0) wel met elkaar communiceren, maar niet met apparaten uit 10.20.20.0?

In deze instructie lijk je toch alles in de switch te configureren...waarom zou je daar niet voor kiezen dan? Daar is normaal gesproken toch ook de uitgebreide functie van een managed switch voor....

En in die instructie zie ik bijvoorbeeld dat er voor elke VLAN/poort ook permit & deny rules aangemaakt worden. Dat zie ik in jullie verhaal niet terug... Is hierboven dan wel veilig genoeg qua afscherming van netwerken/subnetten?

Excuus, ik leg me niet zomaar ergens bij neer als het om security gaat..

donderdag 1 juli 2021 08:05

Acties:

+1Henk 'm!

PD2JK

In de router moet je instellen of VLAN's wel/niet elkaar mogen zien. Sowieso wil je geen multicast verkeer naar andere LAN's. (mocht dat in te stellen zijn).

Netwerken (LANs / subnetten) configureer je in de router. Bijvoorbeeld:
VLAN 10 = 10.20.10.x/24
VLAN 11 = 10.20.11.x/24
_{/24 is afgekort het subnetmask 255.255.255.0}

Alle VLAN's gaan tagged vanuit je router naar de switch.

VLAN's configureer je zowel in de router, als de switch. Alle VLANs gaan tagged naar de switch op poort 1. Vervolgens stel je het bijvoorbeeld alsvolgt in:
Poort 1 swtich = tagged VLAN 10, 11, 12, etc...
Poort 10 switch = untagged VLAN 10
Poort 11 switch = untagged VLAN 11
Poort 12 switch = untagged VLAN 12

Qua permit/deny in de switch; Als je VLAN 12 op poort 12 switch configureert, heb je dus een 'deny' van VLAN 11 op poort 12. Bij HP/3Com heet dit 'No'.

Het default VLAN (0 of 1) zou je kunnen gebruiken om de boel te managen maar een apart VLAN hiervoor gebruiken is veiliger.
Tevens kun je ongebruikte routerpoorten / switchpoorten uitschakelen of juist dat verkeer naar devnull dirigieren. Of een guest-network van maken met 1Mbit up/down via traffic shaping.

[Voor 24% gewijzigd door PD2JK op 01-07-2021 08:26]

AMD DX4 100 (3.11) / Pentium MMX 200@233 (95) / Athlon Slot A Thunderbird 1000 (98SE) / P!!!-S 1,4GHz (ME+2K) / AthlonXP 1700+@3200+ (XP) / Opteron 165 (XP x64) / Q6600 (Vista) / Ryzen 5 5600X (10)

donderdag 1 juli 2021 19:31

Acties:

0Henk 'm!

Jorn23

Topicstarter

PD2JK schreef op donderdag 1 juli 2021 @ 08:05:
In de router moet je instellen of VLAN's wel/niet elkaar mogen zien. Sowieso wil je geen multicast verkeer naar andere LAN's. (mocht dat in te stellen zijn).

Netwerken (LANs / subnetten) configureer je in de router. Bijvoorbeeld:
VLAN 10 = 10.20.10.x/24
VLAN 11 = 10.20.11.x/24
_{/24 is afgekort het subnetmask 255.255.255.0}

Alle VLAN's gaan tagged vanuit je router naar de switch.
Dit doe je nog in de ROUTER?

En vanaf hier stel je in de SWITCH in?
VLAN's configureer je zowel in de router, als de switch. Alle VLANs gaan tagged naar de switch op poort 1. Vervolgens stel je het bijvoorbeeld alsvolgt in:
Poort 1 swtich = tagged VLAN 10, 11, 12, etc...
Poort 10 switch = untagged VLAN 10
Poort 11 switch = untagged VLAN 11
Poort 12 switch = untagged VLAN 12

Maar is dit iets om ook nog apart in te stellen of gaat dat automatisch als je bovenstaande stappen uitgevoerd hebt?
Qua permit/deny in de switch; Als je VLAN 12 op poort 12 switch configureert, heb je dus een 'deny' van VLAN 11 op poort 12. Bij HP/3Com heet dit 'No'.

Het default VLAN (0 of 1) zou je kunnen gebruiken om de boel te managen maar een apart VLAN hiervoor gebruiken is veiliger.Bedoel je hiermee een soort 'administrator-poort'?
Tevens kun je ongebruikte routerpoorten / switchpoorten uitschakelen of juist dat verkeer naar devnull dirigieren. Of een guest-network van maken met 1Mbit up/down via traffic shaping.

vrijdag 2 juli 2021 07:42

Acties:

0Henk 'm!

PD2JK

Jorn23 schreef op donderdag 1 juli 2021 @ 19:31:
[...]

Dit doe je nog in de ROUTER?

Correct.

En vanaf hier stel je in de SWITCH in?

Affirmatief.

Maar is dit iets om ook nog apart in te stellen of gaat dat automatisch als je bovenstaande stappen uitgevoerd hebt?

Dit gaat inderdaad automatisch. En doorgaans blijven poorten die je ongemoeid laait, op het default VLAN staan.

Bedoel je hiermee een soort 'administrator-poort'?

Klopt.

AMD DX4 100 (3.11) / Pentium MMX 200@233 (95) / Athlon Slot A Thunderbird 1000 (98SE) / P!!!-S 1,4GHz (ME+2K) / AthlonXP 1700+@3200+ (XP) / Opteron 165 (XP x64) / Q6600 (Vista) / Ryzen 5 5600X (10)

zaterdag 3 juli 2021 08:22

Acties:

0Henk 'm!

Jorn23

Topicstarter

Dankjewel!

Ik vind het zo opmerkelijk dat niemand ingaat op de vraag waarom je niet alle VLAN setup via alleen de switch zou regelen?

Wat is de reden dat dat niet zou kunnen?

zaterdag 3 juli 2021 09:48

Acties:

+1Henk 'm!

ijske

Jorn23 schreef op zaterdag 3 juli 2021 @ 08:22:
Dankjewel!

Ik vind het zo opmerkelijk dat niemand ingaat op de vraag waarom je niet alle VLAN setup via alleen de switch zou regelen?

Wat is de reden dat dat niet zou kunnen?

ik denk wel dat het kan vanaf een bepaald niveau switch , maar das onbekend terrein voor mij , dus daarin kan ik niet adviseren

ik denk ook dat het dermate hoog niveau materiaal is dat het zoveel malen duurder materiaal is ,dan een router voor jou noden (ik weet niet of een cisco SG500 bv zoiets kan , volgens mij ga je dan snel naar de catalyst reeksen)

zaterdag 3 juli 2021 10:58

Acties:

0Henk 'm!

PD2JK

Dan ga je inderdaad naar enterprise niveau hardware. HPE / Aruba heeft bijvoorbeeld cloud based management van je hardware; Aruba Central.

Draytek heeft ook central switch management (en WiFi AP) vanuit de router, geen ervaring mee. Nooit Draytek switches gehad.

[Voor 31% gewijzigd door PD2JK op 03-07-2021 11:34]

AMD DX4 100 (3.11) / Pentium MMX 200@233 (95) / Athlon Slot A Thunderbird 1000 (98SE) / P!!!-S 1,4GHz (ME+2K) / AthlonXP 1700+@3200+ (XP) / Opteron 165 (XP x64) / Q6600 (Vista) / Ryzen 5 5600X (10)

zaterdag 3 juli 2021 11:04

Acties:

+3Henk 'm!

mierenfokker

Als je zoveel vragen hebt, mis je kennis. Misschien een bedrijf inschakelen? Want overduidelijk wil je iets inrichten wat professioneel moet worden..

zaterdag 3 juli 2021 11:06

Acties:

0Henk 'm!

kraats

Ik rol

@Jorn23 je moet het met een router (of routerende switch) doen, omdat je verkeer van het ene vlan naar een ander vlan (internet) moet routeren. Vlans scheiden en allemaal een apart subnet geven is simpel. Ze allemaal internettoegang geven is een stuk lastiger en heb je een apparaat voor nodig die dat kan (en vooral kan zonder alles alsnog direct aan elkaar te knopen)

Waar is Jos de Nooyer toch gebleven?

zaterdag 3 juli 2021 12:26

Acties:

0Henk 'm!

Thralas

Jorn23 schreef op donderdag 1 juli 2021 @ 07:54:
In deze instructie lijk je toch alles in de switch te configureren...waarom zou je daar niet voor kiezen dan? Daar is normaal gesproken toch ook de uitgebreide functie van een managed switch voor....

Als je switch voldoende L3-functies heeft (zoals de pagina die je aanhaalt) dan kan dat inderdaad en dan heb je geen vlan-aware router nodig, want de switch kan ook routeren en DHCP server zijn: dat is ook precies het voorbeeld dat ze in dat artikel lijken te gebruiken.

Je had al twee antwoorden gekregen die suggereren dat het op dure enterprise spullen kan, maar voor de volledigheid: er bestaan dus ook Netgears die dat ondersteunen.

Controleer wel goed of de specifieke switch die je in gedachten hebt het wel allemaal ondersteunt; 'managed' betekent enkel dat je iets in kunt stellen, maar wat dat is verschilt nogal eens, zeker bij fabrikanten als Netgear die zich ook op small business en consumenten richt.

En gezien de vraagstelling kan ik alleen maar benadrukken wat @mierenfokker zegt: bedenk goed of je dit niet moet uitbesteden. Als je verantwoordelijk bent voor 24 aansluitingen is het handig als dit soort zaken gesneden koek voor je zijn.

zaterdag 3 juli 2021 13:41

Acties:

0Henk 'm!

Jorn23

Topicstarter

@Thralas
Exact, dat is precies wat ik bedoel, volgens mij heb ik het juiste voorwerk al gedaan en suggereer ik terecht dat die L3 switches vanaf zo'n €500 ook kunnen routeren en dus geschikt zijn voor dit soort doeleinden.

Ik weet er redelijk wat van.
De reden waarom ik volledigheid wil, is omdat ik altijd exact wil weten en niet wil prutsen (wat ook vaak gedaan wordt, zelfs door bedrijven)

zaterdag 3 juli 2021 14:01

Acties:

0Henk 'm!

plizz

Leuk dat L3 switches geschikt is voor jouw doel. Maar je moet ook al die Vlans NATten op modem en ook alle subnets bekend maken op die modem. Anders kan je wel een mooi L3 switch kopen maar geen enkel Vlan kan op internet.

zaterdag 3 juli 2021 14:21

Acties:

0Henk 'm!

Jan-man

Naast vlan en dhcp ga je nog wel meer moeten doen.

Wat denk je van traffic shaping ? Of mag ik als gebruiker x de volle lijn dicht trekken ?

Stukje DNS, portforwarding/nat.

Juiste internet provider want de meeste staan deze constructie niet toe (ga er vanuit dat 1 verbinding aan 24 onderhuurders wordt verdeelt).

Daarnaast stuk onderhoud en management en documentatie. Wat als gebruiker x illegale dingen doet en je krijgt een dwangbevel ?. Of jij bent op vakantie en niemand weet hoe jij het ingericht hebt.

Stukje lsa wat als de switch er mee stopt kun jij dan garanderen dat er binnen x uur een nieuwe hangt ? Of gaat het om een niet essentieel onderdeel van de bedrijfsvoering en kunnen ze makkelijk 48 uur zonder ?

Imo kan dit alles wel met een stevige switch met een pfsense router ertussen oid. Maar als je er geen verstand van hebt zou ik het uitbesteden anders wordt het straks een dagtaak.

Andere optie is iedereen een eigen ipv4/6 adres te geven en ze zelf een router met beveiliging te plaatsen.

[Voor 24% gewijzigd door Jan-man op 03-07-2021 14:31]

zondag 4 juli 2021 17:14

Acties:

0Henk 'm!

Jorn23

Topicstarter

Dank voor jullie meedenken.

Ik denk dat ik een eind zou komen, weet er meer van dan zoals het wellicht overkomt, maar VLAN-ervaring heb ik gewoon nog niet.

Ik ga heel secuur te werk altijd, dus ik denk juist dat ik het netjes zou kunnen inrichten.

Bedankt voor alle inzichten die jullie me gegeven hebben!

Onderwerpen

Vraag

Alle reacties

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden