Toon posts:

VLAN setup icm managed switches en AP's

Pagina: 1
Acties:

dinsdag 18 januari 2022 12:24

Acties:
  • 0 Henk 'm!
  • MrVirtual
  • Registratie: September 2008
  • Laatst online: 11:01

MrVirtual

Topicstarter
Hallo allemaal,

Ik ben bezig om mijn netwerk opnieuw in te richten en heb de volgende twee vragen:
  1. Ik wil graag weten of dit een juiste manier van opzetten is: combinatie van PFSense, Switches en de Ubiquiti AP's
  2. Een vraag over VLAN's en managed/unmanaged switches
Ik heb voorheen de ziggo modem gebruikt als router, maar ga nu een PFSense router inzetten om ook VLAN's te kunnen gebruiken. (Ziggo modem gaat in bridge mode)

De AP's zijn van Ubiquiti en de switches zijn nu nog unmanaged, maar deze wil ik vervangen met managed switches.

Ik heb het volgende schema gemaakt om de situatie te verduidelijken:

Afbeeldingslocatie: https://tweakers.net/i/OgnZ3RFBlE-uyLYzy2JmiV6vLqc=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/0QiwRue712TT8QY757eeGhbo.png?f=user_large

Vraag1: De router geeft alle VLAN's door aan Switch 1. Moet deze een managed switch zijn, of zal hij alle VLAN tags doorgeven aan switch 2, 3 en 4 als het een unmanaged switch is? De VLAN's hoeven eigenlijk pas op switch 2, 3 en 4 uitgesplitst te worden.

Vraag 2: Kan ik voor de managed switches gewoon een TP-link nemen?

Vraag 3: De VLAN's moeten alle drie naar de poort van AP's gaan, die dan de VLAN bepalen aan de hand van de SSID. Begrijp ik dit goed?

Vraag 4: Nog verdere opmerkingen of verbeteringen die ik over het hoofd gezien heb?

Alvast bedankt!

dinsdag 18 januari 2022 12:30

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Nu online

laurens0619

Vraag 1:
Goede vraag. Als ik mij niet vergis hoeft dit niet perse een managed switch te zijn. De tagging zit gewoon in de ethernet frames die doorgezet worden naar de andere switches

Vraag 2:
Ja, alhoewel ik persoonlijk meer fan ben van de netgear gs105e serie maar dat heeft meer met igmp gedoe te maken (heb jij geen last van met iptv). Maar als je de unifi switches geburikt, dan zit het mooier in 1 eco systeem en te managen vanaf de controller.

Vraag 3:
Klopt, in unifi kun je instellen op welk vlan id de ssid moet uitkomen

Vraag 4:
Denk ook na overal filteren internet verkeer vanaf je IoT naar internet. Je ziet niet vaak dat IoT devices in je netwerk andere lan devices aanvallen, je ziet wel vaak dat compromised IoT devices misbruik van je internet verbinding maken. Dat laatste zou ik beveiligen :)

CISSP! Drop your encryption keys!

dinsdag 18 januari 2022 12:34

Acties:
  • 0 Henk 'm!
  • Nicap
  • Registratie: September 2000
  • Laatst online: 30-09 16:20

Nicap

Tsssk....

Waarom zoveel switches?

dinsdag 18 januari 2022 12:35

Acties:
  • +1 Henk 'm!
  • -En4Cer-
  • Registratie: Maart 2003
  • Laatst online: 11:18

-En4Cer-

Nicap schreef op dinsdag 18 januari 2022 @ 12:34:
Waarom zoveel switches?
Als je op elke verdieping meerdere vaste aansluitingen wil gebruiken voor bijv. console, computer, TV etc.
Je kunt dan uiteraard veel kabels trekken, maar vaak is er beperkte ruimte en dan is 1 kabel met een switch een prima optie.

dinsdag 18 januari 2022 12:38

Acties:
  • 0 Henk 'm!
  • Nicap
  • Registratie: September 2000
  • Laatst online: 30-09 16:20

Nicap

Tsssk....

@-En4Cer- Kun je dan niet beter de wall modellen AP gaan gebruiken die ook een paar aansluitingen hebben?
Daar kun je desnoods ook een switch op aansluiten wat dan geen managed switch hoeft te zijn.

[ Voor 3% gewijzigd door Nicap op 18-01-2022 12:39 ]

dinsdag 18 januari 2022 12:40

Acties:
  • +2 Henk 'm!
  • SambalBij
  • Registratie: September 2000
  • Laatst online: 30-09 19:29

SambalBij

We're all MAD here

1) Hangt volledig van die switch af. Het is een niet ondersteund iets, dus dat kan per switch verschillen. Het kan bijvoorbeeld zijn dat die switch frames gaat droppen wanneer die te groot zijn. Een VLAN tag voegt 4 extra bytes toe aan het frame. Is dat frame de max grootte van 1500 bytes, dan wordt dat met de tag 1504 bytes. Dan hangt het van de switch af wat ie daar mee doet, gewoon doorsturen ondanks groter dan de MTU, frame droppen, firmware crashen... who knows...?

2) Zolang er ondersteuning is voor dot1q VLAN tagging, ja.

3) Mogelijk moet een van je VLAN untagged naar de AP's, binnen hetzelfde VLAN als waar je Unifi controller zit. Extra (gast, IoT) SSID's geeft je dan een VLAN nummer mee.

Sometimes you just have to sit back, relax, and let the train wreck itself

dinsdag 18 januari 2022 12:41

Acties:
  • +1 Henk 'm!
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 24-08 17:07

donny007

Try the Nether!

Vraag1: Het is niet altijd vanzelfsprekend dat een unmanaged switch de VLAN-tags intact laat. Een managed switch kost tegenwoordig geen kont meer, en geeft je meer flexibiliteit voor de toekomst.

Vraag 2: Ja, ik heb jaren lang de TP-Link TL-SG108E-serie switches gebruikt; werken prima.

Vraag 3: Inderdaad, houdt er wel rekening mee dat de Unifi access points standaard over het "native/untagged" VLAN communiceren met de controller. Data van clients gaat over de "tagged" VLANs.

Vraag 4: Niet alle IOT apparaten vinden het leuk om in een ander netwerk te zitten dan de clients waarmee ze worden bediend, vaak moet je iets als mDNS forwarding configureren zodat de apparaten elkaar weer kunnen vinden. Dit brengt wat extra configuratie- en debugwerk met zich mee.

Toevoeging: vergeet ook niet om firewallregels tussen de netwerken onderling in te richten, anders kan alles alsnog met alles communiceren. Ook dit brengt een stukje beheer & onderhoud met zich mee.

[ Voor 12% gewijzigd door donny007 op 18-01-2022 12:54 ]

/dev/null

dinsdag 18 januari 2022 13:32

Acties:
  • 0 Henk 'm!
  • MrVirtual
  • Registratie: September 2008
  • Laatst online: 11:01

MrVirtual

Topicstarter
laurens0619 schreef op dinsdag 18 januari 2022 @ 12:30:
Vraag 1:
Goede vraag. Als ik mij niet vergis hoeft dit niet perse een managed switch te zijn. De tagging zit gewoon in de ethernet frames die doorgezet worden naar de andere switches

Vraag 2:
Ja, alhoewel ik persoonlijk meer fan ben van de netgear gs105e serie maar dat heeft meer met igmp gedoe te maken (heb jij geen last van met iptv). Maar als je de unifi switches geburikt, dan zit het mooier in 1 eco systeem en te managen vanaf de controller.

Vraag 3:
Klopt, in unifi kun je instellen op welk vlan id de ssid moet uitkomen

Vraag 4:
Denk ook na overal filteren internet verkeer vanaf je IoT naar internet. Je ziet niet vaak dat IoT devices in je netwerk andere lan devices aanvallen, je ziet wel vaak dat compromised IoT devices misbruik van je internet verbinding maken. Dat laatste zou ik beveiligen :)
Bedankt, ik zal de netgear meenemen in de beslissing voor de managed switch. Goede tip mbt het filteren, die kijk ik nog even na.
-En4Cer- schreef op dinsdag 18 januari 2022 @ 12:35:
[...]


Als je op elke verdieping meerdere vaste aansluitingen wil gebruiken voor bijv. console, computer, TV etc.
Je kunt dan uiteraard veel kabels trekken, maar vaak is er beperkte ruimte en dan is 1 kabel met een switch een prima optie.
Dit heeft inderdaad te maken met het feit dat er maar 1 kabel naar elke verdieping gaat en ik geen mogelijkheid heb een extra kabel te trekken.
SambalBij schreef op dinsdag 18 januari 2022 @ 12:40:
1) Hangt volledig van die switch af. Het is een niet ondersteund iets, dus dat kan per switch verschillen. Het kan bijvoorbeeld zijn dat die switch frames gaat droppen wanneer die te groot zijn. Een VLAN tag voegt 4 extra bytes toe aan het frame. Is dat frame de max grootte van 1500 bytes, dan wordt dat met de tag 1504 bytes. Dan hangt het van de switch af wat ie daar mee doet, gewoon doorsturen ondanks groter dan de MTU, frame droppen, firmware crashen... who knows...?

2) Zolang er ondersteuning is voor dot1q VLAN tagging, ja.

3) Mogelijk moet een van je VLAN untagged naar de AP's, binnen hetzelfde VLAN als waar je Unifi controller zit. Extra (gast, IoT) SSID's geeft je dan een VLAN nummer mee.
Thanks, zal ik zeker even controleren.
donny007 schreef op dinsdag 18 januari 2022 @ 12:41:
Vraag1: Het is niet altijd vanzelfsprekend dat een unmanaged switch de VLAN-tags intact laat. Een managed switch kost tegenwoordig geen kont meer, en geeft je meer flexibiliteit voor de toekomst.

Vraag 2: Ja, ik heb jaren lang de TP-Link TL-SG108E-serie switches gebruikt; werken prima.

Vraag 3: Inderdaad, houdt er wel rekening mee dat de Unifi access points standaard over het "native/untagged" VLAN communiceren met de controller. Data van clients gaat over de "tagged" VLANs.

Vraag 4: Niet alle IOT apparaten vinden het leuk om in een ander netwerk te zitten dan de clients waarmee ze worden bediend, vaak moet je iets als mDNS forwarding configureren zodat de apparaten elkaar weer kunnen vinden. Dit brengt wat extra configuratie- en debugwerk met zich mee.

Toevoeging: vergeet ook niet om firewallregels tussen de netwerken onderling in te richten, anders kan alles alsnog met alles communiceren. Ook dit brengt een stukje beheer & onderhoud met zich mee.
Bedankt voor de tips. Ik zal de IoT apparaten een voor een testen en kijken of ze het doen. De firewall regels had ik inderdaad al op mijn lijstje staan :)

Bedankt iedereen voor de tips!

dinsdag 18 januari 2022 13:36

Acties:
  • +1 Henk 'm!
  • Dacuuu
  • Registratie: Maart 2009
  • Laatst online: 30-09 13:33

Dacuuu

Ik draai hier opnsense - TL-SG1016DE - TL-SG105PE en 3 ubiquiti access points.


Werkt als een zonnetje.

[ Voor 87% gewijzigd door Dacuuu op 18-01-2022 13:37 ]

dinsdag 18 januari 2022 15:02

Acties:
  • 0 Henk 'm!
  • MrVirtual
  • Registratie: September 2008
  • Laatst online: 11:01

MrVirtual

Topicstarter
Dacuuu schreef op dinsdag 18 januari 2022 @ 13:36:
Ik draai hier opnsense - TL-SG1016DE - TL-SG105PE en 3 ubiquiti access points.


Werkt als een zonnetje.
Perfect. Bedankt voor de bevestiging!
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq