Toon posts:

VLAN setup icm managed switches en AP's

Pagina: 1
Acties:

  • MrVirtual
  • Registratie: September 2008
  • Laatst online: 21:49
Hallo allemaal,

Ik ben bezig om mijn netwerk opnieuw in te richten en heb de volgende twee vragen:
  1. Ik wil graag weten of dit een juiste manier van opzetten is: combinatie van PFSense, Switches en de Ubiquiti AP's
  2. Een vraag over VLAN's en managed/unmanaged switches
Ik heb voorheen de ziggo modem gebruikt als router, maar ga nu een PFSense router inzetten om ook VLAN's te kunnen gebruiken. (Ziggo modem gaat in bridge mode)

De AP's zijn van Ubiquiti en de switches zijn nu nog unmanaged, maar deze wil ik vervangen met managed switches.

Ik heb het volgende schema gemaakt om de situatie te verduidelijken:



Vraag1: De router geeft alle VLAN's door aan Switch 1. Moet deze een managed switch zijn, of zal hij alle VLAN tags doorgeven aan switch 2, 3 en 4 als het een unmanaged switch is? De VLAN's hoeven eigenlijk pas op switch 2, 3 en 4 uitgesplitst te worden.

Vraag 2: Kan ik voor de managed switches gewoon een TP-link nemen?

Vraag 3: De VLAN's moeten alle drie naar de poort van AP's gaan, die dan de VLAN bepalen aan de hand van de SSID. Begrijp ik dit goed?

Vraag 4: Nog verdere opmerkingen of verbeteringen die ik over het hoofd gezien heb?

Alvast bedankt!

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 00:17
Vraag 1:
Goede vraag. Als ik mij niet vergis hoeft dit niet perse een managed switch te zijn. De tagging zit gewoon in de ethernet frames die doorgezet worden naar de andere switches

Vraag 2:
Ja, alhoewel ik persoonlijk meer fan ben van de netgear gs105e serie maar dat heeft meer met igmp gedoe te maken (heb jij geen last van met iptv). Maar als je de unifi switches geburikt, dan zit het mooier in 1 eco systeem en te managen vanaf de controller.

Vraag 3:
Klopt, in unifi kun je instellen op welk vlan id de ssid moet uitkomen

Vraag 4:
Denk ook na overal filteren internet verkeer vanaf je IoT naar internet. Je ziet niet vaak dat IoT devices in je netwerk andere lan devices aanvallen, je ziet wel vaak dat compromised IoT devices misbruik van je internet verbinding maken. Dat laatste zou ik beveiligen :)

CISSP! Drop your encryption keys!


  • Nicap
  • Registratie: September 2000
  • Laatst online: 01-02 18:38

Nicap

Tsssk....

Waarom zoveel switches?

PVoutput 3.4 kWp Solar Frontier SF-170 + Omnik 4.0 TLII


  • -En4Cer-
  • Registratie: Maart 2003
  • Laatst online: 02-02 12:59
Als je op elke verdieping meerdere vaste aansluitingen wil gebruiken voor bijv. console, computer, TV etc.
Je kunt dan uiteraard veel kabels trekken, maar vaak is er beperkte ruimte en dan is 1 kabel met een switch een prima optie.

  • Nicap
  • Registratie: September 2000
  • Laatst online: 01-02 18:38

Nicap

Tsssk....

@-En4Cer- Kun je dan niet beter de wall modellen AP gaan gebruiken die ook een paar aansluitingen hebben?
Daar kun je desnoods ook een switch op aansluiten wat dan geen managed switch hoeft te zijn.

[Voor 3% gewijzigd door Nicap op 18-01-2022 12:39]

PVoutput 3.4 kWp Solar Frontier SF-170 + Omnik 4.0 TLII


  • SambalBij
  • Registratie: September 2000
  • Laatst online: 21:39

SambalBij

We're all MAD here

1) Hangt volledig van die switch af. Het is een niet ondersteund iets, dus dat kan per switch verschillen. Het kan bijvoorbeeld zijn dat die switch frames gaat droppen wanneer die te groot zijn. Een VLAN tag voegt 4 extra bytes toe aan het frame. Is dat frame de max grootte van 1500 bytes, dan wordt dat met de tag 1504 bytes. Dan hangt het van de switch af wat ie daar mee doet, gewoon doorsturen ondanks groter dan de MTU, frame droppen, firmware crashen... who knows...?

2) Zolang er ondersteuning is voor dot1q VLAN tagging, ja.

3) Mogelijk moet een van je VLAN untagged naar de AP's, binnen hetzelfde VLAN als waar je Unifi controller zit. Extra (gast, IoT) SSID's geeft je dan een VLAN nummer mee.

Life should not be a journey to the grave with the intention of arriving safely in a pretty and well preserved body, but rather to skid in broadside, in a cloud of smoke, thoroughly used up, totally worn out, and loudly proclaiming, 'Wow! What a Ride!'


  • donny007
  • Registratie: Januari 2009
  • Laatst online: 01-02 07:53

donny007

Try the Nether!

Vraag1: Het is niet altijd vanzelfsprekend dat een unmanaged switch de VLAN-tags intact laat. Een managed switch kost tegenwoordig geen kont meer, en geeft je meer flexibiliteit voor de toekomst.

Vraag 2: Ja, ik heb jaren lang de TP-Link TL-SG108E-serie switches gebruikt; werken prima.

Vraag 3: Inderdaad, houdt er wel rekening mee dat de Unifi access points standaard over het "native/untagged" VLAN communiceren met de controller. Data van clients gaat over de "tagged" VLANs.

Vraag 4: Niet alle IOT apparaten vinden het leuk om in een ander netwerk te zitten dan de clients waarmee ze worden bediend, vaak moet je iets als mDNS forwarding configureren zodat de apparaten elkaar weer kunnen vinden. Dit brengt wat extra configuratie- en debugwerk met zich mee.

Toevoeging: vergeet ook niet om firewallregels tussen de netwerken onderling in te richten, anders kan alles alsnog met alles communiceren. Ook dit brengt een stukje beheer & onderhoud met zich mee.

[Voor 12% gewijzigd door donny007 op 18-01-2022 12:54]

/dev/null


  • MrVirtual
  • Registratie: September 2008
  • Laatst online: 21:49
laurens0619 schreef op dinsdag 18 januari 2022 @ 12:30:
Vraag 1:
Goede vraag. Als ik mij niet vergis hoeft dit niet perse een managed switch te zijn. De tagging zit gewoon in de ethernet frames die doorgezet worden naar de andere switches

Vraag 2:
Ja, alhoewel ik persoonlijk meer fan ben van de netgear gs105e serie maar dat heeft meer met igmp gedoe te maken (heb jij geen last van met iptv). Maar als je de unifi switches geburikt, dan zit het mooier in 1 eco systeem en te managen vanaf de controller.

Vraag 3:
Klopt, in unifi kun je instellen op welk vlan id de ssid moet uitkomen

Vraag 4:
Denk ook na overal filteren internet verkeer vanaf je IoT naar internet. Je ziet niet vaak dat IoT devices in je netwerk andere lan devices aanvallen, je ziet wel vaak dat compromised IoT devices misbruik van je internet verbinding maken. Dat laatste zou ik beveiligen :)
Bedankt, ik zal de netgear meenemen in de beslissing voor de managed switch. Goede tip mbt het filteren, die kijk ik nog even na.
-En4Cer- schreef op dinsdag 18 januari 2022 @ 12:35:
[...]


Als je op elke verdieping meerdere vaste aansluitingen wil gebruiken voor bijv. console, computer, TV etc.
Je kunt dan uiteraard veel kabels trekken, maar vaak is er beperkte ruimte en dan is 1 kabel met een switch een prima optie.
Dit heeft inderdaad te maken met het feit dat er maar 1 kabel naar elke verdieping gaat en ik geen mogelijkheid heb een extra kabel te trekken.
SambalBij schreef op dinsdag 18 januari 2022 @ 12:40:
1) Hangt volledig van die switch af. Het is een niet ondersteund iets, dus dat kan per switch verschillen. Het kan bijvoorbeeld zijn dat die switch frames gaat droppen wanneer die te groot zijn. Een VLAN tag voegt 4 extra bytes toe aan het frame. Is dat frame de max grootte van 1500 bytes, dan wordt dat met de tag 1504 bytes. Dan hangt het van de switch af wat ie daar mee doet, gewoon doorsturen ondanks groter dan de MTU, frame droppen, firmware crashen... who knows...?

2) Zolang er ondersteuning is voor dot1q VLAN tagging, ja.

3) Mogelijk moet een van je VLAN untagged naar de AP's, binnen hetzelfde VLAN als waar je Unifi controller zit. Extra (gast, IoT) SSID's geeft je dan een VLAN nummer mee.
Thanks, zal ik zeker even controleren.
donny007 schreef op dinsdag 18 januari 2022 @ 12:41:
Vraag1: Het is niet altijd vanzelfsprekend dat een unmanaged switch de VLAN-tags intact laat. Een managed switch kost tegenwoordig geen kont meer, en geeft je meer flexibiliteit voor de toekomst.

Vraag 2: Ja, ik heb jaren lang de TP-Link TL-SG108E-serie switches gebruikt; werken prima.

Vraag 3: Inderdaad, houdt er wel rekening mee dat de Unifi access points standaard over het "native/untagged" VLAN communiceren met de controller. Data van clients gaat over de "tagged" VLANs.

Vraag 4: Niet alle IOT apparaten vinden het leuk om in een ander netwerk te zitten dan de clients waarmee ze worden bediend, vaak moet je iets als mDNS forwarding configureren zodat de apparaten elkaar weer kunnen vinden. Dit brengt wat extra configuratie- en debugwerk met zich mee.

Toevoeging: vergeet ook niet om firewallregels tussen de netwerken onderling in te richten, anders kan alles alsnog met alles communiceren. Ook dit brengt een stukje beheer & onderhoud met zich mee.
Bedankt voor de tips. Ik zal de IoT apparaten een voor een testen en kijken of ze het doen. De firewall regels had ik inderdaad al op mijn lijstje staan :)

Bedankt iedereen voor de tips!

  • Dacuuu
  • Registratie: Maart 2009
  • Laatst online: 23:01
Ik draai hier opnsense - TL-SG1016DE - TL-SG105PE en 3 ubiquiti access points.


Werkt als een zonnetje.

[Voor 87% gewijzigd door Dacuuu op 18-01-2022 13:37]


  • MrVirtual
  • Registratie: September 2008
  • Laatst online: 21:49
Dacuuu schreef op dinsdag 18 januari 2022 @ 13:36:
Ik draai hier opnsense - TL-SG1016DE - TL-SG105PE en 3 ubiquiti access points.


Werkt als een zonnetje.
Perfect. Bedankt voor de bevestiging!
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee