VLAN setup icm managed switches en AP's

Hallo allemaal,

Ik ben bezig om mijn netwerk opnieuw in te richten en heb de volgende twee vragen:

1. Ik wil graag weten of dit een juiste manier van opzetten is: combinatie van PFSense, Switches en de Ubiquiti AP's
2. Een vraag over VLAN's en managed/unmanaged switches

Ik heb voorheen de ziggo modem gebruikt als router, maar ga nu een PFSense router inzetten om ook VLAN's te kunnen gebruiken. (Ziggo modem gaat in bridge mode)

De AP's zijn van Ubiquiti en de switches zijn nu nog unmanaged, maar deze wil ik vervangen met managed switches.

Ik heb het volgende schema gemaakt om de situatie te verduidelijken:



Vraag1: De router geeft alle VLAN's door aan Switch 1. Moet deze een managed switch zijn, of zal hij alle VLAN tags doorgeven aan switch 2, 3 en 4 als het een unmanaged switch is? De VLAN's hoeven eigenlijk pas op switch 2, 3 en 4 uitgesplitst te worden.

Vraag 2: Kan ik voor de managed switches gewoon een TP-link nemen?

Vraag 3: De VLAN's moeten alle drie naar de poort van AP's gaan, die dan de VLAN bepalen aan de hand van de SSID. Begrijp ik dit goed?

Vraag 4: Nog verdere opmerkingen of verbeteringen die ik over het hoofd gezien heb?

Alvast bedankt!

laurens0619 schreef op dinsdag 18 januari 2022 @ 12:30:
Vraag 1:
Goede vraag. Als ik mij niet vergis hoeft dit niet perse een managed switch te zijn. De tagging zit gewoon in de ethernet frames die doorgezet worden naar de andere switches

Vraag 2:
Ja, alhoewel ik persoonlijk meer fan ben van de netgear gs105e serie maar dat heeft meer met igmp gedoe te maken (heb jij geen last van met iptv). Maar als je de unifi switches geburikt, dan zit het mooier in 1 eco systeem en te managen vanaf de controller.

Vraag 3:
Klopt, in unifi kun je instellen op welk vlan id de ssid moet uitkomen

Vraag 4:
Denk ook na overal filteren internet verkeer vanaf je IoT naar internet. Je ziet niet vaak dat IoT devices in je netwerk andere lan devices aanvallen, je ziet wel vaak dat compromised IoT devices misbruik van je internet verbinding maken. Dat laatste zou ik beveiligen

Bedankt, ik zal de netgear meenemen in de beslissing voor de managed switch. Goede tip mbt het filteren, die kijk ik nog even na.

-En4Cer- schreef op dinsdag 18 januari 2022 @ 12:35:
[...]


Als je op elke verdieping meerdere vaste aansluitingen wil gebruiken voor bijv. console, computer, TV etc.
Je kunt dan uiteraard veel kabels trekken, maar vaak is er beperkte ruimte en dan is 1 kabel met een switch een prima optie.

Dit heeft inderdaad te maken met het feit dat er maar 1 kabel naar elke verdieping gaat en ik geen mogelijkheid heb een extra kabel te trekken.

SambalBij schreef op dinsdag 18 januari 2022 @ 12:40:
1) Hangt volledig van die switch af. Het is een niet ondersteund iets, dus dat kan per switch verschillen. Het kan bijvoorbeeld zijn dat die switch frames gaat droppen wanneer die te groot zijn. Een VLAN tag voegt 4 extra bytes toe aan het frame. Is dat frame de max grootte van 1500 bytes, dan wordt dat met de tag 1504 bytes. Dan hangt het van de switch af wat ie daar mee doet, gewoon doorsturen ondanks groter dan de MTU, frame droppen, firmware crashen... who knows...?

2) Zolang er ondersteuning is voor dot1q VLAN tagging, ja.

3) Mogelijk moet een van je VLAN untagged naar de AP's, binnen hetzelfde VLAN als waar je Unifi controller zit. Extra (gast, IoT) SSID's geeft je dan een VLAN nummer mee.

Thanks, zal ik zeker even controleren.

donny007 schreef op dinsdag 18 januari 2022 @ 12:41:
Vraag1: Het is niet altijd vanzelfsprekend dat een unmanaged switch de VLAN-tags intact laat. Een managed switch kost tegenwoordig geen kont meer, en geeft je meer flexibiliteit voor de toekomst.

Vraag 2: Ja, ik heb jaren lang de TP-Link TL-SG108E-serie switches gebruikt; werken prima.

Vraag 3: Inderdaad, houdt er wel rekening mee dat de Unifi access points standaard over het "native/untagged" VLAN communiceren met de controller. Data van clients gaat over de "tagged" VLANs.

Vraag 4: Niet alle IOT apparaten vinden het leuk om in een ander netwerk te zitten dan de clients waarmee ze worden bediend, vaak moet je iets als mDNS forwarding configureren zodat de apparaten elkaar weer kunnen vinden. Dit brengt wat extra configuratie- en debugwerk met zich mee.

Toevoeging: vergeet ook niet om firewallregels tussen de netwerken onderling in te richten, anders kan alles alsnog met alles communiceren. Ook dit brengt een stukje beheer & onderhoud met zich mee.

Bedankt voor de tips. Ik zal de IoT apparaten een voor een testen en kijken of ze het doen. De firewall regels had ik inderdaad al op mijn lijstje staan

Bedankt iedereen voor de tips!

Dacuuu schreef op dinsdag 18 januari 2022 @ 13:36:
Ik draai hier opnsense - TL-SG1016DE - TL-SG105PE en 3 ubiquiti access points.


Werkt als een zonnetje.

Perfect. Bedankt voor de bevestiging!