UBNT switch + mikrotik router vlan vraag

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
devastator
Elite Poster
Elite Poster
Berichten: 1297
Lid geworden op: 01 nov 2005, 10:53
Locatie: Pelt
Uitgedeelde bedankjes: 32 keer
Bedankt: 63 keer

Hoi,

Mijn netwerk ziet er als volgt uit:
- Proximus BBOX
- Mikrotik RB3011UiAS-RM router
- UBNT edgeswitch

Plaatje:
schema.png
Graag had ik een aantal VLAN's geconfigureerd:
- Proximus TV
- Cameras
- IOT

Communicatie van de VLAN naar de LAN is niet toegestaan, andersom wel. Waar kan ik het best de VLAN''s configureren? Op de router of op de switch ?

Alvast bedankt !
Deva
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5491
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 5 keer

Beide. Ik neem aan dat het gros van uw toestellen aan de switch zullen hangen en dus daar een VLAN toegewezen zullen krijgen.
Om te voorkomen dat de ene (V)LAN niet aan de andere kan of juist wel (en hoe, eventueel met beperkingen) zal je in je router de routing moeten voorzien, evenals firewall tussen (V)LANs. Die router zal je routerboard zijn waardoor die de VLANs dus ook zal moeten kennen (als interfaces).
devastator
Elite Poster
Elite Poster
Berichten: 1297
Lid geworden op: 01 nov 2005, 10:53
Locatie: Pelt
Uitgedeelde bedankjes: 32 keer
Bedankt: 63 keer

Ik zou hier nu mee aan de slag willen ... maar ik heb precies toch wat hulp nodig :-)
Iemand misschien een goede link om me in te lezen ?

Ik heb dus een aantal VLAN's nodig (elk met eigen DHCP server)
- Camera
- IOT
(- Proximus TV - zonder DHCP)

Het is mij even onduidelijk of ik ook een aparte vlan moet maken voor mijn "normaal" netwerk (of is dat dan automatisch VLAN-1 ?).
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

devastator schreef:Het is mij even onduidelijk of ik ook een aparte vlan moet maken voor mijn "normaal" netwerk (of is dat dan automatisch VLAN-1 ?).
Het meest duidelijke/nette is dat je voor je eigen LAN ook gewoon een VLAN aanmaakt... op je switch ga je die toch untaggen (net zoals bij de andere VLAN's) tenzij het een trunk poort is (bv. tussen router en switch, of naar devices die wel VLAN support hebben). In VLAN-1 zitten normaal de management interfaces... dan kan je die ook apart houden (veiliger).
devastator
Elite Poster
Elite Poster
Berichten: 1297
Lid geworden op: 01 nov 2005, 10:53
Locatie: Pelt
Uitgedeelde bedankjes: 32 keer
Bedankt: 63 keer

Thanks voor je antwoord !

Om het even concreter te maken:
- de router heeft nu 192.168.0.1
- de switch heeft nu 192.168.0.2

Zouden dit dan de IP's zijn op VLAN-1, of hoe moet ik dat precies zien.

Zoals je merkt ben ik nog een leek wat betreft VLAN's :oops:
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Dat kies je bij goeie apparatuur zelf.

Vlans zijn gewoon een tag die je op het pakketje meestuurt, waardoor de router/switch weet welk pakketje hij op welke poort mag versturen.
Zo creeer je dus virtuele LANs, of VLANs.

Standaard VLAN capable apparatuur gaat de mgmt interface altijd op VLAN1 zetten.
Je hebt dus bij VLAN apparatuur ALTIJD minstens 1 VLAN, normaal gezien VLAN1.
Maar zolang je niks gaat trunken (meerdere VLANs combineren op 1 lijn) zijn VLANs transparant voor de toestellen die erop aangesloten zijn.
Het is pas bij dingen als trunken dat de switch/router de VLAN tag gaat toevoegen zodat het toestel aan de andere kant weet welk pakketje tot welke VLAN behoort.

Het is alweer effe geleden bij mij, maar zo werkt het in essentie iirc.

Je gaat de VLANs zoiezo op alle toestellen moeten definieren waar je meer dan 1 VLAN op wilt hebben, want dan ga je trunk poorten moeten aanmaken.
Tenzij je een layer-3 switch hebt, ga je zoiezo je router moeten gebruiken om je VLAN traffic te routen, want anders zit je met maar 1 VLAN die op internet kan, de rest is dan geisoleerd.
Het is ook best om die routing door de router te laten gebeuren, L3 switches die VLANs routen doen dat best enkel voor bepaalde dingen, want ze zijn daar niet op voorzien (het blijven switchen) en dat gaat dus best traag.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

devastator schreef:Zouden dit dan de IP's zijn op VLAN-1, of hoe moet ik dat precies zien.
VLAN-1 is eigenlijk de default VLAN (en is dus niet getagged)... standaard zit daar je management interface in maar ook alle poorten moest je verder niets van VLAN's configureren.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Geen enkele VLAN is getagged op een untagged port; enkel bij trunking ga je VLANs taggen.
Je verwart mogelijk default VLAN met native VLAN?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

M'n verwoording was inderdaad fout... ik bedoelde de native VLAN.
Plaats reactie

Terug naar “Netwerken en Security”