» »

VLAN osnove

VLAN osnove

slovencl ::

Berem o Virtual LAN switchih, ampak ne razumem najbolj sistema. Ni mi jasno, kdo doda VLAN tag v ethernet paket. Ali to naredi switch?
Potem če hočem z VLAN med sabo povezat dva računalnika, moram imeti dva VLAN switcha - prvega, ki doda VLAN tag, in potem drugega, ki VLAN tag odvzame in ga potem posreduje drugem računalniku?
  • spremenil: slovencl ()

bm1973 ::

VLAN je tehnologija ISO nivoja 2.

Ja, VLAN tag doda switch.

VLAN je na niovoju portov, ne na nivoju računalnikov. VLANe se nastavlja na portih switchov. Računalnika VLAN ne briga.

VLAN ti omogoča, da nimaš več switchew za računalnike, ki nočeš da se vidijo med seboj, ampak samo enega, ki ga ustrezno nastaviš.

Če hočeš, da se naprave iz različnih VLANov vidijo med seboj, to urediš na ISO nivoju 3. Vsakemu VLANu dodeliš IP subnet in urediš routing med njimi.

Poldi112 ::

Oziroma malo bolj po kmečko - VLAN-i so efektivo virtualizacija omrežja, da imaš na enem fizičnem switchu več virtualnih switchev. Switch interno doda (ter na koncu, ko promet pride do cilja, odstrani) VLAN tag, da ve, kateremu VLAN-u pripada promet.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

tony1 ::

O osnovah omrežij je nekje 25 let nazaj bil na S-T članek (ko so bili ti še popularni tle), mislim, da ga je napisal jype...

slovencl ::

A potem mora tudi router to podpirat, če hočem dva VLAN omrežja ločeno povezat na isti router/internet, oz. moral bi imet dva ip-ja da bi imel dva default gatewaya?

Mogoče sem se narobe lotil - rad bi ločil eno omrežje, ki bi imelo dostop samo do interneta. A lahko mogoče samo dodam še en router, ki bi ga omejil, da lahko komuniciral samo s prvim, se pravi samo default gateway, ne pa z ostalimi IP-ji v mreži?

Poldi112 ::

Lotil si se povsem pravilno, in ja, router mora podpirati VLAN-e.

Lahko pa seveda čaraš tudi z 2 routerjema, samo je precej manj elegantno.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

slovencl ::

Edin problem je, da to pomeni novo in dražjo opremo.

Kaj pa če bi dodal samo še en router in mu na netmasku omejil domet samo na par IPjev. Tako ne bi mogel dostopat do ostalih.
Če dam npr WAN portu IP: 192.168.1.1, Netmask: 255.255.255.254, Gateway: 192.168.1.0 bi to moralo delat?

Zgodovina sprememb…

  • spremenil: slovencl ()

Poldi112 ::

Pa ti bo obstoječ router znal upravljati z obema omrežjima?

Tvoj netmask nima smisla, ker bi imel v tem primeru zgolj 2 IP-ja, in ker dva IP-ja rabiš za network in broadcast naslov, ti za hoste ne ostane več noben IP. Raje ostani pri /24 (255.255.255.0).

Oprema drugače ni draga. Gigabit Mikrotik ali Ubiquity router te pride okoli 60 eur, verjento pa se najde tudi kaj še cenjšega.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

bm1973 ::

Zakaj sploh rabiš VLANe?

Ker se mi zdi, da ti ni ravno jasno...

Zgodovina sprememb…

  • spremenilo: bm1973 ()

Legon ::

slovencl je izjavil:

Edin problem je, da to pomeni novo in dražjo opremo.

Kaj pa če bi dodal samo še en router in mu na netmasku omejil domet samo na par IPjev. Tako ne bi mogel dostopat do ostalih.
Če dam npr WAN portu IP: 192.168.1.1, Netmask: 255.255.255.254, Gateway: 192.168.1.0 bi to moralo delat?


Kaj bi sploh rad naredil? Ker to kar opisuješ naredi že osnoven port isolation, pač en izhod na routerju omejiš, da ne more komunicirat z ostalimi.

Problem je v temu, da niti ne vemo kak router imaš in kaj ti omogoča.

Glede na na hitro povezano je VLAN totalen overkill za to kar opisuješ.

Osnove VLAN segajo v poslovno okolje, kjer želiš na eni fizični infrastrukturi vporedno peljat več subnetov, ki so vsak v svojem svetu oziroma jim diktiraš povezljivost kakor če bi imel več fizičnih omrežji. Čisto po kmečko. VLAN bi uporabil, če imaš 10 stanovalcev v bloku, ki so na skupni infrastrukturi in bi rad da samo 2 in 3 komunicirata med sabo, 7,8 in 9 imajo skupen printer, 10 pa je tako zatežen, da niti na internet ne sme.

Tako, da daj najprej razloži kaj točno želis doseč. Če hočeš da ima en port izhod na internet brez dostopa do interneta potem kot rečeno preveri če imeš port isolation. Če bi rad da samo par v narpej definiranih IPjev ne more šarit po lokalni mreži lahko to urediš z požarnim zidom.

Pogosto tudi enostavnejši routerji, ki samo na pol obvaladajo VLAN ponujajo možnost Guest omrežja. Ki je v bistvu hardcoded sekundarni VLAN.

slovencl ::

Lahko da mi ni jasno. Po hiši montiram centralni nadzorni sistem (termostat + ostale shelly naprave). To bi rad ločil od uporabnika, da mi ne šari po nastavitvah.
Najprej sem mislil da bi imel VLAN, da bosta ločeni omrežji.
Druga opcija, ki sem jo potem videl je router, ki ima omejen domet IPjev na WAN portu. @Poldi: to bi obstoječ router reševal kot vsi ostali - preko NAT.

Zgodovina sprememb…

  • spremenil: slovencl ()

bm1973 ::

To, kar bi ti rad naredil, reši en kompliciran password...

Legon ::

ja, ločeno VLAN za IOT je vsekakor smiselna zadeva, to je čisto legitimen use case za VLAN.

Ampak najprej preveri kaj tvoj router sploh zmore. Ker ne rabiš blazno naprednih funkcij, v bistvu samo Guest omrežje, da ti IOT ne šari po glavnem. Guest omrežje pa je nekaj kar ponujajo številni tudi poveni routerji.

bm1973 je izjavil:

To, kar bi ti rad naredil, reši en kompliciran password...


O čem si pa ti prišel bluzit? Kako z kompliciranim passwordom ločiš IOT naprave od ostalega omrežja oziroma omejiš posameznemu uporabniku dostop?

Zgodovina sprememb…

  • spremenilo: Legon ()

slovencl ::

Ampak kaj je narobe s to mojo konfiguracijo na wan portu IP: 192.168.1.1, Netmask: 255.255.255.254, Gateway: 192.168.1.0
A ni res, da v tem primeru lahko ta router dostopa samo do Gatewaya - točno to kar hočem.
Ostale naprave za centralni nadzorni sistem bi bile na višjih IPjih: 192.168.1.100

Zgodovina sprememb…

  • spremenil: slovencl ()

Legon ::

Že to da verižiš dva routerja in posledično NAT za NAT je precej neoptimalen pristop. In kot je Poldi opozoril, kak IP bo pa dobil uprabnik, ki se poveže na sekundaren router? In kako bo to ločilo routing znotraj subneta? Kot rečeno, rešitev ki bodo na koncu dale željen rezultat je več. Vprašanje je kaj bo delalo najbolj zanesljivo, z najmanj komplikacijami in na opremi, ki jo imaš. Če imaš to doma, pač probaj in poročaj o uspehu.

V vakumu pa kot rečeno bi bila najbolj elegantna rešitev router ki podpira guest omrežje. Potem lahko na ločeni omrežji povežeš IOT in na drugo uporabnike, ki ne smejo šarit po IOT in obratno.

Zgodovina sprememb…

  • spremenilo: Legon ()

bm1973 ::

Legon je izjavil:


O čem si pa ti prišel bluzit? Kako z kompliciranim passwordom ločiš IOT naprave od ostalega omrežja oziroma omejiš posameznemu uporabniku dostop?

To bi rad ločil od uporabnika, da mi ne šari po nastavitvah.


Njegove besede...

Drugače pa ultra komplicirate... Za doma tega ne rabiš...

Razen, če se hočeš igrat...

Zgodovina sprememb…

  • spremenilo: bm1973 ()

Legon ::

bm1973 je izjavil:

Legon je izjavil:


O čem si pa ti prišel bluzit? Kako z kompliciranim passwordom ločiš IOT naprave od ostalega omrežja oziroma omejiš posameznemu uporabniku dostop?

To bi rad ločil od uporabnika, da mi ne šari po nastavitvah.


Njegove besede...


oprosti, sem pozabil, da nimaš dometa, da bi sledil celi temi in temu kaj OP dejansko sprašuje.

bm1973 ::

Plus, slovenceljnu niso v osnove jasne osnove IP omrežja...

Tebi pa tudi ne...

Poldi112 ::

slovencl je izjavil:

Ampak kaj je narobe s to mojo konfiguracijo na wan portu IP: 192.168.1.1, Netmask: 255.255.255.254, Gateway: 192.168.1.0


Za začetek porabi network calculator, recimo:
https://www.calculator.net/ip-subnet-ca...

in potem prilepi link do svojih želenih nastavitve sem. Ker kot predhodno omenjeno, netmask 255.255.255.254 vsebuje zgolj 2 IP naslova, in je kot tak neuporaben za komunikacijo, saj v vsakem subnetu 1. IP naslov definira omrežje, zadnji IP naslov pa je broadcast. Kar pomeni, da nimaš več nobenega IP-ja, rabiš pa minimalno še 2 - enega za router in enega za napravo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

slovencl ::

Rad bi oddajal eno sobo. Potem to rabim - ne more mi en šarit po bajti...
@bm daj razloži

Legon ::

bm1973 je izjavil:

Plus, slovenceljnu niso v osnove jasne osnove IP omrežja...

Tebi pa tudi ne...


Zakaj pa jih rabi? Saj daš samo en stong password pa se mora vse samo porithat.

slovencl je izjavil:

Rad bi oddajal eno sobo. Potem to rabim - ne more mi en šarit po bajti...
@bm daj razloži


Še enkrat: Najbolj enostaveno boš zadevo rešil z routerjem, ki ima ločen guest network (oziroma podpira več SSID). Še posebej ker je verjetno dovolj, da ima najemnik ločen WIFI. Vse ostalo, bo glede na napisano, bistveno bolj komplicirano in boš porabil ogromno časa.

bm še v življenju ni nič razložil, ker ne zmore sledit več kot trem postom zapored.

Zgodovina sprememb…

  • spremenilo: Legon ()

slovencl ::

Poldi112 je izjavil:

slovencl je izjavil:

Ampak kaj je narobe s to mojo konfiguracijo na wan portu IP: 192.168.1.1, Netmask: 255.255.255.254, Gateway: 192.168.1.0


Za začetek porabi network calculator, recimo:
https://www.calculator.net/ip-subnet-ca...

in potem prilepi link do svojih želenih nastavitve sem. Ker kot predhodno omenjeno, netmask 255.255.255.254 vsebuje zgolj 2 IP naslova, in je kot tak neuporaben za komunikacijo, saj v vsakem subnetu 1. IP naslov definira omrežje, zadnji IP naslov pa je broadcast. Kar pomeni, da nimaš več nobenega IP-ja, rabiš pa minimalno še 2 - enega za router in enega za napravo.


OK, nisem vedel, da zahteva tudi broadcast. Se pravi bi dal: IP: 192.168.1.1, Netmask: 255.255.255.252, Gateway: 192.168.1.0

P Address: 192.168.0.0
Network Address: 192.168.0.0
Usable Host IP Range: 192.168.0.1 - 192.168.0.2
Broadcast Address: 192.168.0.3
Total Number of Hosts: 4

Vse ostalo v "privatnem" LANu bi bilo na všjih IPjih, npr 192.168.1.100-200


---------------------
Za krmiljenje shelly naprav pošlješ npr. samo http://192.168.0.100/rpc/Switch.Set?id=...
Nobenih gesel ne rabiš.

Zgodovina sprememb…

  • spremenil: slovencl ()

bm1973 ::

slovencl je izjavil:

Rad bi oddajal eno sobo. Potem to rabim - ne more mi en šarit po bajti...
@bm daj razloži

https://learningnetwork.cisco.com/s/art...

Drugače pa guglaj

slovencl je izjavil:

Rad bi oddajal eno sobo. Potem to rabim - ne more mi en šarit po bajti...
@bm daj razloži

Najlažje bo, če mu kar en poceni WALN routerček za 15 EUR daš.

Kupi na Bolhi...

Zgodovina sprememb…

  • spremenilo: bm1973 ()

Legon ::

bm1973 je izjavil:

To, kar bi ti rad naredil, reši en kompliciran password...

bemfa ::

Guest network za gosta, problem solved.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domače omrežje - linija in wireless

Oddelek: Omrežja in internet		355066 (4545) amigo_no1
»

ubuntu + network sharing

Oddelek: Pomoč in nasveti		221452 (1316) NeMeTko
»

Linux router

Oddelek: Operacijski sistemi		101710 (1170) residual
»

Linksy wrt54gl in optični modem prospero

Oddelek: Omrežja in internet		83469 (3296) Domini
»

Nekaj teorije o IP naslovu in Subnet Mask

Oddelek: Operacijski sistemi		216477 (5883) jype

Več podobnih tem