Förklara VLAN

Vad det används mest till är väl egentligen, säg att du har ett kontor i Stockholm och ett i Göteborg.
Kör VLAN och så att det inte blir som att båda kontoren delar på ett lokalt nätverk.
Edit: ^ så att det inte*

Du har inte samma IP-range på olika VLAN. Men ja det är så det fungerar. Olika VLAN för olika subnät och de når inte varandra. Beroende på vad du sätter för brandväggsregler då såklart.

Som sagt, svar ja. Men använd helst inte VLAN 1 då det brukar vara otaggad trafik, det kan innebära att det inte fungerar som du tänkt dig och att saker kommer in på fel VLAn, framförallt när det rör sig om flera switchar. Välj VLAN 2,3,4,5 istället om möjligt, låt VLAN 1 vara oanvänt.

Nej. Jag menar att du kan få fiber draget direkt från ISPn och att dom fixar VLAN mellan olika kontor.

Det är inte riktigt VLAN som används av ISPn då, men ja, de kan göra så att du kan få flera VLAN över en (fiber) förbindelse - genom deras nät (där en form av VPN ofta används)

Inte riktigt. Man har i stort sett alltid ett unikt ip-nät per vlan, så i ditt fall skulle du 4 olika ip-nät. Men ska dessa 4 vlan vara helt isolerade från varandra (ingen routing i mellan dvs) så kan du använda samma överlappande nät på alla 4 vlan.

Man kan också köra flera VLAN på samma port. Då kallas det trunking. Används för att skicka över flera olika nätverk över samma kabel så att säga, t.ex. för anslutning av en router eller för anslutningar mellan olika switchar.

https://www.thomas-krenn.com/en/wiki/VLAN_Basics

Det stämmer. Brukar kallas "svart fiber" men egentligen är det inte en direkt fiber över större avstånd men kontoren tror det.

Men även inom samma kontor finns det skäl att ha VLAN. Det skapar färre krockar och broadcast anrop. Lägga WiFi på ett VLAN, servrar på ett, printrar på ett, osv. (WiFi kan styras från huvudkontoret och ligga på samma eller olika VLAN ute bland satelitkontoren via svartfiber)

I TS fall så rekommenderar jag fullt i att köra VLAN hemma men kör även olika nät, det går med samma nät men du tappar lite av idén. En varning: Du kommer lära dig saker.

@VooDoo: Förutom IP biten så stämmer det, det går inte att ha samma IP nät på olika VLAN, men ja du segmenterar switchen i subnät helt enkelt. Det behöver inte heller vara lika stora nät, du kan ha 6 portar på en, 8 på en annan och 4 på en tredje.
@Lodisen: Det är MPLS du tänker på.

Edit:
@Celebmir: Du behöver inte köra VLAN för att ha svartfiber mellan två kontor.
Vad menar du med att det går att köra samma subnät på olika VLAN? Nu jobbar jag bara med Cisco så är nyfiken, fungerar det verkligen med andra tillverkares prylar? Låter konstigt i mina öron

En svartfiber är bara en icke ljussatt fiber (du kan använda den i ditt egna våglängdssystem tex), finns egentligen ingen begränsning på vilken längd man vill köpa då man kan seriepatcha fiber som går mellan städer utan det är utrustningen du kopplar in i ändarna och på vägen som sätter gränsen. Operatörerna säljer även våglängder på korta och långa avstånd där du endast behöver ha ljus nog för att ta dig till avlämningen (så 10km optik räcker, du kan inte köra ditt eget våglängdssystem med detta). Det du pratade om är dock en VPN tjänst som realiseras i operatörens nät (dvs i deras aktiva utrustning, en svartfiber har ingen aktiv utrustning), ofta med MPLS men QinQ är vanligt i metro.

Varför går det inte å ha samma IP-subnät på olika VLAN? Jag trodde VLAN var layer-2? Så länge du inte ska routa trafik emellan näten så borde det gå bra...

Vlan delar upp switchen i olika broadcast domäner (simplifierat), hur ska en klient i vlan1 prata med en i vlan2 om de inte kan skicka broadcasts till varandra?

Yes. Jag var otydlig. Du har rätt i det. ISPn kan hjälpa till med VLAN-konfigurerationerna så man INTE får samma nätverk på de olika kontoren.
Så som jag förstått det i alla fall.

Detta är ett VPN, Virtual Private Network. Du gör en tunnel genom ett öppet internet (tex) och sen har nätverksförbindelse mellan dessa två öppningarna i tunneln. Ingen kan se din trafik mellan och du kan bara ha 2 "ändar". Kryptering används och säkerhet finns även mot avlyssning.

Skillnaden med VLAN är att VLAN inte är en tunnel, utan som en grendosa där du kan koppla trafik mellan flera olika punkter. Där finns bara "bortkopplad" säkerhet, och kan du lyssna på trafiken, kan du höra all info. Detta ska mao inte användas på internet mellan 2 städer

Du kan dock köra VLAN i en VPN tunnel

@VooDoo
För att VLAN ska fungera måste samtliga punkter stöda det (för att göra det bra iaf). Du kan använda VLAN på en switch till att dela upp den till flera mindre nätverk, där varje nätverk är oberoende av varandra, men det är då billigare att bara köpa några mindre switchar.

Om du dock kombinerar VLAN i olika punkter, så får man en funktion som inte du kan med separata switchar.

Så tänk dig tex 3 VLAN i 3 Switchar.
I den ena så har du 3 helt oberoende nätverk, som bara går mellan varandra. Sen kan du ta en port, där alla 3 går samman till en kabel, men fortfarande är "separata". Dessa går sen in i en annan Switch, där du separerar dem igen. Och du kan välja precis hur de ska grena sig. Kanske 2 av dessa VLANen kan gå mellan swich till Switch, men inte det 3:e. Då får du 4 separata nätverk, då det 3:e blir en oberoende i vardera switch.

Det bör fungera. Du kombinerar dem då i pfsense-burken och kan där tex ge internet access, men de kan inte se varandra, även om du bara har en nätverkskabel mellan den och Switchen. (och ska ena inte ha internet access så kan du låsa den redan vid switchen så VLANet inte ens når routern.)

Tänk på som andra tidigare sagt... VLAN 1 är ofta management, så lägg inte dina vanliga VLAN där.

Yep, det ska gå.

Men du måste som sagt har VLAN hanterbara enheter på båda sidor. De blir ju 3 separata nätverk, som inte ser varandra, även om den är i en kabel. Och båda sidorna måste kunna tolka det. Du kan också sätta en tredje switch sen efter, där alla (eller bara 2 tex) VLAN går och kan grenas ut också.

Sen kan du i huset välja en eller flera portar i switchen, som ska ha access det VLAN du väljer. Så TVn tex kommer inte se telefonens nät, och telefonen ser inte din porr surfning (inte för jag tror det är något problem.)

Tänk på en sak dock... att bandbredden blir ju vad den kabeln mellan klarar, som alla 3 "delar på". Och pga telefonen är extremt beroende på hur svastider påverkas, så bör du ha QoS/Prio på det VLANets trafik (finns inte i alla switchar), för att få så bra kvalité som möjligt. Det är ofta rätt liten mängd trafik, men om TV + LAN äter upp all bandbredd så blir det ett problem.

Om du överdimensionerar linan mellan dessa två dock, så bör det inte vara något problem, alt kör telefonen i en separat kabel.

Ja men om syftet var att svara på trådskaparens fråga:
"Och då blir dom "oberoende" av varann dvs en kontakt som sitter i vlan1 och en som sitter i vlan2 kan inte komunicera med varann även fast dom har samma interna ip-range?"

så antar jag att syftet var att man just inte skulle kunna skicka broadcasts till varandra.

@997a: Med "där en form av VPN ofta används" syftar jag T.ex på MPLS.

Vad försöker du säga?

Helt korrekt uppfattat. Fast normalt sett har man olika IP-nät så att man kan addera en router eller brandvägg så att vlanen kan kommunicera. Men som du säger kan du ha samma IP-nät i alla vlan om man vill låta dem förbli separerade

Du kör inte MPLS själv, det gör operatören. Detta för att hålla isär operatörens kunder som vill ha t.ex. L2/L3 anslutningar som går mellan kundernas siter. Kunden kan alltså se en L2 anslutning till en av deras andra siter (eller alla), antar att det är vad du försöker säga.

Det ser mer ut som: Kund CPE site A - Operatörs PE - P - P - P - Operatörs PE - Kund CPE site B. (P=Corenät)

"dvs ingen utrustning imellan" som du säger går inte riktigt. Ovanligt att köra CAT5/6 över 100m, annars är det optik och det kommer garanterat att vara enheter mellan.

(Jag försökte initialt förklara att det inte är VLAN som en operatör använder för att kunden ska få VLAN mellan sina siter, som du skrev från början.)

@zeleni: (y)