Trädvy Permalänk
Medlem
Registrerad
Jan 2009

VLAN dela upp nätverk

Tänkte blocka all LAN trafik från och till en dator (dvs mellan den och resten av datorerna i nätverket). Ett sätt är att lägga den på ett separat VLAN, men det var lättare sagt än gjort.

Oförändrat när jag endast har en dator kopplad till port 4, borde inte den datorn dessutom få en ip-address som börjar på 192.168.2.x istället för 1?

Trädvy Permalänk
Moderator
Registrerad
Aug 2007

Kan datorn alls komma ut på nätet. Det ser ut som att den bara får kommunicera med sig själv.

VLAN 2 i Netgear switchen bör ha tillgång till port 4 plus din uplink port. Uplink porten bör dessutom inte vara Untaged, för säger du Untaged så kommer inte VLAN id't att synas från din Cisco.

På Ciscon borde du göra samma config för din uplink port samt sätta upp två DHCP-servrar för dina båda nät om du vill ha den funktionen. Men det tror jag iofs inte behövs egentligen.

Använd gilla för att markera nyttiga inlägg!

Trädvy Permalänk
Medlem
Registrerad
Mar 2012

Kör du vlan trunk mellan switch och router?

Hur ser konfen ut i routern? Har du två LAN-interface och trunk mot switchen?

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Du måste ha trunk eller vlan2 passing på länk mellan switch och router annars droppas trafiken. Sedan så har du inter vlan routing igång vilket betyder att de kommer nå varann inom lan i vilket fall som helst bara att det routas via IP.

Trädvy Permalänk
Medlem
Registrerad
Jan 2009
Skrivet av madtop:

Kör du vlan trunk mellan switch och router?

Hur ser konfen ut i routern? Har du två LAN-interface och trunk mot switchen?

Skrivet av giplet:

VLAN 2 i Netgear switchen bör ha tillgång till port 4 plus din uplink port. Uplink porten bör dessutom inte vara Untaged, för säger du Untaged så kommer inte VLAN id't att synas från din Cisco.

På Ciscon borde du göra samma config för din uplink port samt sätta upp två DHCP-servrar för dina båda nät om du vill ha den funktionen. Men det tror jag iofs inte behövs egentligen.

När jag kör direkt mot en dator så verkar det funka som jag vill när jag kör
port 4
1 - taged
2 - untaged
Låter det korrekt?

Det jag inte förstår är hur jag ska göra detta mot switchen då jag endast har en kabel dragen till den.
Är inte port 4 min uplink port för switchen?

Trädvy Permalänk
Moderator
Registrerad
Aug 2007
Skrivet av spel565:

När jag kör direkt mot en dator så verkar det funka som jag vill när jag kör
port 4
1 - taged
2 - untaged
Låter det korrekt?

Det jag inte förstår är hur jag ska göra detta mot switchen då jag endast har en kabel dragen till den.
Är inte port 4 min uplink port för switchen?

Du skriver att du har en dator kopplad till port 4, så då är den inte uplink. Uplink är den port som är kopplad till din Cisco.

Vill du ha mer hjälp så får du ge mer detaljer om vilka portar du har kopplat saker i. Och sedan kommer du även att behöva konfigurera Ciscon till att hantera flera VLAN samt routing biten som du också fått tips om innan.

Det är nog lika bra att sätta sig och läsa på om VLAN osv. För jag gissar att du kommer att behöva underhålla denna lösningen i framtiden också. Kanske lika bra att försöka fatta vad man håller på med.

Använd gilla för att markera nyttiga inlägg!

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002

Jag måste bara fråga....

Men anledningen är att du vill att den "bortkopplade" datorn / VLAN -punkten bara skall få komma åt Internet?

.. Annars kan man ju bara dra ut ETH-kabeln

Citera eller Svara för respons! •
Pixel Artist - Öppen för offerter på custom-work! PM'a mig. •

Trädvy Permalänk
Medlem
Plats
Kristinehamn
Registrerad
Aug 2014
Skrivet av giplet:

Du skriver att du har en dator kopplad till port 4, så då är den inte uplink. Uplink är den port som är kopplad till din Cisco.

Vill du ha mer hjälp så får du ge mer detaljer om vilka portar du har kopplat saker i. Och sedan kommer du även att behöva konfigurera Ciscon till att hantera flera VLAN samt routing biten som du också fått tips om innan.

Det är nog lika bra att sätta sig och läsa på om VLAN osv. För jag gissar att du kommer att behöva underhålla denna lösningen i framtiden också. Kanske lika bra att försöka fatta vad man håller på med.

Har du förslag på bra litteratur att läsa om VLAN? Har själv försökt läsa om det på Wikipedia och div. hemsidor men har fortfarande inte förstått till 100% hur VLAN faktiskt fungerar.

Kör Linux - Yes! We are the 2 percent! And growing... Föreslå inte ens något Windows-exklusivt om jag inte specifikt frågar efter något till Win.
2600K - 18GB RAM - 1TB HDD - 64GB SSD - GTX 650 Ti Boost
Minnesvärda trådar: 1, 2

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Feb 2004

https://www.youtube.com/watch?v=fRuBHSf3Hac Kan vara en start, beroende på nivå. Genom VLANs taggas (12bits) paketen i switchen. Vi delar även in nätet i mindre delar för att stoppa tex broadcast eller öka säkerheten i nätverket. Dot1q stoppar in vlan informationen i framen när data kommer in, för att sedan tas bort när den lämnar en access port. - På det sättet vet switchen till vilket VLAN datan tillhör. För att kunna skicka data mellan två VLANs behövs routing.

| Intel i7-2600k @ 4,8Ghz Offset +0.065 (1.448v) | Thermalright Silver Arrow | Asus P8P67 Pro 1155 | Corsair XMS3 8GB @ 1333Mhz | Nvidia GTX 670 (1202/3330Mhz) | Samsung SSD Basic 840-Series 250GB | Eizo Foris FS2331 | Corsair Obsidian 750D | FSP Aurum 550W 80+ Gold | Qpad 5k | AKG K 242 HD |

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Tommybellan:

https://www.youtube.com/watch?v=fRuBHSf3Hac Kan vara en start, beroende på nivå. Genom VLANs taggas (12bits) paketen i switchen. Vi delar även in nätet i mindre delar för att stoppa tex broadcast eller öka säkerheten i nätverket. Dot1q stoppar in vlan informationen i framen när data kommer in, för att sedan tas bort när den lämnar en access port. - På det sättet vet switchen till vilket VLAN datan tillhör. För att kunna skicka data mellan två VLANs behövs routing.

Om man ska vara kinkig så är Q-taggen 32 bitar varav VID (vlan-id) är 12 bitar.
http://en.wikipedia.org/wiki/IEEE_802.1Q

Och det är inte riktigt sant att det behövs routing.
Om det behövs routing eller inte avgörs av ip-nivån, ligger två hostar på samma ip-nät så kommer ingen routing att ske.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av madtop:

Och det är inte riktigt sant att det behövs routing.
Om det behövs routing eller inte avgörs av ip-nivån, ligger två hostar på samma ip-nät så kommer ingen routing att ske.

Man kan leka lite med arp entries med det är lite överkurs.

Sedan så beror det lite på hur man ser det för själva processen är layer-3 där inkommande trafik encapsuleras om och skickas ut på samma nät och troligtvis interface på routern, men det sker ändå en routing process. Och det är på så sätt du lurar vlan eftersom det verkar som det kommer utifrån och inte inom samma lan även om det är uppdelat i vlan.

Trädvy Permalänk
Medlem
Plats
Kristinehamn
Registrerad
Aug 2014
Skrivet av madtop:

Om man ska vara kinkig så är Q-taggen 32 bitar varav VID (vlan-id) är 12 bitar.
http://en.wikipedia.org/wiki/IEEE_802.1Q

Och det är inte riktigt sant att det behövs routing.
Om det behövs routing eller inte avgörs av ip-nivån, ligger två hostar på samma ip-nät så kommer ingen routing att ske.

Kollade lite på detta och fick lite mer insikt, dock mycket jag redan kände till.

Du nämner att man kan få bestämda VLAN att kommunicera med varandra utan att använda router. Hur är det man åstadkommer det?

En sak som jag funderar på är konceptet tagged/untagged. Untagged har jag förstått är en specifik ports VLANnummer så all trafik som kommer in på den får den portens VLAN. Inga konstigheter. Sedan finns det none och tagged där none används när man använder stamledningar (Trunk). Vad och hur används Tagged? Trodde detta var att den datorn hade möjlighet att kommunicera till/från de VLAN den var tagged för, men där gick jag bet. Jag har heller inte på annat sätt lyckats luska ut hur det fungerar så om någon kan förklara detta så vore det uppskattat.

Kör Linux - Yes! We are the 2 percent! And growing... Föreslå inte ens något Windows-exklusivt om jag inte specifikt frågar efter något till Win.
2600K - 18GB RAM - 1TB HDD - 64GB SSD - GTX 650 Ti Boost
Minnesvärda trådar: 1, 2

Trädvy Permalänk
Medlem
Plats
A.ROOT-SERVERS.NET
Registrerad
Jul 2001
Skrivet av Erwya:

Kollade lite på detta och fick lite mer insikt, dock mycket jag redan kände till.

Du nämner att man kan få bestämda VLAN att kommunicera med varandra utan att använda router. Hur är det man åstadkommer det?

En sak som jag funderar på är konceptet tagged/untagged. Untagged har jag förstått är en specifik ports VLANnummer så all trafik som kommer in på den får den portens VLAN. Inga konstigheter. Sedan finns det none och tagged där none används när man använder stamledningar (Trunk). Vad och hur används Tagged? Trodde detta var att den datorn hade möjlighet att kommunicera till/från de VLAN den var tagged för, men där gick jag bet. Jag har heller inte på annat sätt lyckats luska ut hur det fungerar så om någon kan förklara detta så vore det uppskattat.

Om du har tagged på en switchport ska du sätta samma VLAN ID på datorns nätverkskort, kolla i egenskaper på kortet om den grejar VLAN.

Medlem #14

CISSP, MCT,MCITP, MCSE+Security, MCSE+Messaging, Inet+, Network+,MCT, MCP,CNA, CCA, CCNA, A+

Trädvy Permalänk
Moderator
Registrerad
Aug 2007
Skrivet av Erwya:

Kollade lite på detta och fick lite mer insikt, dock mycket jag redan kände till.

Du nämner att man kan få bestämda VLAN att kommunicera med varandra utan att använda router. Hur är det man åstadkommer det?

En sak som jag funderar på är konceptet tagged/untagged. Untagged har jag förstått är en specifik ports VLANnummer så all trafik som kommer in på den får den portens VLAN. Inga konstigheter. Sedan finns det none och tagged där none används när man använder stamledningar (Trunk). Vad och hur används Tagged? Trodde detta var att den datorn hade möjlighet att kommunicera till/från de VLAN den var tagged för, men där gick jag bet. Jag har heller inte på annat sätt lyckats luska ut hur det fungerar så om någon kan förklara detta så vore det uppskattat.

Taged och Untaged talar helt enkelt om ifall utgående paket ska ha kvar VLAN-idt i paketet. Har man Untaged på så kommer VLANen att stanna inom switchen. Med Taged så finns det möjlighet för en annan switch att läsa av VLAN på inkommande paket och agera efter det.

Använd gilla för att markera nyttiga inlägg!

Trädvy Permalänk
Medlem
Plats
Kristinehamn
Registrerad
Aug 2014
Skrivet av JenzA:

Om du har tagged på en switchport ska du sätta samma VLAN ID på datorns nätverkskort, kolla i egenskaper på kortet om den grejar VLAN.

Ok, men hur fungerar VLAN i den situationen? Kommer paketen att få Tagged VLAN-ID eller Untagged VLAN-ID? Kommer systemet att kunna kommunicera med andra VLAN?

Kör Linux - Yes! We are the 2 percent! And growing... Föreslå inte ens något Windows-exklusivt om jag inte specifikt frågar efter något till Win.
2600K - 18GB RAM - 1TB HDD - 64GB SSD - GTX 650 Ti Boost
Minnesvärda trådar: 1, 2

Trädvy Permalänk
Medlem
Plats
Kristinehamn
Registrerad
Aug 2014
Skrivet av giplet:

Taged och Untaged talar helt enkelt om ifall utgående paket ska ha kvar VLAN-idt i paketet. Har man Untaged på så kommer VLANen att stanna inom switchen. Med Taged så finns det möjlighet för en annan switch att läsa av VLAN på inkommande paket och agera efter det.

Intressant. Så om två "smartswitchar" kör genom en gemensam stamledning så kommer den andra inte att vara varse om VLAN-IDt om porten är Untagged? Kommer paketet behålla sitt VLAN-ID om det finns en plan switch mellan dessa två "smartswitchar" och paketet är Tagged?

Kör Linux - Yes! We are the 2 percent! And growing... Föreslå inte ens något Windows-exklusivt om jag inte specifikt frågar efter något till Win.
2600K - 18GB RAM - 1TB HDD - 64GB SSD - GTX 650 Ti Boost
Minnesvärda trådar: 1, 2

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av VexedRelic:

Man kan leka lite med arp entries med det är lite överkurs.

Sedan så beror det lite på hur man ser det för själva processen är layer-3 där inkommande trafik encapsuleras om och skickas ut på samma nät och troligtvis interface på routern, men det sker ändå en routing process. Och det är på så sätt du lurar vlan eftersom det verkar som det kommer utifrån och inte inom samma lan även om det är uppdelat i vlan.

Nu är det överkurs men nej, du behöver inte routing för att skicka trafik mellan två vlan. I dess enklaste form fixar man det genom att helt sonika switcha ihop vlan:en, två "accessport" tillhörande olika vlan kopplas ihop i en vanlig switch. Dina två vlan kommer nu ha L2-konnektivitet, två hostar kan ARP:a varandra och skicka trafik via direkt via mac-adresser utan att passera en router.

Men hela resonemanget är lite lätt akademiskt. Att sätta upp olika vlan utan att samtidigt göra en L3-separation verkar vara lite knasigt. En massa jobb i onödan. Så håller man på med vlan så bör man även separera på L3-nivå.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Erwya:

Ok, men hur fungerar VLAN i den situationen? Kommer paketen att få Tagged VLAN-ID eller Untagged VLAN-ID? Kommer systemet att kunna kommunicera med andra VLAN?

Hur det fungerar är ganska så enkelt. En switch jämnfört med en hubb har bryggor mellan varje port, sedan så styrs det med en mac-address tabell så switchen vet vilken port som går till vilken mac-address. Detta är viktigt att veta för varje vlan har en egen mac-address tabell. Så varje frame som kommer in med en vlan2 tagg förs in i vlan2 tabellen.

Så om en vlan3 taggad frame kommer in på switchen så läser den bara vlan3 tabellen, det vet inte om vart det skall skickas vidare i de andra vlan'en och det är på så sätt du separerar. Och även på så sätt du kan leka lite med "överkurs" och lägga till statiska arp inlägg så vlan2 kan nå vlan3 t.ex

Så om du taggar i ditt nätkort så kommer det vara tagget så länge du inte använder vlan1 (native vlan) vilket som inte är taggat.

Sedan så finns det självklart mer... som t.ex Privata Vlan med isolerade portar, community portar och promiscious portar och även QinQ med dubbel taggade vlan(tror cisco kallar det vlan tunnling). Men det är ingenting jag tänker gå in specifikt på eftersom vi redan spårat ut lite och inte har något med original frågan från TS.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Dock finns det ingen som helst poäng i att köra tagged mot en dator. Pratar vi en server med VMware är det en helt annan sak för då kan man vilja ha in mer än ett VLAN mot den, men mot en dator är det tveksamt. Kanske om du kör VMware workstation, någon Hyper-V eller liknande, men annars känns det som sagt oerhört överkurs.

Förhoppningsvis har alla switchar en separat CAM-tabell (mac adress-lista) per VLAN, men jag har varit med om switchar som inte haft det vilket i extrema fall skapat stora problem.

Jag förstår inte hur statiska ARP-inlägg skulle göra att man kan få från ett VLAN till ett annat faktiskt.

Jag ska precis till att konfigurera så att VLAN200 på en switch skall bli VLAN 1200 på en annan switch, men det gör jag genom att på den första switchen sätta VLAN 200 untagged på en port och fysiskt koppla ihop den porten med en annan port som har vlan 1200 untagged. På så sätt "trollar" jag så att vlan 200 och 1200 blir samma. Det är dock väldigt ovanligt, men beror på att vi har flera kunder som använder VLAN 200 och därför måste jag ta in kund nummer två som vlan 1200 istället. På respektive sidor finns det många switchar och accesspunkter som har vlan 200 definerat, så det är tyvärr lite för jobbigt att göra rätt och byta 200 till 1200 över hela linjen.

Q-in-Q är ju kung:) Dock har det en tendens att bli rätt bökigt om man jobbar med sådana. Alla tillverkare är tyvärr inte lika bekväma med det som cisco utan många gånger får man "loopa" ut med en kabel för att plocka ut yttre tag. Suck.

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Maj 2008
Skrivet av madtop:

Nu är det överkurs men nej, du behöver inte routing för att skicka trafik mellan två vlan. I dess enklaste form fixar man det genom att helt sonika switcha ihop vlan:en, två "accessport" tillhörande olika vlan kopplas ihop i en vanlig switch. Dina två vlan kommer nu ha L2-konnektivitet, två hostar kan ARP:a varandra och skicka trafik via direkt via mac-adresser utan att passera en router.

Men hela resonemanget är lite lätt akademiskt. Att sätta upp olika vlan utan att samtidigt göra en L3-separation verkar vara lite knasigt. En massa jobb i onödan. Så håller man på med vlan så bör man även separera på L3-nivå.

Gör du detta kan du lika gärna skippa att definera VLAN överhuvudtaget då det inte fyller något som helst syfte.
Poängen med VLAN är layer 2 separation och kopplar du ihop två olika VLAN så har du inte längre någon separation. Då kan du lika gärna addressera med olika IP-nät på samma "VLAN" för att uppnå samma resultat.

Som någon annan påpekade så kan du inte alls ta dig mellan olika VLAN via statiska ARP entrys, vart skulle man lägga in dessa statiska entrys? på end-hostarna? Layer 2 separationen förhindrar trafiken oavsett så du kommer aldrig kunna skicka några ramar till dom mac addresserna även om du har ett ARP uppslag dit. För att ta sig mellan olika VLAN krävs routing - period.

Networking geek, #28735

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av thadizzy:

Som någon annan påpekade så kan du inte alls ta dig mellan olika VLAN via statiska ARP entrys, vart skulle man lägga in dessa statiska entrys? på end-hostarna? Layer 2 separationen förhindrar trafiken oavsett så du kommer aldrig kunna skicka några ramar till dom mac addresserna även om du har ett ARP uppslag dit. För att ta sig mellan olika VLAN krävs routing - period.

Du kan kalla det routing om du vill, men man lägger det i en L3 distributions switch och även definiera i vilket vlan denna entry skall existera, så om trafiken kommer in så läser den arp entry i den specifika vlan cam tabellen och skickar vidare.

Sedan så kan du alltid använda statiska cam entries, som du lägger till själv och på så sätt hoppa mellan vlan utan routing. Kanske värt att poängtera att detta skulle göras av nätverkstekniker/administratörer, det är ingenting man gör som hemanvändare mot sin ISP. Sedan så finns alltid vlan-hopping "attacker", men sådant borde inte fungera i moderna nätverk med säkerhets protokoll.

Det mesta går att göra om man har vilja och ork att lära sig, även om det kan anses vara avancerade "ful" lösningar och det ger dig även en inblick om du verkligen förstår nåt eller inte. Sedan vad Madtop skrev är en enklare ful lösning i ett praktiskt utförande, ja teoretiskt sätt så kommer trafiken skickas vidare i den lilla hem switchen och ej taggas, men ger t.ex anställda ett enkelt sätt att komma in på ett annat vlan nät för åtkomst.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av thadizzy:

. För att ta sig mellan olika VLAN krävs routing - period.

Jag tror nog du har en definition av routing som skiljer sig från andras.

Om ett paket behöver routas eller inte avgörs av IP-nivån: två hostar som sitter på samma ip-nät når varandra utan routing. Faktum är de endast kan nå varandra utan routing.

Host1 192.168.1.2/24 kopplas till vlan2
Host2 192.168.1.3/24 kopplas till vlan3

I valfri switch sätter du upp:
portA untagged vlan2
portB untagged vlan3

När/om du patchar ihop portA och portB så kan Host1 och Host2 nå varandra utan routing.
Hostarna har direkt L2-konnektivitet och kan ARP:a varandra, de behöver inte passera en router för att skicka paket mellan sig.

Så din "router" har mao ersatts av en TP-kabel.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av madtop:

Jag tror nog du har en definition av routing som skiljer sig från andras.

Om ett paket behöver routas eller inte avgörs av IP-nivån: två hostar som sitter på samma ip-nät når varandra utan routing. Faktum är de endast kan nå varandra utan routing.

Host1 192.168.1.2/24 kopplas till vlan2
Host2 192.168.1.3/24 kopplas till vlan3

I valfri switch sätter du upp:
portA untagged vlan2
portB untagged vlan3

När/om du patchar ihop portA och portB så kan Host1 och Host2 nå varandra utan routing.
Hostarna har direkt L2-konnektivitet och kan ARP:a varandra, de behöver inte passera en router för att skicka paket mellan sig.

Så din "router" har mao ersatts av en TP-kabel.

Absolut, men som någon skrev så har man då fullständigt förlorat poängen med att ha två olika VLAN. I mitt exempel var det för att det är två vitt skilda miljöer och VLAN 200 och 1200 måste användas på respektive miljö, men annars ser jag verkligen inte någon poäng med att "kortsluta" två VLAN i varandra.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av Talisker00:

Absolut, men som någon skrev så har man då fullständigt förlorat poängen med att ha två olika VLAN. I mitt exempel var det för att det är två vitt skilda miljöer och VLAN 200 och 1200 måste användas på respektive miljö, men annars ser jag verkligen inte någon poäng med att "kortsluta" två VLAN i varandra.

Mitt inlägg var ett svar på det felaktiga påståendet "För att ta sig mellan olika VLAN krävs routing - period". Och det är ju inte sant - det funkar lika bra med tex en TP-kabel.

Måhända ett rent akademiskt resonemang - men inte mindre sant för det.