Ser heller ikke det store poenget med å ha forskjellige subnett på ett slik oppsett i ett hjemmenettverk., men man kan jo alltids ah switcher med routing-funksjonalitet om man trenger de funksjonene, det er vel 1910 og opp som har det for HP.
Skal du dele opp i flere VLAN, og du ønsker at disse skal ha forskjellige subnet, og ikke se hverandre, men skal ha tilgang på internet, ja da trenger du ett eller annet som kan route trafikken for deg.
Jeg trodde poenget med VLAN var å dele opp logisk uten bruk av subnett? Vet ikke hvilke protokoller som brukes for å identifisere enheter på samme nett, men regner med at det er en form for broadcast som benyttes og dette skal jo VLAN begrense til innad i et VLAN og trafikken mellom VLAN skal enten tillates eller ikke tillates.
Så ser ikke at det skal være behov for en mer avansert hardware?
Kort fortalt så tagges pakker med en VLAN-id som switchen kan sortere på slik at pakker tagget med VLAN 1 ikke går ut på porter dedikert til VLAN 2 - osv. Dette er en overforenkling, for det finnes jo selvfølgelig også sluttbrukerutstyr som en vlan-kapabelt, og i den grad det skal være noe sikkerhet i å dele det i vlan (annet enn bekvemmelighet) så må switchen også filtrere på portnivå slik at det hele blir usynlig for leietaker.
Det er derimot litt lurium når du skal tillate samtrafikk (f.eks. ut på internett) og noe av trafikken skal tilbake på vlan1 og noe tilbake på vlan2. Ser for meg at du potensielt kan få litt dillemikk med ymse tjenester på nettet, men det får man ofte uansett hvis man skal dele en ekstern IP på mange maskiner...
Signatur
eier NTH-ring, men ikke på grunn av ferdigheter innen boligbygging.
Sitat: "Kort fortalt så tagges pakker med en VLAN-id som switchen kan sortere på slik at pakker tagget med VLAN 1 ikke går ut på porter dedikert til VLAN 2"
Det forutsetter jo at du kun har ett vlan per port.
Jeg ser det slik "en port med ett gitt vlan nummer kan se alle andre porter med samme vlannummer, hver port kan ha så mange vlan-nummer man vil (i praksis), "
Port 1 (ut på verdensveven): VLAN 10 og VLAN 20 Port 2: VLAN 10 Port 3: VLAN 20
Dersom bruker på port 2 skal ut på internett, så blir pakkene tagget med VLAN id 10. Port 1 gjør ikke noe med pakken da den allerede er tagget. Pakker fra Port 2 til Port 3 blir forkastet, siden port 3 kun aksepterer pakker med VLAN 20 eller uten VLAN id.
Eller?
Signatur
--- Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
I denne "ut på verdensveven"-funksjonaliteten så ligger det vel fort noe NAT vil jeg tro... da må man i såfall ha en NAT-enhet som også evner å tagge rett VLAN på pakkene på retur...
Har man internettrutbare adresser i hele nettet så stiller det seg noe annerledes, men i rutinga må det uansett være en ruter som begriper VLAN, eller?
Signatur
eier NTH-ring, men ikke på grunn av ferdigheter innen boligbygging.
I denne "ut på verdensveven"-funksjonaliteten så ligger det vel fort noe NAT vil jeg tro... da må man i såfall ha en NAT-enhet som også evner å tagge rett VLAN på pakkene på retur...
Har man internettrutbare adresser i hele nettet så stiller det seg noe annerledes, men i rutinga må det uansett være en ruter som begriper VLAN, eller?
Jeg ser ikke helt hvorfor? Om port 1 går til ruteren, så er alle pakker som kommer inn på den porten på vlan 10 og 20, selv om de ikke er tagget på tur inn.
Det tenkte jeg også. Pakker uten vlan slipper jo inn.
Om jeg ikke har misforstått noe fundamentalt, så er det slik, porter som deler vlan kan kommunisere med hverandre, porter som ikke deler vlan kan ikke det, hverken mer eller mindre, det forklarer hvordan det fungerer og hvordan man bør sette det opp. vlan står for virtuelt lan, tenk på det som ett ekte lan om det gjøre det enklere, vær enhet på lanet kan bare kommunisere direkte med de andre enhetene på samme LAN.
Port 1 (ut på verdensveven): VLAN 10 og VLAN 20 Port 2: VLAN 10 Port 3: VLAN 20
Dersom bruker på port 2 skal ut på internett, så blir pakkene tagget med VLAN id 10. Port 1 gjør ikke noe med pakken da den allerede er tagget. Pakker fra Port 2 til Port 3 blir forkastet, siden port 3 kun aksepterer pakker med VLAN 20 eller uten VLAN id.
Eller?
Da må utstyret som står på port 1 støtte vlan tagging, man kan kun ha ett pvid vlan pr port, dvs 1 utagga nett... Man kan jo tagge opp vlan 1 på port 4 og vlan 2 på port 5 og sette en patche snor i mellom de, men da kan du jo like gjerne glemme hele vlan greiene... Skal du få til noe vettu med dette så kjøp deg en brannmur med 2 soner, som støtter båndbredde begrensning.. Tipper du kun trenger en port til leieboer, og da eliminerer du hele vlan problematikken, ved å plugge han direkte inn i brannmuren. Det finnes 1 milion måter å gjøre dette på, men denne vil løse det du ønsker på en enkel og grei måte..
Kort fortalt så tagges pakker med en VLAN-id som switchen kan sortere på slik at pakker tagget med VLAN 1 ikke går ut på porter dedikert til VLAN 2 - osv. Dette er en overforenkling, for det finnes jo selvfølgelig også sluttbrukerutstyr som en vlan-kapabelt, og i den grad det skal være noe sikkerhet i å dele det i vlan (annet enn bekvemmelighet) så må switchen også filtrere på portnivå slik at det hele blir usynlig for leietaker.
Det er derimot litt lurium når du skal tillate samtrafikk (f.eks. ut på internett) og noe av trafikken skal tilbake på vlan1 og noe tilbake på vlan2. Ser for meg at du potensielt kan få litt dillemikk med ymse tjenester på nettet, men det får man ofte uansett hvis man skal dele en ekstern IP på mange maskiner...
Det forutsetter jo at du kun har ett vlan per port.
Jeg ser det slik "en port med ett gitt vlan nummer kan se alle andre porter med samme vlannummer, hver port kan ha så mange vlan-nummer man vil (i praksis), "
Port 2: VLAN 10
Port 3: VLAN 20
Dersom bruker på port 2 skal ut på internett, så blir pakkene tagget med VLAN id 10. Port 1 gjør ikke noe med pakken da den allerede er tagget. Pakker fra Port 2 til Port 3 blir forkastet, siden port 3 kun aksepterer pakker med VLAN 20 eller uten VLAN id.
Eller?
Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
Har man internettrutbare adresser i hele nettet så stiller det seg noe annerledes, men i rutinga må det uansett være en ruter som begriper VLAN, eller?
Jeg ser ikke helt hvorfor? Om port 1 går til ruteren, så er alle pakker som kommer inn på den porten på vlan 10 og 20, selv om de ikke er tagget på tur inn.
Stefan
Ingen utdanning innen bygg, anlegg, elektro eller VVS.
Om jeg ikke har misforstått noe fundamentalt, så er det slik, porter som deler vlan kan kommunisere med hverandre, porter som ikke deler vlan kan ikke det, hverken mer eller mindre, det forklarer hvordan det fungerer og hvordan man bør sette det opp. vlan står for virtuelt lan, tenk på det som ett ekte lan om det gjøre det enklere, vær enhet på lanet kan bare kommunisere direkte med de andre enhetene på samme LAN.
Da må utstyret som står på port 1 støtte vlan tagging, man kan kun ha ett pvid vlan pr port, dvs 1 utagga nett... Man kan jo tagge opp vlan 1 på port 4 og vlan 2 på port 5 og sette en patche snor i mellom de, men da kan du jo like gjerne glemme hele vlan greiene... Skal du få til noe vettu med dette så kjøp deg en brannmur med 2 soner, som støtter båndbredde begrensning.. Tipper du kun trenger en port til leieboer, og da eliminerer du hele vlan problematikken, ved å plugge han direkte inn i brannmuren. Det finnes 1 milion måter å gjøre dette på, men denne vil løse det du ønsker på en enkel og grei måte..