TP-LINK TL-SG108E & VLAN trunking?

[My_download]

Hoi,

TP-Link heeft een reeks zeer goedkope "easy smart" switches uit (amper 40€ voor een 8-poort managed switch) en ik vroeg me af of iemand daar al ervaring mee heeft. http://www.alternate.nl/TP-LINK/TL-SG10 ... =7&lk=9769

Wat ik wil doen is 2 van die dingen kopen en ze allebei opsplitsen in een VLAN10 & VLAN 20 waarbij poort 8 in de default VLAN 1 blijft staan maar wel TAGged verkeer van de 2 overige VLAN's doorgeeft.
In de garage kan ik dan mijn telenet modem & WAN poort van de router aan VLAN 20 hangen, met de LAN poort van die router aan VLAN 10 samen met al mijn pc's, access point, etc.

De uplink kabel in poort 8 gaat naar een 2e switch (opnieuw dzo'n TL-SG108E) waar ik de DigiCorder aan VLAN 20 hang en de TV, WII, Xbox, etc.

De vraag is of dit een correcte opstelling is, en of dat rare PVID 1 niet voor problemen kan zorgen (lees verkeer tussen de WAN en LAN VLAN's dat niet via de router gaat) ? En als er iemand is die al met die TP-Link spullen gewerkt heeft: moet ik de poorten 1 - 7 op elke switch expliciet NonMember maken van PVID 1 of niet?

Achtergrond: ik heb slechts 1 UTP kabel vanuit mijn patch panel naar de TV. Die kan ik opsplitsen in 2 100Mb linkjes (slechts 4 draadjes nodig) om de digibox apart aan te kunnen sluiten, of ik kan de 8 draadjes blijven gebruiken voor een Gigabit verbinding maar dan moet ik dus 2 VLAN's door die ene kabel krijgen zonder al te veel security issues te veroorzaken.

[ubremoved_539]

Vertel eens eerst of je een modem only hebt of een HGW.

[My_download]

Ik dacht dat je dat goed kon zien op de tekening: modem only met een Zyxel USG-200 als router.

[foxhound]

Wij gebruiken op het werk de TL-SG3424 van TP-Link. Zeer tevreden van.
VLAN's instellen is op zich zeer simpel bij TP-Link. Als je een non-trunk port op een andere vlan zet als de default zijn ze automatisch niet meer lid van VLAN 1.

Je situatie zou volgens mij op eerste zicht wel werken denk ik. Je router krijgt op wan een public IP van je modem, je decoder ook.
Waarom wil je VLAN1 doorgeven over poort 8? Je devices gebruiken toch enkel 10 en 20.

[ubremoved_539]

Op je tekening zie ik het nergens staan... maar ik zie ook je TN modem nergens staan ? Je zal deze namelijk moeten aansluiten op je TP-Link.

Je kan dan een VLAN aanmaken TELENET (VLAN id naar keuze) met ACCESS/UNTAG poorten voor TN en je router, alsook een TRUNK/UNTAG poort voor naar je andere switch. Tevens maak je een LAN VLAN (id weer naar keuze) met ACCESS/UNTAG poorten voor je router en devices die je in je LAN wil.

[foxhound]

Op je tekening zie ik het nergens staan... maar ik zie ook je TN modem nergens staan ? Je zal deze namelijk moeten aansluiten op je TP-Link.

Je kan dan een VLAN aanmaken TELENET (VLAN id naar keuze) met ACCESS/UNTAG poorten voor TN en je router, alsook een TRUNK/UNTAG poort voor naar je andere switch. Tevens maak je een LAN VLAN (id weer naar keuze) met ACCESS/UNTAG poorten voor je router en devices die je in je LAN wil.

Ik vermoed dat de blauwe doos onder de "Internet" wolk zijn modem is. Deze sluit hij aan op een VLAN 20 poort, VLAN 20 is verder verbonden met de WAN kant van zijn router. Lan kant van zijn router is aan VLAN 10 verbonden. VLAN 10 en 20 gaan over een trunk naar de 2e switch, waarbij VLAN 20 verder gaat naar zijn decoder.

Dus Decoder + WAN van router krijgen public IP en hangen rechstreeks aan de modem. Al de rest hangt aan de LAN kant van de router.

Zie dus niet direct iets mis op zijn schema.

[My_download]

Wij gebruiken op het werk de TL-SG3424 van TP-Link. Zeer tevreden van.
VLAN's instellen is op zich zeer simpel bij TP-Link. Als je een non-trunk port op een andere vlan zet als de default zijn ze automatisch niet meer lid van VLAN 1.

Je situatie zou volgens mij op eerste zicht wel werken denk ik. Je router krijgt op wan een public IP van je modem, je decoder ook.
Waarom wil je VLAN1 doorgeven over poort 8? Je devices gebruiken toch enkel 10 en 20.

VLAN1 kan je niet verwijderen, en als je probeert de trunk in een ander PVID te steken werkt dat ook niet...
Die "easy smart" dingen zijn niet helemaal hetzelfde als de "smart" switches van TP-Link.

Dit is wat ik via google gevonden heb over die "easy smart" switches:
https://forum.pfsense.org/index.php?top ... #msg415938

Door alleen poort 8 op het default PVID 1 te laten staan hoop ik te verkrijgen dat er geen enkel verkeer op dat VLAN terecht komt en dat dus mijn WAN en LAN verkeer netjes van elkaar gescheiden blijven.

=> wat de tekening betreft: het blauwe doosje in VLAN 20 onderaan stelt inderdaad de Telenet Modem voor.

[foxhound]

VLAN1 kan je niet verwijderen, en als je probeert de trunk in een ander PVID te steken werkt dat ook niet...
Die "easy smart" dingen zijn niet helemaal hetzelfde als de "smart" switches van TP-Link.

Dit is wat ik via google gevonden heb over die "easy smart" switches:
https://forum.pfsense.org/index.php?top ... #msg415938

Door alleen poort 8 op het default PVID 1 te laten staan hoop ik te verkrijgen dat er geen enkel verkeer op dat VLAN terecht komt en dat dus mijn WAN en LAN verkeer netjes van elkaar gescheiden blijven.

=> wat de tekening betreft: het blauwe doosje in VLAN 20 onderaan stelt inderdaad de Telenet Modem voor.

De VLAN 1 verwijderen zal inderdaad wel niet gaan aangezien dit de default is. Je kan waarschijnlijk wel de trunk poort enkel op VLAN 10 en 20 zetten en bij 1 weghalen. Indien niet, niets verloren, er zal normaal inderdaad geen enkel verkeer over die VLAN gaan.

Net de handleiding even bekeken en interface ziet er inderdaad iets anders uit dan die van de "smart" switchen van TP-Link. We gebruiken op het werk tegenwoordig bijna alleen nog maar TP-Link materiaal voor ons netwerk, van de wifi access points, tot de switchen, tot de SFP Fiber modules. Goede kwaliteit, goede web interfaces (geen 3 seconden wachten bij elke actie, alles gebeurt onmiddellijk), makkelijk te beheren, ... Hoop dat de easy-smart apparaten ook zo zijn.

[ubremoved_539]

VLAN1 kan je niet verwijderen

Waarom zou je dat willen... al z'n verkeer is gewoon untagged (geen enkele van de aangesloten toestellen zal dus een VLAN id zien).

Enkel op de trunk poort heb je VLAN's... maar daar zie je ook niets van.

Ik begrijp dus de "angst" voor de VLAN id's hier niet echt.

[ubremoved_2964]

THX voor vermelden van deze switch ....

ging me eerst enkele 5 ports microtiks kopen voor cheap VLAN trunking aan gigabit snelheden, maar deze is een leuk alternatief ....

heb nu vlan trunking thuis tussen een oude Dell 2716 16x managed gige, en twee linksys WRT54GL die als een ketting doortrunken .... maar die linksysjes doen maar 100mbit dus de TP-LINK komt als een geschenk

[ubremoved_2964]

Heb alternate een beetje gepushed deze ook op te nemen in België:

http://www.alternate.be/TP-LINK/TL-SG10 ... ent=search

Dus morgen maar eens rijden

[ubremoved_539]

Unmanaged... geen VLAN's dus.

[Kenw00t]

"Unmanaged" wat? Ik snap niet goed op welk bericht je hier reageert.

[ubremoved_2964]

TP-LINK TL-SG108 = unmanaged en dus cheaper
http://www.alternate.be/TP-LINK/TL-SG10 ... ent=search

TP-LINK TL-SG108E = managed
http://www.alternate.be/TP-LINK/TL-SG10 ... ent=search

Managed versie zie ook
http://www.tp-link.com/en/products/deta ... =TL-SG108E

[ubremoved_539]

Unmanaged... geen VLAN's dus.

ub4b was over VLAN's bezig en WRT's die beperkt zijn... en vermelde dan een switch zonder VLAN ?

[ubremoved_2964]

De E-modellen van TP-Link hebben wel degelijk vlan support ...

Mijn probleem was dat ik nog met een paar oude WRT54GL's zat, die maar 100mbps trekken ipv gigabit. Heb ook nog een dell 2716 die wel gig doet en vlans.
Daarom eens tijd om die te upgraden, ik gebruik die oude WRT's enkel nog als vlan switch en voor m'n routering heb ik een veel snellere netgear met dd-wrt.

Dus TP-LINK TL-SG108E is een ideale keuze voor gig soho switch met vlan support.

[ubremoved_2964]

Net twee van deze TL-SG108E gaan halen.

Het is even wennen gezien er drie verschillende VLAN modes zijn, maar ik heb voor de 802.1Q gekozen gezien mijn andere switches dit protocol ook spreken.
En na enkele minuten clicken werkte alles

Heb nu

- dell 2716 in serverhok
TRUNK
- TP-LINK TL-SG108E aan bureau
TRUNK
- WRT54GL als vlan switch

De tweede TL-SG108E moet ik nog configgen.

Was wel even wennen:

1. je moet eerst bij 802.1Q VLAN alle VLANs aanmaken, en daarin de egress tagged en untagged poorten in duwen.
2. in een tweede pagina 802.1Q PVID Setting moet je de ingress configgen en dus aangeven in welke vlan de access poorten zitten

Bij de linksys is het cryptischer, maar er is geen onderscheid tussen ingress en egress, je noemt alle poorten op die in een vlan zitten, en wanneer een poort trunked is, zet je er een t achter
bvb

nvram set vlan0ports="0 5*"
nvram set vlan1ports="5"
nvram set vlan2ports="4t 3t 2"
nvram set vlan3ports="4t 3t 1"
nvram set port5vlans="0 1 2 3 16"
nvram set vlan2hwname=et0
nvram set vlan3hwname=et0
nvram commit
reboot

[ubremoved_2964]

Vind dit een vreemde issue:

- geen enkele poort zit in de default vlan 1, behalve de trunk poorten, en de 8e poort waar niks aan hangt (die als reserve dient om nog op de switch te geraken)

mijn lan zit op VLAN2, mijn staging netwerk op VLAN3 ....
en alle access poorten zitten dus in vlan 2 of 3

Als ik m'n laptop in VLAN2 duw, vindt de TP Link tool alsnog de switch terwijl dat IP van de switch op VLAN1 hoor te zitten, en de tool toont het IP van de switch, maar gezien ik in een andere vlan zit dan de mgt vlan, geraak ik er uiteraard niet op en de tool zegt dan dat ik in hetzelfde subnet moet gaan zitten.

Maar vanuit een security standpunt heb ik hier wel moeite mee ...

[Heronic]

Lukt het nu om iptv te hebben via de managed switches?

[ubremoved_2964]

Ik heb geen TV/IPTV maar het ding implementeert wel correct vlans & trunking ....

dus als je er twee hebt kan je meerdere netwerken door één kabel trekken

[ubremoved_2964]

heb de TL-SG108E net eens nagemeten kwa stroomverbruik

frustrerend, maar het getal op de meter blijft op 0 Watt staan in idle
wat uiteraard goed is voor de electriciteitsrekening

Ik ga mijn oude Dell 2716 als backup houden, dat ding wordt flink warm en ondanks de 16 poorten rendeert het niet om daar maar een poort of 4 actief van te gebruiken.

[Avenger 2.0]

heb de TL-SG108E net eens nagemeten kwa stroomverbruik

frustrerend, maar het getal op de meter blijft op 0 Watt staan in idle
wat uiteraard goed is voor de electriciteitsrekening

Kan zijn dat je meter onder de 10 Watt ofzo niets meet. Best eens naar de datasheet kijken.

[ubremoved_2964]

230V splitter met lampje en on/off switch + telenet modem + actieve splitter van telenet was 7 Watt ofzo, dus onder de 10 Watt meet ie wel degelijk

[AndRo555]

Hang er een gloeilamp/halogeenlamp/eender welke stabiele load aan en meet dan met de switch erbij. Sommige meters hebben moeite met de heel lage verbruiken.

[ubremoved_2964]

goed idee, zal eens een ouderwetse peer zoeken heb nog dozen vol, sinds ik bijna alles in led heb gestoken

[ubremoved_2964]

Heb een beetje moeite met VLAN1, waarop het IP luistert dat je aan de switch geeft.

Als ik via wifi connect, en ik laat het TP-LINK tooltje scannen, dan ziet hij alle drie switches. De wifi hangt aan VLAN2, terwijl het management IP van de switch in VLAN1 zit. Connecten gaat uiteraard niet, gezien het tooltje zegt dat je een NIC in dezelfde IP range moet hebben.

Op elke switch heb ik poort 8 in VLAN1 gelaten, maar als ik via poort 8 het tooltje laat scannen (en wifi uit), zie hij enkel de direct attached switch aan mijn netwerkkabel, en de andere niet, die nochtans met vlans verbonden zijn. De VLAN trunking werkt pefect voor VLAN 2 en VLAN 3 die ik in gebruik heb.

Dus kan je de andere switches via de trunk managen, of moet je steeds één poort opofferen voor management ? Ik kan uiteraard mijn LAN gewoon in VLAN 1 duwen dan ben ik één poort niet kwijt per switch.

[ubremoved_539]

Op elke switch heb ik poort 8 in VLAN1 gelaten, maar als ik via poort 8 het tooltje laat scannen (en wifi uit), zie hij enkel de direct attached switch aan mijn netwerkkabel, en de andere niet, die nochtans met vlans verbonden zijn. De VLAN trunking werkt pefect voor VLAN 2 en VLAN 3 die ik in gebruik heb.

Maar poort 8 is een trunk ? Geef trouwens eens wat meer info over de pid/vid en andere settings.

Je kan trouwens nooit van de ene VLAN naar de andere zonder een router... puur met een TP-Link switch gaat dit niet.

[ubremoved_2964]

Ik weet uiteraard OOK dat je tussen twee vlans pas packets kan krijgen mits routering.

Net daarom is de TP-LINK zo'n raar ding, gezien er tussen die twee vlans geen routering zit.

In theorie als de wifi op vlan 2 zit, dan mag zo'n scan met de tool van TP-LINK wanneer de laptop enkel met wifi verbonden is, niet de andere switches zien (mgt ip zit immers in VLAN1, niet VLAN2), maar toch doet de tool dit, wat extra verwarrend is ...

[ubremoved_539]

Welke tool.. waar draai je die ?

[ubremoved_2964]

De tool van TP Link ...

Deze vindt alle switches, ondanks feit dat de management IP's in VLAN1 zitten, en ik zelf met mijn LAN in VLAN2 zit ....

tool.png

[ubremoved_2964]

ping.png

als ik in VLAN2 zit, en mijn laptop een IP geef in de management range van de switch (bvb 192.168.0.100), dan kan ik alle drie switches pingen ....

[ubremoved_2964]

Mijn laptop hangt aan poort 6 van de switch genaamd CORE, en die poort zit duidelijk in VLAN2:

core_port2.png

[ubremoved_2964]

Maar bij VLAN1 kan je niks veranderen, en het lijkt dat VLAN1 ook op alle poorten untagged zit ....

vlan1.png

[ubremoved_2964]

Heb net een DD-WRT opgezet met IP 192.168.0.5 op een VLAN1 poort van de COMPUHOK switch .... deze kan ik dus niet pingen vanaf VLAN2 (logisch), maar wel het management IP van die switch (niet logisch).

Als ik mijn laptop in VLAN1 zet op de CORE switch, dan kan ik enkel 192.168.0.1 pingen. Er is duidelijk geen trunking voor VLAN1.
En de tool ziet enkel 1 switch nu ....

vlan1 part 2.png

[ubremoved_2964]

Wat ik vermoed is dat de switch op eender welke poort op ARP requesten antwoordt voor zijn eigen IP:

Vanuit windows, vanaf 192.168.0.100 de drie IP's gepinged met de wired van de laptop in vlan2, arp -a:

Interface: 192.168.0.100 --- 0xb
Internet Address Physical Address Type
192.168.0.1 e8-de-27-23-c8-2e dynamic
192.168.0.2 e8-de-27-23-cb-c3 dynamic
192.168.0.3 e8-de-27-23-cd-72 dynamic

Die ARP is broadcast dus alle switches zien hem passeren in de trunk.

Blijkbaar antwoord de switch op arp requesten voor zijn management IP, ongeacht de source in VLAN2 zit.
Ook packets naar zijn eigen MAC address worden afgehandeld ondanks een andere vlan.

Dit vind ik dus zeer bizar gedrag en is eigenlijk in strijd met de scheiding ten gevolge van vlans.

[ubremoved_539]

Mijn laptop hangt aan poort 6 van de switch genaamd CORE, en die poort zit duidelijk in VLAN2:

core_port2.png

Poort 6 is eveneens een member van je default VLAN ?

Maar bij VLAN1 kan je niks veranderen, en het lijkt dat VLAN1 ook op alle poorten untagged zit ....

Je kan wel de member ports aanpassen.

Ik heb een TP-SG3210 en 3216... en daar ziet de interface er weer helemaal anders uit... maar zal dit WE eens een testje doen

[ubremoved_2964]

Elke poort is tegelijk ook member van VLAN1 .... je kan dit nergens uitzetten.

Hoe de switch dan twee vlans op één access poort uit mekaar houdt is een raadsel ....

Want vanaf VLAN2 kan ik zowel mijn andere nodes op eender welke switch op VLAN2 pingen, als het IP van de switch zelf pingen die op VLAN1 hoort te zitten.