UBNT switch + mikrotik router vlan vraag

[devastator]

Hoi,

Mijn netwerk ziet er als volgt uit:
- Proximus BBOX
- Mikrotik RB3011UiAS-RM router
- UBNT edgeswitch

Plaatje:

schema.png

Graag had ik een aantal VLAN's geconfigureerd:
- Proximus TV
- Cameras
- IOT

Communicatie van de VLAN naar de LAN is niet toegestaan, andersom wel. Waar kan ik het best de VLAN''s configureren? Op de router of op de switch ?

Alvast bedankt !
Deva

[NuKeM]

Beide. Ik neem aan dat het gros van uw toestellen aan de switch zullen hangen en dus daar een VLAN toegewezen zullen krijgen.
Om te voorkomen dat de ene (V)LAN niet aan de andere kan of juist wel (en hoe, eventueel met beperkingen) zal je in je router de routing moeten voorzien, evenals firewall tussen (V)LANs. Die router zal je routerboard zijn waardoor die de VLANs dus ook zal moeten kennen (als interfaces).

[devastator]

Ik zou hier nu mee aan de slag willen ... maar ik heb precies toch wat hulp nodig
Iemand misschien een goede link om me in te lezen ?

Ik heb dus een aantal VLAN's nodig (elk met eigen DHCP server)
- Camera
- IOT
(- Proximus TV - zonder DHCP)

Het is mij even onduidelijk of ik ook een aparte vlan moet maken voor mijn "normaal" netwerk (of is dat dan automatisch VLAN-1 ?).

[ubremoved_539]

Het is mij even onduidelijk of ik ook een aparte vlan moet maken voor mijn "normaal" netwerk (of is dat dan automatisch VLAN-1 ?).

Het meest duidelijke/nette is dat je voor je eigen LAN ook gewoon een VLAN aanmaakt... op je switch ga je die toch untaggen (net zoals bij de andere VLAN's) tenzij het een trunk poort is (bv. tussen router en switch, of naar devices die wel VLAN support hebben). In VLAN-1 zitten normaal de management interfaces... dan kan je die ook apart houden (veiliger).

[devastator]

Thanks voor je antwoord !

Om het even concreter te maken:
- de router heeft nu 192.168.0.1
- de switch heeft nu 192.168.0.2

Zouden dit dan de IP's zijn op VLAN-1, of hoe moet ik dat precies zien.

Zoals je merkt ben ik nog een leek wat betreft VLAN's

[ITnetadmin]

Dat kies je bij goeie apparatuur zelf.

Vlans zijn gewoon een tag die je op het pakketje meestuurt, waardoor de router/switch weet welk pakketje hij op welke poort mag versturen.
Zo creeer je dus virtuele LANs, of VLANs.

Standaard VLAN capable apparatuur gaat de mgmt interface altijd op VLAN1 zetten.
Je hebt dus bij VLAN apparatuur ALTIJD minstens 1 VLAN, normaal gezien VLAN1.
Maar zolang je niks gaat trunken (meerdere VLANs combineren op 1 lijn) zijn VLANs transparant voor de toestellen die erop aangesloten zijn.
Het is pas bij dingen als trunken dat de switch/router de VLAN tag gaat toevoegen zodat het toestel aan de andere kant weet welk pakketje tot welke VLAN behoort.

Het is alweer effe geleden bij mij, maar zo werkt het in essentie iirc.

Je gaat de VLANs zoiezo op alle toestellen moeten definieren waar je meer dan 1 VLAN op wilt hebben, want dan ga je trunk poorten moeten aanmaken.
Tenzij je een layer-3 switch hebt, ga je zoiezo je router moeten gebruiken om je VLAN traffic te routen, want anders zit je met maar 1 VLAN die op internet kan, de rest is dan geisoleerd.
Het is ook best om die routing door de router te laten gebeuren, L3 switches die VLANs routen doen dat best enkel voor bepaalde dingen, want ze zijn daar niet op voorzien (het blijven switchen) en dat gaat dus best traag.

[ubremoved_539]

Zouden dit dan de IP's zijn op VLAN-1, of hoe moet ik dat precies zien.

VLAN-1 is eigenlijk de default VLAN (en is dus niet getagged)... standaard zit daar je management interface in maar ook alle poorten moest je verder niets van VLAN's configureren.

[ITnetadmin]

Geen enkele VLAN is getagged op een untagged port; enkel bij trunking ga je VLANs taggen.
Je verwart mogelijk default VLAN met native VLAN?

[ubremoved_539]

M'n verwoording was inderdaad fout... ik bedoelde de native VLAN.