Ciao,
la lan attualmente è formata da un modem-router Asus DSL-AC68U e 3 switch unmanaged (senza capacità di VLAN) uno per ogni piano.

Nel piano centrale ho l'Asus DSL-AC68U alle cui porte sono collegati i tre switch.

Vorrei installare diverse telecamere IP POE e per questo motivo vorrei dividere la lan in 6 VLAN:

rete internet
telecamere esterne;
telecamere interne;
multimedia;
centrale allarme;
computer;

la vlan "computer" deve poter accedere a tutto;
la vlan "centrale allarme" deve accedere a internet, telecamere esterne, telecamere interne
la vlan "multimedia" deve accedere accedere a internet;
telecamere esterne deve essere isolata (l'accesso avviene tramite un NVR nella lan della centrale allarme);
telecamere interne deve essere isolata (l'accesso avviene tramite un NVR nella lan della centrale allarme);

Premesso che vorrei tenere il modem-router e vorrei acquistare 3 switch tipo TP-LINK TL-SG2210P (Switch Smart PoE 8 Porte che gestisce le VLAN con pieno supporto al protocollo 802.1Q ed è dotato di 8 porte POE) e collegarli in trunk.

Secondo voi è possibile collegare i 3 switch TP-LINK TL-SG2210P in trunk tramite una tagged port alle porte del router Asus che dovrebbe essere di default untagged (non mi sembra si possa variare la configurazione, oppure non ho capito come si fa) ?

i tre switch saranno isolati oppure funzionano?

Se no, sarebbe possibile collegare i tre switch tra di loro tramite tagged port e poi collegare una porta untagged di uno dei 3 switch ad una porta dell'asus in modo da poter usufruire dei servizi del router?


Spero di essermi spiegato bene.
Grazie
Ciao

Ma vuoi anche far comunicare alcune vlan con altre?
Ti serve un router con supporto trunk dot1q o uno switch layer 3.

.. altrimenti pui fare quante vlan vuoi ma se "computer" "centrale allarme" "multimedia" le attacchi al router, tutti vanno dove gli pare.

Eh infatti, dovrebbe proteggere l' accesso alle vlan tramite firewall/access-lists a livello di router.

Per il suo caso le serie Juniper EXxx vanno alla perfezione.

..piano piano si arriva alla conclusione che giocare al piccolo ced si può, basta spendere da 500 ai 1000 eurozzi e dimenticare le marche dei routerini da salotto.
O farlo artigianale con un pc, tante schede e dargli giù di nat e iptable

Quindi mi servirebbe uno switch layer 3 tipo il Juniper EX2200-C + 2 switch managed poe layer 2?

Sì. Per la configurazione ti dovrai industriare un po'. Ci sono i manuali comunque.

Sì. Per la configurazione ti dovrai industriare un po'. Ci sono i manuali comunque.

Ricapitolando collego lo switch layer 3 in trunk ai due switch layer 2 (non mi servono 3 switch layer 3) e poi collego l'asus dsl-ac68u ad una porta qualsiasi di uno degli switch.

Sì. Il Layer 3 ti serve per il routing tra vlan, le relative policy (regole sul traffico e accesso) e per consentire l'accesso a internet a determinate vlan.
Guardati prima il manuale dello switch, per l'interfaccia e il resto. Se non ti piace, c'è anche HP e Netgear. Cisco non te la consiglio: troppo cara.
L' Asus lo colleghi al Layer 3 per consentire alle vlan di uscire su internet.

Sì. Il Layer 3 ti serve per il routing tra vlan, le relative policy (regole sul traffico e accesso) e per consentire l'accesso a internet a determinate vlan.
Guardati prima il manuale dello switch, per l'interfaccia e il resto. Se non ti piace, c'è anche HP e Netgear. Cisco non te la consiglio: troppo cara.
L' Asus lo colleghi al Layer 3 per consentire alle vlan di uscire su internet.

Pensi che con una soluzione come questa potrei cavarmela solo con i 3 switch layer 2.
http://www.smallnetbuilder.com/lanwan/lanwan-howto/30071-vlan-how-to-segmenting-a-small-lan?start=2

Nel link non vedo la parte in cui una vlan deve accedere all' altra. Le vlan separano i domini di broadcast a livello 2 e di norma non comunicano tra loro.
Per comunicare o vai tramite router o Layer 3 sw. Spesso, da switch L2 con vlan collegato ad un router, avviene l'accesso a internet dei dispositivi senza pero' che le vlan comunichino tra loro.

Lo switch da te postato è un layer 2 e dato che nelle tue richieste c'è
la vlan "computer" deve poter accedere a tutto non ti basta il layer 2 per operare separazioni "fisiche"

Alla domanda di quanti switch/vlan layer 2 servono, la risposta è logistica, nelle aziende di solito tutti i singoli cavi confluiscono in un unico punto su un unico switch e le vlan sono usate per avere una configurazione software versatile, piuttosto che smanettare con i cavi su switch diversi, nelle case no avrai presumo un cavo che va in ogni piano

3 piani,

se al piano 0 hai bisogno solo di una subnet/vlan perchè ai solo dispositivi di una tipologia, non ti serve il supporto vlan, switch normale attaccato al layer 3

se al piano 2 hai bisogno di due subnet/vlan, o metti uno switch con vlan e un cavo che lo collega al livello 3 o due cavi collegati a due switch normali

mettendo un layer 3 devi pensare alle subnet associate alle vlan, stabilire i piani di indirizzamento e tutti i route che ti servono

Senza conoscere la logistica, 3 piani, in uno il layer 3, negli altri due switch/vlan layer 2

Si dal piano centrale ho un cavo che va allo switch al primo piano ed uno che va in taverna.

La configurazione con lo switch layer 3 adesso mi è chiara.

Vi faccio un'altra domanda, negli switch linksys

vengono gestiti 3 differenti port type
access
trunk
general

802.1Q VLANs can have different port types. An access port is an 802.1Q VLAN port that can be assigned to a single VLAN only. It is typically used to connect to end devices such as PCs. A trunk port is an 802.1Q VLAN port that can carry traffic for multiple VLANs and is typically used to interconnect 802.1Q VLAN capable switches and routers. Some switches use general ports, which are a hybrid between access and trunk ports and can carry traffic for multiple VLANs.
Some switches, such as the NETGEAR GS108Tv1 and NETGEAR GS108Tv2 (and most other) allow all ports to be members of multiple 802.1Q VLANs so you don't have to set VLAN port type.


Dato che la modalità "general" non la trovo negli switch TP-LINK, ZYXEL, ecc. (supportano 802.1Q) significa che di default abilitano tutte le porte ad essere membri di più VLAN oppure è una modalità presente solo in alcuni switch?

Juniper e Cisco permettono una sola vlan dati per porta se "access" e piu' vlan se "trunk". Di default tutte le porte sono sulla vlan nativa (in genere la 1).

Juniper e Cisco permettono una sola vlan dati per porta se "access" e piu' vlan se "trunk". Di default tutte le porte sono sulla vlan nativa (in genere la 1).

Ma quindi questa modalità ibrida "general" è presente solo sui linksys?

Mai sentita.

Sul sito CISCO ho trovato queste definizioni:

Access mode VLAN: by default sets egress to untagged, supports single VLAN configuration only, automatically sets PVID (native VLAN, ingress untagged) to configured VLAN. Will accept untagged packets or tagged packets with VLAN ID to which the port is a member - in this case the port is a member of only one VLAN.
Trunk mode VLAN: by default sets egress to tagged, supports multiple VLANs, does not set PVID (native VLAN, ingress untagged), native VLAN cannot be a configured Trunk VLAN or 4095 (discard VLAN).
General mode VLAN: by default sets egress to tagged, supports multiple VLANs, does not set PVID (native VLAN, ingress untagged), native VLAN can be any defined VLAN. Setting the PVID removes default vlan (VID=1) for that port.. PVID can be 4095 (discard VLAN). General mode allows mix of tagged and untagged VLANs in the egress direction.

L'unica applicazione che vedo nel general mode è in ambito server.

Io ho sempre visto per le porte dei comuni mortali:
una porta, una vlan, una subnet.
due vlan su una porta, boh, metto due ip ad una scheda e il pc lo metto su due vlan, e ci arrivo da due subnet senza routing

Quello che non capisco è se il port type general e riconducibile ad altri negli altri switch, per esempio alcuni (zyxel) hanno il port type "all" che suppongo sia lo stesso, nei TP-LINK di fascia alta esiste "general", nel TL-SG2210P (quello che volevo prendere) non sembra esserci mentre nel TL-SG3210 si.

Vi faccio un'altra domanda,
Se ho 3 switch L2 802.1Q e in ogni switch configuro una porta in trunk associata a tutte le vlan, se faccio confluire i tre cavi nell'asus(dovrebbe supportare il protocollo 802.1Q ma non permette di configurare nulla) cosa succede? i 3 switch si vedono e i pacchetti taggati vengono scambiati oppure vengono droppati e devo per forza collegare i tre switch direttamente?

Facciamo un po' di teoria. Guarda questo schema.

http://i57.tinypic.com/35kis8j.png

dot1q è solo sui trunk. Gli switch li colleghi via trunk tra loro solo e solo se i membri di una o piu' vlan sono sparsi tra switch. Es. se ho membri di una vlan su 2 switch. Il tagging avviene solo sul trunk, non per altre porte sullo switch.

Facciamo un po' di teoria. Guarda questo schema.

http://i57.tinypic.com/35kis8j.png

dot1q è solo sui trunk. Gli switch li colleghi via trunk tra loro solo e solo se i membri di una o piu' vlan sono sparsi tra switch. Es. se ho membri di una vlan su 2 switch. Il tagging avviene solo sul trunk, non per altre porte sullo switch.

Si intendevo che i membri delle vlan sono sparse sui 3 switch, chiaramente se collego tra loro i 3 switch in trunk non avrei problemi, quello che volevo capire e se collegando i 3 cavi dei 3 switch a 3 porte dell'asus (che non posso configurare) le vlan sparse nei 3 switch funzionano ancora?

Sì e comunicano anche sia tra loro che con internet.

Un paio di concetti, se ho uno switch con 16 porte, e ci metto due vlan è come se avessi due normalissimi switch da 8 separati, (la vlan in più permette il giochetto anche su switch diversi, ma per ora non lo consideriamo)

Ora se collego fra loro due switch da 8 tutti comunicano e lo stesso avviene per le vlan.

La vlan layer2 è solo fisica. Per quello poi si connettono in layer 3 (ovvero tcp/ip), dove utiilizzando acl e routing applico le corrette separazioni, quindi con vlan in layer2 puoi solo creare una rete fisica separata, ma non puoi interconetterla a nulla, come se avessi uno switch con due pc e basta, ma se questo switch lo metti sul router casalingo con le porte ethernet bridgiate (non su un vero router con porte diverse) è come attaccarlo ad uno switch e i pc vanno dove vogliono.

Sì e comunicano anche sia tra loro che con internet.

I tagged frame che entrano nell'asus vengono forwardati nelle altre porte mantenendo il tag?

I tagged frame che entrano nell'asus vengono forwardati nelle altre porte mantenendo il tag?

Come dal grafico sopra, nell' asus entrano frame non tagged, in assenza di dot1q, che si usa SOLO quando ci sono piu' vlan su una porta.

Ciao,
Rispolvero questo thread, volevo chiedere se in una rete costituita da switch l2 già separata in varie vlan, basta inserire uno switch basic l3 tipo hp 1920-8g per poter effettuare routing tra le varie vlan, dalle specifiche risulterebbe possibile creare fino ad 8 iterfacce e 32 static route.