VLAN trunk con ASUS DSL-AC68U

[lsx]

Ciao,
la lan attualmente è formata da un modem-router Asus DSL-AC68U e 3 switch unmanaged (senza capacità di VLAN) uno per ogni piano.

Nel piano centrale ho l'Asus DSL-AC68U alle cui porte sono collegati i tre switch.

Vorrei installare diverse telecamere IP POE e per questo motivo vorrei dividere la lan in 6 VLAN:

rete internet
telecamere esterne;
telecamere interne;
multimedia;
centrale allarme;
computer;

la vlan "computer" deve poter accedere a tutto;
la vlan "centrale allarme" deve accedere a internet, telecamere esterne, telecamere interne
la vlan "multimedia" deve accedere accedere a internet;
telecamere esterne deve essere isolata (l'accesso avviene tramite un NVR nella lan della centrale allarme);
telecamere interne deve essere isolata (l'accesso avviene tramite un NVR nella lan della centrale allarme);

Premesso che vorrei tenere il modem-router e vorrei acquistare 3 switch tipo TP-LINK TL-SG2210P (Switch Smart PoE 8 Porte che gestisce le VLAN con pieno supporto al protocollo 802.1Q ed è dotato di 8 porte POE) e collegarli in trunk.

Secondo voi è possibile collegare i 3 switch TP-LINK TL-SG2210P in trunk tramite una tagged port alle porte del router Asus che dovrebbe essere di default untagged (non mi sembra si possa variare la configurazione, oppure non ho capito come si fa) ?

i tre switch saranno isolati oppure funzionano?

Se no, sarebbe possibile collegare i tre switch tra di loro tramite tagged port e poi collegare una porta untagged di uno dei 3 switch ad una porta dell'asus in modo da poter usufruire dei servizi del router?


Spero di essermi spiegato bene.
Grazie
Ciao

[Wolfhwk]

Ma vuoi anche far comunicare alcune vlan con altre?
Ti serve un router con supporto trunk dot1q o uno switch layer 3.

[pigi2pigi]

.. altrimenti pui fare quante vlan vuoi ma se "computer" "centrale allarme" "multimedia" le attacchi al router, tutti vanno dove gli pare.

[Wolfhwk]

Eh infatti, dovrebbe proteggere l' accesso alle vlan tramite firewall/access-lists a livello di router.

Per il suo caso le serie Juniper EXxx vanno alla perfezione.

[pigi2pigi]

..piano piano si arriva alla conclusione che giocare al piccolo ced si può, basta spendere da 500 ai 1000 eurozzi e dimenticare le marche dei routerini da salotto.
O farlo artigianale con un pc, tante schede e dargli giù di nat e iptable

[lsx]

Quindi mi servirebbe uno switch layer 3 tipo il Juniper EX2200-C + 2 switch managed poe layer 2?

[Wolfhwk]

Sì. Per la configurazione ti dovrai industriare un po'. Ci sono i manuali comunque.

[lsx]

Quote:

Originariamente inviato da Wolfhwk

Sì. Per la configurazione ti dovrai industriare un po'. Ci sono i manuali comunque.

Ricapitolando collego lo switch layer 3 in trunk ai due switch layer 2 (non mi servono 3 switch layer 3) e poi collego l'asus dsl-ac68u ad una porta qualsiasi di uno degli switch.

[Wolfhwk]

Sì. Il Layer 3 ti serve per il routing tra vlan, le relative policy (regole sul traffico e accesso) e per consentire l'accesso a internet a determinate vlan.
Guardati prima il manuale dello switch, per l'interfaccia e il resto. Se non ti piace, c'è anche HP e Netgear. Cisco non te la consiglio: troppo cara.
L' Asus lo colleghi al Layer 3 per consentire alle vlan di uscire su internet.

[lsx]

Quote:

Originariamente inviato da Wolfhwk

Sì. Il Layer 3 ti serve per il routing tra vlan, le relative policy (regole sul traffico e accesso) e per consentire l'accesso a internet a determinate vlan.
Guardati prima il manuale dello switch, per l'interfaccia e il resto. Se non ti piace, c'è anche HP e Netgear. Cisco non te la consiglio: troppo cara.
L' Asus lo colleghi al Layer 3 per consentire alle vlan di uscire su internet.

Pensi che con una soluzione come questa potrei cavarmela solo con i 3 switch layer 2.
http://www.smallnetbuilder.com/lanwa...ll-lan?start=2

[Wolfhwk]

Nel link non vedo la parte in cui una vlan deve accedere all' altra. Le vlan separano i domini di broadcast a livello 2 e di norma non comunicano tra loro.
Per comunicare o vai tramite router o Layer 3 sw. Spesso, da switch L2 con vlan collegato ad un router, avviene l'accesso a internet dei dispositivi senza pero' che le vlan comunichino tra loro.

[pigi2pigi]

Lo switch da te postato è un layer 2 e dato che nelle tue richieste c'è
la vlan "computer" deve poter accedere a tutto non ti basta il layer 2 per operare separazioni "fisiche"

Alla domanda di quanti switch/vlan layer 2 servono, la risposta è logistica, nelle aziende di solito tutti i singoli cavi confluiscono in un unico punto su un unico switch e le vlan sono usate per avere una configurazione software versatile, piuttosto che smanettare con i cavi su switch diversi, nelle case no avrai presumo un cavo che va in ogni piano

3 piani,

se al piano 0 hai bisogno solo di una subnet/vlan perchè ai solo dispositivi di una tipologia, non ti serve il supporto vlan, switch normale attaccato al layer 3

se al piano 2 hai bisogno di due subnet/vlan, o metti uno switch con vlan e un cavo che lo collega al livello 3 o due cavi collegati a due switch normali

mettendo un layer 3 devi pensare alle subnet associate alle vlan, stabilire i piani di indirizzamento e tutti i route che ti servono

Senza conoscere la logistica, 3 piani, in uno il layer 3, negli altri due switch/vlan layer 2

[lsx]

Si dal piano centrale ho un cavo che va allo switch al primo piano ed uno che va in taverna.

La configurazione con lo switch layer 3 adesso mi è chiara.

Vi faccio un'altra domanda, negli switch linksys

vengono gestiti 3 differenti port type
access
trunk
general

802.1Q VLANs can have different port types. An access port is an 802.1Q VLAN port that can be assigned to a single VLAN only. It is typically used to connect to end devices such as PCs. A trunk port is an 802.1Q VLAN port that can carry traffic for multiple VLANs and is typically used to interconnect 802.1Q VLAN capable switches and routers. Some switches use general ports, which are a hybrid between access and trunk ports and can carry traffic for multiple VLANs.
Some switches, such as the NETGEAR GS108Tv1 and NETGEAR GS108Tv2 (and most other) allow all ports to be members of multiple 802.1Q VLANs so you don't have to set VLAN port type.


Dato che la modalità "general" non la trovo negli switch TP-LINK, ZYXEL, ecc. (supportano 802.1Q) significa che di default abilitano tutte le porte ad essere membri di più VLAN oppure è una modalità presente solo in alcuni switch?

[Wolfhwk]

Juniper e Cisco permettono una sola vlan dati per porta se "access" e piu' vlan se "trunk". Di default tutte le porte sono sulla vlan nativa (in genere la 1).

[lsx]

Quote:

Originariamente inviato da Wolfhwk

Juniper e Cisco permettono una sola vlan dati per porta se "access" e piu' vlan se "trunk". Di default tutte le porte sono sulla vlan nativa (in genere la 1).

Ma quindi questa modalità ibrida "general" è presente solo sui linksys?

[Wolfhwk]

Mai sentita.

[lsx]

Sul sito CISCO ho trovato queste definizioni:

Access mode VLAN: by default sets egress to untagged, supports single VLAN configuration only, automatically sets PVID (native VLAN, ingress untagged) to configured VLAN. Will accept untagged packets or tagged packets with VLAN ID to which the port is a member - in this case the port is a member of only one VLAN.
Trunk mode VLAN: by default sets egress to tagged, supports multiple VLANs, does not set PVID (native VLAN, ingress untagged), native VLAN cannot be a configured Trunk VLAN or 4095 (discard VLAN).
General mode VLAN: by default sets egress to tagged, supports multiple VLANs, does not set PVID (native VLAN, ingress untagged), native VLAN can be any defined VLAN. Setting the PVID removes default vlan (VID=1) for that port.. PVID can be 4095 (discard VLAN). General mode allows mix of tagged and untagged VLANs in the egress direction.

[Wolfhwk]

L'unica applicazione che vedo nel general mode è in ambito server.

[pigi2pigi]

Io ho sempre visto per le porte dei comuni mortali:
una porta, una vlan, una subnet.
due vlan su una porta, boh, metto due ip ad una scheda e il pc lo metto su due vlan, e ci arrivo da due subnet senza routing

[lsx]

Quello che non capisco è se il port type general e riconducibile ad altri negli altri switch, per esempio alcuni (zyxel) hanno il port type "all" che suppongo sia lo stesso, nei TP-LINK di fascia alta esiste "general", nel TL-SG2210P (quello che volevo prendere) non sembra esserci mentre nel TL-SG3210 si.

Vi faccio un'altra domanda,
Se ho 3 switch L2 802.1Q e in ogni switch configuro una porta in trunk associata a tutte le vlan, se faccio confluire i tre cavi nell'asus(dovrebbe supportare il protocollo 802.1Q ma non permette di configurare nulla) cosa succede? i 3 switch si vedono e i pacchetti taggati vengono scambiati oppure vengono droppati e devo per forza collegare i tre switch direttamente?