Richiesta di conferma configurazione LAN (privata/ufficio)

[Art83]

Ciao a tutti....
dato che sto riprogettando la rete di casa/ufficio (stesso stabile), volevo sapere se per come l'ho concepita potrebbe andare bene!!

Passiamo ai dispositivi:

Router TP-Link TL-ER5210:
- Porta 1: WAN fibra telecom (192.168.0.x)
- Porta 2: Wan fibra infostrada (192.168.1.x)
- Porta 3: Vlan multiple (più vlan per i vari dispositivi) (10.10.1.x - 10.10.2.x - 10.10.n.x)
- Porta 4: Lan Privata 1 (192.168.10.x)
- Porta 5: Lan Privata 2 (192.168.20.x)

Switch Tp-link TL-SG2452 (collegato alla porta 3 del router):
- Vlan 1/2: wifi ospiti + wifi privata (10.10.1.x + 10.10.2.x) 12 porte --> 11 AP + 1 controller
- Vlan 3: stampanti (10.10.3.x) 3 porte
- Vlan 4: pc (10.10.4.x) 3 porte
- Vlan 5: videosorveglianza + allarme (10.10.5.x) 7 porte
- Vlan 6: centralino voip (10.10.6.x) 5 porte
- Vlan 7: nas (10.10.7.x) 5 porte

Controller Tp-Link AC500:
- Vlan 1: wifi ospiti (10.10.1.x)
- Vlan 2: wifi privata (10.10.2.x)

Switch unmanaged 16 porte: collegato alla porta 4 del router per lan privata 1 (192.168.10.x)

Switch unmanaged 16 porte: collegato alla porta 5 del router per lan privata 2 (192.168.20.x)

potrebbe andare fatta così?

le mie domande sono:

dalle lan private, posso vedere le vlan (tutte)??
le 2 lan private, possono vedersi tra loro?
dalla rete vlan, eventualmente, potrei vedere le lan private?

grazie!

[vanel86]

Quote:

Originariamente inviato da Art83

le mie domande sono:

dalle lan private, posso vedere le vlan (tutte)??
le 2 lan private, possono vedersi tra loro?
dalla rete vlan, eventualmente, potrei vedere le lan private?

grazie!

Se non implementi una rotta statica sul router, le vlan restano isolate tra di loro(che sarebbe dopotutto il motivo primario di far vlan). Ti conviene separare la parte videosorveglianza e voip in due vlan distinte, una terza vlan per wifi ospiti ed il resto in una vlan "ufficio". Per gli indirizzamenti bastano quattro classi C (tipo 192.168.4.x, 192.168.5.x, 192.168.6.x e 192.168.7.x), ciascuna classe C può contenere 254 indirizzi nella consueta configurazione /24 quindi salvo dover allestire un ambiente da PMI dovresti starci dentro alla grande.

[Art83]

Quote:

Originariamente inviato da vanel86

Se non implementi una rotta statica sul router, le vlan restano isolate tra di loro(che sarebbe dopotutto il motivo primario di far vlan). Ti conviene separare la parte videosorveglianza e voip in due vlan distinte, una terza vlan per wifi ospiti ed il resto in una vlan "ufficio". Per gli indirizzamenti bastano quattro classi C (tipo 192.168.4.x, 192.168.5.x, 192.168.6.x e 192.168.7.x), ciascuna classe C può contenere 254 indirizzi nella consueta configurazione /24 quindi salvo dover allestire un ambiente da PMI dovresti starci dentro alla grande.

rispondo tardi dati che imprevisti mi hanno fatto temporeggiare... e sono state apportate modifiche....

Router Tp-Link TL-ER5120
Switch Tp-Link Smart Managed T1600G-28TS (Layer2+)
Switch Tp-Link Easy Smart Managed TL-SG2216
Controller Wi-Fi Tp-Link AC500

praticamente ho un dubbio.... il router (TP-LINK TL-ER5120) è PORT BASED VLAN.... da cio dovrei intendere che posso utilizzare una sola vlan per porta nel router (giusto)???

se si, dovei praticamente impostare il router così:

- Porta 1: WAN fibra telecom (192.168.0.x)
- Porta 2: Wan fibra infostrada (192.168.1.x)
- Porta 3: Vlan Principale (192.168.254.x)

e di conseguenza sullo switch L2+ (T1600G-28TS) creare e gestire tutte le varie vlan con relativo servizio di server dhcp e le varie regole di routing

infine, riproporre le varie configurazioni anche sull'altro switch managed.

naturalmente lo switch principale, sara una sorta di router che pesca la wan dal tl-er5120 e dal quale poi creo le varie vlan.
il secondo switch sarà collegato in trunk e dovrò praticamente reinserire solo le varie vlan.... poi ci penserà il principale a fare routing...

dovrebbe essere così se non ho fatto confusione!!

grazie mille!

[malatodihardware]

Ciao,
non credo che quello switch possa fare da DHCP Server, forse al massimo da DHCP Forward.
Per dividere le varie VLAN ti consiglio inoltre un buon firewall (eventualmente anche una distro come pfSense o Opnsense) e non uno switch Layer 3, così puoi anche effettuare delle regole di QOS e banda per ogni VLAN.

Inviato dal mio Nexus 5X utilizzando Tapatalk

[vanel86]

Quote:

Originariamente inviato da Art83

rispondo tardi dati che imprevisti mi hanno fatto temporeggiare... e sono state apportate modifiche....

Router Tp-Link TL-ER5120
Switch Tp-Link Smart Managed T1600G-28TS (Layer2+)
Switch Tp-Link Easy Smart Managed TL-SG2216
Controller Wi-Fi Tp-Link AC500

praticamente ho un dubbio.... il router (TP-LINK TL-ER5120) è PORT BASED VLAN.... da cio dovrei intendere che posso utilizzare una sola vlan per porta nel router (giusto)???

se si, dovei praticamente impostare il router così:

- Porta 1: WAN fibra telecom (192.168.0.x)
- Porta 2: Wan fibra infostrada (192.168.1.x)
- Porta 3: Vlan Principale (192.168.254.x)

e di conseguenza sullo switch L2+ (T1600G-28TS) creare e gestire tutte le varie vlan con relativo servizio di server dhcp e le varie regole di routing

infine, riproporre le varie configurazioni anche sull'altro switch managed.

naturalmente lo switch principale, sara una sorta di router che pesca la wan dal tl-er5120 e dal quale poi creo le varie vlan.
il secondo switch sarà collegato in trunk e dovrò praticamente reinserire solo le varie vlan.... poi ci penserà il principale a fare routing...

dovrebbe essere così se non ho fatto confusione!!

grazie mille!

Il manuale del tplink sembra indicare la possibilità di avere più vlan per porta ma non si sa mai, conviene prenderne uno su Amazon, provare la configurazione e se non va rispedirlo indietro.

[Art83]

in pratica entrambi gli switch li ho già

la rete è così composta:

fibra telecom (192.168.1.1) + fibra infostrada (192.168.2.1)

router TL-ER5120 (vlan1 192.168.10.254)
Ethernet 1 - Wan1 (telecom 192.168.1.2)
Ethernet 2 - Wan2 (infostrada 192.168.2.2)
Ethernet 3 - Lan1 (vlan1) TRUNK

Switch T1600G-28TS (vlan1 192.168.10.253)
Ethernet 1 - Lan1 (vlan1) TRUNK con router
Ethernet 2 - switch TL-SG2216 TRUNK
Ethernet 3 - controller AC500 TRUNK (vlan1 192.168.10.251)

Switch TL-SG2216 (vlan1 192.168.10.252)
Ethernet 1 - Lan1 (vlan1) TRUNK con switch

infine sullo switch T1600G-28TS creo le varie altre vlan (3 / 4 / 5 quelle che siano di classe C.....) e setto le varie regole di route statiche ed eventualmente qos e limitazioni di banda.

la domanda è avendo collegato in trunk tra di loro questi dispositivi, le varie regole (route statiche, qos e limitazione di banda), le devo impostare solo su uno (switch principale) o anche su tutti gli altri??

invece le vlan a prescindere le devo creare su tutti!

giusto?

ecco cmq degli screen dello switch principale dei vari menù di configurazione.



il firewall l'ho sempre avuto, ma ho voluto dismetterlo... semplicemente perchè essendo un firewall 1u autocostruito (normalissimo pc itx con apu sempron e 6gb ram, lan realtek + pci-ex 4x intel con 4 porte gigabit il tutto funzionante con untagle) è sempre un pc soggetto a un qualsiasi malfunzionamento (ram, cpu alimentatore o altro) a differenza di periferiche dedicate solo a quella funzione.
quindi ecco il motivo per il quale l'ho escluso a priori!!

[vanel86]

Quote:

Originariamente inviato da Art83

in pratica entrambi gli switch li ho già

la rete è così composta:

fibra telecom (192.168.1.1) + fibra infostrada (192.168.2.1)

router TL-ER5120 (vlan1 192.168.10.254)
Ethernet 1 - Wan1 (telecom 192.168.1.2)
Ethernet 2 - Wan2 (infostrada 192.168.2.2)
Ethernet 3 - Lan1 (vlan1) TRUNK

Switch T1600G-28TS (vlan1 192.168.10.253)
Ethernet 1 - Lan1 (vlan1) TRUNK con router
Ethernet 2 - switch TL-SG2216 TRUNK
Ethernet 3 - controller AC500 TRUNK (vlan1 192.168.10.251)

Switch TL-SG2216 (vlan1 192.168.10.252)
Ethernet 1 - Lan1 (vlan1) TRUNK con switch

infine sullo switch T1600G-28TS creo le varie altre vlan (3 / 4 / 5 quelle che siano di classe C.....) e setto le varie regole di route statiche ed eventualmente qos e limitazioni di banda.

la domanda è avendo collegato in trunk tra di loro questi dispositivi, le varie regole (route statiche, qos e limitazione di banda), le devo impostare solo su uno (switch principale) o anche su tutti gli altri??

invece le vlan a prescindere le devo creare su tutti!

giusto?

ecco cmq degli screen dello switch principale dei vari menù di configurazione.



il firewall l'ho sempre avuto, ma ho voluto dismetterlo... semplicemente perchè essendo un firewall 1u autocostruito (normalissimo pc itx con apu sempron e 6gb ram, lan realtek + pci-ex 4x intel con 4 porte gigabit il tutto funzionante con untagle) è sempre un pc soggetto a un qualsiasi malfunzionamento (ram, cpu alimentatore o altro) a differenza di periferiche dedicate solo a quella funzione.
quindi ecco il motivo per il quale l'ho escluso a priori!!

Per esperienza i router l3 se non paghi son scadenti(e i tplink sono prodotti economici), fai fare la parte di rotte al router e non allo switch tplink o rischi colli di bottiglia legati al carico della cpu/ram. Sul router er crei le tre/quattro vlan sulla porta3, gli fai fare le rotte a lui e porti il trunk con le tre/quattro vlan al più vicino switch che propagherà il trunk allo switch successivo. Piuttosto che copia/incollare frames dell'interfaccia che dopo non ci si capisce un'ostia comunque vai su draw.io e fai un diagramma dei pezzi con idicate quali vlan portano o meno.

[Art83]

Ok... capito... il problema però è che il router (TL-ER5120), mi permette di creare una sola VLAN per porta!!

Di conseguenza, se volessi fare 3 VLAN... (ha 5 porte di cui 2 usate per le wan), dovrei collegare 3 cavi dal router allo switch (comunque 3 VLAN sono poche considerando quella di base che resta solo per la gestione)!!

Quindi a questo punto devo per forza utilizzare l’opzione firewall!!????


Inviato dal mio iPhone utilizzando Tapatalk

[vanel86]

Quote:

Originariamente inviato da Art83

Ok... capito... il problema però è che il router (TL-ER5120), mi permette di creare una sola VLAN per porta!!

Di conseguenza, se volessi fare 3 VLAN... (ha 5 porte di cui 2 usate per le wan), dovrei collegare 3 cavi dal router allo switch (comunque 3 VLAN sono poche considerando quella di base che resta solo per la gestione)!!

Quindi a questo punto devo per forza utilizzare l’opzione firewall!!????


Inviato dal mio iPhone utilizzando Tapatalk

Vai sulla pagina del produttore (https://www.tp-link.com/it/download/TL-ER5120.html), scaricati il manuale(https://static.tp-link.com/2018/2018...4_TL-ER_CG.pdf) e vai a pagina 40 a seguire, se guardi bene a pagina 42 ci sta una porta con DUE vlan.

[Art83]

hai ragione solo che non ho specificato io di avere la V.2 e il manuale di configurazione che mi hai citato è per la V.3 del router!!

edit: dovrebbe farlo anche il mio.... se non sbaglio!!

edit 2: stralcio dal manuale "TL-ER5120 provides the Port VLAN function, which allows you to create multiple logical VLANs for the
LAN ports based on their port numbers."

[vanel86]

Quote:

Originariamente inviato da Art83

hai ragione solo che non ho specificato io di avere la V.2 e il manuale di configurazione che mi hai citato è per la V.3 del router!!

edit: dovrebbe farlo anche il mio.... se non sbaglio!!

Vai sul tuo router e prova, se non sappiamo se puoi fare o meno le vlan da router stiamo tutti quanti perdendo tempo in quanto non abbiamo il quadro completo.

[Art83]

non c'è nessuna sezione per creare le vlan!

semplicemente questa è la pagina del router

[vanel86]

Quote:

Originariamente inviato da Art83

non c'è nessuna sezione per creare le vlan!

semplicemente questa è la pagina del router

Tra v2 e v3 sembra che l'unica differenza sia le gestione delle vlan. Mantenendosi con tre vlan(ufficio, ospiti e videosorveglianza+telefoni) riesci comunque a fare tutto il routing necessario via er5120.

[Art83]

il problema è che almeno 5 ne servono dato che sicuramente devo creare queste vlan:
- ufficio
- ospiti
- videosorveglianza+allarme
- voip
- privata

quindi come dicevo non posso venirne a capo se non:
- facendo gestire tutto allo switch
- riutilizzando il firewall (untangle) come router al posto del tp-link!