OT: VLANs bylo Re: mikrotik - jak oddelit pevne site?

Tomáš Koželuh mr.death na ipq.cz
Pátek Leden 14 13:32:38 CET 2022 

Doma raději čím míň VLAN tím lepší. Ale třeba kamery je lepší oddělit,
případně wifi pro návštěvy nebo děti a podobně. S VLANama pak přestává
platit, že člověk ví, co konkrétní port ve switchi dělá, je potřeba to
ověřovat. A zároveň bez znalostí bývá problém to dobře nastavit a tady už se
blbě radí, protože výrobce může mít různé chování v základním nastavení a
nebo i různě pojmenované věci. Např. Cisco a spousta dalších trunk/access a
HPE tagged/untagged, někdo používá PVID někdo ne, různá práce s hybridními
porty a podobně.
Obecně tedy, "hlavní šlauch" má všechny VLANy a ty jsou tagované (port bývá
označován jako trunk nebo tagged), stejným způsobem jde poslat dál do
dalšího switche (druhý trunk port vedoucí do dalšího switche). Rozvod
jednotlivých VLAN na jednotlivých portech je netagovaný (port bývá označován
jako access nebo untagged), sem se píchne koncové zařízení. A teď bacha na
režim hybrid, některý switche do něho přepnou automaticky a PVID nechají
netagovanou a zbytek tagovaný. Takže se může stát, že na tagovaných portech
je netagovaná třeba hlavní VLAN. Pak je potřeba ručně přepnout do režimu
trunk nebo PVID přenastavit na nějakou nepoužívanou VLAN, která vede odnikud
nikam. Takto se typicky chovají třeba bývalý 3Com (HPE řada 1910,1920 a
tuším i 1950, 5120 a 5130).
Taky je potřeba si ověřit, že switche nepouští dál žádnou jinou VLAN než tu
nastavenou, některý to ve výchozím stavu dělají.
A určitě je spousta dalších doporučení, na který jsem zapomněl a můžou
významně ovlivnit činnost sítě.


-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Martin Hanek
Sent: Friday, January 14, 2022 12:35 PM
To: hw-list na list.hw.cz
Subject: OT: VLANs bylo Re: mikrotik - jak oddelit pevne site?

Me by zajimalo asi obecne, chtel bych dat kamery do VLAN.
Router je pfSense: 
https://docs.netgate.com/pfsense/en/latest/vlan/index.html
a switche od TP-Linku (jsou 3 kusy), kde v nastaveni vidim:
- MTU VLAN
- Port Based VLAN
- 802.1Q VLAN
- 802.1Q PVID Setting

Koukam, ze na tom pfSense je jeden volny port. Co by bylo lepsi:
a) udelat tento port pouze pro VLAN a k nemu pripojit jeden switch, na
kterem bude vse ve vlan
b) udelat VLAN na standardnim LAN portu v routeru a nastavit i ty switche

V bode a) vidim problem, ze to nekdo prepoji do bezneho switche a zarzeni
bude v bezne LAN. Druhy bod bude asi slozitejsi.
Jak moc ma smysl delat tech VLAN hodne, treba extra pro kamery, extra pro
tiskarny atd.? Plati cim vice tim lepe?
Diky.

Martin Hanek

Dne 14.01.2022 v 12:01 Tomáš Koželuh napsal(a):
> Pokud byste potřeboval, můžu popsat detailněji soukromě nebo veřejně, 
> pokud by ještě někdo další stál o návod.

Další informace o konferenci Hw-list