OT: VLANs bylo Re: mikrotik - jak oddelit pevne site?

[Martin Hanek]

Doma mam router s OpenWRT, NAS server Synology, kameru nahravajici na 
NAS, teplomer co posila do Internetu, pocitace pres LAN, a na WiFi 
tiskarnu, mobily a tablety.
WiFi pro navstevy umi sam router. Kamere jsem nastavil spatnou branu, 
aby se nikam nedostala. Ale asi by to umela obejit. Leda ji blokovat 
odchozi spojeni do WAN na routeru.
Kdyz dam kameru do VLAN, tak bych musel resit jeji pristup na NAS (mozna 
se pripojuje NAS na ni, to ted nevim). Takze bych si asi moc nepomohl.

A co treba v male firme?
WiFi pro hosty umi UniFi SDN controller s AccessPointy, kde je kompletne 
blokovany pristup do lokalni site.
Napriklad kamery a tiskarny do VLAN by sly. Staci jedna VLAN nebo dve?
Jenze ty tiskarny treba skenuji a ukladaji pres SMB na firemni server 
nebo posilaji mailem. Kdyz je dam do VLAN, tak to musim zase nejak 
nastavit nebo ne?

Z toho co jste napsal nejsem moc moudry, budu muset nastudovat 
terminologii.

Martin Hanek

Dne 14.01.2022 v 13:32 Tomáš Koželuh napsal(a):
> Doma raději čím míň VLAN tím lepší. Ale třeba kamery je lepší oddělit,
> případně wifi pro návštěvy nebo děti a podobně. S VLANama pak přestává
> platit, že člověk ví, co konkrétní port ve switchi dělá, je potřeba to
> ověřovat. A zároveň bez znalostí bývá problém to dobře nastavit a tady už se
> blbě radí, protože výrobce může mít různé chování v základním nastavení a
> nebo i různě pojmenované věci. Např. Cisco a spousta dalších trunk/access a
> HPE tagged/untagged, někdo používá PVID někdo ne, různá práce s hybridními
> porty a podobně.
> Obecně tedy, "hlavní šlauch" má všechny VLANy a ty jsou tagované (port bývá
> označován jako trunk nebo tagged), stejným způsobem jde poslat dál do
> dalšího switche (druhý trunk port vedoucí do dalšího switche). Rozvod
> jednotlivých VLAN na jednotlivých portech je netagovaný (port bývá označován
> jako access nebo untagged), sem se píchne koncové zařízení. A teď bacha na
> režim hybrid, některý switche do něho přepnou automaticky a PVID nechají
> netagovanou a zbytek tagovaný. Takže se může stát, že na tagovaných portech
> je netagovaná třeba hlavní VLAN. Pak je potřeba ručně přepnout do režimu
> trunk nebo PVID přenastavit na nějakou nepoužívanou VLAN, která vede odnikud
> nikam. Takto se typicky chovají třeba bývalý 3Com (HPE řada 1910,1920 a
> tuším i 1950, 5120 a 5130).
> Taky je potřeba si ověřit, že switche nepouští dál žádnou jinou VLAN než tu
> nastavenou, některý to ve výchozím stavu dělají.
> A určitě je spousta dalších doporučení, na který jsem zapomněl a můžou
> významně ovlivnit činnost sítě.
>
>
> -----Original Message-----
> From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Martin Hanek
> Sent: Friday, January 14, 2022 12:35 PM
> To: hw-list na list.hw.cz
> Subject: OT: VLANs bylo Re: mikrotik - jak oddelit pevne site?
>
> Me by zajimalo asi obecne, chtel bych dat kamery do VLAN.
> Router je pfSense:
> https://docs.netgate.com/pfsense/en/latest/vlan/index.html
> a switche od TP-Linku (jsou 3 kusy), kde v nastaveni vidim:
> - MTU VLAN
> - Port Based VLAN
> - 802.1Q VLAN
> - 802.1Q PVID Setting
>
> Koukam, ze na tom pfSense je jeden volny port. Co by bylo lepsi:
> a) udelat tento port pouze pro VLAN a k nemu pripojit jeden switch, na
> kterem bude vse ve vlan
> b) udelat VLAN na standardnim LAN portu v routeru a nastavit i ty switche
>
> V bode a) vidim problem, ze to nekdo prepoji do bezneho switche a zarzeni
> bude v bezne LAN. Druhy bod bude asi slozitejsi.
> Jak moc ma smysl delat tech VLAN hodne, treba extra pro kamery, extra pro
> tiskarny atd.? Plati cim vice tim lepe?
> Diky.
>
> Martin Hanek
>
> Dne 14.01.2022 v 12:01 Tomáš Koželuh napsal(a):
>> Pokud byste potřeboval, můžu popsat detailněji soukromě nebo veřejně,
>> pokud by ještě někdo další stál o návod.
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list