salve,vorrei capire come configurare delle vlan separate tramite uno switch e capire se quello che ho fatto è giusto
voglio che la connessione arrivi alla porta 1 e poi voglio che i dispositivi connessi alle porte 2 e 3 non possano vedere quelli connessi alle porte 4 e 5
GdiunG Per fare ciò che desideri prima di tutto sull'interfaccia del router a monte dello switch devono essere configurate le VLAN 1, 2 e 3 (la 1 puoi usarla per la gestione dello switch e per le porte dalla 6 alla 8).
Sul router devono anche essere configurate delle regole firewall che blocchino il routing tra le vlan 2 e 3.
Se vuoi mantenere le VLAN come mostrate nello screenshot devi configurare le porte così:
porta #1: VLAN 1 (untagged), 2 (tagged), 3 (tagged) - PVID #1
porte #2 e #3: solo VLAN 2 (untagged) - PVID #2
porte #4 e #5: solo VLAN 3 (untagged) - PVID #3
In questo modo puoi tenere separate le 2 reti ma non hai la necessità che i dispositivi a valle dello switch supportino necessariamente le VLAN (802.1Q). Questa è la configurazione più semplice possibile, poi puoi sempre adattarla all'uso specifico.
ho dimenticato di mettere il resto effettivamente,adesso mando il resto della configurazione che avevo fatto
edit: port pvid
avevo iniziato facendo cosi tentando di seguire una guida ma voglio essere certo di fare una cosa decente
Nella prima schermata mostra come sono assegnata le porte in base al tag VLAN selezionato in VLAN ID. In questo caso si vede che tutte le porte sono assegnate "U" - cioè "Untagged" alla VLAN 1. Di solito la VLAN 1 è considerata la "default VLAN", esiste sempre e le porte sono associate automaticamente come untagged. Quindi se non assegnate esplicitamente ad altre VLAN, sono assegnate a questa. Se selezione le altre VLAN si vede l'assegnazione delle porte.
Come dice scorpion, i dispositivi che non sono in grado di gestire le VLAN devono essere collegati a porte untagged (dette anche "access") assegnate alla VLAN desiderata. In questo modo lo switch inserirà il tag VLAN quando un pacchetto entra, e lo rimuove quando il pacchetto esce, così che il dispositivo non sa che fa parte di una VLAN. Ovviamente all'interfaccia possono arrivare solo i pacchetti per la VLAN assegnata. È però possibile così assegnare una singola VLAN alla porta - non ci sarebbe modo altrimenti di impostare una VLAN per i pacchetti in ingresso nello switch, quale delle N assegnare?
Le porte "tagged" (dette anche "trunk") possono essere invece associate a più VLAN. In questo caso lo switch non aggiunge/rimuove il tag di un pacchetto, ma si limita a leggerlo per verificare a quale VLAN appartiene e se quindi può passare dalla porta oppure no, e a quali destinazioni può arrivare. Il dispositivo che invia o riceve il pacchetto deve però essere in grado di gestire i dati in più nel pacchetto Ethernet usati per le VLAN.
Nel tuo caso, ipotizzando di avere un router internet e 4 dispositivi su due VLAN diverse, in genere la configurazione è porte untagged per i dispositivi assegnate alle rispettive VLAN, e una porta tagged invece per il router così che il router può ricevere e inviare pacchetti per tutte le VLAN assegnate. In questo caso però l'interfaccia Ethenet del router (o di altro dispositivo connesso) deve essere in grado di ricevere e inviare i pacchetti tagged e gestire quindi le VLAN. Se non è in grado, non potrà funzionare.
mando il resto
scusate il disturbo
i dispositivi non so se gestiscono la vlan
io farei che vlan 2 si connette direttamente ai dispositivo cablati e vlan 2 al "router"(netgear lo vende come ap ma ha una modalità router)
i dispositivi cablati non so se gestiscono o meno la vlan ,a loro basta collegarsi ad internet
a me basta che se connetto un pc di tes a vlan 2t o un telefono tramite adattore e cerco tutti i dispositivi locali della rete ,non mi trova anche i dispositivi/router di vlan 3
ovviamente se collego 2 dispositivi in vlan 2 voglio che possono comunicare tra di loro volendo
[cancellato] Come dice scorpion, i dispositivi che non sono in grado di gestire le VLAN devono essere collegati a porte untagged (dette anche "access") assegnate alla VLAN desiderata. In questo modo lo switch inserirà il tag VLAN quando un pacchetto entra, e lo rimuove quando il pacchetto esce, così che il dispositivo non sa che fa parte di una VLAN.
Se tengo la u (untagged)i dispositivi cablati a quella rete vedono che nella rete locale ci stanno solo quelli di quella vlan (più lo switch) senza vedere i dispositivi delle altre vlan?
Io pensavo di fare vlan 1 per la porta 1 e 2 (nella porta 1 ci sta il cavo del router primario,non so se possa creare casini o altro)
Vlan 2 almeno 2 porte e vlan 3 almeno 2 porte
Se faccio così va bene oppure cambio qualcosa?
Qua non ho bene capito
Dipende da cosa vuoi ottenere, e quali e quante VLAN devono essere assegnate ad ogni porta.
Tieni presente che la VLAN isolano. Se il traffico deve passare da una VLAN ad un'altra, ad esempio per uscire su Internet, qualcosa deve fare routing tra le VLAN, o meglio, le subnet associate alle VLAN.
Se la porta del router è solo sulla VLAN x, e altre porte sono sulla y e z, queste non vedranno mai il router. Ma se assegni più VLAN alla stessa porta, il dispositivo connesso deve essere in grado di riconoscerle e gestirle.
Le VLAN non sono 'magiche', sono semplicemente dati aggiunti ai pacchetti Ethernet, scritti, letti e interpretati dai dispositivi. Però siccome modificano la dimensione dell'header, non sono trasparenti per i dispositivi che si aspettano un header Ethrnet standard.
GdiunG Si va benissimo, l'importante è che su ogni porta ci sia una sola VLAN untagged (che corrisponde al PVID di quella porta). Poi sulla stessa porta possono esserci più di una VLAN tagged, che saranno però utilizzabili solo se il dispositivo collegato a quella porta supporta le VLAN. Un dispositivo che non supporta le VLAN vedrà solo quella impostata come untagged e assegnata come PVID.
scorpion Nella schermata VLAN Membership dovresti togliere la VLAN 1 dalle porte da #2 a #5.
In questo messaggio dicevo di togliere la VLAN 1 dalle porte che volevi dedicare alle VLAN 2 e 3, in quanto dallo screenshot era configurata come untagged su tutte le porte dello switch, incluse quelle che vorresti usare per le altre VLAN.
--
Per semplicità nel tuo caso puoi vederla in questo modo:
La porta collegata al router deve includere tutte le VLAN che vuoi utilizzare, ma solo una di esse può essere impostata come untagged e PVID: nel tuo caso può essere la 1 di default. Questa porta si comporterà da TRUNK (trasporterà tutte le VLAN dal router allo switch).
Ogni porta alla quale collegherai dei dispositivi deve essere assegnata solo alla VLAN che desideri usare su quel dispositivo. Tale VLAN deve essere impostata come untagged e PVID di quella porta. Il dispositivo che collegherai alla porta vedrà solo ciò che è nella sua stessa VLAN, senza essere a conoscenza del fatto che esistano delle VLAN o che lo switch stia instradando il relativo traffico in una di esse.
Nel router devi creare le varie VLAN (sulla porta alla quale è connesso lo switch) e delle regole per indicare al router come deve comportarsi con il traffico proveniente da ciascuna VLAN. Oltre a questo, in base alle necessità, puoi configurare molte altre cose (creare diversi server DHCP per ogni rete, regole NAT, ecc.)
Sto ovviamente semplificando molto il discorso, se qualcosa non ti è chiaro chiedi pure.
scorpion Nel router devi creare le varie VLAN (sulla porta alla quale è connesso lo switch) e delle regole per indicare al router come deve comportarsi con il traffico proveniente da ciascuna VLAN. Oltre a questo, in base alle necessità, puoi configurare molte altre cose (creare diversi server DHCP per ogni rete, regole NAT, ecc.)
Io volevo fare una cosa:ho visto che i fritzbox hanno la possibilità di fare accesso ospite via lan 4
(Non si puo accedere alla pagina sua)
Volevo fare vlan 4(accesso ospite via lan)--->switch managed
Il problema è che il fritzbox non sembra gestire le vlan
Io penso che l accesso ospite via lan 4 sia comunque una specie di vlan
Non ho bisogno di fare regole
A me interessa che questi dispositivi siano isolati e non possono accedere alla pagina del router e che quelli in vlan 2 non possano vedere il router/ap di vlan 3 e/o i dispositivi connessi a lui
In vlan 3 ho messo 2 porte anche se ne basta 1 per vedere se si vedono tra di loro
Edit:adesso mando screenshot di cosa ho cambiato
vlan configuration:
vlan membership vlan id 1:
vlan membership vlan id 2:
vlan membership vlan id 3:
port pvid:
GdiunG Non conosco come i Fritzbox gestiscano le VLAN ma se non le supportano e richiedono di utilizzare una porta dedicata per la seconda rete (LAN 4) puoi comunque farlo ma invece di avere una porta TRUNK (con le varie vlan tagged) dovrai collegare 2 cavi separati dal router allo switch:
Per quanto riguarda le altre porte potrai configurarle come vlan 1 oppure 2 (sempre untagged) in base a quali dispositivi vuoi che facciano parte della prima o la seconda rete.
In questo caso potrai avere in totale al massimo 2 VLAN (non 3 come nella configurazione precedente) e non potrai settare alcuna porta come tagged perché non avresti alcun dispositivo in grado di usarle.
io attualemente ho il router del mio operatore
a quel router ci sta in cascata un router/ap (wax 202)
se io mi connetto via cavo al wax 202 e digito l'ip del router primario, me lo trova
ho provato a fare come @[cancellato] aveva detto qualche mese in un altra mia discussione ma posso comunque accederci (sia al pc connesso al "router"(netgear lo vende come ap,ma ha una modalità router) via cavo sia col telefono connesso al wifi .
io vorrei evitare che i dispositi iot possano accedere alla pagina del router primario(il mio attuale router primario dell'operatore è lo zyxel dx 3301t0)
tra l'altro nemmeno l'ap/"router" wax 202 ha la possibilità di vlan
GdiunG Per impedire l'accesso al router dalla rete W-Fi devi creare una seconda rete Wi-Fi (SSID) impostata come Guest (ospite) che abbia solo accesso a internet e non al resto. Come farlo cambia in base al router/ap che stai utilizzando.
Lato ethernet invece se il router che utilizzi non supporta nativamente le VLAN ma permette di creare una rete guest separata l'unica strada percorribile è quella che dicevo sopra (2 cavi separati e switch che usa solo VLAN untagged, una per porta). In pratica sarebbe come dividere lo switch fisico in 2 switch virtuali separati (oppure usare direttamente 2 switch fisici separati).
GdiunG se io mi connetto via cavo al wax 202 e digito l'ip del router primario, me lo trova
Questo succede perché le porte del WAX 202 si comportano come un semplice switch quindi fanno tutte parte della rete principale e visto che il dispositivo non supporta le VLAN non hai modo di isolarle.
scorpion
ok ma se un cavo viene da accesso ospite(no pagina router principale) e l'altro da lan normale non c'è il rischio che si possa accedere alla pagina del router principale(che adesso è lo zyxel,ma che cambierei con il fritzbox/altro router con una funzione simile che collego alla presa telefonica
scorpion porta dedicata per la seconda rete
non so sinceramente se è una seconda rete,loro indicano che ha l'accesso ospite
GdiunG ok ma se un cavo viene da accesso ospite(no pagina router principale) e l'altro da lan normale non c'è il rischio che si possa accedere alla pagina del router principale
Se quella funzionalità del router (che non conosco) è pensata per tenere separata la rete principale (porte 1-3) da quella ospite (porta 4) non c'è alcun problema, ma per esserne sicuri bisogna controllare la documentazione del produttore.
Configurando lo switch come dicevo (una sola VLAN untagged per ogni porta) è come se avessi 2 switch fisicamente separati: uno per la rete principale (collegato a una delle porte 1-3 del router) e l'altro per la rete guest (collegato alla porta 4). Se colleghi un dispositivo a una porta dello switch assegnata alla VLAN 2 (ospite) esso potrà comunicare solo con la porta 4 (rete ospite) del router e gli altri dispositivi sulla stessa VLAN.
scorpion ok ma dopo allo switch ci collegherei l'ap router
io attualmente se vado nel browser e digito l'ip del router primario lo vedo comunque
io vorrei fare cosi anche per i dispositivi iot non cablati
oppure mi conviene fare
lan accesso ospiti--->switch unmanaged---->iot cablati ecc.
sempre da quello unmanaged lo collego a quello managed e poi da li ap
se faccio cosi i dispositivi cablati cosa vedono nella rete locale?
lato configurazione porte del managed tutto identico
quelli connessi allo switch stupido non devono vedere l'ap( e magari pure lo switch managed ma non so se si possa fare in qualche modo
io per testare se si vedono metto nel browser l'indirizzo ip locale dell'ap e dello switch e uso fing.
va bene oppure ci sta di meglio?
GdiunG Se vuoi che le porte dell'ap non abbiano accesso all'interfaccia di gestione del router l'unica soluzione nel tuo caso sarebbe quella di collegare l'ap alla rete guest (ma perderesti l'accesso alla rete principale da tutti i dispositivi wi-fi) oppure usare 2 ap separati, uno per la rete principale e l'altro per la guest (ma non mi sembra una soluzione ottimale).
Se i dispositivi che vuoi utilizzare non sono in grado di gestire le VLAN non c'è molto altro che tu possa fare.
GdiunG oppure mi conviene fare
lan accesso ospiti--->switch unmanaged---->iot cablati ecc.
Ok, ma poi non capisco cosa intendi con:
GdiunG sempre da quello unmanaged lo collego a quello managed e poi da li ap
se faccio cosi i dispositivi cablati cosa vedono nella rete locale?
lato configurazione porte del managed tutto identico
Purtroppo non è facile risponderti senza uno schema completo di cosa vuoi ottenere.
scorpion
scusa
adesso ho fatto uno schema
ditemi se non capite
lan ospiti= lan 4
pc 1 e pc 2 possono vedersi tra loro e andare su internet
non possono vedere l'ap (se possibile neppure lo switch managed)
nell altra vlan,dopo aver fatto il test dei 2 pc,ci collego uno dei due pc per vedere se vede il router(dovrebbe) e per vedere se vede il pc dell'altra vlan(non dovrebbe vederlo)
dai 2 telefoni uso fing per vedere e dovrebbero vedersi tra di loro e dovrebbero vedere pure l'ap
i pc nell'altra vlan non so,un pc nella stessa vlan idem
come altro posso testare?
ovviamente tutti devono poter andare su internet
@[cancellato] cito anche te che mi avevi aiutato
scorpion ma perderesti l'accesso alla rete principale da tutti i dispositivi wi-fi
Per me va bene
GdiunG adesso ho fatto uno schema
Dallo schema vedo che tutti i dispositivi in questione sono sotto la rete ospiti: se il router prevede il blocco dell'accesso all'interfaccia di configurazione teoricamente nessuno di quei dispositivi dovrebbe averne accesso. Alcuni router hanno anche una funzione chiamata "device isolation" (o qualcosa del genere) che serve a impedire che ogni dispositivo riesca a vedere gli altri collegati alla stessa rete, se il tuo router ce l'ha potresti usarla per permettere il solo accesso a internet.
Se quella funzione non è presente finché i dispositivi sono collegati tutti alla rete ospiti non credo sia possibile impedire che si vedano tra loro (ma dovrebbero comunque essere isolati rispetto alla rete principale).
Se hai questa esigenza io personalmente userei router, switch e AP tutti in grado di gestire le VLAN, così da poter creare delle VLAN dedicate all'utilizzo (rete principale, rete ospiti, rete IoT). Per ognuna di quelle reti poi potresti configurare delle regole di routing/nat/firewall e un SSID Wi-Fi dedicato nell'AP. In questo modo avresti totale controllo sia sui dispositivi cablati che su quelli connessi via Wi-Fi.
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
