Guide til subnetting

[NilsOF]

27 minutter siden, ATWindsor skrev:

hva er den ekstra nytten med å subnette om man har et ok VLAN-setup?

Routeren sin oppgave er å dirigere trafikken til riktig nettverk. En router vet ikke hva ett vlan er for noe.

Den vet derimot hvilke nettverk som befinner seg på interfacene

Under Linux behandles ett vlan på samme måte som ett nettverksinterface.

(i fra brukerens ståsted)

Man setter adresser og nettmaske på et vlan på akkurat samme måte som ett rent nettverksinterface.

 

Hvert subnett plasseres i hvert sitt vlan for å isolere de forskjellige nettverkene fra hverandre.

Man kan ha flere subnett i samme vlan, men beskyttelsen mellom subnettene vil være null.

 

Unntaket fra eget vlan for hvert subnett er om man vil bridge samen to vlan.

Da inneholder de to vlanene samme subnett.

 

 

Jeg bruker betegnelsen router om maskinbiten som styrer trafikken etter routingtabellen(e).

Ikke forveksle med det som i dagligtale er navnet på dingsen man får fra internettleverandøren.

Endret 5. november 2019 av NilsOF

[ATWindsor]

1 hour ago, NilsOF said:

Routeren sin oppgave er å dirigere trafikken til riktig nettverk. En router vet ikke hva ett vlan er for noe.

Den vet derimot hvilke nettverk som befinner seg på interfacene

Under Linux behandles ett vlan på samme måte som ett nettverksinterface.

(i fra brukerens ståsted)

Man setter adresser og nettmaske på et vlan på akkurat samme måte som ett rent nettverksinterface.

 

Hvert subnett plasseres i hvert sitt vlan for å isolere de forskjellige nettverkene fra hverandre.

Man kan ha flere subnett i samme vlan, men beskyttelsen mellom subnettene vil være null.

 

Unntaket fra eget vlan for hvert subnett er om man vil bridge samen to vlan.

Da inneholder de to vlanene samme subnett.

 

 

Jeg bruker betegnelsen router om maskinbiten som styrer trafikken etter routingtabellen(e).

Ikke forveksle med det som i dagligtale er navnet på dingsen man får fra internettleverandøren.

 

 

Du begrenser mulighetene en god del om du ikke kan kjøre tagged vlan via router. Og vlan isolerer jo nettverkene i seg selv, hva ekstra får du av å dele det opp i subnett?

[Teza]

Mente subnetting var måten IP adressene i nettverket ble delt opp på samt bestemme hvilken nettverksmaske som måtte benyttes og vlan var subnettene man endte opp med.

Det er tydligvis mer som jeg ikke har fått med meg?

 

 

 

[NilsOF]

1 time siden, ATWindsor skrev:

 

 

Du begrenser mulighetene en god del om du ikke kan kjøre tagged vlan via router. Og vlan isolerer jo nettverkene i seg selv, hva ekstra får du av å dele det opp i subnett?

Jeg kjører og har kjørt mange små og store brannmurer med vlantagging. Alle, uten unntak, har brukt vlantagging. ?

En brannmur med flere interfacer (inkludert vlan) er i bunn og grunn en router.

Poenget et at en router ikke vet hva et vlan er. Den behandler et vlan som ett hvilken som helst annet nettverksinterface.

Den ser kun nettverksadressene på hvert interface (inkludert vlan) og styrer trafikken etter det.

 

Grunnen til at vi må man ha subnett med nettverksadresser er for at routeren skal kunne styre trafikken til og fra riktig interface (inkludert vlan).

Dvs. ingen nettverksadresser, ingen routing.

Edit: har du satt nettverksaddresser så har du i praksis subnettet oppsettet ditt

 

Man kommer langt, og I de fleste hjemmenett helt i mål, med ett eneste gigabitinterface med vlan-tagging på en brannmur ( eller router som jeg også kan kalle det).

Endret 5. november 2019 av NilsOF

[ATWindsor]

1 hour ago, NilsOF said:

Jeg kjører og har kjørt mange små og store brannmurer med vlantagging. Alle, uten unntak, har brukt vlantagging. ?

En brannmur med flere interfacer (inkludert vlan) er i bunn og grunn en router.

Poenget et at en router ikke vet hva et vlan er. Den behandler et vlan som ett hvilken som helst annet nettverksinterface.

Den ser kun nettverksadressene på hvert interface (inkludert vlan) og styrer trafikken etter det.

 

Grunnen til at vi må man ha subnett med nettverksadresser er for at routeren skal kunne styre trafikken til og fra riktig interface (inkludert vlan).

Dvs. ingen nettverksadresser, ingen routing.

Edit: har du satt nettverksaddresser så har du i praksis subnettet oppsettet ditt

 

Man kommer langt, og I de fleste hjemmenett helt i mål, med ett eneste gigabitinterface med vlan-tagging på en brannmur ( eller router som jeg også kan kalle det).

 

Men du er vel enig i at vlan mister masse bruksområde om routeren ikke ser vlan? Jeg skjønner heller fortsatt ikke hva man tjener med denne subnettingen i tillegg? Om routeren ikke ser vlan, så mister man jo vlaninfoen om det er tagged vlan inn eller ut av routeren?

 

[NilsOF]

@ATWindsor muligens litt begrepsforvirring ute å går.

Med router så mener jeg den maskinbiten i nettverket som faktisk router nettverkspakkene til og fra nettverkene.

Denne maskinbiten gjør ikke noen forskjell på hvilken type interfacer den ser. Det kan være VPN, loopback, vlan, dsl, fiber osv.

Maskinbiten er typisk en del inne i en brannmur, eller inne i wifi-multi-boksen som ISPen sendte ut.

 

Så nei, maskinbiten som jeg kaller routeren ser ingen vlantagger.

Men det er som regel min jobb å sette netverksadresser på vlanene slik at routeren kan få gjordt jobben sin.

[ATWindsor]

1 hour ago, NilsOF said:

@ATWindsor muligens litt begrepsforvirring ute å går.

Med router så mener jeg den maskinbiten i nettverket som faktisk router nettverkspakkene til og fra nettverkene.

Denne maskinbiten gjør ikke noen forskjell på hvilken type interfacer den ser. Det kan være VPN, loopback, vlan, dsl, fiber osv.

Maskinbiten er typisk en del inne i en brannmur, eller inne i wifi-multi-boksen som ISPen sendte ut.

 

Så nei, maskinbiten som jeg kaller routeren ser ingen vlantagger.

Men det er som regel min jobb å sette netverksadresser på vlanene slik at routeren kan få gjordt jobben sin.

 

Om du har tagged vlan inn i ruteren, så mister du den informasjonen? Det er jo en vesentlig ulempe? Jeg skjønner ikke helt hvorfor det ikke er en vesentlig ulempe, det er masse routere som støtter vlan, og det er ikke uten grunn. Joa, vlan er teknisk sett lag 2, men routere ser lag2-ting, og mange switcher er delvis lag3, det er ikke så strenge skiller som før.

[NilsOF]

@ATWindsoringen informasjon er mistet. vlantaggen står i oppsettet samen med nettverksadressene. Akkurat dær de ble skrevet inn..

Det er vesentlig å forstå hvilken del som gjør hva for noe.

Det du kaller en router er en boks der bare en liten bit av maskineriet gjør den faktiske routingen.

 

[ATWindsor]

1 minute ago, NilsOF said:

@ATWindsoringen informasjon er mistet. vlantaggen står i oppsettet samen med nettverksadressene. Akkurat dær de ble skrevet inn..

Det er vesentlig å forstå hvilken del som gjør hva for noe.

Det du kaller en router er en boks der bare en liten bit av maskineriet gjør den faktiske routingen.

 

 

Om du ikke mister et sett tagged vlan når det går igjennom routeren, så støtter ruteren vlan.

[NilsOF]

@ATWindsori dette tilfellet tror jeg du må gå inn i boksen for å tenke litt.

[ATWindsor]

Se her feks:

 

https://help.ubnt.com/hc/en-us/articles/222183968-Intro-to-Networking-Introduction-to-Virtual-LANs-VLANs-and-Tagging

Man må ikke ha VLAN på ruteren, men det vil ikke fungere med tagget VLAN, og det er en i mine øyne en ganske stor begrensing.

[NilsOF]

@ATWindsorjeg behøver ingen introduksjon til vlan, jeg snakker det flytende!

Les nå litt hva jeg har skrevet bakover i denne tråden.

Ikke tenk boks, men tenk funksjon.

Og definitivt glem hva de enkelte produsenter kaller boksene sine.

Når du har splittet opp hva en slik boks faktisk gjør så er det hele faktisk ganske enkelt.

 

Endret 5. november 2019 av NilsOF

[ATWindsor]

35 minutes ago, NilsOF said:

@ATWindsorjeg behøver ingen introduksjon til vlan, jeg snakker det flytende!

Les nå litt hva jeg har skrevet bakover i denne tråden.

Ikke tenk boks, men tenk funksjon.

Og definitivt glem hva de enkelte produsenter kaller boksene sine.

Når du har splittet opp hva en slik boks faktisk gjør så er det hele faktisk ganske enkelt.

 

 

Jeg oppfordrer deg til å bruke ruter slik "alle andre" inkludert produsenter bruker det ordet. Ellers forvirrer vi bare folk. Om folk tror man ikke trenger VLAN-support i ruteren for å kjøre igjennom tagged VLAN, kommer folk til å gjøre bomkjøp. (ikke skjønner jeg at det er noen forskjell om man snakker funksjon heller, routerfunksjonen må støtte vlan, ellers funker det ikke med tagged vlan)

[NilsOF]

@ATWindsordu må nesten komme opp med bedre begreper jeg kan bruke.

Tror du må spesifisere hva du mener med subnetting også.

 

 

 

Endret 6. november 2019 av NilsOF

[ZoRaC]

18 timer siden, ATWindsor skrev:

Mulig jeg er litt treg, men hva er den ekstra nytten med å subnette om man har et ok VLAN-setup?

Hvis du har to VLAN med samme subnett, hvordan skal da routereN sende trafikken til riktig sted hvis f.eks 192.168.10.10 finnes i to nett? Så du må ha forskjellige subnett på VLANene. 
 

Og hvis du ikke bruker VLAN så kan noen koble en PC til kabelen til et utendørskamera og sette IP til klientnettet ditt på pcen sin, vipps så er de i klientnettet ditt! Med VLAN så er ikke det mulig, da bare kamera-nettet er tilgjengelig på den switchporten kameraet er koblet til. 

[ATWindsor]

7 hours ago, NilsOF said:

@ATWindsordu må nesten komme opp med bedre begreper jeg kan bruke.

Tror du må spesifisere hva du mener med subnetting også.

 

 

 

 

Begrepet du kan bruke for hva? Subnetting er å dele ip-nettverk inn i mindre nettsegment.

[ATWindsor]

58 minutes ago, ZoRaC said:

Hvis du har to VLAN med samme subnett, hvordan skal da routereN sende trafikken til riktig sted hvis f.eks 192.168.10.10 finnes i to nett? Så du må ha forskjellige subnett på VLANene. 
 

Og hvis du ikke bruker VLAN så kan noen koble en PC til kabelen til et utendørskamera og sette IP til klientnettet ditt på pcen sin, vipps så er de i klientnettet ditt! Med VLAN så er ikke det mulig, da bare kamera-nettet er tilgjengelig på den switchporten kameraet er koblet til. 

 

Routeren vil jo ikke gi samme adresse til to enheter om den ser begge vlanene? Like lite som den vil det om du feks har to switcher.

 

Ja? Det er jo nettopp det som er litt av poenget mitt, at VLAN ordner det meste av dette?

[ZoRaC]

33 minutter siden, ATWindsor skrev:

Routeren vil jo ikke gi samme adresse til to enheter om den ser begge vlanene? Like lite som den vil det om du feks har to switcher.

Routeren gir jo ikke noen IP - den router trafikk dit den skal. Hvis du sier du vil bruke samme subnett i to VLAN, så vil ikke rutingen fungere for da er det jo samme subnett på to forskjellige interface. 
 

35 minutter siden, ATWindsor skrev:

Ja? Det er jo nettopp det som er litt av poenget mitt, at VLAN ordner det meste av dette?

Men du skrev jo:

Sitat

Mulig jeg er litt treg, men hva er den ekstra nytten med å subnette om man har et ok VLAN-setup?

Svaret er som sagt at du må ha forskjellig subnett på hvert VLAN. 

 

(mulig jeg bruker feil begrep - med subnett mener jeg nettadresse)

[ATWindsor]

7 minutes ago, ZoRaC said:

Routeren gir jo ikke noen IP - den router trafikk dit den skal. Hvis du sier du vil bruke samme subnett i to VLAN, så vil ikke rutingen fungere for da er det jo samme subnett på to forskjellige interface. 
 

Men du skrev jo:

Svaret er som sagt at du må ha forskjellig subnett på hvert VLAN. 

 

(mulig jeg bruker feil begrep - med subnett mener jeg nettadresse)

 

Greit nok, de fleste lar routeren ta hånd om dhcp-delen også, men for å omformulere, hvorfor skal DHCP-serveren gi samme ip til to enheter? Men er jo egentlig enig med deg som sådan, det er bedre å bare ha egne subnett per vlan, sånn stort sett.

 

Lurer på om vi snakker litt forbi hverandre her? Ser ut som vi er enig, sånn egentlig? VLAN ordner det sikkerhetsmessige aspektet for webkameraporten, og man får ikke noe bedre ytelse heller av denne subnettingen?

 

 

[Floyd]

Er der noen vesentlig forskjell på dette (Vlan) og å sette opp DHCP til å gi ut f.eks 10.0.0.0/24 adresser på en port/nic og 10.0.1.0/24 adresser på en annen?

[NilsOF]

@Floyd Om du mener over to forskjellige vlan på samme netverksinterface vs. bruke to netverksinterfacer uten vlan, så nei.

Ulempe: Man må ha nok båndbredde for begge vlanene i det taggede interfacet.

Fordeler: Man sparer en port pr. ekstra  vlan med det taggede interfacet og også på switch. En patchekabel er også mere ryddig.

Endret 6. november 2019 av NilsOF

[Teza]

Det er tydelig at dette er et komplisert tema, til man forstår sammenhengen.
Det som trengs er nok en tråd med innføring i nettverk, kanskje den vil komme etter hvert.

 

 

[ZoRaC]

2 timer siden, ATWindsor skrev:

Greit nok, de fleste lar routeren ta hånd om dhcp-delen også, men for å omformulere, hvorfor skal DHCP-serveren gi samme ip til to enheter? Men er jo egentlig enig med deg som sådan, det er bedre å bare ha egne subnett per vlan, sånn stort sett.

Men DHCP har ikke noe med routing å gjøre. Man kan kjøre utelukkende med statiske IPer også og det er heller ikke noen automatikk i at router og DHCP-server er samme «boks».

Hvordan skal routeren vite hvor trafikk til 192.168.1.10 skal, hvis denne adressen eksisterer på

to interface?
 

2 timer siden, ATWindsor skrev:

VLAN ordner det sikkerhetsmessige aspektet for webkameraporten, og man får ikke noe bedre ytelse heller av denne subnettingen?

Enig.  

 

1 time siden, Floyd skrev:

Er der noen vesentlig forskjell på dette (Vlan) og å sette opp DHCP til å gi ut f.eks 10.0.0.0/24 adresser på en port/nic og 10.0.1.0/24 adresser på en annen?

 

Nei. Men VLAN er jo for å slippe å ha en fysisk port til hvert nettverk. Veldig tungvint med 3-4 wifi-aksesspunkt også, bare fordi man må ha en fysisk kabel for hvert nett.  

[ATWindsor]

31 minutes ago, ZoRaC said:

Men DHCP har ikke noe med routing å gjøre. Man kan kjøre utelukkende med statiske IPer også og det er heller ikke noen automatikk i at router og DHCP-server er samme «boks».

Hvordan skal routeren vite hvor trafikk til 192.168.1.10 skal, hvis denne adressen eksisterer på

to interface?
 

Enig.  

 

 

Nei. Men VLAN er jo for å slippe å ha en fysisk port til hvert nettverk. Veldig tungvint med 3-4 wifi-aksesspunkt også, bare fordi man må ha en fysisk kabel for hvert nett.  

 

Men igjen, hvorfor skal det være to enheter med samme IP? Den situasjonen skaper problemer (det gjør den forsåvidt uten VLAN også), men hvorfor skulle situasjonen oppstå i utgagnspunktet om man ikke framtvinger den?

[Floyd]

Da tror jeg at jeg har lært noe i dag også.

Så med Vlan kan jeg sette opp flere nett / SSID på hvert access point og ha isolerte nett pr SSID, så lenge AP og router støtter dette?