1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. VLAN v ZyWALL USG 100
« předchozí další »
Stran: [1]

VLAN v ZyWALL USG 100

  • 2 Odpovědí
  • 2406 Zhlédnutí

DeliriuM

VLAN v ZyWALL USG 100
« kdy: 04. 02. 2015, 15:28:07 »
Dobrý den,
žádám Vás o radu, jakožto nováček ve správách sítě. Dostal jsem za úkol rozdělit sítě pomocí vlan. Když jsem se o to snažil já, tak jsem bloknul přístup svého PC k LAN. Máte s tím někdo zkušenosti, nebo rady/tipy? Vím jak to principialně funguje, ale v tom nastavené routeru se nemůžu vyznat..
« Poslední změna: 04. 02. 2015, 21:27:27 od Petr Krčmář »
IP zaznamenána

Reklama

  • * * * * *

ToJeJedno

Re:VLAN v ZyWALL USG 100
« Odpověď #1 kdy: 05. 02. 2015, 09:08:05 »
Dobry den,

urcite ste si prestudovali manualy ftp://ftp.zyxel.com/ZYWALL_USG_100/
IP zaznamenána

Mirek Prýmek

  • *****
  • 9 260
    • Zobrazit profil
    • E-mail
Re:VLAN v ZyWALL USG 100
« Odpověď #2 kdy: 07. 02. 2015, 10:25:45 »
Citace: DeliriuM  04. 02. 2015, 15:28:07
Když jsem se o to snažil já, tak jsem bloknul přístup svého PC k LAN. Máte s tím někdo zkušenosti, nebo rady/tipy?
To je asi jako bys napsal "chtěl jsem jet do Prostějova, ale skončil jsem v Přerově, nevíte, co jsem udělal blbě?" -- No, asi jsi někde zabočil ;)

Obecné rady pro VLANy:
1. pokud si nejsi úplně jistej v kramflecích, je dobré si na switchi vybrat jeden port, do kterého nebudeš vrtat (aby sis neodřízl přístup ke konfiguraci switche). Nastavuj jiné porty a otestuj tak, že počítač přehodíš do toho jiného portu a pokud to nefunguje, tak zpátky do toho nerozvrtaného.

2. jeden port může být členem více vlan.

3. VLAN 1 může mít speciální význam "sem vidí všichni"

4. provoz VEN ze switche: každý port může být buď tagovaný (někdy tomu říkají matoucím "trunk") nebo netagovaný - k tagovaným portům připojuješ zařízení, které VLANy umí a zároveň potřebuješ, aby komunikovalo s více VLANami a zároveň chceš, aby vědělo, se kterou VLANou komunikuje.

5. provoz DOVNITŘ: každý port má nastavenou "defaultní" VLAN. Pokud na port přijde netagovaný paket, tak se pošle do defaultní VLANy. Např. na NETGEARU se tohle jmenuje "PVID".

Příklad: máš VLANu 10 pro interní síť a 11 pro hosty, port 1 jde k routeru, port 2 je zásuvka pro hosty, na porty 3,4,5 jsou připojené interní počítače

Nastavení:

1. na routeru vytvoříš rozhraní schopné přijímat tagované pakety + na něj navěsíš virtuální rozhraní, ze kterých polezou pakety VLAN 10 a 11 (routuješ, firewalluješ atd. podle pravidel, která chceš mít pro interní počítače a pro hosty).

2. port 1 bude členem 10 a 11 tagovaných, defaultní VLAN je třeba 1, nebo nic, pokud to switch umožňuje

3. port 2 bude členem JENOM VLAN 11 netagované, defaultní VLAN 11

4. porty 3,4,5 budou členem jenom VLAN 10 netagované, defaultní VLAN 10

Všimni si, že pokud u netagovaného portu nastavíš "příchozí" VLANu jinak než "odchozí" (defaultní), nebude ti ping fungovat, protože  pakety projdou jenom jedním směrem. Samozřejmě pokud mají dva stroje komunikovat, musí být členem stejné VLAN, ale to asi víš.
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. VLAN v ZyWALL USG 100