Velký RD - topologie / VLAN / Nastavení

Velký RD - topologie / VLAN / Nastavení
« kdy: 11. 06. 2020, 14:07:17 »
Zdravím vespolek,

Rád bych se přiučil něčemu novému a tak chci rozdělil domácí síť a zařízení do VLAN tak, aby to dávalo smysl.

Doteď jsme měli vše na stejném subnetu, takže nebyl problém, aby mi tchán z 1. patra pustil z aplikace YouTube jeho telefonu stream do mé TV - není to úplně ono  ;D

Berte to tak, že každé patro je jeden nájemce (nikoliv 3. generační dům) a chce:

- mít svoji vlastní síť
- dívat se na kamary - NAS
- zálohovat na NAS
- přenášet soubory na NAS
- pouštět na své TV video z NAS (jako Media Server - DS Video)
- odesílat stream z telefonu do své TV

Celá síť je 1Gbit a přepínače jsou TP-LINK SG108E a SG105E -> https://www.tp-link.com/cz/business-networking/all-switch/tl-sg108e/

Vše bych chtěl routovat na EdgeRouterX.

Kdybych něco v rámci učení o VLAN nepochopil nebo byste VLAN v rámci mého účelu rozdělili jinak budu za vaše věcné názory vděčný :)

Předem moc děkuju za Váš čas.


Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #1 kdy: 11. 06. 2020, 14:37:30 »
Zapomnel jsem dodat ze Jako NVR pro dve cinske kamey slouzi tez NAS.

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #2 kdy: 11. 06. 2020, 14:42:40 »
neumožňuje Unifi na jedno AP jen 4 SSid ? tj 4  VLany ?

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #3 kdy: 11. 06. 2020, 15:04:04 »
Pokud nevyuzivate wireless uplink monitor (ani wireless uplinky), umi napr. AP AC Pro az 8 SSIDs.
https://community.ui.com/questions/How-can-I-configure-more-than-4-SSID-on-one-single-AccessPoint/6c051cd9-74d3-4f96-a4b4-db1e8ea21f81

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #4 kdy: 12. 06. 2020, 00:14:12 »
Super plán, měl bych jen tři tipy.
1) SSID pro management bych nevytvářel
2) Předpokládám, že nevyužiješ v každé vlan 254 adres, proto bych použil masku /26 nebo /27
3) U unifi lze přidávat vlan i na konkrétní zařízení(na základě MAC), takže v jednom SSID může být i několik vlan


Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #5 kdy: 12. 06. 2020, 00:35:07 »
Ještě jsem si všiml, že telky jsou všechny vlan 50, možná by bylo lepší, je umístit do vlan každého patra, ať nemusíš nastavovat pravidla pro každou IP ale rovnou na vlan.

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #6 kdy: 12. 06. 2020, 08:01:12 »
Super plán, měl bych jen tři tipy.
1) SSID pro management bych nevytvářel
2) Předpokládám, že nevyužiješ v každé vlan 254 adres, proto bych použil masku /26 nebo /27
3) U unifi lze přidávat vlan i na konkrétní zařízení(na základě MAC), takže v jednom SSID může být i několik vlan

2] /26 /27?  A to jako proc? Proc by si mel kazit sit zbytecnym zmensovani subnetu s dusledkama v cislovani?

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #7 kdy: 12. 06. 2020, 11:27:43 »
Pokud nevyuzivate wireless uplink monitor (ani wireless uplinky), umi napr. AP AC Pro az 8 SSIDs.
https://community.ui.com/questions/How-can-I-configure-more-than-4-SSID-on-one-single-AccessPoint/6c051cd9-74d3-4f96-a4b4-db1e8ea21f81

Pokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.

Super plán, měl bych jen tři tipy.
1) SSID pro management bych nevytvářel
2) Předpokládám, že nevyužiješ v každé vlan 254 adres, proto bych použil masku /26 nebo /27
3) U unifi lze přidávat vlan i na konkrétní zařízení(na základě MAC), takže v jednom SSID může být i několik vlan

1) To je asi rozumný skrz omezení na SSID. Holt to budu managovat přes kabel.
3) Z toho mám celkem kopřivku a rád bych se tomu vyhnul.

Ještě jsem si všiml, že telky jsou všechny vlan 50, možná by bylo lepší, je umístit do vlan každého patra, ať nemusíš nastavovat pravidla pro každou IP ale rovnou na vlan.

Vzhledem k omezením na 4SSID to budu muset stejně celý překopat. Napadají mě tedy další dvě varianty:


Bugsa

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #8 kdy: 12. 06. 2020, 12:07:25 »
Za mě na domácí síť šíleně složité.

Co takto?

- Každé patro svojí VLAN s Wifi ve stejné VLAN
- Wifi pro hosty s jinou VLAN, patřičně ošetřenou ve FW, aby mohla jen do internetu
- Všechna zařízení, která mají být sdílená, do stejné VLAN a pak ve FW nastavit kdo kam může

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #9 kdy: 12. 06. 2020, 12:41:43 »
Za mě na domácí síť šíleně složité.

Co takto?

- Každé patro svojí VLAN s Wifi ve stejné VLAN
- Wifi pro hosty s jinou VLAN, patřičně ošetřenou ve FW, aby mohla jen do internetu
- Všechna zařízení, která mají být sdílená, do stejné VLAN a pak ve FW nastavit kdo kam může
Uplny suhlas (az na sigle VLAN), chcelo by to vsak vyuzit Unifi USG-Pro a rovnako Unifi switche a cela konfiguracia je na pana
Vsetko pod jednym Unifi management controllerem
- kamery urcite v samostatnej VLAN
- guest WiFi dtto - odtienit len pre WAN. Vyborny Guest Hospot portal, dostupny aj cez Smart App
- vratane Deep packet inspection a skveleho IPS

Inak budete musiet kazdy jeden switch, AP a i router nastavovat cez samostatne rozhranie.

Unifi kontroller strcit do Synology NASu ako Docker container a mate izolovane riesenie managementu s 3 sec. fal-back v pripade akehokolvek problemu (update/upgrade problem, blba konfiguracia, ...). Viacej najdete na nezavislom fore k tymto vsetkym temam na https://www.synoforum.com/

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #10 kdy: 12. 06. 2020, 13:15:50 »
Za mě na domácí síť šíleně složité.

Co takto?

- Každé patro svojí VLAN s Wifi ve stejné VLAN
- Wifi pro hosty s jinou VLAN, patřičně ošetřenou ve FW, aby mohla jen do internetu
- Všechna zařízení, která mají být sdílená, do stejné VLAN a pak ve FW nastavit kdo kam může
Uplny suhlas (az na sigle VLAN), chcelo by to vsak vyuzit Unifi USG-Pro a rovnako Unifi switche a cela konfiguracia je na pana
Vsetko pod jednym Unifi management controllerem
- kamery urcite v samostatnej VLAN
- guest WiFi dtto - odtienit len pre WAN. Vyborny Guest Hospot portal, dostupny aj cez Smart App
- vratane Deep packet inspection a skveleho IPS

Inak budete musiet kazdy jeden switch, AP a i router nastavovat cez samostatne rozhranie.

Unifi kontroller strcit do Synology NASu ako Docker container a mate izolovane riesenie managementu s 3 sec. fal-back v pripade akehokolvek problemu (update/upgrade problem, blba konfiguracia, ...). Viacej najdete na nezavislom fore k tymto vsetkym temam na https://www.synoforum.com/

Rozumím celkovému Unify řešení - líbilo by se :), ale:

USG-PRO + 5x US-8 = 8000 + 5 x 2600 = 21.000,-
vs
EdgeRouterX + 3x SG108E = 1300 + 3x800 = 3.700,-

Optikou bežné domácnosti je to velký rozdíl myslím. Synology máme DS2XXplay na který bohužel nedám Docker, ale mám CloudKey, takže UnifyController mám zajištěný.

Nepřijde Vám bezpečnostní riziko dávat:
- Síťové prvky do VLAN patra? Nevyužít MGMT VLAN?
- Jablotron EZS do stejné sítě jako Suteren VLAN
- Chytré krabičky typu UPC STB (black box), Android TV, tiskárny, smartTV na stejnou VLAN patra?

poznámka: V přízemí je Android MiBox a tiskárna bez ethernet portu - pouze WIFI.


Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #11 kdy: 12. 06. 2020, 13:58:29 »
rozumiem, ak porovnavete len cenu, tak Edgerouter je vitaz. No doubt.

ak vsak hladate zabezpecenie Vasej siete, tak Edgerouter X je proste nieco, co nemozete porovnanvate s USG-Pro.
Od nastavenia IPS - Inernet Prevention System mam pokoj v spanku. To Vam EdgeRouter X neda.

Ak vsak mate WAN speed na urovni 20/5Mbps, tak zostante u EdgeRouter X. Ak ste na 100Mbs (nemyslim nazov na zmluve o pripojeni), tak by ste nemal Vahat. Pretoze ten router nekupujete na 1 rok. A ak budete nahodou v buducnosti potrebovat Site to Site VPN, tak to uz vobec nie.
V neposlednom rade izolovany controller pre Edgerouter seriu neexistuje. Dalsia neocenitelna vyhoda pre Unifi controller v Dockeri na NAS. Cloud Key stal peniaze, ktore ked pripocitate k rozdielu medzi tie dva routre, tak sa znizuje. CloudKey je pre mna vyhodeny naklad na uplne zbytocny kus HW, ktoreho vyhody su otazne, ak vobec.

Ano, suhlasim, s entry level NAS ako je DS2xxplay vela vody nenamutite.
Drzim Vam palce!

5nik

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #12 kdy: 15. 06. 2020, 13:55:25 »
Já bych se nad tím zamyslel z pohledu požadovaných funkcí. Spoustu streamování (DLNA, Miracast apod.) funguje po multicastu, někdy broadcastu (discovery). Pokud bude zdroj a cíl v jiné síti (VLANě) nemusí to fungovat.
Z tohoto pohledu bych doporučoval VLANy spíše dle pater, management "páteřních" prvků (AP, switche) do samostatné VLANy, IoT (zabezpečovačka, kamery apod) také samostatně.
V podstatě se kloním k tomu poslednímu návrhu + pár změn (mgmt a IoT vlana). Obávám se, že streamování pomocí DLNA ze Synology na TV v různých vlanách nebude fungovat. Pokud budou smartTV a polezou na NAS samy pomocí SMB, tak problém nebude.
Pokud máte AP umístěné půdorysně cik-cak (ne přímo nad sebou), můžete do každého AP poslat i sousední VLANu (do prostředního patra všechny) a případně tak rozšířit pokrytí v rámci pater.
« Poslední změna: 15. 06. 2020, 13:58:24 od 5nik »

JBB

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #13 kdy: 15. 06. 2020, 16:11:06 »
No zeptám se možná úplně blbě: je nějaký důvod se doma trápit s nastavovaváním switchů a vlan? Pomocí subnets by to nestačilo?

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #14 kdy: 15. 06. 2020, 16:33:51 »
Citace
Pokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.
Je to skutečně 8 SSID, tj. 8+8. Potřebujete jen aktuální controller + AP firmware a připojení kabelem, ne přes wifi uplink.
(Praktičtější při tolika SSID je ale použít WPA2-Enterprise, tj. mít jedno SSID s WPA2-Enterprise a podle toho, kdo se přihlásí, ho zařadit do správné VLAN; je k tomu potřeba RADIUS server. Eventuelně možná druhé SSID pro hosty, pokud jim nechcete generovat dočasné přístupové jméno.)