VLAN podle MAC adresy

VLAN podle MAC adresy
« kdy: 01. 11. 2020, 15:24:49 »
Mám router MikroTik RP760iGS jako hlavní router. V každé místnosti mám switch 1x D-link DGS-1100-08, 1x DGS-1100-05 a jeden 16 portový bez řízení (ale firemní). V každé místnosti AP WiFi. Někde NASy (mám 3) a přehrávače videí, BD přehrávač, televize atd.

Rád bych si uspořádal VLANy abych to měl skupinově. Problém je že to nemůžu udělat po drátech protože např. na ether2 je ložnice a ten 16 portový switch kde jsou namíchané VLANy (kdybych je mohl popsat). Výhodnější by pro mě bylo kdybych mohl z dhcp serveru vybrat ty zařízení které patří do stejné VLANy bez toho na kterém drátu visí. A pak by paket letěl z mikrotiku skrz switch až do zařízení.

Šlo by to takhle nějak ? Nebo vyměnit ten "tupý" switch za ten co má řízení? Nicmáně v návodu k němu píší že VLAn předává dál.
Díky za rady.
« Poslední změna: 01. 11. 2020, 18:40:24 od Petr Krčmář »


Re:VLAN podle MAC adresy.
« Odpověď #1 kdy: 01. 11. 2020, 16:37:26 »
DHCP je L3 sluzba. VLAN je L2 znackovani paketu a s MAC adresou moc nesouvisi. Staticka konfigurace VLAN v ramci zarizeni ktera to umi bude pravdepodobne maximum co muzes udelat.

Re:VLAN podle MAC adresy.
« Odpověď #2 kdy: 01. 11. 2020, 16:44:41 »
Takže v podstatě vyměnit neřiditelný i když firemní dost dobrý switch za řiditelný (mám doma další řiditelné 8 portové switche, ale potřebuji 12 portů a spojovat se mi je nechce) a tam nastavit VLAN a to na každém switchi samostatně. a MiroTik by si to měl z těch switchů sám načist, nebo ne ?

5nik

  • ***
  • 142
    • Zobrazit profil
    • E-mail
Re:VLAN podle MAC adresy
« Odpověď #3 kdy: 01. 11. 2020, 23:23:14 »
Nepíšete co to je za firemní nespravovaný switch. Třeba bude umět client / port isolation a pak by se to možná dalo řešit např. pomocí surveillance / voip vlan na následném DGS-1100.
Spíše bych to ale viděl na tagování už přímo v koncových zařízeních - což zase ne každé zařízení umí.
Nejjednodušší opravdu bude, když tam dáte také spravovaný switch a VLANy nastavíte dle zařízení pro konkrétní porty.

Re:VLAN podle MAC adresy
« Odpověď #4 kdy: 02. 11. 2020, 06:51:59 »
<PRE>
switch musi umet VLAN .... nejenom propoustet tagovane pakety

  a) staticke prirazeni portu do vlan
  b) radius a 802.1x kdy se switch pri pruchodu prvniho paketu vyzve klienta k   
      autentikaci, pokud odpovi supplikant podle udaju radius posle atribut do
      jake vlany, jde nakonfigurovat MAB (mac authentication bypas), kdy
      switch predava MAC klienta a radius opet posila vlan do ktere zaradit .
  c) prastara zalezitost temer cisco proprietarni ... VMPS .... existuje VPMS
      server (open vpms) se snad jeste nekde da najit ... nebo se da spustit
      na switchich s CATosem (tezka historie) ....ktery funguje obdobne...
      protokolem vpms se zepta do jake vlam patri MAC a tu tam stouchne...


Re:VLAN podle MAC adresy
« Odpověď #5 kdy: 02. 11. 2020, 07:00:08 »

switch musi umet VLAN .... nejenom propoustet tagovane pakety

  a) staticke prirazeni portu do vlan

  b) radius a 802.1x kdy se switch pri pruchodu prvniho paketu vyzve
      klienta     k   autentikaci, pokud odpovi supplikant podle udaju radius
      posle atribut do jake vlany, jde nakonfigurovat MAB
      (mac authentication bypas), kdy switch predava MAC klienta a radius
      opet posila vlan do ktere zaradit .

  c) prastara zalezitost temer cisco proprietarni ... VMPS .... existuje VPMS
      server (open vpms) se snad jeste nekde da najit ... nebo se da spustit
      na switchich s CATosem (tezka historie) ....ktery funguje obdobne...
      protokolem vpms se zepta do jake vlam patri MAC a tu tam stouchne...
   
 nejlepsi je volba b) ale chce to inteligentni switche ..... a resit primo na portu klienta, na centralnim muzete udelat jen multiauthentikaci ,,, kde prvni klient zaradi vsechny ostatn do stejne vlan.

d) asi by pro vas bylo resenim mit jednu VLAN nasekat nekolik ip siti a pridelovat z DHCP do ruznych IP subnetu ..... mit na default GW nekolik IP address .... pak muzete filtrovat provoz mezi ip sitemi ... a rozhazovat je dhcpkem ..... pokud switch dovoli udelat DHCP snooping a ARP Inspection ... ktera vam zajisti ze klient si musi vzit IP od dhcp a nemuze svazete na vstupnim portu IP s MAC  a nedovoli podvrhnou nebo si vylhat jinou IP nez dava DHCP.... ale zas je to docela cunarna...

Re:VLAN podle MAC adresy
« Odpověď #6 kdy: 02. 11. 2020, 07:10:26 »
jeste me napadla jedna cunarna .....
resit to ze strany klienta ...

tj vsechny porty switchu mit v modu trunk .... tj jako propoj mezi switchi ktery bere vsechny vlany... a jednu vlanu na vsech switchich bez tagu (native vlan) ... a potom na klientech nastavit vlan tag ( tj klient si sam oznackuje do jake vlany patri)

ti kteri tag nenastavi pojedou v native vlan .... ale pak si klent sam urcuje do jake vlan patri...

spiis napiste proc to chcete delat
... da se to obejit i jinak ... treba vybrani klienti maji PPOE a tim, prestoze jsou na stejnem eth segmentu si ustavuji
spojeni primo s GW a taak .... nebo full tunel VPN pro secure klienty ....

Re:VLAN podle MAC adresy
« Odpověď #7 kdy: 02. 11. 2020, 07:21:26 »
a jeste jedna cunarna
v cisco svete existuje neco cemu se rika automacros
kdy muzete psat makra na porty k jednotlivym eventum .....

takze pri [link up] vyhodnoti MAC a podle scriptu ji soupne do spravne VLAN
ale to uz je dost hnusna uchylnost .... navic udrzujete script na kazdem switchi zvlast .... da se zautomatizovat ... ale je to uchylny ....

ale zas dneska se daji sehnat cisco switche s docela peknejma vlastnostma vyrazeny z korporatniho prostredi ktere maji dost slusny vykon a vlastnosti za hubicku .... jen jsou END of support ... takze mit jeden do zasoby -)))

opravdu mi prijde ze pokud chcete delat prirazeni do vlan podle MAC nebo podle jmena, hesla je pro vas 802.1x spravna standartni cesta

Re:VLAN podle MAC adresy
« Odpověď #8 kdy: 02. 11. 2020, 07:29:57 »

Re:VLAN podle MAC adresy
« Odpověď #9 kdy: 02. 11. 2020, 09:31:56 »
Dovolim si prispiet do temy.

Existuje napriklad pri DELL prepinacoch ktore maju L2+ funkcie (DELL PowerConnect 6200 series -> starsie, alebo N2000 series -> novsie)

V global configu:
vlan association subnet 192.168.10.0 255.255.255.0 10
vlan association subnet 192.168.12.0 255.255.255.0 12

Potom per interface sa da spravit krasne -> default vlan kde si ziada o IP (DHCP server na zaklade MAC adresy priradi IP) a potom ho switch kopne cez vlan association do spravnej vlany.

Samozrejme to funguje aj na zaklade statickej IP... Nastavi si klient staticku IP na zaklade ktorej ho sam switch zaradi do spravnej vlany.


Tieto switche (6200 series) sa daju kupit od 50eur s tym, ze su aj 10Gbit uplinkove moduly a daju sa stackovat. Pripadne novsie (stale sa predavaju a maju support) N2000 series, ktore maju uz 2x SFP+ a vedia sa stackovat. Tie sa daju kupit refub od 250e do 1000e cez ebay.



MM.



Re:VLAN podle MAC adresy
« Odpověď #10 kdy: 02. 11. 2020, 09:37:12 »
Díky za odpověď. Zatím nechci doma v části sítě zavádět 10gbit. Jednak moje NASy zvládají jen 1gbit a pak bych musel měnit plotnové disky minimálně na SASy aby ten fofr zvládli zapisovat. Nicméně je to všechno k ničemu když televize 4K UHD má 100mbit kartu a zvládá z youtube nebo i přímo z nasu přehrávat film 4K 60fps, takže 1gbit úplně stačí.
Takže moje rozhodnutí. jednak jsem koupil v číně sfp rj45 gipsík a využiju sfp na routeru. Využiju stávající cat6 kabel do obýváku a tam vyměním "tupý" switch za d-lin dgs-110016 který je podobný jako ty 1100-05 a 1100-08 co mám, jen má vyšší výkon. Bohužel nemá sfp abych natáhl optiku z routeru.