Как добавить vlan на один порт?

[Lokipo]

Добрый день! я новичок, подскажите может ли кинетик создать еще один влан на том же порту? цель создать две подсети независимые друг от друга, у меня сейчас 1 порт wan и остальные 3 как коммутатор работают, или же нужно покупать управляемый коммутатор и там уже все делать , сегмент я добавлял , прописывал подсеть нового сегмента на компе и не находит ее но при этом по вай фай норм подключается к новому сегменту

[KeenTaur]

Сейчас у вас по всем трем LAN-портам ходят только пакты, принадлежащие сегменту "Crb zspd". Причем, в нетегированном виде. Пакеты остальных сегментов через LAN-порты сейчас не передаются ни в каком виде.

Допустим, вы хотите подключить через порт LAN 2 проводом компьютер в сегмент "Гостевая сеть" не используя тегирование (например, вы не знаете, поддерживает ли сетевая карта компьютера тегирование). Для этого необходимо сначала для порта 2 указать, что он не входит в сегмент "Crb zspd". Затем, для порта 2 задать, что он входит в сегмент "Гостевая сеть".

Будет вот так:

 

В данном случае, управляемый коммутатор вам не потребуется.

Возможны и более сложные случаи, когда через один порт вам потребуется передать пакеты для разных сегментов.

[Lokipo]

6 минут назад, KeenTaur сказал:

Сейчас у вас по всем трем LAN-портам ходят только пакты, принадлежащие сегменту "Crb zspd". Причем, в нетегированном виде. Пакеты остальных сегментов через LAN-порты сейчас не передаются ни в каком виде.

Допустим, вы хотите подключить через порт LAN 2 проводом компьютер в сегмент "Гостевая сеть" не используя тегирование (например, вы не знаете, поддерживает ли сетевая карта компьютера тегирование). Для этого необходимо сначала для порта 2 указать, что он не входит в сегмент "Crb zspd". Затем, для порта 2 задать, что он входит в сегмент "Гостевая сеть".

Будет вот так:

 

В данном случае, управляемый коммутатор вам не потребуется.

Возможны и более сложные случаи, когда через один порт вам потребуется передать пакеты для разных сегментов.

пытаюсь понять, получается что только на 2 порту будет работать гостевая сеть? а если я второй порт воткну в коммутатор который на всю остальную сеть идет? я так пробовал уже работало но начались проблемы у половины компов сеть слетала ( это как тоже самое когда из коммутатора в коммутатор провод вставить)

[Lokipo]

14 минут назад, KeenTaur сказал:

Сейчас у вас по всем трем LAN-портам ходят только пакты, принадлежащие сегменту "Crb zspd". Причем, в нетегированном виде. Пакеты остальных сегментов через LAN-порты сейчас не передаются ни в каком виде.

Допустим, вы хотите подключить через порт LAN 2 проводом компьютер в сегмент "Гостевая сеть" не используя тегирование (например, вы не знаете, поддерживает ли сетевая карта компьютера тегирование). Для этого необходимо сначала для порта 2 указать, что он не входит в сегмент "Crb zspd". Затем, для порта 2 задать, что он входит в сегмент "Гостевая сеть".

Будет вот так:

 

В данном случае, управляемый коммутатор вам не потребуется.

Возможны и более сложные случаи, когда через один порт вам потребуется передать пакеты для разных сегментов.

Возможны и более сложные случаи, когда через один порт вам потребуется передать пакеты для разных сегментов. Расскажите про это, наверное нужно как раз оно

[KeenTaur]

Вот так через порт 3 будут передаваться пакеты сегмента "Crb zspd" в нетегированном виде и пакеты остальных двух сегментов в тегированном.

Кроме того:

1. дополнительным сегментам следует назначить номера VLAN ( Домашней сети у Keenetic нельзя задать/поменять номер VLAN, он всегда 1. По крайней мере сейчас так)

2. подключенное оборудование, которое должно работать в каком-то из дополнительных сегментов, должно уметь работать с тегированными пакетами и ему надо будет указать, в каком сегменте оно должно быть.

 

Сколько проводных устройств и во сколько сегментов вам необходимо подключить в итоге? В некоторых случаях можно обойтись и неуправляемыми коммутаторами.

Изменено 7 августа пользователем KeenTaur

[KeenTaur]

19 минут назад, Lokipo сказал:

пытаюсь понять, получается что только на 2 порту будет работать гостевая сеть?

Да.

>> а если я второй порт воткну в коммутатор который на всю остальную сеть идет?

Коммутатор неуправляемый? тогда все, что подключено к этому коммутатору попадет в гостевую сеть. Если управляемый, то надо смотреть его настройки, возможно, в гостевую сеть попадет не все.

[Lokipo]

9 минут назад, KeenTaur сказал:

Вот так через порт 3 будут передаваться пакеты сегмента "Crb zspd" в нетегированном виде и пакеты остальных двух сегментов в тегированном.

Кроме того:

1. дополнительным сегментам следует назначить номера VLAN (у Домашней сети у Keenetic нельзя задать/поменять номер VLAN, он всегда 1. По крайней мере сейчас так)

2. подключенное оборудование, которое должно работать в каком-то из дополнительных сегментов, должно уметь работать с тегированными пакетами и ему надо будет указать, в каком сегменте оно должно быть.

 

Сколько проводных устройств и во сколько сегментов вам необходимо подключить в итоге? В некоторых случаях можно обойтись и неуправляемыми коммутаторами.

у меня схема такая> идет провод с 1 порта (домашня сеть - я ее переименовал в crb zspd) в основной неупр коммутатор от него идет уже на все компы и мелкие коммутаторы ,и цель сделать  по безопасности еще одну под сеть для всех , в одной будут работать, я статически пропишу адреса, а в другой хочу по dhcp что бы люди сидели уже где в интернете.    Я попробовал как вы на фото показали сделать я воткнул еще один провод с 2 порта в тот же коммутатор ,все заработало но через час начались глюки (такие когда из коммутатора в коммутатор провод вставляешь)

[KeenTaur]

>> Я попробовал как вы на фото показали сделать я воткнул еще один провод с 2 порта в тот же коммутатор ,все заработало но через час начались глюки (такие когда из коммутатора в коммутатор провод вставляешь)

Вы подключали в коммутатор одновременно и LAN1, и LAN2 Кинетика без каких-либо дополнительных настроек? В общем случае, так делать не надо.

Изменено 7 августа пользователем KeenTaur

[Lokipo]

20 минут назад, KeenTaur сказал:

>> Я попробовал как вы на фото показали сделать я воткнул еще один провод с 2 порта в тот же коммутатор ,все заработало но через час начались глюки (такие когда из коммутатора в коммутатор провод вставляешь)

Вы подключали в коммутатор одновременно и LAN1, и LAN2 Кинетика без каких-либо дополнительных настроек? В общем случае, так делать не надо.

из настроек я сделал как вы показали на фото, из 2 порта домашней сети перенес галочку на гостевую сеть, и воткнул провод из 2 порта в основной коммутатор и начались глюки , а как правильно сделать подскажите плз

[KeenTaur]

Не соединяйте коммутатор и Кинетик двумя проводами, если не знаете, как это можно делать. Только одним.

Продолжить смогу только завтра, но вы все же попробуйте почитать что-то про тегирование пакетов в сети Ethernet и про VLAN'ы.

[KeenTaur]

Попробуем продолжить. 

15 часов назад, Lokipo сказал:

...цель сделать  по безопасности еще одну под сеть для всех , в одной будут работать, я статически пропишу адреса, а в другой хочу по dhcp что бы люди сидели уже где в интернете...

Честно говоря, я не очень понимаю, что же вы все-таки хотите сделать. Из вашей "рабочей" подсети вообще не должно быть выхода в интернет, что-ли (не очень верю)? Сколько в вашей сети устройств, коммутаторов? и чем в "рабочей" сети dhcp не угодил?

Сколько у вас конечных проводных устройств, сколько неуправляемых коммутаторов? Вы хотите разделить устройства на две группы, а как физически распределены по коммутаторам устройства разных групп (в "мелких" коммутаторах есть смесь из разных групп)?

0. На мой взгляд, правильным решением будет все-таки перевод всей сети на управляемые коммутаторы. В этом случае, Кинетик соединяется с управляемым коммутатором через порт, настроенный как LAN3 на картинке с белыми квадратиками. Порт коммутатора должен быть настроен так же. Дальше вы уже настраиваете коммутаторы, где в какой сегмент должны попадать конечные устройства. Однако, помимо затрат, потребуются дополнительные знания и, пока вы их не получите, сеть будет лихорадить и работать не так, как ожидается.

Можете попробовать рассмотреть еще такие варианты на имеющемся оборудовании:

1. Посмотрите, может быть вам будет достаточно использовать один сегмент, но в нем разделить компьютеры по подсетям на уровне IP. В этом случае, вы оставляете все как было, Кинетик настроен, как у вас на изначальной картинке, и подключен к коммутатору только одним проводом. По умолчанию, компьютеры будут попадать в сеть с dhcp (допустим, с адресацией 192.168.1.0/24) и выходом в интернет. Компьютерам/принтерам в вашей "рабочей сети" вы будете назначать адреса из другого диапазона (допустим, с адресацией 10.10.10.0/24) вручную. Пока вы не добавили еще каких-то вводных, то этот вариант выглядит вообще, как вы хотите. Нюансы, конечно же будут.

2. Посмотрите, не удастся ли вам с незначительными затратами физически разделить ваши устройства на две группы? Т.е. у вас должны получится две группы компьютеров и коммутаторов ("рабочая" и  "интернет") и эти группы никак не соединены между собой. Тогда по картинке с цветными кружками одна группа устройств подключается к порту LAN1 Кинетика, а вторая группа к порту LAN2. Повторю, больше эти группы нигде не должны быть соединены.

3. Еще один вариант, самый условный и трудозатратный. Кинетик подключается к вашему неуправляемому коммутатору только через LAN3 из картинки с белыми квадратиками. Его я уже описывал. Условности: неуправляемые коммутаторы должны пропускать тегированные Ethernet-кадры; конечные устройства должны уметь работать с такими кадрами. 

[Lokipo]

4 часа назад, KeenTaur сказал:

Попробуем продолжить. 

Честно говоря, я не очень понимаю, что же вы все-таки хотите сделать. Из вашей "рабочей" подсети вообще не должно быть выхода в интернет, что-ли (не очень верю)? Сколько в вашей сети устройств, коммутаторов? и чем в "рабочей" сети dhcp не угодил?

Сколько у вас конечных проводных устройств, сколько неуправляемых коммутаторов? Вы хотите разделить устройства на две группы, а как физически распределены по коммутаторам устройства разных групп (в "мелких" коммутаторах есть смесь из разных групп)?

0. На мой взгляд, правильным решением будет все-таки перевод всей сети на управляемые коммутаторы. В этом случае, Кинетик соединяется с управляемым коммутатором через порт, настроенный как LAN3 на картинке с белыми квадратиками. Порт коммутатора должен быть настроен так же. Дальше вы уже настраиваете коммутаторы, где в какой сегмент должны попадать конечные устройства. Однако, помимо затрат, потребуются дополнительные знания и, пока вы их не получите, сеть будет лихорадить и работать не так, как ожидается.

Можете попробовать рассмотреть еще такие варианты на имеющемся оборудовании:

1. Посмотрите, может быть вам будет достаточно использовать один сегмент, но в нем разделить компьютеры по подсетям на уровне IP. В этом случае, вы оставляете все как было, Кинетик настроен, как у вас на изначальной картинке, и подключен к коммутатору только одним проводом. По умолчанию, компьютеры будут попадать в сеть с dhcp (допустим, с адресацией 192.168.1.0/24) и выходом в интернет. Компьютерам/принтерам в вашей "рабочей сети" вы будете назначать адреса из другого диапазона (допустим, с адресацией 10.10.10.0/24) вручную. Пока вы не добавили еще каких-то вводных, то этот вариант выглядит вообще, как вы хотите. Нюансы, конечно же будут.

2. Посмотрите, не удастся ли вам с незначительными затратами физически разделить ваши устройства на две группы? Т.е. у вас должны получится две группы компьютеров и коммутаторов ("рабочая" и  "интернет") и эти группы никак не соединены между собой. Тогда по картинке с цветными кружками одна группа устройств подключается к порту LAN1 Кинетика, а вторая группа к порту LAN2. Повторю, больше эти группы нигде не должны быть соединены.

3. Еще один вариант, самый условный и трудозатратный. Кинетик подключается к вашему неуправляемому коммутатору только через LAN3 из картинки с белыми квадратиками. Его я уже описывал. Условности: неуправляемые коммутаторы должны пропускать тегированные Ethernet-кадры; конечные устройства должны уметь работать с такими кадрами. 

У меня идет домашняя сеть , у нее есть доступ в интернет и так же есть доступ в защищенную сеть, поэтому я хочу сделать еще одну под сеть с доступов в интернет но что бы не было у людей доступ в защищенную сеть.

ну в целом я понимаю что походу без управляемых коммутаторов не обойтись, проблема в том что в некоторых зданиях все провода идут в серверную , а в других все разбросанно по разным углам итд, придется заморочиться.

а в 1 варианте если так сделать то доступа в интернет не будет?

[KeenTaur]

20 минут назад, Lokipo сказал:

У меня идет домашняя сеть , у нее есть доступ в интернет и так же есть доступ в защищенную сеть, поэтому я хочу сделать еще одну под сеть с доступов в интернет но что бы не было у людей доступ в защищенную сеть.

У вас уже две сети? Домашняя и защищенная. Плюс, вы хотите еще одну, третью, с доступом только в интернет? А как сейчас взаимодействуют "домашняя" и "защищенная", через какое устройство?

 

23 минуты назад, Lokipo сказал:

а в 1 варианте если так сделать то доступа в интернет не будет?

Без дополнительных настроек на Кинетике (которые, если понадобится, придется делать через командную строку. См. ip alias и ip nat для этой сети) доступа в интернет из сети 10.10.10.0/24 не будет. В текущем моем понимании вашей ситуации в этой подсети вообще может не быть шлюза по умолчанию. Плюс, надо будет решить вопрос с разрешением имен в этой сети.

[Lokipo]

59 минут назад, KeenTaur сказал:

У вас уже две сети? Домашняя и защищенная. Плюс, вы хотите еще одну, третью, с доступом только в интернет? А как сейчас взаимодействуют "домашняя" и "защищенная", через какое устройство?

 

Без дополнительных настроек на Кинетике (которые, если понадобится, придется делать через командную строку. См. ip alias и ip nat для этой сети) доступа в интернет из сети 10.10.10.0/24 не будет. В текущем моем понимании вашей ситуации в этой подсети вообще может не быть шлюза по умолчанию. Плюс, надо будет решить вопрос с разрешением имен в этой сети.

у меня на данный момент одна сеть от кинетика , это домашняя сеть и есть еще доп устройство координатор впн, домашняя сеть кинетика ходит маршрутом через координатор , поэтому и хочу еще одну под сеть что бы они не пересекались,  вариант сделать на wan еще один ip - это будет работать только если провайдер даст еще один айпи?  если через ip alias можно просто добавить подсеть и связать их маршрутом например для доступа в интернет то это мне и нужно

[Lokipo]

1 минуту назад, Lokipo сказал:

у меня на данный момент одна сеть от кинетика , это домашняя сеть и есть еще доп устройство координатор впн, домашняя сеть кинетика ходит маршрутом через координатор , поэтому и хочу еще одну под сеть что бы они не пересекались,  вариант сделать на wan еще один ip - это будет работать только если провайдер даст еще один айпи?  если через ip alias можно просто добавить подсеть и связать их маршрутом например для доступа в интернет то это мне и нужно

а ip nat это наверное и есть что бы дать доступ в инет?

[Lokipo]

6 минут назад, Lokipo сказал:

а ip nat это наверное и есть что бы дать доступ в инет?

в целом думаю а зачем мне на wan если можно так сделать?

interface lan1 ip alias 192.168.204.10 255.255.255.0

[KeenTaur]

5 минут назад, Lokipo сказал:

координатор впн

VipNet какой-нибудь что-ли? Ох, оставьте лучше,..

7 минут назад, Lokipo сказал:

...вариант сделать на wan еще один ip - это будет работать только если провайдер даст еще один айпи?..

вам не нужен еще один адрес от провайдера на внешнем интерфейсе. Статья это как пример. Если из подсети 10.10.10.0/24 вам нужен будет доступ в интернет, ip alias понадобится на внутреннем интерфейсе Кинетика. И ip nat для этой подсети.

 

Вот, вы уже сами почти сделали. Интерфейс домашней сети только наверняка не lan1 называется, посмотрите в конфигурации Кинетика.

Вопрос "не пущщать" из одной ip-сети в другую при наличии маршрутов на Кинетике еще надо будет решить.

[Lokipo]

7 минут назад, KeenTaur сказал:

VipNet какой-нибудь что-ли? Ох, оставьте лучше,..

вам не нужен еще один адрес от провайдера на внешнем интерфейсе. Статья это как пример. Если из подсети 10.10.10.0/24 вам нужен будет доступ в интернет, ip alias понадобится на внутреннем интерфейсе Кинетика. И ip nat для этой подсети.

 

Вот, вы уже сами почти сделали. Интерфейс домашней сети только наверняка не lan1 называется, посмотрите в конфигурации Кинетика.

Вопрос "не пущщать" из одной ip-сети в другую при наличии маршрутов на Кинетике еще надо будет решить.

Спасибо вам огромное за помощь) В целом многое понял , буду пробовать ip alias и коммутатор управляемый тоже познать надо, на практике я лучше понимаю) Удачи вам!

[KeenTaur]

И вам удачи! Главное, не поломать там всё

[Lokipo]

6 минут назад, Lokipo сказал:

Спасибо вам огромное за помощь) В целом многое понял , буду пробовать ip alias и коммутатор управляемый тоже познать надо, на практике я лучше понимаю) Удачи вам!

единственное не понял еще как будет на этот интефейс добавить dhcp) и если я добавлю ip alias на lan2 второй порт и воткну провод еще один в комутатор то что произойдет)) но это я уже сам буду экспериментировать )) спасибо