Cześć
mam problem ze zrozumieniem i konfiguracją VLANów.

Mam dwa switche - Netgear GS105E oraz GS108E.
Oba switche są pierwszym portem podłączone do routera (który umożliwia dostęp do internetu)
Na ostatnim porcie obu switchy chciałabym ustawić VLAN 20 i komputery podłączone do tego VLANu mogą się ze sobą komunikować. Komputer podłączony do dowolnego innego portu nie będzie mógł się skomunikować z komputerami, które są w tym VLANie 20. Z każdego portu można połączyć się z internetem.
Próbowałam różnych konfiguracji, ale zawsze coś jest nie tak…
obecna konfiguracja:

GS105E
VLAN ID | Port Members
01 | 01 02 03 04 - -
20 | 01 - - - - - - - - 05

PORT PVID
01 | 1
02 | 1
03 | 1
04 | 1
05 | 20

Wszystkie porty są ustawione jako “Untag”.

GS108E
VLAN ID | Port Members
01 | 01 02 03 04 05 06 07 - -
20 | 01 - - - - - - - - - - - - - - - - 08

PORT PVID
01 | 1
02 | 1
03 | 1
04 | 1
05 | 1
06 | 1
07 | 1
08 | 20

Wszystkie porty są ustawione jako “Untag”.

Proszę o wyjaśnienie co zrobiłam źle… co zmienić?
Zuza

Jaka wersja sprzętowa? Jaki router? Jeśli nie masz routera, który obsługuje 802.1q (VLAN tag), to vlan 1 Ci nie zadziala i tagowane ramki również.

W Netgear i ogólnie w switchach non-Cisco masz właśnie VLAN member tagged/untagged i PVID (niektóre switch, np. HP PVID ustawiają automatycznie).

VLAN member mówi w jakim VLAN jest port i czy ma tagować ramkę, czy nie. PVID mówi z jakim tagiem ma odbierać ramki na porcie. Jeśli port jest w VLAN 20, a PVID ma 1, to ramka nie trafi do celu, ponieważ odbiera ramkę z tagiem 20, a PVID mówi, że przyjmuje tylko 1. Przy tagowaniu ramek jest inaczej, PVID może być 1, a port 20 (to jest tzw. trunk), gdyż port może być trunkiem i odbierać ramki z dowolnego VLANu i przekazać je do odpowiedniego portu w innym VLAN.

Jednak jak pisałem bez routera z 802.1q to nie zadziała. Separacja będzie, ale DHCP Ci nie zadziała. Możesz przypisać IP recznie hostom, ale wyjścia do Internetu nie będziesz miał. VLAN może być dowolny, ale tylko jeden. Gdy masz router, ktory routuje między VLANami, separujesz sieci za pomocą acl na switchach lub na firewallu routera, ale masz wyjscie do Internetu.

Czyli problem leży po stronie routera. Całość testuję na prostym routerze Tp-Link Archer C2. Myślałam, że ramki będą dla niego transparentne, ale teraz rozumiem, że router musi również obsługiwać VLANy.
Jeżeli chodzi o wersję sprzętową switchy to: GS105Ev2 oraz GS108Ev3.
Żeby zrozumieć konfigurację tych VLANów, zamiast do routera, podłączę je do trzeciego GS105E - zobaczę czy uda mi się odseparować hosty.

Mam pytanie odnośnie tego, co napisałeś. Rozumiem, że tagowanie ramek na danym porcie jest równoznaczne z tym, że port działa jako trunk, czyli może przyjmować ramki z różnych VLANów.
Myślałam jednak, że ustawienie jako trunk działa globalnie dla portu - czyli przyjmuje ramki dla wszystkich VLANów. Widzę jednak, że mogę ustawić tagowanie dla poru w każdym VLANie osobno.
Czyli np. w VLANie o ID 20 pierwszy port jest tagowany, w VLANie o ID 30 pierwszy port również będzie tagowany, a w VLAnie o ID 40 pierwszy port nie będzie tagowany.
Czy to znaczy, że pierwszy port będzie trunk i odbierał ramki tylko dla VLANów o ID 20 i 30?

W switchach Cisco sprawa jest prosta - port albo jest access, albo trunk. Potem ewentualnie możesz określasz vlan allowed na trunku. Tu nie ma PVID.

W urządzeniach non-Cisco działa to na podobnej zasadzie. PVID mówi jakie ramki ma odbierać (z jakim tagiem), natomiast w member dla tagowanych ramek określasz coś na zasadzie vlan allowed.

To czy w trunku masz tagged lub untagged określa połączenie z innym urządzeniem. Np. Twój router nie taguje ramek, więc jeśli masz rozdawać adresy z DHCP w VLAN 20, zamiast 1, to na trunku VLAN 20 musi być untagged.

Jeśli łączysz dwa switche, to tagujesz wszystkie VLANy. Zdarzają się wyjątki, gdzie np. wersja sprzętowa i soft nie pozwala dla VLAN 1 tagować ramek (zdarzyły mi się takie switche, gdzie dostałem komunikat, że VLAN 1 nie został stworzony przez użytkownika i nie można go zmienić).

Generalnie oba switche możesz połączyć ze sobą i na portach, którymi są połączone PVID zostawiasz 1 (chyba że masz inne ID dla VLAN management, tzw. native VLAN), w pozostałych VLANach ustawiasz T na porcie.

Router spinasz ze switchem i VLAN 1 ustawiasz jako U. Jeśli chcesz zobaczyć czy dla 20 lub 40 działa, w VLAN 1 na porcie ustawiasz T, a w VLAN 20 lub 40 ustawiasz U. Porty dla hostów też musisz ustawić odpowiednie VLAN i PVID.

Możesz pójść jeszcze dalej, bo to jest ciekawe zagadnienie. Wybierz sobie 2 porty i stwórz LAG LACP. Gdy utworzysz LAG, to już nie na portach fizycznych tagujesz ramki, lecz na porcie logicznym, na LAGu.

LAG to agregacja portów, LACP to protokół wykorzystywany do agregacji (automatycznie zmienia stan portów). Dzięki temu możesz, w zależności od switcha, spiąć ze sobą 8 do 16 portów, który widziany jest przez switch jako jeden port. Agregacja daje Ci redundację połączeń i zwiększoną przepustowość. Zerwanie jednego linka, nie zrywa połączenia. Przydatne nie tylko przy awariach okablowania, ale i przy wymianie - odpinasz jeden link, połączenie działa nadal.

ja mam w kilku sieciach routery Ubiquiti + switche Netgear GS7xxT/GS7xxT - chodzi bezproblemowo więc polecam Ubiquiti ale może jakieś tańsze znajdziesz.