Popcorn110 כתב:...
...
תודה רבה
אם הבנתי נכון בכל סוויץ מנוהל יש vlan מנהל, והוא יוצא יחד עם הtrunk
רק שמחשב/ap שמחובר לפורט הזה יקבל את הכתובת של המנהל למרות שפורט מוגדר trunk
שאלה נוספת, בכל סוויץ אפשר להגדיר רק vlan מנהל אחד, נכון? (שבכללי עדיף שיהיה זה שמדבר עם כל הסוויצים)
מאיזה סיבה לא כדאי שיהיה זמין למשתמשים? כי זה בעצם מה ששולט על הסוויצים, נכון?
תודה רבה!!!
...
·
לא, לא הבנת נכון. מדובר כאן בכלל לא על "VLAN מנהל", אלה על VLAN ניהול והוא קיים לא רק בכל מתג מנוהל, אלה בכל ציוד שתומך ב VLANs ושנדרש לנהל אותו, למשל בנקודות גישה, בנתבים, בגשרים, במכשירי NAS , בטלפונים, מצלמות אבטחה, מכשירי NVR וכו'.
בכדי שאת הציוד המדובר ניתן יהיה לנהל מרחוק, אז כמובן ש Management VLAN חייב להיות גם בין ה VLANs של VLAN Trunk שבפורט UpLink .
מחשב/AP או כל התקן רשת אחר שמחובר לפורט הזה יקבל את הכתובת לא של המנהל, אלה מטווח כתובות של Management VLAN רק, אם קיים ב VLAN זה שרת DHCP ואם VLAN זה מוגדר כ Native VLAN ב VLAN Trunk זה, אחרת ( אם הוא לא מוגדר כ Native VLAN ב VLAN Trunk זה ) באותו ההתקן רשת ( במחשב/AP וכו' שמחובר לפורט זה ) נדרש ליצור ממשק VLAN עם תיוג מתאים, בכדי שהוא יוכל לתקשר עם VLAN זה ולהגדיר עליו את ה Management VLAN של מכשיר רשת זה.
במתגים פשוטים לרוב ניתן להגדיר רק Management VLAN אחד ( יותר מזה גם לא נדרש בדרך כלל ). מן הסתם בכדי שאפשר יהיה לנהל את כל ההתקני רשת כמו מתגים, נקודות גישה וכו', כמובן הוא צריך להיות מוגדר בין כל המתגים ובכל הפורטים שלהם שמחוברים להתקנים שנדרש לנהל.
Management VLAN לא כדאי שיהיה זמין לפורטים של המשתמשים ממספר סיבות, למשל בכדי שהמשתמשים לא יוכלו לגשת לניהול של הציוד רשת, בכדי שהתעבורה של המשתמשים לא תתערבב עם התעבורה של ניהול הרשת, לצורך דיאגנוסטית רשת פשוטה יותר, לצורך שאם משתמש מצליח ליצור תעבורה שתשבית את ה VLAN שבו הוא נמצא עדיין אפשר יהיה ללא בעיה לנהל את הציוד, לזהות ולנתק את המשתמש זה ועוד ממספר סיבות רבות.
החלק החשוב של כל הסיפור זה, שעוד לא התייחסת עליו, הוא שברשת זו חייב להיות נתב שתומך בכלל בעבודה מלאה עם VLANs ועם VLAN Trunks לצורך inter vlan routing וצריך להגדיר את הנתב זה בצורה נכונה עם כל הכללים הנדרשים ב FireWall שלו, אחרת אין לכל שאר הרכיבים אלה שום משמעות.