Skip to main content

Allicht een vraag die al talloze malen is beantwoord, maar ik kon in de krochten van het forum over alle topics met ‘VLAN’ helaas niet zo eenvoudig een antwoord destilleren. 

Ik heb glasvezel internet van Odido dat in mijn meterkast binnenkomt en daar in de media converter wordt omgezet. Vanuit de media converter gaat er een UTP-kabel naar de WAN-poort van de Zyxel T-50 modem. Vanuit daar via de LAN-poort dan een netwerkkabel naar een Linksys Velop node (router) die mij vervolgens een mesh Wifi-netwerk geeft. 

Nu hoorde ik dat het - met alle verschillende verbonden apparaten op een (mesh) Wifi-netwerk - allicht veiliger is om dit netwerk op te splitsen in verschillende netwerken via VLAN. Zyxel T-50 heeft dit niet en Linksys Velop nodes ondersteunen het ook niet. Is het dan bijvoorbeeld wel mogelijk als ik tussen de Zyxel modem en de Linksys Velop node een managed switch zet? Dus dat die switch als het ware het netwerk al opknipt voordat het via de nodes wordt uitgestuurd? Mijn use case hier is bijvoorbeeld een apart netwerk voor ioT, apart wifi-netwerk, etc. Dus zodat - bij wijze van spreken - niet iemand die mijn Aliexpress slimme koelkast hackt zomaar op mijn netwerk kan komen en via deze weg in een aangesloten NAS of zo kan raken. 

@robertfichtinger 

Het plaatsen van alleen een managed switch, geeft niet je beoogde opzet. Een managed switch is eigenlijk een switch die om kan gaan met de aangeboden segmentering van je netwerk.

Zo kan deze switch een VLAN in configuratie gewoon doorstruren, of toevoegen TAGGED} of verwijderen UNTAGGED].

Maar om VLAN’s aan de LAN kant te kunnen opzetten, heb je een router nodig die het beheer doet over deze VLAN’s. De router is dus de eerste schakel, maar ook de ‘verkeersregelaar’ voor al je verkeer.

Volgens mij zit je met deze opzet in je gedachte;

Het probleem hierbij is, dat je vanuit je switch niet 2 VLAN’s can UNTAGGEN op de poort van je switch naar je router. Want hoe weet de router dan naar welke VLAN de data terug moet?

Normaal is de weg van je router naar je switch een TRUNK (meerdere VLAN’s), waarbij dus door info in het pakket, de router / switch herkent over welke VLAN het verkeer heen en weer moet.

De router is dus de hoofdmanager over al je verkeer, waarbij hij ‘aware’ moet zijn van de VLAN tags voor het correct verwerken van je data per VLAN.

Je zult dus over moeten stappen op een router, waarbij de mogelijkheid bestaat om VLAN’s op de LAN kant aan te maken. Deze functionaliteit heeft de Zyxel niet als consumentenrouter.

Hopelijk is er iets meer duidelijkheid over de haalbaarheid, maar goed om te lezen dat je bewust bent van segmenteren van je netwerk. De eerste stap in een betere afscherming van je privé en ‘goodies’ netwerk.


Beste Pieter,

 

Dank voor je uitgebreide uitleg. Dan dus op zoek naar een geschrikte andere router! 🤞🏻


Reageer