Aha!
Aruba 2530-8G har jag stenkoll, de switcharna jobbar jag med regelbundet. Netgear vet jag kan vara betydligt kinkigare och mer svårkonfigurerad beroende på modell. Men jag försöker dumpa ut allt jag vet så enkelt som möjligt.
Som sagt, VLAN är enklare än det oftare beskrivs. Varje VLAN är att se som en egen "virtuell switch". Ett sätt att dela upp sin miljö i flera virtuella nätverk. Du behöver fortfarande något som kan skicka trafiken mellan nätverken, då ofta en router med flera interface. Trafik mellan VLANen går alltså via din router, inte direkt mellan switcharna. (Om man inte kör L3-switchar då, vilket inte du verkar göra.)
I VLAN finns också en funktion att skicka trafik på flera olika VLAN på en och samma länk. Detta heter "VLAN tagging". Helt enkelt så lägger man på några byte i början på varje frame (typ som ett paket, fast på L2 heter det frame...) som associerar ett nummer mellan 1-4094 till varje paket. (Går att köra lite QoS också, men vi ska inte krångla till det!)
En frame som inte har en VLAN-tag (vilket är vad en normal PC normalt producerar, t.ex. är en untagged (otaggad) frame). Och en frame med en VLAN-tag heter en tagged frame.
När din switch får ett paket med en taggad frame så vet den ju vilket VLAN paketet hör till, problemet uppstår när en switch får otaggade frames. Då måste switchen ha en konfiguration för att veta vad den ska göra av frame:sen som är otaggade. På Netgear heter detta PVID. Detta styr alltså vilken VLAN-tag inkommande otaggade paket ska behandlas med.
Utöver det måste switchen också konfigureras för vilka VLAN som ska finnas på vilka portar, och huruvida dessa ska skickas taggade eller otaggade.
Det normala är att switcharna konfigureas ihop med en VLAN-trunkport (OBS: på HP/Aruba betyder trunk något annat, nämligen att kombinera flera nätverkslänkar för mer prestanda, blanda inte ihop detta). Då konfigurerar man att alla VLAN är taggade på dessa portar. Det gör att samma port kan bära fler VLAN.
Portar som är kopplade direkt mot datorer konfigureras som "accessportar", d.v.s. med ett specifikt otaggat VLAN (eller PVID).
På Netgear vill man gärna också aktivera ingress filtering på sina portar så att man inte kan "VLAN-hoppa" och kringgå säkerheten på det sättet.
På Aruba är konfigurationen skitenkel, på varje port kan du konfigurera 0 eller 1 otaggat VLAN, och 0 eller flera taggade VLAN. Jämför detta med Netgear där man krånglat ihop detta alldeles för mycket.
För ett mer konkret exempel, så ska du alltså konfigurera så här, om vi säger att ditt LAN är VLAN 10 och ditt DMZ är VLAN 20 t.ex.:
Netgear, port som går till en dator i ditt LAN. PVID 10, VLAN partitipation endast 10. Tagging avstängt på 10. Ingress filter på. Allow only untagged packets.
Netgear, port som går till en dator i ditt DMZ. PVID 20, VLAN partitipation endast 10. Tagging avstängt på 10. Ingress filter på. Allow only untagged packets.
Netgear, port mellan swithcarna. PVID 10, VLAN participation 10 och 20. Tagging avstängt på 10, aktiverat på 20. Ingress filter av. Allow all packet types.
Aruba port mellan switcharna. Untagged på vlan 10. Tagged på vlan 20. Inga andra VLAN konfade på denna port.
Aruba port till dator i DMZ. Untagged vlan 10. Inga taggade vlan.
Aruba port till dator i LAN. Untagged vlan 20. Inga taggade vlan.
Hoppas denna lite röriga braindump hjälper
