Hálózat subnet, véleményezzétek. köszi

Hálózatok általános

Sziasztok!

Sajnos egy meglévő hálózatomat bővíteni kellett. (255 nél több eszköz szeretne rajta csücsülni)

Jelenleg egy 255.255.255.0 maszkot cseréltem le az ip hiány miatt.

Az új hálózat elemeit: 192.168.10.1- 192.168.11.254 (255.255.252.0) közé lőttem be. (50% tartomány)  Gondolván a jövőre hátha elég lesz az a kb.1000 cím.

 

Érdekesség, hogy a rendszeren sok minden újra lett írva, indítva, de a 255.255.255.0 -án lévő eszközöket gond nélkül eléri a másik hálózat is. Ez miért lehet? Valahol a mac cím még chashban van?

ubiquiti, mikrotik eszközök vannak 80% ban. Vagy ezeket az eszközöket nem érdekli a maszk, mondván 192.168. a cím eleje XD

Mivel konkrétum nincs így mindenki beszélne mindenkivel. Pl. kamerák, irodai végpontok stb. Mert azt nem tudták megmondani mi lesz az igény csak, hogy mindenhol elérjenek mindent XD

Ti hogyan oldanátok meg ha a munkatársak is felmehetnek minden eszközzel pl wifire? (itt azért levettem, hogy a beeső ne érje el azokat a kritikus címeket, tartományokat ahol fontos eszköz található, vagy pár hely natol)

A tiltás már nem jó, mondván előveszi a saját mobil netét... erre mit használtok?  ui. 10 éve ilyen baj nem volt XD

  • 1392 megtekintés

( locsemege v | 2021. 07. 17., szo – 12:59 )

Szerkesztve: 2021. 07. 17., szo – 13:07

Az egyébként némi fejszámolás után szerintem 192.168.8.1 - 192.168.11.254 lesz /22-es maszkkal.

Szerk.: látom, csak a felére írtad, akkor jó, mert az a felső fele. Bocs.

Szerk. 2.: szerintem ne erőszakold meg a szabványokat. Ha nagyobb tartomány kell, használd a 10.x.x.x/8-at vagy B-osztályú címeket.

Szerk. 3.: Nem értek ugyan hozzá, de szerintem elérheti, ha a maszk részhalmaza az eredetinek. A cím egyezik, maszkolás után nem jön az ki, hogy a default gatway-en kell küldeni a csomagot, akkor pedig szerintem a szűkebb maszkú, de jó című eszköz elérhető. Majd mások megmondják pontosabban.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Teljesen off, de ő meg erre:

Szerk. 2.: szerintem ne erőszakold meg a szabványokat. Ha nagyobb tartomány kell, használd a 10.x.x.x/8-at vagy B-osztályú címeket.

Nincs már ilyen, nem megerőszakolása a szabványnak bármely privát tartomány akármekkora darabban routeolása, és gyakorlati következménye sincs az ég egy adta világon semmi, nyugodtan lehet használni a 192.168/16-ot bármely 16-nál hosszabb maszkkal. 

Én mondjuk semmit nem tennék a 192.168.10. környékére, mert sokaknak van az az ötlete, hogy oda "az már nem a .1", aztán egyszer valahol vissza tud nyalni, de hát ez egy ilyen bringa.

( KicsiBocs | 2021. 07. 17., szo – 13:22 )

Szerkesztve: 2021. 07. 17., szo – 13:23

Ekkor gépszámnál már mindenféleképpen külön hálózatba (VLAN-okba) kell szedni a hálózatot. Hatalmas lesz a hálózaton a broadcast (szórt) forgalom, ha így hagyod. A VLAN-ozás ezen segít! Mindenféleképpen szed szét külön hálózatokra a jelenlegi hálózatodat.

A forgalom fajtájától függ. Ha sok broadcast csomag van, akkor okozhat gondot.

Itt egy cikk, ez jól leírja, hogy mit miért és hogyan: https://etherealmind.com/many-hosts-vlan-ip-subnet/

Egyébként ahogy már többen is írták, először leül az ember, átgondolja és megtervezi.
A VLAN nem ördögtől való találmány.
Csinálhatsz egyet a klienseknek, egyet a szervereknek, a nyomtatóknak, IP telefonoknak, kameráknak, stb...
Aztán a router (multilayer sw) meg teszi a dolgát a VLAN-ok között.

...úgyis jönnek...

Én is ezt javaslom. Az én módszerem:

  • pfSense tűzfal VLAN-okkal
  • managed switch: egy erősebb a csomópontban, további kisebbek szintenként vagy régiónként (melléképület, raktár, stb.) az adott helyhez igazítva, ezek trunkben felfűzve
  • külön VLAN-ok kialakíatása: irodai gépek; vezetőség; raktárak; vendég (tárgyaló + ügyfelek); IP kamerák (vlan10: 10.10.0.0/16; vlan11: 10.11.0.0/16, stb...)

gyönyörűen, gond nélkül és gyorsan megy minden.

nalunk a guest/wifi halokra van /16 (vagy /18), es eleg nagy (1 ev) dhcp lease time... igy egyszerubb logokban keresni ha valamelyik eszkozzel zur van/volt.

nyilvan nem egyszerre van 65k eszkoz, de a 256 cim hetek alatt elfogyott, es nem szeretnenk ip-t ujrahasznositani, ha nem muszaj.

Főleg, hogy most egyes gyártók azzal játszanak, hogy össze vissza mondják a készülékeik MAC address-ét. Apple biztosan, de mintha androidos emlékem is lenne már ilyen. 

Elvileg, hogy ne tudd követni, stb... Tehát tök jó, a nagytestvér majd követ, de Pista a rendszergazda ne tudja már hogy Juliska vagy Mariska az aki éppen valami csúnyát csinál a hálózatán.

Speciel az androidos egy SSIDhez egy, perzisztens macet generál, és erősen csodálkoznék rajta, ha az apple nem így csinálná. (Ti, már rég felgyújtotta volna az egészet egy random dhcp szerver üzemeletető a gecibe)

Illetve pusztán maccímre bízni securityt egyébként se a legjobb ötlet.

Nyilván el lehet baszni, gondolom mondjuk egy n+1 androidra váltásnál nem is nehéz (ugye ilyenkor sokkal könnyebb csak valami config importot csinálni a régiből, mint az összes statet is konvertálni) meg ha csinálsz forget networköt, meg ilyesmit, akkor is biztosan eljátszik vele, de azért messze nem ott tartunk, hogy folyamat új macet assignolnak, hogy ne tudd követni.

Kollégának igaza van, nyomorult androidos telefonom írja a beállításokban, hogy "Véletlenszerű mac cím". Minden felcsatlakozásnál más a mac address... De szeretem...

Még egy újdonság ami az eddig megszokott dolgokat felborítja.  Kérdésem: Így, hogyan tiltod le a felcsatlakozó telefonon, hogy ne menjen rajta a net? (allaw acces tábla életben tartása meg munkás)

Amúgy mit csinálnál, mire kellene? Pl. csak belső hálózatot lásson? MAC-IP és onnan tűzfalszabályokkal?

Ahogy írtam a google és egyebek azt is tudja hogy éppen meddig ülök a budin. De én nehogy kitaláljam ki van épp a hálózatomban, mert milyen már hogy követem.

Eddig nem kellett ilyet alkalmaznom, de akkor az lesz hogy alapból tiltott tarotmányba fognak az újak és ismeretlenek kerülni, akár úgy, hogy egy captive portal feljön neki hogy fixálja a mac address és keressen meg, hogy legyen neki olyan elérése amihez joga van. Aki kaphat teljes elérést az olyat kap, aki csak valamerre korlátozottat az pedig olyat fog kapni. Ha pedig bekapcsolódik újra a MAC randomize funkciója akkor egyszerűen nem lesz kapcsolata.

Itt már olyan autentikációt használnék, ahol a felhasználó egyből azonosítható (User/password páros kell a belépéshez illetve tanúsítvány vagy ezek tetszőleges kombinációja).
Aztán a jogosultságai alapján kap egy megfelelő címet és azzal már tud mit kezdeni a tűzfal.

Ezt jellemzően Cisco ISE-vel szoktuk megoldani, de ott az Aruba ClearPass is (mármint az autentikációt és az autorizációt)

Opensource dolgokkal is összehozható szerintem, de ilyenre még nem volt szükségem (Freeradius, PacketFence környékén keresgélnék).
Lehet, hogy utóbbira a többieknek van ötletük, tapasztalatuk.

...úgyis jönnek...

Természetesen nem. Azonban a hálózat "szellősebb", van hely bőven, valamint egy bármikori esetleges bőbítés során nem kell újra konfigolni a hálózati címkiosztásokat.

Másik dolog: szépen lehet játszadozni a címekkel annak érdekében, hogy átláthatóbbak és kezelhetőbbek legyenek az eszközök. Egy példa:

  • irodai gépek: 10.10.5.x/16
  • hálózatos printerek: 10.10.250.x/16 (fix IP)
  • szerverek: 10.10.254.x/16 (fix IP)

alap kene legyen, hogy a kamerak, belepteto/riaszto eszkozei, epuletautomatizalas kulon vlanba menjenek, ne a kliens haloba.

megdobbento hany helyen lattuk mar egybe, ott is, ahol amugy nem indokolt, mert rendes vlanos switchek vannak mindenutt.

ja es persze a legtobb helyen jelszo nelkul vagy default jelszoval lehet streamelni a kamerakat...

( VincentV | 2021. 07. 17., szo – 14:36 )

Szerkesztve: 2021. 07. 17., szo – 14:49

A def. gw-je gondolom ugyanaz mindenkinek, ezért érik el egymást, csak nem L2-ben, hanem L3-ban, mert a gw route-ol közöttük. De könnyen tudod tesztelni: töröld a def. gw beállítást valamelyik eszközön amin még nem írtad át a maszkot, és máris nem fogja elérni a saját /24-én kívül eső címeket.

B verzió amit fent is írt valaki, hogy átfedésben vannak a tartományok, azaz pl. a 192.168.10.0/24 -ben levő 192.168.10.1 perszehogy eléri a pl. 192.168.8.0/22 -ben levő 192.168.10.2 -őt, ilyen esetben nem számít a maszk.

( Mik v | 2021. 07. 17., szo – 20:19 )

Troll:

Szinte biztos vagyok benne, hogy sem a HUPal sem a Googleel nem vagyok egy hálózaton mégis elérem mindkettőt.

Hálózati alapok: lan, wan, vlan, routing, tűzfal, ipv4, ipv6...

Jó tanulást! 

( Robika88 | 2021. 07. 18., v – 08:54 )

Köszönöm építő jellegű tanácsaitokat. fairlane-nak a cikket (a cikk írója szerint 1000 eszköz max tanácsa a meghibásodás miatt)

sajnos mivel van van olyan, hogy 10 db switch van egymás után kötve a hálózatban így mindenhol a vlan-ozás nem megoldott, főleg ha van a körben olyan ami nem is okos switch (mezei 7 ezerft-os)

Mivel minden eszköz ip-jét körülményes átírni ezért döntöttem e megoldás mellett (192.168-as ip /22). Van olyan eszköz ahol valamiféle busz számot vizsgál és ha a másiknak az a száma akkor összeütköznek (ez nem ip)

jelenleg nyugalmi állapotban 350Mbps adatkommunikáció zajlik amiből 349,99Mbps kamera kép. Tudom kicsit lusta megoldás, de azt a rengeteg eszköz konfigurációját átírni halál lenne XD (nyomtatók, rögzítők, adatbáziskapcsolatok stb)

Huh! Barkács hálózat. Vasalt IP-kkel, static DHCP helyett.
Egyszerű SOHO switchek egymás után ezerszámra.

Ez a hálózat megérett egy újratervezésre, egyszeri nagyobb költséggel és utána 10 év nyugalom.
Első lépés: vasalt IP címekről (static) DHCP-re való folyamatos áttérés, nyomtatót és egyéb eszközöket a PC-kbe vasalt IP helyett helyi DNS-ből nevén szólítani, stb. És innentől bármi fejlesztésre rugalmasabb vagy.

hát ez az, hogy mint írtam is kb 80% ami menedzselhető hálózati eszköz, új gerinc meg nem hiszem lesz húzva mivel vagy 120 helység van XD

A kamerákhoz muszáj vagyok statikus tartományt használni, mert a pl a 33 as képhez adott a kamera ip (ezeknek a kameráknak fele kinti, kinti switchel is). A régebbi vasat ami kb 15 éves megbontani halál, úgy vagyok vele megy amíg megy. Tudjátok van olyan ami még activex meg jó istennel gyilkol XD Van olyan nyomtató ami havonta kb 150.000 nyomtatási parancsot kap.

Csoportosítási alapom most: 1-50ig gépek, 51-150 kamreák, 151-180 switch, router, 181-200 nyomtatók, 201-220 érdekes eszközök amit csak a tervező ért XD, 221-255 vpn, 1-100 wifi

Azt kell mondjam, ez mind-mind csak magyarázkodás arra, hogy nem akarod vagy nem tudod rendesen megcsinálni.

Ez a "biztosan nem adnak rá pénzt" honnan jön, megkérdezted? Meg "régi elavult eszközök activex-el" szerinted is teljesen jó biztosági szempontból, és nem kellett volna már cserélni törvényi előírások, GDPR, zsarolóvírus, akármi miatt már évekkel ezelőtt? A sok szintű switch rendszer azért nem ritkaság, pláne régi kábelezésű épületekben, ami állami gondozású (ergo nem fizetik ki az újrakábelezést). Akkor mindenhová kell tenni egy VLAN képesz switxch-et (vannak 5-8 portosak is olcsón), és szépen fel kell programozgatni mind. Nem megoldhatatlan, és nem is elképesztő összeg, csak munka.

A kettes számrendszeren alapuló CIDR címzés ellenére hogyan sikerül még 2021-ben is decimális módon felosztani egy IP tartományt? Milyen maszkkal írnád le a tűzfalban az 1-50 tartományt? Milyen maszk fedi le ugyan ott a 201-220 tartományt? Meg egyáltalán, minek a felosztás? A tűzfalban úgy sem tudod elszeparálni vagy tiltani bizonyos forgalom irányokat, hiszen layer2-n beszélnek az eszközök egymással közvetlenül, nem layer3-ban, ez a forgalom (rendesen beállított netmask esetén) sohasem kerül a tűzfalra/router-re, ami szűrhetne, korlátozhatna...

Lehet engem utánli a véleményem miatt, de leírom: ez az egész úgy szar ahogy van, Te meg csak annyi munkát akarsz beletenni, hogy éppenhogy tovább döcögjön, ahogy eddig is döcögött. Szerintem tök felesleges volt kérdezni is, mert minden hsz.-ed arról szól, hogy miért nem csinálod úgy ahogy mások javasolják és milyen okokból lehet csak úgy, ahogy Te csináltad. Gyakortlatilag önigaszolást szerettél volna, és most rossz, hogy nem azt lett belőle, hanem szakmai alapon jöttek a válaszok, amik nem a Te verziódat erősítik.

A vezetőség egyébként arra ad pénzt, amire úgy érzi, hogy muszáj, mert felelősségi érintettsége van a területen. Ha Te azt mondod, hogy "megoldom", akkor nem adnak pénzt, mert minek, elvégre megoldod. Ha azt  mondod,  hogy ez így nem lesz stabil, vagy egyenesen működésképtelen lesz, vagy biztonsági kockázata van, és muszáj ezt meg azt fejleszteni, akkor lesz rá pénz, mert senki sem fogja elvinni a balhét, hogy leírtad, mi kellene, de ennek ellenére nem támogatták, aztán ha beszarik, övék így a felelősség (mert tudtak róla, de nem tettek semmit). De most a Tiéd lesz a felelősség ha bármi történik, mert ezt a megoldást Te csináltad.

Majd egy kolléga, aki elégedetlen valamivel és olyan beállítottságú, szépen felveszi valamelyik kamera képét, és adatvédelmi ügyet csinál belőle, hogy borsot törjön a vezetőség orra alá. Ki fizeti majd a 10-20 milliós bírságot? De végül is, azt írták a neten, hogy 1000 eszközig jó az egy broadcast domain, úgyhogy minden rendben.

Szia!

Nem probléma,  illetve teljesen jó a hozzászólásod. Igen lassan külön vlanokba fogom szervezni, frissítem a beállításokat mint ahogy írtátok is, ezért várom hogy hozzászóljatok, hogy több ember más más szemszögből közelíti meg. Ilyet meg nem mondtam, hogy nem adnak rá pénzt.

Kérdésem: Szerinted azért megy egy eszköz active-x el konfigurálható akkor dobjuk ki? (Amúgy teszi a dolgát szépen, persze mindenhol gyári jelszó adatok cserélve, lehető legfrissebb firmware, de attól már nem mai kamera pl.) Kicsit úgy érzem az informatikában, hogy ha valami pl 10 éves akkor dobjuk ki, kell másik ami ugyan azt a célt szolgálja. Szerintem így is eszméletlen módon termeljük az elektronikus szemetet de ez egy másik téma.

Kicsit úgy érzem az informatikában, hogy ha valami pl 10 éves akkor dobjuk ki

A dolog ott indul, hogy ami ilyen fos, azt már új korában se kellett volna megvenni. Mert már új korában is fos volt. Onnan lehet felismerni az ilyeneket, hogy pl. semmilyen szabványt nem ismernek, cserébe egy windows-only binary kell a menedzseléséhez, ami "természetesen" használhatatlan lesz 10 év múlva, és ezt előre lehet tudni. (Csak mobil appból tekerhető IOT eszközök vásárlói, szevasztok!)

Igazad van, de ezeket az eszközöket anno nem én szereztem be. De most nagyon éljük ezeket az ap-ból konfigurálós dolgokat, pl klíma, xi*omi kamerák stb. Akkor mit vegyenek a népek? Látom ismerőseimnél, hogy megveszik 10e ft ért az említett kamerát, működik is, de mi van ha nem megy az apot kiszolgáló szerver? vagy jön az új android verzió. Most dobjuk el az android 4 -es gpst meg mindent mert úgy döntött a google , hogy vége a támogatásnak?

Továbbra is azt vallom a gép van értem, nem én a gépért. Mikor látom munkakezdéskor, hogy a win 10 laptop kiírja, hogy frissítés agyfaszt tudok kapni... Had döntsem már el redmond helyett mikor...

A központi konfigurációnak az az előnye, hogy nem szopja le magát az IT-s, hogy mindenre emlékezzen, jobb esetben mindenről részletes írásos doksit vezessen a napi meló végzéséhez (doksi kell, de ne kelljen már bújni minden egyes bejelentésnél, mi hogy is van meg hol). Ha minden kézzel konfigurált, akkor bármi van, keresheted ki az elérési infót és állítgathatsz egyesével eszközöket. Pedig milyen jó az, mikor van egy épületben 40 AP, kitalálják, hogy legyen egy új vendég SSID, és neked csak a kontrollerben kell definiálni az új elérés paramétereit, mindent intéz a rendszer... Ugyan ez igaz bármilyen más, sok azonos eszközt tartalmazó megoldás esetén is.

A hálózatot meg úgy kell megtervezni és kivitelezni, hogy a kritikus szolgáltatások mindig elérhetően legyenek, amikor az elérésük kritikus. Persze ez pénz és munka, de csak egyszer, mert utána az automatizálás és a központosítás elég sokat emberórát spórol meg.

Szerintem minden eszközt addig kell megtartani, amíg a vásárláskori vagy picit több munkával lehet üzemeltetni, és megfelel az éppen aktuális biztonsági elvárásoknak. Ha sok vele a baj, akkor kuka, mert az idő a drága nem a hardver. ha olyan szoftveres része van, aminek van már ismert biztonsági kockázata (és nem lehet teljesen zárt rendszerben, mindentől elszeparáltan üzemeltetni), akkor kuka (mert nem tudsz rá saját kezűleg új szoftvert fejleszteni). Szerintem ezek egyszerű feltételek, könnyen eldönthetőek.

Ha az activex konfiguráláshoz fenn kell tartani egy WinXP vagy Win7 gépet (ami már nem frissül), akkor az kapásból a kamera végét is jelenti biztonsági oldalról nézve (az adott munkaállomással együtt). Ha újabb (frissíthető) OS-en is megy a konfig része, de matekozni kell vele sokat, akkor meg az üzemeltetés nehezebbé válása miatt kuka.

Ráadásul egy 10 éves IP kamera gyakorlatilag az IP kamerák hőskorából származik, ergo 100%, hogy kicsi a felbontása, rosszul lát sötétben, agyontömörített a videója és elavult a szoftvere, ami ráadásul még könnyen törhető is. Ráadásul akkoriban annyira újdonság volt, hogy a legtöbb üzembehelyező semmit nem mert rajtuk állítani, csak ami végképp muszáj volt. Ergo maradt DHCP-n és default user/pass-on, nem került rá még self-signed cert sem a HTTPS/TLS eléréséhez, stb. Tehát ezer sebből vérzik. Kukába vele. Na persze az újat be kell üzemelni rendesen, és biztonságosabb cak akkor lesz, ha rendesen van konfigurálva. Gyári alap konfiggal hagyva kvázi pont felesleges a csere.

Azért termeljük az elektronikus szemetet, mert azokat a hardvereket is ki kell dobni, ami egyébként még jó lenne tudásra is, műszakilag is (a felhasználónak), de a gyártónak nem érdeke 5-10 éves készülékre új (frissített) szoftvert kiadni. És egyenlőre semmilyen törvény nem kötelezi a gyártókat, hogy akár térítás ellenében tegyenek elérhetővé ilyen frissítéskeket (ez ingoványos talaj azért eléggé), hogy az is biztonsággal használhassa tovább a cuccot, akinek nem kell újabb tudás, de fizetne valamennyit az életben tartásért, mert úgy neki olcsóbb (és környezet kímélőbb), mint cserélni. De a környezet védelmére nem foghatjuk ezer éves szar cuccok megtartását.

Pl. itt vannak az UBNT támogatásból kifutó első generációs AP-i. Most lett egy csomó készülék EOL, és veszi mindenki a helyükre az új AP-kat. Persze sok helyen jól jön az AC meg az 5 GHz, amit a kifutó készülékek nem tudtak, de sok más helyen meg tök jó lenne továbbra is az a 2.4G amit tudnak. De egy felelős (? ez a jó szó ide) üzemeltető nem kockáztat, hogy egy biztonsági incidens során célkeresztbe kerüljön a nem támogatott eszközök használata miatt. Kényszerpálya.

( arpi_esp v | 2021. 07. 18., v – 10:13 )

erdekesseg, hogy a windows hajlamos connected lanokban ARP kerest kikuldeni, meg mielott a gateway-hoz fordulna, akkor is, ha amugy kivul esik a netmaskkal hatarolt tartomanyon. magyarul leszarja a maskot, ha amugy valaszol arp-re a kliens, vagy latott korabban arp broadcastot a cimevel :)

( igiboy | 2021. 07. 18., v – 13:54 )

Véleményem, tehát nem a legjobb megoldás stb... és nem is javaslat.

Röviden, szerintem hagyjad, keressetek egy hálózatost aki megoldha akár ad-hoc csak és odaadja a configokat, vagy olyat aki üzemelteti is.

Hosszabban:
Alapvető hálózati ismeretek hiánya ellenére szeretnél valami megváltót csinálni. Ez már önmagában erős, főleg egy működő rendszernél. 
Hálózatot tervezni is kell, nem szokott bejönni az ahogy esik úgy puffan helyzet. Az eszközök beállítása pedig túl szokott mutatni azon, hogy 1-2 varázslós bekattintással el lehet intézni. A varázslós routerek és hálózatok világa az pont az ettől kisebb helyek igényeit elégítheti ki.
Címkiosztások és felosztások, tartományok meghatározása, ezek nem dobokócka dobásokkal történnek, számolások, tervezés újra. Ha lehet nem decimális tartományok.
Eszközök a hálózatban, ha lehet legyen homogén gyártó/rendszer, de általában nem gond a vegyes rendszer sem, csak kezelni kell tudni mindent. Ahová vagy üzemóra, vagy tudás szerint vagy akármi miatt nem jó az eszköz azt cserélni kell. Persze lehet varázsolni 2 napon keresztül valami ótvar switch-el nagynehezen ráhgeszteni a VLAN-okat, vagy bármit, de ha ez pl. 50.000 HUF-ból cserélhető és 1 óra munka kell csak rá, akkor a matek szerint is cserélni kell. Egy ilyen hálózatban akár nettó 500k HUF eszközcsere ne legyen gond, főleg hogy még Krisztus elötti eszköök is vannak, amik már bőven megkeresték a pénzüket.
Kábelezés, topológia, kábelek minősége, bemérése is nagyon fontos eleme a hálózatnak. Hiszen ha van egy rossz kapcsolatod valami megtákolt kábelle, akkor az folyamatos problémát fog generálni.
Maszkok /24 /23 /22 stb... Ezek nem csak annyi, hogy reggel felkel az ember és óóóó kevés a hely, változtatok nyertem. A hálózat meg fog változni, TERVEZNI KELL!!!. Tervezés nélkül lesznek átlapolódások akár, vagy egyéb meglepetések. Az hogy jajj csak 24-es lehet és minden megoldása a VLAN mint kulcsszó is felejtős. Egy eléggé egysíkú irányelv, ami ugyancsak okozhat problémát. Például mi van ha kifejezetten 1200 eszköznek kell hallgatni 10 eszköztől broadcast üzeneteket? 
Tegyük VLAN-ba!!! Ez egy rossz megfoglamazás szerintem. Talán tegyük külön hálózatba az elkülöníthető dolgokat. Az hogy egy gerincen ezeket a hálózatokat át kell adni, az általában VLAN-al fog történni, de lehet EoIP, vagy VPN vagy akármin átmehetnek a hálózatok, hogy akár több 100 km-re újra legyen ugyanaz a hálózat elérhető. Talán a rossz megfogalmazás abból ered hogy csinál valaki 192.168.10.0/24, 192.168.11.0/24, stb... hálózatokat és célszerűen a 10, 11-es VLAN-al fogja egy közös részen átvinni.
Átállítottad 1-2 eszközön a maszkot és nem látja mégsem ezt meg azt? Hát ez nem meglepetés. Vannak helyzetek amikor továbbra is látható lesz valami valahonnan (a halmaz közös metszete). 
Hálózati átszervezésnél elkerülhetetlen az eszközök címeinek beállítása. Nem csak IP címről van szó, amihez hozzátartozik a maszik is, hanem GW, vagy DNS szerver elérhetőségéről is. (NTP, TFTP, IP-telefon config letöltő, stb... nem is beszélve). Erre taláták ki a DHCP-t, amit jó használni. Ha most a nyomtató, IP kamerák, meg ki tudja mik még fix kézi címmel vannak akkor át kell kézzel állítani egyenként.

Ahogy kinéz így kívülről a dolog, az, hogy olyan darálóba készülsz bedugni a farkadat amit a megrendelő teker majd meg. Vagy ilyen never-ending-sucking lesz a vége, mert majd éppen mi nem működik.
Jelenleg a "ne bántsd a szart amíg nem büdös" helyzet van. Ha megpiszkálod, ömelni fog a probléma minden irányból. 

Ha kinőné a cég a raktárját / irodáját akkor hív egy festőt, hogy fesse világos színűre a falakat, mert akkor tágasabban fog hatni?

( Robika88 | 2021. 07. 21., sze – 17:14 )

Kérdésem, hogy milyen eszközöket ajánlanátok pl. 8 portos switchnek? (szerettek vele dolgozni , kézre áll stb.)

Jelenleg mint írtam mikrotik, ubiguiti-t preferáltam, de a hiányzó nem okos eszközök helyére szeretnék venni.

kb, netto 60 - 70 e.ft / pont.  Poe kamera megtápláláshoz ezeket tettem: Ubiquiti ES-8-150W illetve 16 portos nagy testvér

ahová nem találtam:

mezei nem poes, pl gépek összeköttetése

wifi acces point, itt nézegettem a mikrotik hac2-öt mondván ennek minden portját lehet matekozni csak nincs antennája.

hálózaton 17 darab ilyen pont lenne ami vagy csak switch, vagy wifit is adna összesen

 

Köszönöm a kommentjeitek, több szem többet lát alapon jó tanácsok ötletek jönnek tőletek.

Gúnyolódóknak csak annyit: Egy múltkori topikomra is annyi volt a válasz hívj szerelőt vagy tanuld meg. Hát megtanuljuk ezt is, idő van rá :-D

"mezei nem poes, pl gépek összeköttetése"

8 portos, nem okos, kézre áll, kicsi soho 

ezt használom 3 éve,  napi 10-14 órában,  nem volt vele gondom :

ZyXEL GS-108B v2 8x100/1000T

/0-24-re rackszekrénybe azért 1 kicsit komolyabbat tennék/

www.pingvinpasztor.hu

Ha nem kell komolyabb akkor az alábbi (viszonylag jó áron elérhető) néhány 8 portos, VLAN képes, fém házas, web felületen keresztül konfigurálható WebSmart switchekből választanék. Előző munkahelyemen D-Link DGS-1100-08-t használtunk sok (több mint 30) helyen (24 órás üzembe is, rackbe is, Voice VLANnal is) nem volt velük gond, de a többi sem nagyon más.
D-Link DGS-1100-08, TP-Link TL-SG108E, Zyxel GS1200-8, NETGEAR GS108E-300PES
--
Légy derűs, tégy mindent örömmel!

A D-Link DGS-1100 sorozat megbízhatóan működik nálunk is sok ügyfélnél, sok példányban, de nekem agyvérzést okoz az első konfigja.

Ugyanis ha szeretnék fix IP-t is meg menedzsment VLAN-ba is tenném, akkor ezt nem lehet egy lépésben, nem egy lapon van a két paraméter. Elsőre fix IP a beállító gépen a switch gyári IP címe miatt. Utána IP csere a switch-en, beállító gépen szintén, hogy hozzáférjek újra. Aztán mehet a menedzsment VLAN beállítás, és ekkor mehet a helyére a megfelelő trunk csatlakozásra, onnantól elérhető a végleges módon. Közben persze figyelni kell, mert ugye running konfig módosítások ezek, és menteni kell boot konfignak kézzel, szóval egy-egy lépés után nem szabad áramtalanítani, stb., csak a visszacsatlakozás és mentés után.

Érdekes módon a DGS-1210 sorozatnak a különböző HW verziói különböző FW-t is tartalmaznak, és van, amelyikben ilyen agyrém a konfig, és van, aminél egy lapon van a menedzsment IP és VLAN, azt tök egyszerű emiatt beállítani.

Én nem azért írtam hogy hívj valakit, mert gúnyolódni szeretnék veled. Hanem egy ilyen átalakítás végeredménye akkor jó ha jó valóban a megvalósítása is. Ha ehhez nincs tudásod, tapasztalatod akkor sok sok idő és sok sok pénz, kiesések lesznek mire megtanulod. Persze ha ez elfogadható akkor hajrá, csak nekem úgy tűnik, hogy amelyik hálózat megnő a /24-ből az általában nem az hogy bedobok 1-2 varázslatot, meg how-to-konw-t és megoldott a probléma gombokból. Nem szégyen egyáltalán tapasztalt külső céget felfogadni speciális feladatok elvégézésre.
Persze ha egy cégnél van mint rendszergazda akkor a főnököd még ha nem is mondja elvárja, hogy te oldj meg mindent is. Ehhez is alkalmazkodnod kell.

Részemről ha ajánlani kell az MikroTik, legfőképp azért mert a menedzselése megoldott. Ilyen olyan switchek, és egyéb eszközök egyedi kezelése, esetlegesen a varázslatok kitapasztalása több időt venne el. Itt minden egyforma, ugyanaz a RouterOS van szinte mindenen. (csak switchOS-es switcheket nem sorolom ebbe a vonalba)
MikroTik hac2? hAP ac^2 lenne amire gondolsz? Van antennája :) Nem is egy... :) Másképp nem működne WiFi-n. Szinte az összes AP olyan, hogy belül van az összes antenna, kintről csak egy kajásdoboznak látod.

Ha van már Ubi AP-d és kezeled rendesen akkor lehet célszerűbb abba az irányba menni. MikroTik-nek is van AP kezelő megoldása, CAPsMAN, eléggé részletesen be lehet állítani, nekem működnek.
Újra jön a mondat, hogy tervezni kell, tudni kell a tervezéshez nagyon sok paramétert. 

Tanulni az ilyet lehet éppen produktiv környezetben is, viszont általában nem munkaidőben. Olyankor nem hiszem ha örülne valaki ha egyszer csak megállna minden. Lehet gyakorolni teszkörnyezetekben akár. Persze lehet menni ilyen olyan oktatásokra is, majd vagy bátornak lenni, vagy tapasztaltot szerzni megint csak gyakorló környezetben.

( hnsz2002 v | 2021. 07. 21., sze – 18:56 )

Első gondolatom: Atya úr isten...

Második: Mivan?

"Sose a gép a hülye."

( Robika88 | 2021. 07. 22., cs – 20:49 )

Nem értem mire írod.

Egy hap ac2 vlanba külön ip tartományba beüzemelve, mert már jött egy hely hogy hát ide is kéne...  Falak még csak félig állnak, egy helységbe de ide kell wifi XD  Uv álló, feszítős légkábel be XD