menedzselhető switch beállítás

Hálózati eszközök

Sziasztok...

Aszt hittem könnyebb dolgom lesz majd webes felületen bekonfigolom, de nem...
van egy ADSL fix IP.
internet > modem > router > switch > 2elszeparátl hálózatnak kéne lennie (egyik a másikát ne lássa)
meg még van 2 szerver is amit inkább a routere tennék... nem tudom mert a 2 elszeparát hálózat egy-egy tagja lenne.

igazából kezdek kételkedni hogy megoldható e ezzel a switchel... vagy mi hogy legyen
nem tudom mit kezdjek...
valami tanács kellene

üdv kavics

  • 10610 megtekintés

( KisLebowszky | 2008. 08. 05., k – 12:56 )

Milyen switchről van szó? VLANt tud? vagy megcsinálod hogy egyik háló pl 192.168.1.0 a másik 192.168.2.0, és ACL-el megoldod hogy az egyikből a másikba menő ne menjen. Ha pontosítasz, próbálok segíteni.
---MacOsX10.5, MB---

( Skuzzy | 2008. 08. 05., k – 12:59 )

tanacs: irj valami konkretumot:-)
pl switch tipust
a lenyeg, hogy tud-e vlan-okat kezelni.
(egy szimpla routerrel nem biztos, hogy mindket halozatot ki tudod engedni netre, ez is kerdes, hogy mit is akarsz pontosan)

oks

létrehoztam 5vlan-t 1.ID val már létezik egy default... igazábol nem lényeg
VLAN ID VLAN NAME STATUS
1 default
2 a Static
3 b Static
4 c Static
5 d Static
6 e Static

ez eddig világos... :)

rakok be egy két képet:
http://kavics1.extra.hu/acl.JPG
http://kavics1.extra.hu/acl_mac.JPG
http://kavics1.extra.hu/port_to_vlan.JPG

az aclben a source , destination IP ez pontosan micsoda? router osztotta tartomány?

ötletem sincs mi hogy van... :(
a lényeg hogy abcde lábon lévő másik switchek, vagy gépek ne lássanak át egymáshoz.

akinek van hasonlója kérem segítsen...

köszi kavics

Tehát akarsz öt zónát, akik egyáltalán nem látnak át egymáshoz, csak az internetes kijárat felé. Minden zóna saját címtartományt kap, ott abból osztogatsz címeket, és a routingot lövöd be. a VLAN-ok közötti forgalmak tiltása/ACL-ezése (VLAN-ID alapon) a MAC-alapú ACL-nél adható meg, ha jól láttam a doksiban.

Ahogy nézem, nem biztos, hogy ez az eszköz a nyerő erre a célra, mert ahogy nézem L3 routingot nem tud...

mielőtt még túl lenne bonyolítva: kézzel kellene megadni az 5 hálózatnak az IP címet. Tehát konkrét példával
a 192.168.1.0
b 192.168.2.0
c 192.168.3.0
...
ezután jöhetnek az ACL listák.
1. deny any souce 192.168.1.0 wildcard mask 0.255.255.255 . Dest 192.168.2.0 w.c.mask:0.255.255.255
2. --II-- Dest 192.168.3.0 0.255.255.255
3. --II-- Dest 192.168.4.0 0.255.255.255

tehát magyarul az A halózatnak megtiltani hogy bármi menjen a B C D E hálózatokba.

Ugyanezt eljátszani Bvel, hogy tiltani az A C D E-t. stb.

Ehhez a hálózatokban statikusan kell megadni az IP-t, vagy a DHCP úgy beállítani hogy abból a tartományból adjon IPt.

---MacOsX10.5, MB---

az a baj, hogy fix IPt adok neki, nincs internet.
192.168.1.x 255.255.255.0 192.168.1.254 átjáróval tudom csak "konfigolni" weben keresztül, de akkor nincs net. WAN aljzat sajna nincs benne... 8. porton van elvileg a net a többi mind VLAN lenne
DHCPvel meg a következőt kapom 192.168.2.5 255.255.255.0 192.168.2.1 el müxik a net, de átlátok

rosz átjárót,DNS adtam meg?

kezdek kiborulni...

Szerkesztve: közben rájöttem, hogy routerben átmaszkolással megoldodott a probléma :)

( _Petya_ v | 2008. 08. 05., k – 23:53 )

Sziasztok!

Van egy D-Link DES-1228 switchem, és szeretnék VLAN-okat beállítani rajta. Sajnos nem ismerem ki magam a konfig felületén, segítséget kérnék:

Egy adott VID-hez fel van sorolva az összes port, és portonként egy radio button-t lehet állítani "Untag", "Tag", "Not Member" állapotokba, a manual azt írja, hogy egy port csak egy VID-ben lehet "Untagged".

Ezek alapján, én úgy értelmezem, hogy azokat a portokat, amelyeken VLAN-t nem tudó, végponti eszközök lesznek, az adott VLAN-nál "Untag"-re kell állítani (tehát le akarom róla szedni a VLAN azonosítót az ott kilépő csomagokról, ill. rá akarom tenni az ott bejövőkre), az összes többinél pedig not member-re, azokat, amelyeken pedig VLAN-t tudó eszközök (pl 2 VLAN-ban is benne lévő, VLAN képes hálókártyával rendelkező szerver), azokat minden VLAN-nál, amelynek tagja, "Tag"-re kell állítani, a többinél pedig "Not Member"-re.

Jól gondolom?

Petya

Köszönöm, lenne mégegy kérdésem:

Nálunk az intézményünkben publikus IP-je van minden PC-nek, menedzselhető eszköznek. Szeretném a PC-ken kívül az összes menedzselhető eszközt (pl switchek) privát IP tartományba rakni, ezeknek az internetre nem kell kilátniuk, viszont fontos, hogy a publikus IP-jű PC-kről el lehessen érni őket.

Hogy szokás ezt megcsinálni? Első körön arra gondolok, hogy egy mindkét VLAN-ban (publikus és privát) benne lévő szerverrel NAT-olok, és a publikus IP bizonyos portjait forwardolom a privát IP-k 80-as portjára, de biztos van ennél szebb megoldás. Ti hogy csinálnátok?

Petya

Kell egy router, aminek mindket VLAN-ban van egy-egy laba, es a switcheket elerni akaro gepeken kell csinalni egy route bejegyzest, hogy a switchek szegmenset milyen gepen keresztul lehet elerni. Ha a default gatewayedre kotod a switcheket, akkor fogja tudni magatol. Azt is meg lehet csinalni, hogy a def.gw-n csinalsz egy route bejegyzest, hogy merre kell keresni a switcheket (ilyenkor kuld egy icmp redirectet a kliens gepnek, hogy ezutan a masik router fele keresse a switcheket, ezt viszont a tuzfalak nem mindig szeretik). Ha bonyolitani akarod, akkor ugyanezt el lehet erni dinamikus routinggal is... ;-)

Köszönöm, azért leírom, hogy jól értem-e:

Van a publikus hálózatom, legyen mondjuk 1.2.3.0/24. A switchek a 10.2.3.0/24-ből kapnak IP-ket. A default gw-n az egyik interface 1.2.3.254, a másik pedig 10.2.3.254, a harmadik, amelyiken az internet kapcsolatunkat kapjuk, 5.6.7.8. Ezek alapján felépül a dinamikus routing tábla, és mivel be van kapcsolva az ip_forwarding (hiszen eddig is ment a forward az 1.2.3.254 és az 5.6.7.8 között), bármelyik 1.2.3.x címről ha csatlakozni próbálok 10.2.3.x címre, akkor az menni fog, a default gw-n keresztül?

Petya

( kavics | 2008. 08. 12., k – 18:08 )

Sziasztok!

Ugyancsak menedzselhető switchre lenne szükségem, egy másik projektre.
A lényeg, hogy Sávszél korlátot tudjon.
Valami linksys cuccot tudtok ajánlani, ami megbízható és alkalmas erre a célra?
pl:
net > router > switch (sávszélkorlát 3 tartományra) > 1 hálózat
2 HÁLÓZAT
3 hálózat

mindhárom hálózatot korlátozni lehessen, eddig routereknél láttam, ilyet, switchekre létezik ilyesfajta megoldás?

Üdv kavics

( petertothster | 2008. 09. 04., cs – 09:08 )

Üdvözlet!

Az alábbi feladat előtt állok:

vegyünk egy kis gigás switchet a szerverszobába(Linksys), ami gigabiten összekapcsolódik a távoli rackszekrényben lévő cisco switch-el ahova mindenki más is csatlakozik.

A szerverek közt lenne olyan, amit helyileg és távolról szeretnénk elérni (pl. VPN), és lenne olyan amelyet csak helyileg használunk, véletlenül sem szeretnénk hogy látható legyen, ezért VLAN-ozni szeretném őket. Kérdés, hogy ezzel az új switch-el minden szempontból megoldható -e a probléma.

Várom az építő jellegű ötleteket, előre is köszönöm!

Péter

( kavics | 2008. 10. 04., szo – 17:19 )

uhh kicsit megszívtam, nem írtam dokumentációt :(

internet > router > menedzselhető switch > alkálózatok

router config:
192.168.0.1
255.255.0.0
+ ADSL (fixIP)
+ DHCP enable, ha valaki rádugna egy gépet a hálózatra müködjön legalább a net.

Menezselhető switch:
192.168.1.0 0.255.255.255 deny all 192.168.2.0 0.255.255.255
oda vissza ACL lista létrehozva.

a, alhálózatok munkaálomása:
192.168.1.100
255.255.0.0
192.168.0.1

b, alhálózat munkaállomása:
192.168.2.100
255.255.0.0
192.168.0.1

miért látnak át egymáshoz a különböző alhálózatok?
köbö 3-4 hónapja teszteltem le otthon, és még átpingelni sem lehetett a hálózatok között. Sajna nem írtam dokumentációt, és most ittvagyok és nem vágom mi van.
Switchhez nem nyúltam, beconfigolt állapotban raktzam be elvileg ott minden oké...

mi lehet a para?

Ebből az következik, hogy az általad két különbözőnek vélt hálózat valójában egy, ami a 192.168.0.0/16, és nincsenek VLAN-jaid, így minden gép routing nélkül láthatja egymást a router közreműködése nékül. A switchnek pedig ebből a szempontból semmi szerepe.

"köbö 3-4 hónapja teszteltem le otthon, és még átpingelni sem lehetett a hálózatok között."
"Switchhez nem nyúltam, beconfigolt állapotban raktzam be elvileg ott minden oké..."
Akkor valószínűleg az otthoni hálózatban sem az eredeti kívánalmaknak megfelelően múködött, csak valószínűleg nem egy IP-tartományt használtál, mint most itt.

Ha jól sejtem, még itt siklott félre a dolog:
"közben rájöttem, hogy routerben átmaszkolással megoldodott a probléma"

értem én, de az ACL listkának semmi köze a VLANhoz.
mármint mikor bekonfigolod őket.

http://kavics1.extra.hu/acl.JPG
http://kavics1.extra.hu/port_to_vlan.JPG

utobbi linken lévő táblázatot nem nagyon értem... hogy fűzöm össze az ACL-t és a VLAN-t?

otthon úgyan így teszteltem, csak 2 gép között. + egy belink router volt.
elvileg router config oké, munkaállomások okék... elvileg ránézésre,

A portjaidnál az Access és a Forbidden van bejelölve. Akkor olvassuk el a User Guide-ot:
"Forbidden Forbidden ports are not included in the VLAN."

"hogy fűzöm össze az ACL-t és a VLAN-t?"
Interfészre tudod feltenni. Részlet a User Guide-ból:
Security > ACL Binding
When an ACL is bound to an interface, all the ACE rules that have been defined are applied to the selected interface. Whenever an ACL is assigned on a port or LAG, flows from that ingress interface that do not match the ACL are matched to the default rule, which is Drop unmatched packets.

Azt kellene kitalálnod, hogy mit milyen eszközzel kell és lehet megvalósítani.
- a két VLAN között melyik eszköz route-ol
- a két VLAN között melyik eszköz szűri a forgalmat IP szerint
- a két VLAN forgalmát melyik eszköz hova NAT-olja