Az a kérés érkezett felém, hogy a cég bizonyos végpontjain a hálózatot kontrollálni kell. Három szintet különböztettek meg: 1-semmit ne érjen el; 2-csak internetezni tudjon; 3-internetezzen és a hálózati szervereket is elérhesse, aki bedugja a hálókábelt.
1-es problémát megoldom azzal, hogy nem osztom ki a végpontot az elosztó panelen. De a 2-3 problémába nem tudom, hol és hogyan kezdjem? Ebben kérném a segítségeteket! Fedoran fut a dns; dhcp.
Köszönettel,
pzs
- 1712 megtekintés
Hozzászólások
Milyen switchetek van?
- A hozzászóláshoz be kell jelentkezni
Unmanaged. :D
--
Coding for fun. ;)
- A hozzászóláshoz be kell jelentkezni
HP ProCurve2626 és ha jól tudom menedzselhető. Ezen csücsülnek a végpontok. A szerverek egy HP ProCurve1800-ra vannak bekötve.
- A hozzászóláshoz be kell jelentkezni
Én csinálnék minimum 3, de inkább négy VLAN-t: netezhet, szerver, szerverezhet, külvilág, összeengedném egy tűzfalban, aztán ott matatnám, hogy ki, hova, merre.
- A hozzászóláshoz be kell jelentkezni
"De a 2-3 problémába nem tudom, hol és hogyan kezdjem?"
Általánosságban: a tűzfalszabályok megfelelő beállítása megoldja a problémát.
A konkrét esetben viszont semmit sem tudunk a hálózatról:
Milyen hálózati eszközök állnak rendelkezésre? Milyen a hálózati topológia? Milyen tűzfal van a szerverek és a munkaállomások között? A szerverek és a munkaállomások külön IP tartományban vannak-e?
- A hozzászóláshoz be kell jelentkezni
Hálózati eszközök HP ProCurve2626 és 1800 switch. A szerverek és munkaállomások azonos IP tartományban vannak. Hálózat topológiája leginkább csillag- ha erre gondoltál.
- A hozzászóláshoz be kell jelentkezni
A munkaállomások a 2626-okban, a szerverek az 1800-on lógnak, eddig stimmt. A munkaállomások DHCP-vel kapnak címet, vagy fix címük van? Hálócím/netmaszk micsoda? Mennyiben módosulhatnak a meglévő IP-címek? Mekkora keret áll rendelkezésre? (Egy normális NAC kialakítása picit több, mint a vlan-os móka).
- A hozzászóláshoz be kell jelentkezni
Nem látszik túl tapasztaltnak a kolléga, szerintem jólesz az a vlanos megoldás, ne tereljük el bonyolultabb irányokba...
- A hozzászóláshoz be kell jelentkezni
A szerverek fix IP-n ülnek a munkaállomások DHCP-n. Netmask C osztályú. Fix IP-címeket nem bántanám. Keret: ha lehet a meglévő anyagból kellene megoldani. Hanem megy a meglevő anyagból, akkor az ártól függ.
- A hozzászóláshoz be kell jelentkezni
Akkor egyszerű a dolog: szerverek maradnak a se...ükö..., izé a jelenlegi címeiken, mennek egy VLAN-ba, /24-es maszkkal, a munkaállomások meg költöznek.
Mondom, látni kéne a topológiát, a switchek közötti kapcsolatokat, az egyes zónák leosztását a switchek között (van-e olyan switch, amin csak normál munkaállomások vannak, van-e olyan, amin csak a szerverek lógnak), stb. hogy optimalizálni lehessen a forgalmat, illetve a sz0p@sfaktort.
Kb 1-2 óra alatt végig lehet zongorázni a dolog elvi megtervezését.
- A hozzászóláshoz be kell jelentkezni
Ha managed a switch, akkor van egy beállítófelülete, ahol mindenféle okosságot tudsz csinálni.
--
Coding for fun. ;)
- A hozzászóláshoz be kell jelentkezni
Halozati eszkozok milyenek?
Ahol kontrollalni kell azok fixek vagy valtozo mikor melyik vegpontrol van szo?
Mert pl ha tudjak a switchek akkor 802.1q vlan-al elszegmentalod a reszeket es tuzfalon keresztul erik csak el a masik vlan-ban levo dolgokat, ott meg konnyen kontrollalhatod h miket akarsz megengedni.
Ennek szebb formaja a 802.1x.
--
Don't Panic if you see me laughing,
that's not a bug, just a feature.
- A hozzászóláshoz be kell jelentkezni
A végpont az fix. Tárgyalókban kellene beállítani.
- A hozzászóláshoz be kell jelentkezni
Akkor az összes trágyálós végpont egy VLAN-ba, az összes irodai egy másikba, a szerverek egy harmadikba, az Internet-kapcsolat egy negyedikbe, egy gigás lukba trönkön belezúditani mind a négyet, a trönkölt forgalmat egy Linuxos tűzfallal simán lehet babusgatni.
- A hozzászóláshoz be kell jelentkezni
HP 2626 nagyon jókis switch nálunk több darab is szolgál, jól managelhető ssh/telnet/web felületen. Év vége óta 1800-asunk is van. Butább ugyan mint a 2626, de weben keresztül beállítható az ami neked kell. (vlan)
- A hozzászóláshoz be kell jelentkezni
Le tudnád írni, hogyan kell?
- A hozzászóláshoz be kell jelentkezni
Le tudnám írni, de pillanatok alatt összeboríthatod a hálózatod. Biztos vagy benne, hogy ezt szeretnéd? IP-címük van a switheknek? szerk.: ha gyári beállításon vannak akkor van, mert dhcp-vel kértek.
Egy hasznos link:
http://www.hp.com/rnd/support/manuals/2650_6108.htm
ha már bejutottál a swith-ekbe és administrator jogod is van, akkor:
menu
2. Switch Configuration...
8. VLAN Menu...
2. VLAN Names
3. VLAN Port Assignment
- A hozzászóláshoz be kell jelentkezni
A leírást szeretném. A hálózatot összeborítani nem szeretném, de kell a beállítás. Switchek fix IP-n vannak.
- A hozzászóláshoz be kell jelentkezni
Beleírtam a fenti hozzászólásba. Egy konzolkábel nemárt ha van kéznél...
- A hozzászóláshoz be kell jelentkezni
Ha van szabad switched ami kepes vlanokat kezelni sztem eloszor azon nezd meg hogy is megy ez.
Mert azert ez is van olyan szintu modositas, h legalabb bizonyos reszeken lesznek atmeneti kiesesek akarmennyire is jol eltervezed az atallast.
Egyebkent be kell allitani tuzfalat h interface lekezelje a vlanokat, felvenni rajta a kivant vlanokat, beallitani hozzajuk a szabalyokat.
Dhcp-ben szinten vlanok szerint beallitod az ip-k kiosztasat.
Ill. switcheken is beallitani h melyik vegpontok melyik vlanban legyenek.
Szoval nem 2 perc beallitani azert, olvass utanna elotte, ill. ha teheted akkor teszteld vmi kulon reszen, h lasd valojaban hogy megy ez.
--
Don't Panic if you see me laughing,
that's not a bug, just a feature.
- A hozzászóláshoz be kell jelentkezni
Külön switch van.
Akkor olvasok HP Procurve menedzselést, VLAN kialakítást. Ha vlahol elakadtam írok.
Köszönöm a segítségeteket!
pzs
- A hozzászóláshoz be kell jelentkezni
A leírás fentebb megvolt, a tudás, az hibádzik hozzá. A teljes hálózati struktúra, a jelenlegi forgalmak ismerete nélkül senki nem fog neked step-by-step kottát írni látatlanban. Még úgy sem, hogy odamegy, kérdezget, kitalál, még úgy sem, csak leírja azt, amit már itt is röviden vázoltunk.
Ha implementációs tervre vágysz, akkor azt is lehet, mondj egy eszköz- illetve végpontszámot, és kapsz rá árajánlatot.
- A hozzászóláshoz be kell jelentkezni