Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: YourDog 24. 08. 2020, 14:48:44
-
Ahoj, chtěl bych doma zabezpečit síť. Pořídil jsem Intel NUC, kdy mi poběží různe věci kvuli testování(Win10Pro + Virt. Debian). Vedlé me hlavní práce vyrábím hry a potřeboval bych, aby na tom NUC bežel nonstop herní server. Dneska se to řeší přes služby třetích stran, ale to bych víceméně za srovnatelné parametry s tím NUC dal za VPS 1200 kč/měs a více, takže by se to už po roce nevyplatilo.
A teď k mojí otázce. Chci teda rozdělit síť na veřejnou a neveřejnou část, ale potřebuju pár věcí ujasnit.
rozdělení sítě by bylo jednoduché následovně:
VLAN 1: privátní
Pracovní PC, dalsi PC, NAS, WiFi(mobily, notebook), Android TV. všechna zařízení mají přístup na NAS
VLAN 2: veřejné s přístupem z venku
NUC Win, NUC (virt.) Debian, Raspberry Pi, PlayStation.
jestli funkci VLAN chápu správně s takovýmto rozdělením by nemělo bejt možný ani pingnout z 1 na 2. Ale potřeboval bych přístup na ten NUC přes vzdalenou plochu z PC ale neohrozit NAS a vlastně aby NUC nemohl vidět nic.
A teď jak tohle řešit?
Jde VLAN nějak nakonfigurovat aby tohle umožnila? Nebo je lepší aby v tom NUC beželo OpenVPN a komunikace probíhala přes něj? Tím by teoreticky prac. PC vidělo do (veřejné) VLAN 2 a mělo pro to zvlášť jako další síť s jinou domenou a tak by nebylo na VLAN 1 vidět? OpenVPN jsme používali v bývalé práci pro práci z domu a zdálo se že to fungovalo tak jak píšu, ale jistý si nejsem. A ještě mi není jasné jak by se na ten OVPN server připojovalo, jestli přes veřejnou IP na routeru jakoby venkem?
A třetí možnost, dát prac. PC a NUC jako jediné do další VLAN 3, myslím že to switche dle obrázků nastavení co jsem zkoumal umožňují být součástí více VLAN. Ale není mi jasné, jestli tímto "přemostením" nebude pak NUC i součástí sítě kde je NAS.
Mám v tom bordel jestli se to nedá řešit dvěma doménama, ale přijde mi že v případě VLAN 3 by bylo možné v případě nějaké díry napadnout NUC, ten by jak v Benešovské nemocnici nakazil přes VLAN 3 to pracovní PC ve VLAN 1 a to když vidí neomezeně na NAS by pak mohlo NAS zašifrovat nebo něco dalšího.
Takže otázky jsou: jak udělat nejlépe tento setup. Jestli je dnes vubec možné napadnout přes veřejnou IP nějaké PC s moderním updatovaným OS pokud neotevírám neznámé exe soubory a když na firewallu(router) jsou povoleny porty jen pro určité služby.
A který z těchto switchů byste vybrali a jestli mam řešit podporu L2 a L3 pro mé účely?
Netgear GS108E Prosafe Plus
https://www.alza.cz/netgear-gs108e-prosafe-plus-d2206249.htm
strana 5-6 https://www.netgear.com/images/datasheet/switches/Gigabit_Ethernet_Smart_Managed_Plus_Switches_DS.pdf
TP-LINK TL-SG108E
https://www.alza.cz/tp-link-tl-sg108e-d1530248.htm
https://www.tp-link.com/us/business-networking/easy-smart-switch/tl-sg108e/#specifications tady nechápu proč stejnej typ s podporou VLAN ma v nazvu V4 unmanaged a neni jasné který alza má a jeste alza má chybu v propustnosti, kde mají 8 místo 16.
https://www.tp-link.com/us/home-networking/8-port-switch/tl-sg108e/v5/#specifications
D-Link DGS-1100-08
https://www.alza.cz/d-link-dgs-1100-08-d4692184.htm
https://www.dlink.com/en/products/dgs-1100-08-8-port-gigabit-smart-managed-switch
Za případné odpovědi děkuji.
-
Ano, jde to, přes protected porty. Nicméně to není úplně ideální cesta. Switch pracuje (převážně) na L2, zatímco to, co potřebujete je L3 operace. Na tohle správně přísluší router.
Správné řešení je tedy pořídit switch, s podporou VLAN. Switchi nastavíte čísla VLAN na porty, zatímco do routeru si je pošlete otagované (802.1q trunk). Ten každou z VLAN uvidí jako nezávislý interface (např. eth0.15 (vlan15), eth0.16 (vlan16)) atd. Pravidla, kdo kam smí, pak patří až na ten router.
-
Ten Netgear má v parametrech uvedenou podporu "L3 Services - DHCP" tam bych to nastavil? Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.
pokud teda nastavím číslo té VLAN stejně ve switchi a v modemu tak se to správně identifikuje? vypadá to tam nějak takhle...
(https://i.ibb.co/z6q6Lhv/modem.jpg) (https://ibb.co/z6q6Lhv)
-
Ten Netgear má v parametrech uvedenou podporu "L3 Services - DHCP" tam bych to nastavil? Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.
Podle mě to nepůjde. Musel byste to nastavit na switchi pomocí L2 služeb - tj. který port na jaký má vidět. Ale jak už jsem psal, není to ideální, má to svoje úskalí. Podpora v L3 switchích se už liší výrobce od výrobce, ale obvykle to bývá jakási očesaná sada router funkcí (velmi očesaná).
VDSL modem do toho netahejte, to je koncové zařízení providera. Za ním má být router a za ním switch. Pak půjde udělat to, co žádáte.
-
Když bych to zjednodušil že chci jen dvě VLAN a nikdy nebudou mezi sebou komunikovat a NUC bych obsluhoval lokálně nikoliv přes síť, tak by měl stačit jen ten switch s L2 nebo je tam i tak šance že něco může proniknout? Diky za info.
-
Když bych to zjednodušil že chci jen dvě VLAN a nikdy nebudou mezi sebou komunikovat a NUC bych obsluhoval lokálně nikoliv přes síť, tak by měl stačit jen ten switch s L2 nebo je tam i tak šance že něco může proniknout? Diky za info.
Jestli butete z notebooku přistupovat na NUC, pak už ty dvě VLAN spolu "nějak" komunikovat musí.
-
Jestli butete z notebooku přistupovat na NUC, pak už ty dvě VLAN spolu "nějak" komunikovat musí.
to ne, myslel jsem to tak, že jestli oželím vzdálený přístup na NUC jestli bude stačit ten switch s L2 oddělením bez routeru. NUC bych si ovladal normalně lokálně na monitoru a klavesnici, případně přes teamviewer přes internet. Prioritou je ochránit ten NAS kde jsou pracovní věci pod NDA.
-
Jestli butete z notebooku přistupovat na NUC, pak už ty dvě VLAN spolu "nějak" komunikovat musí.
to ne, myslel jsem to tak, že jestli oželím vzdálený přístup na NUC jestli bude stačit ten switch s L2 oddělením bez routeru. NUC bych si ovladal normalně lokálně na monitoru a klavesnici, případně přes teamviewer přes internet. Prioritou je ochránit ten NAS kde jsou pracovní věci pod NDA.
Pak na to stačí obyčejný switch s podporou VLAN. Já třeba používal D-Link.
Dlužno ale upozornit, že to nechrání od průniku zvenčí. Tam jste odkázaný na kvalitu DSL modemu a jeho firewallu.
-
Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.
VDSL modem od O2 ma urcite vic LAN portu, takze kdyby neumel tagovani, stacilo by na nem nastavit napr. VLAN1 na jeden a VLAN2 na dalsi, na switchi potom pripojit kazdy z nich do portu v dane VLAN. Netusim ale jestli umi nejaka rozumna pravidla na routing/firewalling mezi VLANama, zvlast DHCP pro kazdy z nich apod. - to bychom potrebovali vedet minimalne typ.
Byl by pak potreba jenom switch s uplne zakladni podporou VLAN.
-
Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.
VDSL modem od O2 ma urcite vic LAN portu, takze kdyby neumel tagovani, stacilo by na nem nastavit napr. VLAN1 na jeden a VLAN2 na dalsi, na switchi potom pripojit kazdy z nich do portu v dane VLAN. Netusim ale jestli umi nejaka rozumna pravidla na routing/firewalling mezi VLANama, zvlast DHCP pro kazdy z nich apod. - to bychom potrebovali vedet minimalne typ.
Byl by pak potreba jenom switch s uplne zakladni podporou VLAN.
modem od O2 je ZTE H267A https://www.o2.cz/_pub/12/12/4a/587811_1398033_ZTE_H267A_final.pdf
Co tak koukám do nastavení tak to vypadá že DHCP umí jen jedno globální. Ale s těma VLAN jsem něco (asi chybně) zkoušel viz obrazek nahoře co tam je za položky v menu.
A nepomohlo by mi místo switche koupit router s odděleným DHCP pro porty a podporou VLAN?
Já bohužel ze sítí chápu jen ty věci co nastavuje uživatel v PC, takže to ostatní mám hodně hrubou představu co potřebuju a proto se ptám. Ještě tu mám druhý Modem s routovacíma funkcema Comtrend a ten momentálně používám místo switche pro zařízení kterým stačí 100Mbit LAN. Ten tam má i více nastavení ale pracovni PC a NAS musí být na gigabitu, takže přes to jít nemůžou, ale ten NUC by tam být mohl. Ale pomůžu si tím vubec nějak? Zase nechci vymýšlet nesmysly, jsem právě chtěl koupit ten switch že se mi i podle obrázků zdálo to nastavení VLAN jednoduché, ne jak v tom O2 modemu.
-
...
Abychom jen neteoretizovali, za mě ideální low cost řešení:
1. modem přepnout do režimu bridge
2. za něj posadit Mikrotik
3. za něj posadit D-Link switch
-
...
Abychom jen neteoretizovali, za mě ideální low cost řešení:
1. modem přepnout do režimu bridge
2. za něj posadit Mikrotik
3. za něj posadit D-Link switch
Mužete mi to vysvětlit jak blbcovi?
Takže v modemu přijmu DSL kde to musí být nastaveno na Routing a defaultní VLAN 848 te DSL link. Pak nevím kde a na co dám ten bridge protože tam když se to nastaví u DSL nebo Ethernet tak tam zustane jediná položka VLAN ID. V modemu taky nejspíš vypnu DHCP protože to začne řešit ten Mikrotik (připojený jedným kabelem do modemu), kde udělám 2 ruzne DHCP? Jakože třeba IP x.x.x.1 až 20 a druhy DHCP x.x.x.21 až 255 nebo spíš x.x.x.x a x.x.y.y? To nějak pošlu na ten D-Link switch opět jedním kabelem do port 1 a dál tam budou už napíchaný ty VLAN 1 a VLAN 2 stroje do dalších portů dle nastavení VLAN. Nechapu ten význam dvou DHCP jestli má být každé s jiným rozsahem a jak by v tom případě komunikovaly 2 stroje z rozdílných VLAN a jak funguje to tagování, kde se dělá.
-
Předně, to, co popisuji je jen jedna z možností, jak to dělat. Já preferuji modem v režimu bridge, protože jinak dochází 2x k překladu IP adres - to nic nepřinese, jen komplikuje.
Po přepnutí modemu do režimu bridge se pak na routeru (Mikrotiku) nastaví pppoe interface a přihlašovací údaje do DSL linky se zadají tam.
Na routeru bych si nadefinoval VLANY. Tím mi vzniknou interface (např.) ether2.10 a ether2.20 (virtuální).
Na každý z nich pak můžete umístit samostatné DHCP.
Na switchi pak určíte, které porty jsou vlan 10 a 20. Podle toho přiřazení pak dostanou IP adresy.
Pokud budete chtít vlan 10 a 20 od sebe bezpečně oddělit, tak na routeru nadefinujete VRF (virtual routing and forwarding). Tím naprosto oddělíte obě větve od sebe.
(Pokud budete chtít, abyste např. z laptopu mohl přistupovat na NUC, pak lze do VRF přidat pravidla, která to umožní provést bezpečně).
Ano, je to už trochu advanced konfigurace.
-
Předně, to, co popisuji je jen jedna z možností, jak to dělat. Já preferuji modem v režimu bridge, protože jinak dochází 2x k překladu IP adres - to nic nepřinese, jen komplikuje.
Po přepnutí modemu do režimu bridge se pak na routeru (Mikrotiku) nastaví pppoe interface a přihlašovací údaje do DSL linky se zadají tam.
Na routeru bych si nadefinoval VLANY. Tím mi vzniknou interface (např.) ether2.10 a ether2.20 (virtuální).
Na každý z nich pak můžete umístit samostatné DHCP.
Na switchi pak určíte, které porty jsou vlan 10 a 20. Podle toho přiřazení pak dostanou IP adresy.
Pokud budete chtít vlan 10 a 20 od sebe bezpečně oddělit, tak na routeru nadefinujete VRF (virtual routing and forwarding). Tím naprosto oddělíte obě větve od sebe.
(Pokud budete chtít, abyste např. z laptopu mohl přistupovat na NUC, pak lze do VRF přidat pravidla, která to umožní provést bezpečně).
Ano, je to už trochu advanced konfigurace.
Mám co studovat, děkuji za užitečné informace.
-
Doma provozuji VLANy a neni to nic sloziteho, ale samozrejme si to musi clovek vyzkouset a nacist.
Nejjednodussi cesta je nastavit VLANy na switchi v rezimu L2, kdy se switch defacto rozdeli na nekolik oddelenych siti. Kazda VLAN = samostatna sit. Komunikace/blokace mezi jednotlivymy VLAN se pak resi pomoci FW pravidel na routeru. Da se bud kompletne blokovat komunikace obemi smery nebo povolit pristup z jedne do druhe, ale ne naopak. Ci take selektivne vybirat, co kam muze komunikovat. Vetsina levnejsich (v castce 1000,- Kc snad vsechny) switchu zvladaji jen L2 a L3 je pouzitelne spise u switchu o rad drazsich.
V mem pripade resim FW pravidla na routeru pfSense, kde se da vse pohodlne nastavit z pekneho GUI a na internetu lze nalezt spousty videi ci obrazkovych navodu.
Z vybranych switchu bych bral D-Link. Sam je pouzivam ve vsech svych sitich a jsem s nimi pomerne spokojen. Akorat se teda jedna o vyssi rady 12xx/15xx. S Netgear nemam zkusenost. TP-Link TL-SG108E (i model TL-SG108PE) jsem mel a byl s nimi spokojeny. Akorat u zvoleneho modelu (TL-SG108E) pozor na to, ze nemaji GUI pristupne z prohlizece (narozdil od modelu TL-SG108PE). Lze je ovladat pouze s pomoci Windows aplikace, coz trochu snizuje uzivatelsky komfort, zvlast pro Linuxove nadsence.
Nehledet na cenu, tak z uzivatelskeho hlediska bych nejspis volil produkty z Ubiquiti Unifi rady - Ubiquiti US-8 (https://switche.heureka.cz/ubiquiti-us-8/#).
-
...
Abychom jen neteoretizovali, za mě ideální low cost řešení:
1. modem přepnout do režimu bridge
2. za něj posadit Mikrotik
3. za něj posadit D-Link switch
Zatím jsem pořídil ten D-Link jak jste doporučoval i podle meho pruzkumu vycházel nejlepe a budu teda potřebovat ten router, takže Mikrotik, ale jaký? Asi nejlepe aby uměl 1GBit porty a pak koukám že jsou některé s WiFi, takže by to umělo oddělit vlastní WiFi do VLAN? Si právě nejsem jistý jestli by to šlo s non-wifi Mikrotikem použít tu wifi na O2 modemu.
na výběr jsou
bez wifi
https://www.alza.cz/mikrotik-rb750gr3-d4528206.htm
https://www.alza.cz/mikrotik-rb760igs-d5470871.htm
s WiFi
https://www.alza.cz/mikrotik-rb951g-2hnd-d429778.htm
https://www.alza.cz/mikrotik-rbd52g-5hacd2hnd-tc-d5305635.htm
a také nevím jestli paarametr který bych měl sledovat je velikost RAM, ty wifi verze mají jen 128 MB a bez ní mají 256MB. Aby to pak nemělo vliv na přenosovou rychlost podobně jako u pfSense.
-
Jak rychlou linku máte (i výhledově) a jak moc by případně tekly data mezi oddělenými částmi?
Wifi na modemu použít nemůžete, modem je v části před routerem (tedy před chráněnou částí).
-
a pak koukám že jsou některé s WiFi, takže by to umělo oddělit vlastní WiFi do VLAN?
Thread jsem jenom velmi hrubě prolistoval, ale přišlo mi, že furt nerozumíš tomu, co je přesně VLAN, a tato otázka mi taky přijde že je asi projevem zmatení. Nechce se mi to vysvětlovat, ale doporučuju problematiku ještě chvíli studovat (a ještě třeba co je to tagged vs. trunk port, to při konfiguraci routeru budeš potřebovat).
a také nevím jestli paarametr který bych měl sledovat je velikost RAM, ty wifi verze mají jen 128 MB a bez ní mají 256MB
No hlavně ty wifi verze mají jenom jednojádro a ještě pomalejší. Na základní routování je to v pohodě, ale jakmile tam chceš spustit něco náročnějšího (firewallová pravidla, nedejbože VPN se šifrováním, no a nebo prostě nějaký svůj program), tak to bude pomalé.
-
Na ebayi se dají sehnat kolem 2-3 tisíc 3750x. Za tu cenu to umí i L3 a dá se k tomu koupit i 10G rozhraní a když koupíš dva, tak to můžeš propojit do stacku a mít i přes stack redundantní PSU.
Jediné mínus je trochu vyšší spotřeba, ale jinak je to rock solid.
Pokud není potřeba 10G duální PSU, pak stačí 3750g.
-
Na ebayi se dají sehnat kolem 2-3 tisíc 3750x.
Jejich L3 funkce jsou dost ořezané a taky trochu neohrabané na účel, který byl tázán.
-
a pak koukám že jsou některé s WiFi, takže by to umělo oddělit vlastní WiFi do VLAN?
Thread jsem jenom velmi hrubě prolistoval, ale přišlo mi, že furt nerozumíš tomu, co je přesně VLAN, a tato otázka mi taky přijde že je asi projevem zmatení. Nechce se mi to vysvětlovat, ale doporučuju problematiku ještě chvíli studovat (a ještě třeba co je to tagged vs. trunk port, to při konfiguraci routeru budeš potřebovat).
a také nevím jestli paarametr který bych měl sledovat je velikost RAM, ty wifi verze mají jen 128 MB a bez ní mají 256MB
No hlavně ty wifi verze mají jenom jednojádro a ještě pomalejší. Na základní routování je to v pohodě, ale jakmile tam chceš spustit něco náročnějšího (firewallová pravidla, nedejbože VPN se šifrováním, no a nebo prostě nějaký svůj program), tak to bude pomalé.
ono se člověk dočte spoustu informací, nakouká videa ale vícemeně všichni opakujou to samý, trunk kreslí jako čáru ja prostě nevím jestli je to v praxi bežnej LAN kterým propojim libovolný dva switche, co se tak nazývá, nebo jestli je to nějakej speciální kabel s vyšší propustností na propojení dvou (dražších) switchů přes speciální port. Stejně tak můžu přečíst 10 článku ale nikdo enzminuje všechno a bez praxe se ty informace nedajá dávat do spojitostí, takže to prostě nevím a vědět nebudu dokud to nebudu stavět.
Funkci VLAN chápu, tagování trochu méně. Prostě to všechno pochopím víc až praxí s nastavením, s čím jsem chtěl poradit je s nákupem HW na kterém se to naučím a nechci koupit neco co pak nebude něco co potřebuju umět nebo pojede pomalu.
-
Funkci VLAN chápu, tagování trochu méně. Prostě to všechno pochopím víc až praxí s nastavením, s čím jsem chtěl poradit je s nákupem HW na kterém se to naučím a nechci koupit neco co pak nebude něco co potřebuju umět nebo pojede pomalu.
Není to nic těžkého, když chápete základ VLAN. Zopakuji. Nastavíte VLAN 10 a VLAN 20 a přiřadíte jim porty. Tím z jednoho switche uděláte jakoby dva oddělené.
Pak chcete ty "dva switche" nějak routovat. Máte možnost samozřejmě do routeru vést dva kabely - jeden z VLAN 10 a druhý z VLAN 20. Jenže je nepohodlné vodit to dvěma kabely - překáží to a zabírá to jak ve switchi, tak v routeru dva porty. Plýtvání.
Takže se místo toho jeden port na switchi a port na routeru označí, že má přijímat tagovaný provoz. Obě zařízení na konec packetu přidají značku, ve které je označení VLAN. Když dorazí packet do switche, přečte značku a pak s tím packetem dál pracuje v té části, která se ho týká.
Na routeru to funguje obdobně. Máte port, který se jmenuje např. ether2. Jenže Vy potřebujete odlišit ještě VLAN. Tak se na routeru nastaví, že do něj přichází tagovaný provoz a router vytvoří (virtuálně) dva nové interfacy: ether2.10 a ether2.20. S těmi pak už pracujete, jako kdyby to byly fyzické porty.
Takže do routeru Vám může vést jen jediný kabel, router si vytvoří klidně 100 různých virtuálních interfaců a mezi nimi routuje.
Je to opravdu jen způsob, jak se to, co se dá dělat fyzicky, dělá jen logikou (virtuálně). Proto i velké routery mají v základu třeba jen dva, tři porty, protože to stačí. Zbytek se obslouží vlanami na switchi a tagováním.
Úbytek výkonu je minimální, k packetu přibudou (tuším) dva bajty.
-
Jak rychlou linku máte (i výhledově) a jak moc by případně tekly data mezi oddělenými částmi?
Wifi na modemu použít nemůžete, modem je v části před routerem (tedy před chráněnou částí).
v domě zavedli optiku a čeká se jen na připojení domu, takže by bylo dobré kdyby routerem mohlo protékat 1Gbit (internetu).
Mám několik počítačů na kterých se renderuje, ty musí mít všechny přístup do NAS 1Gb a prakticky PC ze kterého managuju ty renderovaci stroje by bylo ve stejné síti s plnopu rychlostí protože taky renderuje, ty bych dal do starého Switche bez funkcí a ten pak napojil na ten nový D-Link jedním kabelem(trunk?).
Ta druhá síť by měla být otevřená pro internet a tam by byl např FTP server pro klienty abych nemusel používat placené úložiště a nějaké online věci kolem programování co testuju, takže 2-3 otevřené porty do internetu. A zároven by bylo dobré mít možnost ovládat tuto síť(zařízení uvnitř sítě) ze sítě 1 přes SSH a RD.
A třetí síť aby WiFi fungovala bez nějaké další krabičky, ale v nouzi použiju starý modem Comtrend co se mi tu válí.
-
Funkci VLAN chápu, tagování trochu méně. Prostě to všechno pochopím víc až praxí s nastavením, s čím jsem chtěl poradit je s nákupem HW na kterém se to naučím a nechci koupit neco co pak nebude něco co potřebuju umět nebo pojede pomalu.
Není to nic těžkého, když chápete základ VLAN. Zopakuji. Nastavíte VLAN 10 a VLAN 20 a přiřadíte jim porty. Tím z jednoho switche uděláte jakoby dva oddělené.
Pak chcete ty "dva switche" nějak routovat. Máte možnost samozřejmě do routeru vést dva kabely - jeden z VLAN 10 a druhý z VLAN 20. Jenže je nepohodlné vodit to dvěma kabely - překáží to a zabírá to jak ve switchi, tak v routeru dva porty. Plýtvání.
Takže se místo toho jeden port na switchi a port na routeru označí, že má přijímat tagovaný provoz. Obě zařízení na konec packetu přidají značku, ve které je označení VLAN. Když dorazí packet do switche, přečte značku a pak s tím packetem dál pracuje v té části, která se ho týká.
Na routeru to funguje obdobně. Máte port, který se jmenuje např. ether2. Jenže Vy potřebujete odlišit ještě VLAN. Tak se na routeru nastaví, že do něj přichází tagovaný provoz a router vytvoří (virtuálně) dva nové interfacy: ether2.10 a ether2.20. S těmi pak už pracujete, jako kdyby to byly fyzické porty.
Takže do routeru Vám může vést jen jediný kabel, router si vytvoří klidně 100 různých virtuálních interfaců a mezi nimi routuje.
Je to opravdu jen způsob, jak se to, co se dá dělat fyzicky, dělá jen logikou (virtuálně). Proto i velké routery mají v základu třeba jen dva, tři porty, protože to stačí. Zbytek se obslouží vlanami na switchi a tagováním.
Úbytek výkonu je minimální, k packetu přibudou (tuším) dva bajty.
diky, asi to už chápu. Ale pak je věc co by mě zajímala... ty tagy zmizí po přečtení prvním zařízením, nebo zůstavají i po průchodu a je tak možné poté příslušnost k dané síti nastavit i v např. v nastavení síťové karty? To by se hodilo že bych router a tagovací switch nechal u modemu a nechal stávající jeden kabel do pracovny s obyčejným switchem a měl tu zařízení z různých VLAN pomíchaná v tom obyčejném switchi ale oddělená tím tagem.
-
diky, asi to už chápu. Ale pak je věc co by mě zajímala... ty tagy zmizí po přečtení prvním zařízením, nebo zůstavají i po průchodu a je tak možné poté příslušnost k dané síti nastavit i v např. v nastavení síťové karty? To by se hodilo že bych router a tagovací switch nechal u modemu a nechal stávající jeden kabel do pracovny s obyčejným switchem a měl tu zařízení z různých VLAN pomíchaná v tom obyčejném switchi ale oddělená tím tagem.
Tagy zmizí, jakmile je na switchi (nebo i na routeru) výstupní port označený jako netagovaný. Takový port pak patří jen do jedné předem dané VLAN. Tj. pokud switch posílá z netagovaného portu do tagovaného, tak značku přidá. V opačném směru ji odstraní.
Mimochodem, existuje i režim, že na portu mohou běhat netagované packety (tam se určí, o jakou vlan jde), a zároveň probíhá i tagovaný provoz. Je to vhodné na situace, kdy chcete mít zdířku univezrální. Např. netagovaný provoz jde do běžné sítě. Jakmile se objeví tag, tak v tom případě se zařadí do příslušné VLAN.
Na straně Windows to funguje stejně. Ve správci zařízení, když máte správné ovladače, nadefinujete VLANY, a ve Windows se Vám objeví nové (virtuální) síťové adaptéry. Pracoval jsem s tím na kartách Intel, ale ostatní značky to budou mít asi taky.
Co se týče výkonu, tak pro srovnání. V práci mám RB4011, ten poměrně stíhá UPC linku. Asi by mi stačil RB3011. Nižší těžce nestíhají takové datové toky, jakmile tam máte firewallovací pravidla. Na stránkách Mikrotiku mají tabulku výkonu (Test Results): https://mikrotik.com/product/RB3011UiAS-RM#fndtn-testresults. Všimněte si, jak drasticky padá výkon při menší velikosti packetu a pár pravidlech firewallu. Bacha, ty čísla jsou součet obou směrů, ne každý zvlášť. (Někteří výrobci to ani raději nezveřejňují, těm se vyhnout obloukem)
-
ono se člověk dočte spoustu informací, nakouká videa ale vícemeně všichni opakujou to samý, trunk kreslí jako čáru ja prostě nevím jestli je to v praxi bežnej LAN kterým propojim libovolný dva switche, co se tak nazývá, nebo jestli je to nějakej speciální kabel s vyšší propustností na propojení dvou (dražších) switchů přes speciální port
Ne, fyzická vrstva je všude stejná (ethernet přes kroucenou dvojlinku), liší se to jen tím, že na začátku každého frame je napsáno, do které VLAN patří. Na většině switchů jde jako trunk nastavit libovolné množství libovolných portů a přiřadit každému z nich libovolnou podmnožinu dostupných VLAN (na trunku nemusí být všechny VLANy co existují, ale třeba jenom dvě), a to platí i pro ty Mikrotiky.
Ale pak je věc co by mě zajímala... ty tagy zmizí po přečtení prvním zařízením
Tagy zůstávají pro průchodu „hloupým“ switchem nebo po průchodu switchem, který je nastavený jako trunk. Tagy pochopitelně zmizí po průchodu routerem, protože jsou věcí L2 a router je L3.
a je tak možné poté příslušnost k dané síti nastavit i v např. v nastavení síťové karty?
Ano, a tohle přesně musíš udělat, když budeš mít ten router připojený jedním kabelem k trunk portu. Ručně se to na Linuxu udělá takhle:
ip link add link eth0 name eth0.350 type vlan id 350čímž vznikne nové zařízení eth0.350 které je připojené do VLAN 350. Ty na ten Mikrotik nainstaluješ OpenWRT a tam je na to klikátko, které pro začátečníka doporučuju použít.
(https://i.imgur.com/h0zWBv9.png)
To by se hodilo že bych router a tagovací switch nechal u modemu a nechal stávající jeden kabel do pracovny s obyčejným switchem a měl tu zařízení z různých VLAN pomíchaná v tom obyčejném switchi ale oddělená tím tagem.
To nechceš, protože a) zařízení o tom budou muset vědět, takže pokud je různě mícháš a hraješ si s nima, tak to bude opruz furt konfigurovat, b) chtěl jsi to kvůli bezpečnosti, ale kompromitované zařízení může posílat framy s libovolnou VLAN a takhle mu v tom nikdo nezabrání, c) hloupá zařízení to nemusí umět.
-
Počujte Kefalín, čo vy si pod takým hentým L3 predstavujetě?
Já si pod L3 routerem představuji směrování IPv4 a IPv6 podle směrovacích tabulek, VRF, ACL, BGP, OSPF, ideálně k tomu i VRRP, PVST, Q-in-Q a DHCP(v6) relay.
Ta obstarožní 3750-x to L3 směrování zvládne rychlostí 102 Mpps.
Pokud si však pod L3 představujete IPv4 TCP&UDP PAT, tak to si ale pletete pojmy s dojmy, protože je to L4.
Jejich L3 funkce jsou dost ořezané a taky trochu neohrabané na účel, který byl tázán.
-
Pokud si však pod L3 představujete IPv4 TCP&UDP PAT, tak to si ale pletete pojmy s dojmy, protože je to L4.
Dovolím si nesouhlasit v té věci jednotné terminologie. Např. NAT 1:1 je záležitost L3, helpery mohou zasahovat i do L5 a L6.
Nicméně souhlasím s tou poznámkou, že L3 switche umějí právě ty L3 operace a nic, co by mohlo zasáhnout do L4 a L5. Pokud je mi známo, tak ale ani ten 1:1 NAT ty switche nepodporují, jakkoliv je to čistě L3 operace.