Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: rado3105 22. 09. 2012, 14:17:32
-
Preco je dobre pouzivat VLAN, ake su vyhody? viete poradit plus minus oproti jednoduchej routovanej sieti?
-
Když chci mít na jednom kabelu 15 podsítí na dalším jen 10, tak to routerem budu řešit jak?
-
obvykle chceš lidi v různých kancelářích šoupnout do různých sítí. Bez VLAN bys k tomu musel mít n switchů pro n sítí. V tom nejjednodušším případě.
-
aky to ma zmysel pri wirelesse, povedzme ze mas 4 kancelarie v kazdej 5 pocitacov. Das tam 24 portovy manazovatelny switch ktory vie vlan, urobis privatne vlany - kazda vlan pre kazdu miestnost...ktore vsetky budu komunikovat s gateway...ano? alebo je aj ina moznost ako to riesit okrem vlan switcha? Nechapem pointu, ked sa to robi ako nadstavba na routovanej sieti, alebo pri wifickach. VIe mi to niekto vysvetlit? dakujem
-
VLAN pri wifi mi akosi nie je jasne... Tym myslis isolation mode?
Pokial mas na jednom interface vela subnetov, nic nikomu nebrani v tom zmenit si kombinaciu IP/MAC a tvaris sa ze ide z ineho subnetu. Ak vsak na firewalle mas napriklad bond0.201, bond0.202, bond0.203, ... na kazdu VLANu samostatny interface (trunk) a nastavis aby jednotlive poty mali untagged pristup len ku gatewayu, je to "neobiditelne".
-
ale tak izolovat dokaze aj samostatny vlan switch, alebo to zle chapem? To wifi neviem mozno koli centralnemu radiusu? ale stale to nechapem pri tom routri....mozes trosku zrozumitelnejsie, vdaka....
-
ale stale to nechapem pri tom routri....mozes trosku zrozumitelnejsie, vdaka....
VLAN obvykle vytváří iluzi oddělené kabeláže - efekt je +- stejný, jako bys každou kancelář vedl zvláštním kabelem na zvláštní síťovku v serveru. VLAN ti umožní to samé udělat po jednom kabelu.
-
Důvodem je a) bezpečnost b) flexibilita:
příklad:
výšková budova
VLAN1: firma A
13. patro zásuvky 180-230
1. patro kiosek, zásuvky 8,10
VLAN2: firma B
12. patro zásuvky 54-190
provoz oddělen již na linkové vrstvě, nelze odposlouchávat (ramce nejsou mezi VLAN přeposílány)
stejného rozdělení by bylo možno dosáhnout na 3. vrstvě (IP), pak by ale bylo možné provoz
a) za určitých okolností šmírovat
b) napadnout
navíc flexibilita
firma B chce navíc zásuvky 248-255 ve 14. patře
žádné přepojování, pouze konfigurace switche na dálku
VLAN mezi sebou v případě zájmu propojeny přes R na 3. vrstvě s ACL s jednoznačně definovanými pravidly (pouze pošta, SSH jen do portu 67 z portu 23 atd.)
-
V rozsahlych sitich je take vyhoda ze ti to nezahnoji sit broadcasty vsech moznych uzivatelu ale jen cast spadajici do dane vlany. Budes mit dve oddelene broadcastove domeny.
-
Život bez VLAN si nedovedu představit.
A) Podle chytrosti switche můžete určit to, že pokud se uživatel neidentifikuje, spadne do VLANy, kde se dostane jen na veřejný Internet, ale nemůže útočit na ostatní pecka v síti (přijede nějaký obchodník, jehož synátor včera stahoval pornotetris.exe)
B) Například můžete mít po fabrice v jedné rozlehlé a zakruhované síti všude rozstrkané APčka a díky tomu realizovanou technologickou WIFI bez toho, aniž by hrozilo nebezpečí, že se do toho někdo nabourá
C) Můžete oddělit segmenty sítě a pokud se někde zblázní nějaký prvek a začne plivat ten svůj bordel všude možně, přijdete jen o kus segmentu
D) Na hale můžete mít 20 zařízení od firmy X, 20 zařízení od firmy Y a 3 zařízení od firmy Z, můžete tyhle firmy pustit VPNkou dovnitř a nechat je uvnitř v naprostém klidu šmejdit, protože se v rámci Vlany dostanou jen na svá zařízení a maximálně na jeden port serveru
Viděl jsem i to, kdy tiskárny byly ve vlastní Vlan, aby na ně nebyl v žádném případě možný přímý přístup, ale jen přes server.
-
Život bez VLAN si nedovedu představit.
A) Podle chytrosti switche můžete určit to, že pokud se uživatel neidentifikuje, spadne do VLANy, kde se dostane jen na veřejný Internet, ale nemůže útočit na ostatní pecka v síti (přijede nějaký obchodník, jehož synátor včera stahoval pornotetris.exe)
B) Například můžete mít po fabrice v jedné rozlehlé a zakruhované síti všude rozstrkané APčka a díky tomu realizovanou technologickou WIFI bez toho, aniž by hrozilo nebezpečí, že se do toho někdo nabourá
C) Můžete oddělit segmenty sítě a pokud se někde zblázní nějaký prvek a začne plivat ten svůj bordel všude možně, přijdete jen o kus segmentu
D) Na hale můžete mít 20 zařízení od firmy X, 20 zařízení od firmy Y a 3 zařízení od firmy Z, můžete tyhle firmy pustit VPNkou dovnitř a nechat je uvnitř v naprostém klidu šmejdit, protože se v rámci Vlany dostanou jen na svá zařízení a maximálně na jeden port serveru
Viděl jsem i to, kdy tiskárny byly ve vlastní Vlan, aby na ně nebyl v žádném případě možný přímý přístup, ale jen přes server.
To je ovsem pekny design ktery je k videni jen v malo velkych fabrikach. Vlany jsou v zasade tak bezpecne jak bezpecny je switch.
No opacnym dalsim extremem je nase spolecnost, ktera ma tolik VLAN, ze na centrale uz musi pouzivat Q-in-Q. A to nejsme provider. Inu security trough obscurity. Takze zase bych to s nima neprehanel.
-
VLAN pri wifi mi akosi nie je jasne... Tym myslis isolation mode?
Pokial mas na jednom interface vela subnetov, nic nikomu nebrani v tom zmenit si kombinaciu IP/MAC a tvaris sa ze ide z ineho subnetu. Ak vsak na firewalle mas napriklad bond0.201, bond0.202, bond0.203, ... na kazdu VLANu samostatny interface (trunk) a nastavis aby jednotlive poty mali untagged pristup len ku gatewayu, je to "neobiditelne".
1 .Je bud mozne mit vice SSID a ke kazdemu svoji vlan coz zvladnou i jednoduche krabky.
2. Nebo WPA/WPA2+802.11x, kdy podle odpovedi radiusu ti soupne uzivatele do jeho vlany resp. bude tagovat ethernet framy s prislusnym vlan id. To umi ale drazsi apcka.
3. Mit pres wifi VPN tunel ktery udela v zasade totez jako 2
-
opacnym dalsim extremem je nase spolecnost, ktera ma tolik VLAN, ze na centrale uz musi pouzivat Q-in-Q. A to nejsme provider. Inu security trough obscurity. Takze zase bych to s nima neprehanel.
Ne že bych IEEE 802.1ad neznal.
Nicméně pokud je VLAN právě tak akorát (pro neutorizované, pro autorizované, pro technologickou síť, další 1až2) a dost fyzických rozhraní na serveru, umí to i hodně pitomý prvek. Pouze to automatické zařazení do VLANy vyžaduje chytřejší switch.
-
Mimochodem pokud se používají i barevně označené kabely v rozvodně, vypadá to velice efektně a člověk hned ví, kam sáhnout i ve velké fabrice.
....
Jsem zvědavý, napište prosím - opravdu budu moc rád, co všechno máte máte oddělené a proč.
-
Mimochodem pokud se používají i barevně označené kabely v rozvodně, vypadá to velice efektně a člověk hned ví, kam sáhnout i ve velké fabrice.
....
Jsem zvědavý, napište prosím - opravdu budu moc rád, co všechno máte máte oddělené a proč.
Detaily by asi uz zavanely s vynasenim informaci. Nicmene kazda pobocka ma vlastni rozdeleni vlan a take vlany ktere jsou globalni skrz celou spolecnost. Co kazda centrala tak to odlisne nastaveni, napr. jine vlany jsou na DMZ v cine a jine treba v USA. Neni to jednotne ani v datacentrech v tom samem miste. Muze za to politikareni jednotlivych casti firmy je hlavni duvod toho bordelu. Az se to bude davat dohromadym tak se na tom hromada konzultantu a projektovych manazeru.
-
Mimochodem pokud se používají i barevně označené kabely v rozvodně, vypadá to velice efektně a člověk hned ví, kam sáhnout i ve velké fabrice.
....
Jsem zvědavý, napište prosím - opravdu budu moc rád, co všechno máte máte oddělené a proč.
Detaily by asi uz zavanely s vynasenim informaci. Nicmene kazda pobocka ma vlastni rozdeleni vlan a take vlany ktere jsou globalni skrz celou spolecnost. Co kazda centrala tak to odlisne nastaveni, napr. jine vlany jsou na DMZ v cine a jine treba v USA. Neni to jednotne ani v datacentrech v tom samem miste. Muze za to politikareni jednotlivych casti firmy je hlavni duvod toho bordelu. Az se to bude davat dohromadym tak se na tom hromada konzultantu a projektovych manazeru.
Hewlett Packard? ;-)
-
Proc zrovna HP? Kterakoliv vetsi spolecnost trpi necim obdobnym.
-
Mimochodem pokud se používají i barevně označené kabely v rozvodně, vypadá to velice efektně a člověk hned ví, kam sáhnout i ve velké fabrice.
....
Jsem zvědavý, napište prosím - opravdu budu moc rád, co všechno máte máte oddělené a proč.
Detaily by asi uz zavanely s vynasenim informaci. Nicmene kazda pobocka ma vlastni rozdeleni vlan a take vlany ktere jsou globalni skrz celou spolecnost. Co kazda centrala tak to odlisne nastaveni, napr. jine vlany jsou na DMZ v cine a jine treba v USA. Neni to jednotne ani v datacentrech v tom samem miste. Muze za to politikareni jednotlivych casti firmy je hlavni duvod toho bordelu. Az se to bude davat dohromadym tak se na tom hromada konzultantu a projektovych manazeru.
Hewlett Packard? ;-)
Pokud je nase firma domeckem na koleckach, tak domecek HP ma ta kolecka hranata a na strese.
Tak spatne jako v hp to u nas nastesti neni. Mame od nich nektere sluzby outsourcovane, takze tam opravdu netusi ktera bije a mam pocit ze snad zamestnavaji mentalne zaostale ci lidi co vidi pocitac poprve v zivote. Rozklad firmy v primem prenosu. Jenomze tahle potvora je hodne velka a ta se rozklada dlouho. Bude treba hodne mrchozroutu...
Ale taky jsou veci nad kterymi by clovek u nas plakal. Tri evidencni systemy a ani v jednom neni spravne zaznamenane skutecne propojeni. Sitari - elitni tym co neumi pustit diagnostiku na portu a poucuje je clovek co ani nema certifikaci jako oni. Javista kterej v zivote nevidel jconsoli. A jeste berou nasobky toho co ja(pravda svycarsko je jina zeme s jinymi naklady na zivot;). No jeden by blil. Uz abych zas sel delat do maly firmy;) Nosil si termosku s kafem,svacinu od maminky a jeden vyztuzeny kondom. Clovek nikdy nevi;)
Od urcite velikosti firmy proste zacina rozdeleni na jednotlive casti, ktere spolu souperi misto toho aby spolupracovaly. Zacina politikareni,znamosti, vydirani tim ze na nekoho neco vim atp. Dochazi pak k rozpadu firmy a budovani lokalnich mocenskych struktur. Nejvyssi vedeni si mysli ze ma firmu pod kontrolou ale zdani klame.
-
http://i50.tinypic.com/jj4spc.jpg
toto je moja sucasna konfiguracia, jedna podsiet a je tam obycajny switch....
Kedze mnozstvo zariadeni za routerom1 a routerom2 pribuda, potrebujem to prerobit.
Rozmyslal som povodne nad routingom, lenze zas mnozstvo ip, zvysi sa zataz routrov a preto rozmyslam nad vlan.
Co si myslite co tam bude najvhodnejsie?
pricom potrebujem aby vsetky zariadenia mali pristup do GW, taktiez vsetky medzi sebou.....
Dakujem....
-
Když už se ptate na doporučení... já bych doporučoval jít na nějaké školení o sítích.
-
takze asi najrozumnejsie namiesto vymyslania to bude naroutovat.
Zerie routing cpu?
-
takze asi najrozumnejsie namiesto vymyslania to bude naroutovat.
Zerie routing cpu?
samozřejmě, stejně jako všechno, co přejde přes CPU. Ale normální PC by to mělo zvládnout s prstem v nose.
-
takze asi najrozumnejsie namiesto vymyslania to bude naroutovat.
Zerie routing cpu?
samozřejmě, stejně jako všechno, co přejde přes CPU. Ale normální PC by to mělo zvládnout s prstem v nose.
Ne pokud ma l3 switch. Tam jdou pres cpu jen nektere stavy. Ty l3 switche jsou dneska levna zalezitost.
Mne ale planek nic nerekne. Nejsem schopen z neho schopen pochopit puvodni zadani. Co chce vlastne udelat? Treba je postup od zacatku zcestny a resime tu nejaky nesmysl.
-
takze asi najrozumnejsie namiesto vymyslania to bude naroutovat.
Zerie routing cpu?
samozřejmě, stejně jako všechno, co přejde přes CPU. Ale normální PC by to mělo zvládnout s prstem v nose.
Ne pokud ma l3 switch. Tam jdou pres cpu jen nektere stavy. Ty l3 switche jsou dneska levna zalezitost.
Mne ale planek nic nerekne. Nejsem schopen z neho schopen pochopit puvodni zadani. Co chce vlastne udelat? Treba je postup od zacatku zcestny a resime tu nejaky nesmysl.
L3 switch je jenom marketingový název pro router. Je ovšem fakt, že pokud má L2 managovatelný switch, tak je to hodně pravděpodobně i L3 switch (už i ten blbý Cisco Catalyst 2960 prezentovaný jako L2 switch umí routovat).
-
Hodně povedený jsou L3 od 3COM řady 35xx a vyšší.
Zvládne je nakonfigurovat i osel, konfig je v texťáku a snadno čitelný, jsou blbuvzdorný a vážně, ale opravdu parádní hračky.
To se CISCO může jít s tím svým šrotem oproti 3COM vycpat. Jenže CISCO je taková "víc lepší" značka.
-
Hodně povedený jsou L3 od 3COM řady 35xx a vyšší.
Zvládne je nakonfigurovat i osel, konfig je v texťáku a snadno čitelný, jsou blbuvzdorný a vážně, ale opravdu parádní hračky.
To se CISCO může jít s tím svým šrotem oproti 3COM vycpat. Jenže CISCO je taková "víc lepší" značka.
No, z hlediska toho, že 3com už neexistuje a s jeho switchi to vypadá tak, že se cenově srovnaly s ciscem jsou to příliš silné řeči. Z mého pohledu je cisco pořád lepší, ikdyž pro zákazníka s jedním switchem je to asi jedno.
-
takze asi najrozumnejsie namiesto vymyslania to bude naroutovat.
Zerie routing cpu?
samozřejmě, stejně jako všechno, co přejde přes CPU. Ale normální PC by to mělo zvládnout s prstem v nose.
Ne pokud ma l3 switch. Tam jdou pres cpu jen nektere stavy. Ty l3 switche jsou dneska levna zalezitost.
Mne ale planek nic nerekne. Nejsem schopen z neho schopen pochopit puvodni zadani. Co chce vlastne udelat? Treba je postup od zacatku zcestny a resime tu nejaky nesmysl.
L3 switch je jenom marketingový název pro router. Je ovšem fakt, že pokud má L2 managovatelný switch, tak je to hodně pravděpodobně i L3 switch (už i ten blbý Cisco Catalyst 2960 prezentovaný jako L2 switch umí routovat).
To je otazka vykladu pojmu. Momentalne se ty pojmy diky marketingu prolinaji. Routovat uz dneska umi kdeco. Vcetne DSLAMu,media konvertoru,load balanceru,samotnych sitovek a ja nevim co jeste.
IMHO L3 switch dela primarne jen jednoduchy routing mezi nekolika sitemi a tak ip multicast, ale uz nema HW podporu treba pro OSPF nebo BGP ci NAT. To byvaji jen doplnkove funkce odbavovane sw.
Jeho ucel je spis routovat mezi oddelenymi sitemi se svoji vlanou. Kdybys tohle delal tradicni cestou switch->router, tak je uzkym hrdlem propojeni mezi nimi a router samotny taky nemusi stihat.
Nebo taky muzeme rici L3 switch = hloupy rychly router co ma fakt hodne portu!
BTW:2960 umi routovat jen diky vyuziti volne kapacity v HW a nekdo v ciscu si rekl ze by bylo dobry to tam vrazit. Neumi tech rout jenom 8?
-
Juu, to je ale krasny flame :)
Takze ano, 2960 je s novym IOSem L2+. To v praxi znamena ze:
1) paket je poslan na "default" gw a skonci na CPU cisca
2) CPU najde podle tabulky cilovou mac. Vysledny par zdrojova mac->cilova mac ulozi do CAM tabulky
3) dalsi komunikace probiha jiz bez ucasti CPU (pouze CAM).
Plnohodnotny routovani z toho bohuzel uvarit nelze vzdy tu musi existovat 1:1 mapovani IP->MAC. V opacnem pripade paket konci na CPU a plazi se to jako snek.
Samo cisco priznava ze tato feature slouzi predevsim k oddeleni broadcast domen.
L3 switch a router jsou technicky vzato jedno a totez. CAM se ridi primo IP hlavickou v paketu. Prakticky vzato router je nejake to PC co dela vsechno mozne, a L3 switch je cokoliv co routuje wire speed, vcetne hi-end juniperu a catalystu :)
Ad L3 lowcost, nejlepsi pomer cena vykon dostanete z Alcatel OS6400. Alcatel sice tvrdi ze se jedna L2+, nicmene prakticky to je L3 podobne jako o dost drazssi rada 68xx (srovnatelna s vyse uvedenym 3comem).
Za 36kkc s dani mate 24 SFP/48 GbE portu, umi 16k IP prefixu a 4k IPV6. Jako routovaci protokol sice pouze RIP s ECMP, coz kupodivu na ciste gigabitove siti nepusobi problem (na 10G pateri uz mame cisco 4900M co prevadi RIP<->OSPF).
Trh L3 lowcostu je celkove dost dravy a je problem se v tom vyznat, takze se vubec nedivim tem co penize maj ze vsude cpou hiend cisca i kdyz to neni nutne. Kdo se v tom brajglu ma vyznat :)
-
aky to ma zmysel pri wirelesse, povedzme ze mas 4 kancelarie v kazdej 5 pocitacov. Das tam 24 portovy manazovatelny switch ktory vie vlan, urobis privatne vlany - kazda vlan pre kazdu miestnost...ktore vsetky budu komunikovat s gateway...ano? alebo je aj ina moznost ako to riesit okrem vlan switcha? Nechapem pointu, ked sa to robi ako nadstavba na routovanej sieti, alebo pri wifickach. VIe mi to niekto vysvetlit? dakujem
Napriklad mas na switchi niekolko Access Pointov. Kazde Apcko hadze uzivatelov ne nejakej vlany. Tato vlana moze prechazdat skrze nieklko switchov vo vasej backbone a konci na nejakom koncentratore na ktorom takto mozu byt zakoncene desiatky podobnych vlan. Cely prenos od AP po koncentrator je zalezitost vlan a L2. Routing zacina az na koncentratore. Pokial mate backbone mnohokrat zakruhovanu tak je mozne pomocou vlan riesit jednoduchy failover a rozdelenie zataze tym ze sa nasadi nejake to per vlan rstp. V pripade ze pouzivate na pripajania zakaznikov PPPoE tak tie vlany ani nemusia mat ziadnu IP adresu nakolko IPky sa prideluju az na PPP rozhranie u zakaznika a na koncentratore. Vlan tak fuguje ako nosny prvok na 2 vrstve.