Doplnění sítě v RD

Doplnění sítě v RD
« kdy: 06. 06. 2016, 07:55:56 »
Ahoj, potřeboval bych poradit s řešením dat v rod. domě. viz příloha
Momentálně jsou rozvody 1 - 8 po celém domě kabely UTP cat5e. Vše dotaženo až na půdu kde je TP-link 1042. Ve stávajícím stavu jsou použity všechny 4 porty pro zás. 1, 2, 4 a 8. WiFi pokrývá vrchní půlku domu a špatné pokrytí bytu v 1NP bylo řešeno opakovačem.
Zás. 8 je zapojena jako 8a pro kotel.

Moje představa:
1 Vyřešit připojení spodníhu bytu. Ideálně Wifi jako HOST bez možnosti vidět zbytek sítě. Nebo i po kabelu, ale bez přístupu do zbytku sítě.
2 Rozšířit zapojení 8 na 8a, 8b, 8c.
3 Náhrada TP linku na půdě.

Návrh?
1) Stávající TPlink píchnout na 8 použít jako switch (na 8a, 8b, 8c) a zárověň WiFi (pro spodní byt) s nastavením "Enable AP isolation"
2) Na 8 zapojit switch a do něj potom stávající TPlink použít pro vytvoření nové sítě pro spodní byt.

Cena nového routeru na půdu max 3500,-

Za nápady dík


ZdenekS

Re:Doplnění sítě v RD
« Odpověď #1 kdy: 06. 06. 2016, 11:18:57 »
Ahoj
Jasne, klidne bys mohl pouzit stavajici TPlink na wifi sit spodniho patra a pripojeni kotlu, kamery a vchodu(wifi samozrejme nemusi mit pristup do zbytku site, jen bych si dal pozor na vytizeni toho routeru - aby zustala vyhrazena kapacita na LAN sit).
No a jako nahradu pouzij treba mikrotik.
Dalsi moznost je dat novy wifi router+switch a dolu jen male APcko.
Treba MIKROTIK RB951G-2HnD + D-LINK DGS-108 + MIKROTIK mAP 2n.
Router ma 5gigovych portu - jeden pouzijes jako wan, dalsi do switche a jeste na APcko. Takze bys mel celkem 9 volnych gigovych portu.
Cena by byla cca 1800+680+1000 i s dani.
A ten TPlink prodat.

Sten

Re:Doplnění sítě v RD
« Odpověď #2 kdy: 06. 06. 2016, 12:15:30 »
Pozor na to, že AP isolation neznamená to, co si myslíte. AP isolation znamená, že jednotlivá zařízení připojená přes tu Wi-Fi spolu nemohou komunikovat, ale cokoliv dále po kabelu (tedy přinejmenším 8a, 8b i 8c) uvidí bez problému. Budete potřebovat tam rozběhnout VLAN (nebo použít víc kabelů), aby se rozdělil provoz na 8 na část pro 8a…8c a část pro Wi-Fi, a nastavit firewall, aby pakety z AP nemohly přejít na 8a…8c.

Re:Doplnění sítě v RD
« Odpověď #3 kdy: 06. 06. 2016, 13:35:03 »
Dík za informace.
Tak nějak jsem si myslel, že to takto nelze. Proto ten bod 2) dát na 8 switch a do něj router s jiným rozsahem adres. Záměr je poskytnou internet v bytě 1NP s tím, že tam nebude (ideálně) ani AP. Vývody 6 a 7 se nezapojí.
Další kabel do sklepa momentálně nedostanu.

U toho Mikrotiku lze tedy oddělit jeden port od zbytku sítě (jiný rozsah)?

Původně jsem myslel koupit router kde lze vytvořit virtuální SSID (host). Vzhledem k umístění stávajícího routeru a špatnému signálu v 1NP hledám jiné řešení. Současně bych udělal upgrade  stávajícího uzlu (TPlink 1042)

Sten

Re:Doplnění sítě v RD
« Odpověď #4 kdy: 06. 06. 2016, 15:51:17 »
Rozdělení pomocí rozsahů na jednom switchi bych nedoporučoval, velmi špatně se to zabezpečuje. Mikrotik ale umí rozdělit sítě tím, že nadefinujete, která rozhraní jsou ve kterých bridgích. Chová se to, jako kdybyste tam měl víc switchů.

Problém budete mít s tím, jak port 8 spojit se střechou, aby nemohla síť té Wi-Fi komunikovat s tím ostatním. Na to právě slouží VLANy, kdy jedno fyzické rozhraní virtuálně rozdělíte na několik oddělených. Všechny pakety pak mají v hlavičce uvedeno, do jaké sítě patří, a zařízení ignorují pakety z jiné sítě, než ve které jsou, takže ani čachrováním s IP adresami se nelze dostat z jedné sítě do druhé. Chová se to, jako kdyby tam bylo několik kabelů (tedy až na přenosovou rychlost, kterou to sdílí).

Postup stavby takové sítě je pak následující:
  • na obou koncích portu 8 vytvoříte VLANy, třeba VLAN 1 a VLAN 2 (je možné nastavit i jeden VLAN a untagged, tj. neoznačené pakety, ale kvůli přehlednosti doporučuji se používání untagged vyhnout)
  • rozhraní portu 8 nedáte do žádného bridge (pokud byste používal untagged, pak rozhraní portu 8 dáte do bridge, kam chcete směrovat untagged pakety)
  • rozhraní VLAN 1 dáte do bridge s 8a…8c
  • rozhraní VLAN 2 dáte do bridge s Wi-Fi
  • VLAN 1 na střeše dáte do bridge s ostatními porty, VLAN 2 zůstane sám
  • nastavíte routování VLANů (a přidělování IP adres ap.) na střeše, včetně pravidla firewallu, že z VLAN 2 se nelze dostat do bridge s ostatními porty

Jak je vidět, tohle vyžaduje, aby i zařízení na střeše umělo VLANy, takže nejvhodnější by asi byl další Mikrotik.