Swich zarządzalny i VLANy...jestem w kropce z konfiguracją...
|
|
|
|
Witam,
Stoję przed zadaniem które nie daje mi spać od wczoraj. Mam w łacze
internetowe które chciałbym udostępnić dwóm (a z czasem większej ilości)
grup ludzi.
Do tej pory wszyscy byli wpięci do switcha, ten do routera i nie było
problemu.
Teraz jednak chciałbym to zrobić tak, aby te grupy ludzi mogły korzystać z
internetu, ale tak, że dana grupka ludzi może się w widzieć w ramach swojej
grupy, ale go innej grupy juz nie ma prawa zaglądać:-) Odnośnie
'widzialności' to mam na myśli widoczność w otoczeniu sieciowym.
Wydawało mi się, że można zrobić to za pomocą switcha zarządzalnego, dzieląc
te grupy na VLANy, ale z tego co czytam w opisach takich switchy
zarządzalnych (np. HP ProCurve 1700-8), to chyba nie da się tego zrobić, bo
byłby problem z tym portem switch-a, do którego wpiąłbym kabelek z
internetem, prawda? No bo jak przypisze go do każdego stworzonego VLANu to
sieć zgłupieje odnośnie netu, tzn grupu będa ok, tzn. widoczność będzie
tylko w ramach grupy (=VLANu), ale jak ktoś będzie chciał otworzć stronę www
to pakiety nie będą wiedziały dokąd wracać?
Widzę, że jest jeszce coś takiego jak TRUNKi, ale nie wiem, czy to da się
zaprząc do rozwiązania mojego problemu.
Bardzo prosze o pomoc, gdyż nie mam możliwości zrobienia testó na
praktycznych sprzętach, być może ktoś już robił coś podobnego.
Z góry pięknie dziękuję!
Pozdrawiam,
JA
|
|
|
> Stoję przed zadaniem które nie daje mi spać od wczoraj. Mam w łacze
> internetowe które chciałbym udostępnić dwóm (a z czasem większej ilości)
> grup ludzi.
Dodam jeszcze, że grup może być dużo, więc taka opcja, że mam np. router
sprzętowy, czy programowy tylko częściowo załatwi mi problem ponieważ jest
ograniczona liczba interfejsów takiego routera (czyli gniazdek do wpięcia
przy sprzetowym, czy kart sieciowych przy programowym). A chciałbym założyć
że grup może być duża ilość.
p.s.
Sorki za literówki i błędy w poprzednim poście:-)
|
|
|
> Stoję przed zadaniem które nie daje mi spać od wczoraj. Mam w łacze
> internetowe które chciałbym udostępnić dwóm (a z czasem większej ilości)
> grup ludzi.
> Widzę, że jest jeszce coś takiego jak TRUNKi, ale nie wiem, czy to da się
> zaprząc do rozwiązania mojego problemu.
trunki moga oznaczac 2 niezależne rzeczy:
kilka fizycznych łšcz zagregowanych w jedno logiczne
lub połšczenie przenoszšce ruch tagowany (w uproszczeniu)
rozumie że interesuje nas to drugie
> Wydawało mi się, że można zrobić to za pomocą switcha zarządzalnego,
> dzieląc te grupy na VLANy, ale z tego co czytam w opisach takich switchy
> zarządzalnych (np. HP ProCurve 1700-8), to chyba nie da się tego zrobić,
> bo byłby problem z tym portem switch-a, do którego wpiąłbym kabelek z
> internetem, prawda? No bo jak przypisze go do każdego stworzonego VLANu to
> sieć zgłupieje odnośnie netu, tzn grupu będa ok, tzn. widoczność będzie
> tylko w ramach grupy (=VLANu), ale jak ktoś będzie chciał otworzć stronę
> www to pakiety nie będą wiedziały dokąd wracać?
to zależy...
jesli urzadznie dostarczajšce Internet potrafi pracować na wielu
interfejsach IP (mało prawdopodobne w SOHO)
przypisanych do kilku vlanów
i potrafi jeden port przypisać do kilku vlanów (jak hp potrfi) albo
"wystawić" trunka z tymi wszystkimi vlanami
to pewnie by to zadziałało
jak dysponujesz jakims niewielkim budżetem na ten cel, to mozesz skorzystac
z wielu gotowych rozwiazan sprzetowych to realizujacych
ale jak nie zależy Ci na wysokiej dostepnosci itd, to mozesz sobie postawic
prostego opensourcowego routerka.
potrzebujesz 2 karty i zdolnoc oprogramowania do obsługi trunka
przenoszšcego wszystkie vlany do switcha.
i obsługe list alc - tu wycinasz cały ruch miedzyvilanowy, zostawiajšc tylko
komunikacje z routerem internetowym
|
|
|
> i obsługe list alc - tu wycinasz cały ruch miedzyvilanowy, zostawiajšc
> tylko
... miało byc list acl
|
|
|
> Wystarczy ci jedne interfejs fizyczny, na którym pozakładasz potrzebną
> ilość subinterfejsów. Chyba że to urządzenie którym dysponujesz tego nie
> potrafi, to faktycznie możliwe że będziesz musiał wsadzić doń kilka kart
> sieciowych (ale to mało prawdopodobne).
W obecnej sytaucji chyba mi się to nie uda, tzn tak mi sie wydaje. Nie
chciałem tego pisać, żeby się nie narażać;-) ale za router służy w moim
przypadku programowe rozwiązanie - Kerio Winroute na Windowsie. Jest tam
firewall, na którym można definiować własne reguły, no ale wiadomo - cała
kontrola może obejmować tylko to co się dzieje na interfejsach podpiętych do
owego Windowsa. Są tam 3 sieciówki i do takiej ilości moich grup ludzkich
jestem ograniczony, bo więcej sieciówek mi do kompa fizycznie nie wejdzie:-)
Aczkolwiek czyta teraz o taich multi-portach ethernet, że na jednej karcie
PCI są np. 4 sieciowe interfejsy. No popatrze, ciekawy jestem jakie to są
koszty.
JA
|
|
|
> Większość użytkowników tej grupy prawdopobnie robiła :-)
> Słusznie masz problem, bo widzisz połowę rozwiązania. Switch z vlanami
> separuje klientów między sobą, ale żeby każdy vlan miał dosęp do internetu
> musisz mieć urządzenie warstwy 3 (np. router albo switch L3), które
> umożliwi
Nie wiem dokładnie, ale domyślam się, że jest to już wyższa półka cenowa? Z
tego powodu kolejny płot, którego nie przeskocze:-)
> routowanie pakietów pomiędzy vlanami oraz pomiędzy vlanami a internetem.
No właśnie. Do tej pory wyobrażałem sobie, że w tym HP, który ma osiem
'dziurek' stworze sobie np. 2 VLANy - w pierwszym bedzie port 1 i 8, w
drugim 2 i 8. Następnie do 1 podłącze jedną grupę, do 2 drugą a do 8 łącze z
netem i będzie git - 1 z 2 się nie widzą, a za to oba widzą 8. No ale
wychodzi, że to tak nie działa.
W zasadzie z tego powyższego to mi chyba zależy tylko na routowaniu pomiędzy
VLANami a internetem, bo pomiędzy VLANami to wręcz bym nie chciał wymiany:)
Przemyśliwałem jeszcze taką opcję, że np. tworzę (odwołując się do
powyższego przykładu) 3 osobne VLANy: z dziurkami odpowiednio 1,2 i 8. No i
że potem jakoś je zepnę jakimś 'nadVlanem' - kombinowałem, że może do tego
właśnie są trunki, no ale czy w takim układzie przypadkiem nie dołożyłbym
też niepotrzebnie widzialności pomiędzy 1 i 2 nawzajem, czego wszak nie
chcę. No i czy to w ogóle do tego są trunki pomijam:-)
> twoim wypadku zapewne taniej będzie użyć jakiś mały router, "wyciągnąć"
> vlany z switcha trunkiem (trunk to link przenoszący kilka różnych vlanów)
> a na interfejsie routera stworzyć subinterfejsy będące domyślnymi bramkami
> dla użytkowników w odpowiednich vlanach. Wtedy będziesz mógł separować
> klientów z różnych vlanów poprzez ACLki czy tam inne fajerłole, zależy co
> twój router potrafi.
Tak jak pisałem, za router służy windowsowy Kerio Winroute na kompie z
Windows XP. Nie zauwazyłem, czy ma on opcję tworzenia subinterfejsów -
prawdę mówiąc nie wiem nawet jak takie coś wyglada - że jedna sieciówka jest
widziana pod różnymi IP? kurcze, no nie wiem, czy da się tam to zrobić. A
może sam windows mi to umożliwi? W kwestii ACL-i jestem podobnego koloru -
zielony;-) Ten zarządzalny switch HP ma do ustawienia swoje IP i bramę, ale
tylko jedną, jakby nie ma z tego co widzę możliwości osobnych ustawień dla
poszczególnych VLANów...
Fajnie by było, gdyby się tak udało to zrobić, z tymi VLANami objętymi
trunkiem i sterowane przez router (nawet ten mój, programowy Kerio , nie
sprzętowy).
Najgorsze jest jednak to, że dopóki się nie kupi urządzenia to wszystko
można rozważać tylko w płaszczyznach teoretycznych, w ogóle mam takie
wrażenie, że sieci to taka działka, że dopóki się czegoś nie sprawdzi w
realu, to niczego nie można być pewnym:-) A to firmware walniety i nie
działa tak jak w instrukcji, a to znowu producent nazwał sobie jakąś opcję
tak i tak ale ona działa zupełnie inaczej niż opcja o tej samej naziwe ale w
urządzeniu innego producenta...no masakra;-)
Ale nie poddaję się i bedę męczył temat do skutku:-)
Pozdrawiam i dziękuję za wszystkie dotychczasowe odpowiedzi!
JA
|