Kahden eri ip alueen erotus toisistaan samasta verkosta hallittavalla kytkimellä, miten? Static route?

Liittynyt
20.04.2017
Viestejä
2 658
Reitittimenä TL-ER7206 v1.0 ja kytkimenä Aruba Instant On 1930 24G 4SFP/SFP+ Switch JL682A.

TP-Linkillä pystyy tekemään multi-nets verkot eli vaikka 192.168.1.1/24 ja 192.168.2.1/24 näin kuvitteellisesti. Ongelmana on se että TP-Link vaatisi tuon erotukseen toisistaan L3 tason kytkimen jotka maksaa liikaa omalle budjetille. Vaikka reitittimestä määrittäisi molemmille omat VLANit ja kytkimestä koittaa VLANeilla noita jakaa erilleen niin silti molemmista verkoista pääsee molempiin ip-alueisiin ja niissä oleviin laitteisiin käsiksi.

Ajatuksena olisi tehdä omat verkot tyyliin kotiverkko, puuhasteluverkko (esim. jos kaverin koneen täytyy päästä nettiin ja ei ole takeita koneen puhtaudesta niin voisi tämän pitää erossa omasta kotiverkosta) ja vaikka myös IoT-laitteille voisi tehdä oman verkkonsa. Ongelmana on se että TP-Link puskee nuo eri ip-alueet väkisin samaa piuhaa pitkin kulkemaan kun ei ole heidän valmistamaa L3 kytkintä perässä ja kuten jo mainitsin en saanut niitä kokeilusta huolimatta VLANeilla erotettua toisistaan niin mietin että onnistuisiko niiden erotus static routella?

Static routesta ei ole aiempaa kokemusta mutta mietin sitä että jos kytkimestä määrittäisi x VLANeille ip-osoitteet ja määrittäisi TP-Linkistä static routen ohjaamaan eri ip alueet kytkimen VLANien ip osoitteisiin niin saisiko sillä tapaa verkot erotettua toisistaan? Sen verta googlella sain hommaan selvyyttä että ilmeisesti joissain tapauksissa multicast liikenne tulisi ongelmaksi. Saako myös multicast liikenteen erotettua pysymään omissa verkoissaan static routen avulla?

Tärkeintä kun olisi saada datat pysymään erillään ilman että esimerkiksi tästä "vierasverkosta" tai "IoT" verkosta olisi mitään pääsyä kotiverkkoon tai toisinpäin. Jos tämä onnistuisi niin olisi hyvä ratkaisu niin selviäisi silloin verkon pyörityksestä pelkästään tuolla yhdellä reitittimellä.

Ideoita?

Edit: Muokattu typo pois.
 
Viimeksi muokattu:
192.168.1.1/24 ja 192.168.1.2/24
Nuo kaksi ip4-osoitetta ovat samassa verkossa 192.168.1.0/24. Kaksi eri verkkoa olisi esim. 192.168.1.0/24 ja 192.168.2.0/24. 254 osoitetta /24:ssä (.1-.254)

Määrittelet ne samat VLANit myös kytkimen portteihin, s.e. porttiin x tuleva liikenne tagataan VLAN Y:ksi, siitä lähtevä liikenne on untagged ja se portti x kuuluu vain VLANiin Y
 
Nuo kaksi ip4-osoitetta ovat samassa verkossa 192.168.1.0/24. Kaksi eri verkkoa olisi esim. 192.168.1.0/24 ja 192.168.2.0/24. 254 osoitetta /24:ssä (.1-.254)

Määrittelet ne samat VLANit myös kytkimen portteihin, s.e. porttiin x tuleva liikenne tagataan VLAN Y:ksi, siitä lähtevä liikenne on untagged ja se portti x kuuluu vain VLANiin Y
Ip osoitteessa kävi moka tätä kirjoittaessa, ovat siis erilliset ja täytyy vielä kerran tarkistaa kytkimen portit mutta oli porteilla VLANit tehtynä
 
Luultavasti selvisi tämäkin ongelma. Olikin pitkän asetuksien säädön jälkeisessä väsymyksessä jäänyt reitittimelle vievä portti klikkaamatta tagged onlyksi niin se luultavasti sotki verkot yhteen.
 
Ei näköjään selvinnyt sittenkään. VLAN 1 on kotiverkko ja VLAN 2 on tämä ns. vierasverkko. Tein trunkin Aruban porttiin johon TP-Link on kytketty. Kaikki toimii muuten paitsi että verkoista pääsee toisiinsa käsiksi kun on trunkissa aktiivisena sekä untagged ja tagged. Jos pistää pelkän tagged niin lyö kaiken liikenteen poikki. Vähän kaikkea on tullut kokeiltua ilman että tuo jäisi toimimaan. Ideoita?

TP-Linkistä on kyllä valittuna sama interface molemmille kun ei anna erotella noita ja molemmilla verkoilla on ainaskin asetuksissa valittuna eri VLANit. Trunk asetuksia en OC200 kautta löytänyt tuolle reitittimelle.
 
Aivan pienen hetken tuntuisi että verkko toimii jaettuna kun laittaa only tagged moodiin tuon trunkin, sitten tulee seinä vastaan eli ei liiku bitti yhtikäs minnekkään.
 
4.4.4 UG:
4. 3. 2 Configure LAN Networks
Configuration To create a LAN, follow the guidelines:
1 ) Create a Network with specific purpose. (For Layer 2 isolation, create a network as VLAN.) To realize inter-VLAN routing, create a network as Interface, which is configured with a VLAN interface.
2 ) Create a port profile for the network. The profile defines how the packets in both ingress and egress directions are handled.
3 ) Assign the port profile to the desired ports of the switch to activate the LAN.

Myös: VLAN configurations of the LAN ports on Omada Gateway in Controller mode | TP-Link Finland
 
Toimisiko jos vierailija ja iot verkko olisi pelkästään wifissä ja ehkä tarvittaessa yksi tai pari porttia suoraan reitittimen perässä ilman kytkintä. Kytkin olisi kokonaan kotiverkkoa jonne vierailijoilla ei olisi asiaa. Tuo yksinkertaistaisi setuppia kun ei tarvisi jakaa kytkintä. Toki jos tarvii enemmän portteja vierailijaverkkoon niin toinen kytkin ratkaisee sen ongelman.
Tein itselle tuollaisen setupin openwrt:llä ja vieläpä niin että vierailijaverkosta ei pääse kotiverkkoon mutta kotiverkosta pääsee silti vierailijaverkkoon.
 
Ei kannata yleensä käyttää VLANia 1 mihinkään, käytä jotain muita numeroita. Eli vaikka tuo 192.168.1.0/24 VLAN 10, 192.168.2.0/24 VLAN 20, laita ne molemmat haluamaasi porttiin tossa reitittimessä allowed vlaneiksi. Bonuksena voit tehdä vaikka 192.168.3.0/24 hallintavlaniksi. Sitten kytkimestä uplink portti trunkiksi, ja allowedeiksi 10 ja 20. Ja portit sitten access modeen ja 10 tai 20 tilanteen mukaan. Muurisääntöihin pohjalle deny all, ja sitten rakennat siihen päälle haluamasi säännöt ulospäin.
 
Ei kannata yleensä käyttää VLANia 1 mihinkään, käytä jotain muita numeroita.
Tuo on periaatteessa hyvä ohje turvallisuusmielessä, mutta myös hieno tilaisuus aloittelijalle (tai ihan kenelle vaan) lukita itsensä ulos hallinnasta pysyvästi. Tässä on vielä kolme eri tilaisuutta onnistua tuossa eli controller, router ja switch.
 
Tuo on periaatteessa hyvä ohje turvallisuusmielessä, mutta myös hieno tilaisuus aloittelijalle (tai ihan kenelle vaan) lukita itsensä ulos hallinnasta pysyvästi. Tässä on vielä kolme eri tilaisuutta onnistua tuossa eli controller, router ja switch.
Jos pelottaa, voi jättää yhden access portin vaikka tägäämättömäksi tms, pääsee hallintaan kiinni. Ja toki konsolipiuhalla nyt skippaa tuollaiset ongelmat.
 
4.4.4 UG:
4. 3. 2 Configure LAN Networks
Configuration To create a LAN, follow the guidelines:
1 ) Create a Network with specific purpose. (For Layer 2 isolation, create a network as VLAN.) To realize inter-VLAN routing, create a network as Interface, which is configured with a VLAN interface.
2 ) Create a port profile for the network. The profile defines how the packets in both ingress and egress directions are handled.
3 ) Assign the port profile to the desired ports of the switch to activate the LAN.

Myös: VLAN configurations of the LAN ports on Omada Gateway in Controller mode | TP-Link Finland
Jos tuon tekee VLANina niin ei anna kytkeä dhcp-jakelua verkkoa tehdessä päälle. Interfacena jos tekee niin antaa ja antaa myös valita verkolle VLANin mutta sen puolen toimivuus hieman haiskahtaa.
 
Hmm, totta, kuvittelin tuossa Arubassa olevan mutta väärässä olin, mun moka. Siinä tapauksessa jättää vaan konffimatta kaikkia portteja - toki factory reset toimii aina :D
 
Ongelmana on se että TP-Link vaatisi tuon erotukseen toisistaan L3 tason kytkimen jotka maksaa liikaa omalle budjetille.
Offtopic: Ei tuohon tavoittelemaasi verkkoconffiin L3-tason kytkintä tarvita, sikäli kun se reititin taipuu hommaan.
Mitä tulee TP-Linkin JetStream-kytkimiin, joita Omada SDN kontrolleri tukee, petyin kyllä emulaattorin (TP-Link Emulators | TP-Link Finland) perusteella niiden integrointiin ja todennäköisesti olisi pakko käyttää TP-Linkin switchin omaa management web-UI:ta tuon kontrollerin sijaan. Samalla voisi sitten jatkaa minkä tahansa valmistajan kytkimen käyttöä, koska TP-Linkin integrointi yhteen hallintaan tarjoaisi kovin vähän hyötyä, ja sekin lähinnä monitoroinnissa.
 
Offtopic: Ei tuohon tavoittelemaasi verkkoconffiin L3-tason kytkintä tarvita, sikäli kun se reititin taipuu hommaan.
Mitä tulee TP-Linkin JetStream-kytkimiin, joita Omada SDN kontrolleri tukee, petyin kyllä emulaattorin (TP-Link Emulators | TP-Link Finland) perusteella niiden integrointiin ja todennäköisesti olisi pakko käyttää TP-Linkin switchin omaa management web-UI:ta tuon kontrollerin sijaan. Samalla voisi sitten jatkaa minkä tahansa valmistajan kytkimen käyttöä, koska TP-Linkin integrointi yhteen hallintaan tarjoaisi kovin vähän hyötyä, ja sekin lähinnä monitoroinnissa.
Jep... tosin x syistä tuo pilvihallinta on kätevä kun on paljon poissa maisemista ja jos tulee tarve päästä tutkimaan ongelmaa etänä. Mutta oisko ideaa mistä lähteä ongelmaa vielä ratkomaan.
 
Oliko tuossa OC200:ssa tuorein firmis sisällä, jossa kontrolleri v4.4.4? Entä loitko ne port profiilit ja asetit ne porttiin (käsitääkseni yhtä ja samaa LAN-porttia pitäisi voida käyttää molempien verkkojen kanssa). Kun bitti ei kulje, niin voiko lähiverkosta kuitenkin pingata reititintä (TL-ER7206), jolloin vika olisi reitityksen puute internetiin, vai mikä on oire?
 
Lisäksi ACL:ään voi joutua tekemään sääntöjä joko sallimaan tai estämään liikennettä, esim. sallii guest-verkosta WANiin, mutta estää guestista liikenteen muualle: Omada Controller
 
Lisäksi ACL:ään voi joutua tekemään sääntöjä joko sallimaan tai estämään liikennettä, esim. sallii guest-verkosta WANiin, mutta estää guestista liikenteen muualle: Omada Controller
ACL vaikka teki säännöt että verkot ei keskustelisi keskenään niin silti tavara liikkui verkkojen välillä. Joka laitteessa on uusin firmis sisällä. Taas kokeilin säätää verkkoja niin jotenkin tuntuu siltä että aivan kuin reititin puskisi tavaraa eetteriin ilman VLANeja vaikka niiden numeroita eri verkoille asetuksissa kyselee. Olen kokeillut Arubasta käytännössä joka vaihtoehdon läpi niin alkaa olemaan sen suhteen ideat loppu. Muuten VLANit kyllä toimii muilta osin. En saanut tällä kertaa tuota bitti ei kulje efektiä toistumaan. Kokeilin jopa reitittimelle menevää porttia ajaa kytkimestä sekä trunkkina että tavallisena tagged only porttina jossa molemmat VLANit tägätty käyttöön mutta silti verkot juttelee keskenään ilman mitään ongelmia.
 
Viimeksi muokattu:
Jos sulla on jo aktiivinen sessio siellä, ACL ei tapa sitä sessioo. Estää uudet kylläkin.
 

Nyt sattu ihan muun asian takia löytyy ohjeet... käytännössä kaikki ominaisuudet mitä tuossa mainitaan löytyy Arubasta. Päivällä verkko myös muiden käytössä niin täytyy iltamyöhään noita testaa. Ainoa asia tosin ihmetyttää tuossa jonka seuraavasta lainauksesta boldaan: "With the topology and all the settings above, the three departments in different subnets can communicate with each other through the T2600G-28TS v3 and access the Internet via the gateway router TL-ER6120 v2. "

Tarkoittaako tuo nyt sitä että ongelmani ei ole vika vaan ominaisuus että verkot pääsee keskustelemaan keskenään sen sijaan että olisivat erotettuna toisistaan?
 
Jos ei mennä L3-kytkimiin, niin ei eri subneteissa majailevat hostit keskustele keskenään ilman reititintä. Onko tuossa TL-ER7206:ssa näyttää reititystaulukkoa, sillä vaikuttaa siltä, että sinne on jotakin kautta syntyneet reitit, joilla subnetit ei-toivotusti keskustelevat keskenään, mikä ei yleisesti ole mahdollista oletuksena.

1638272394607.png
 
Viimeksi muokattu:
Jos ei mennä L3-kytkimiin, niin ei eri subneteissa majailevat hostit keskustele keskenään ilman reititintä. Onko tuossa TL-ER7206:ssa näyttää reititystaulukkoa, sillä vaikuttaa siltä, että sinne on jotakin kautta syntyneet reitit, joilla subnetit ei-toivotusti keskustelevat keskenään, mikä ei yleisesti ole mahdollista oletuksena.

1638272394607.png
Luultavasti otan illalla kun verkossa ei ole muita käyttäjiä nuo löytämäni ohjeet käteen mitä en aiemmin jostain syystä löytänyt ja testailen. Ainaskin pari kohtaa niissä on mitkä jäi viimeksi tekemättä ja oli pieni aavistuskin et jotain nyt jäänyt huomaamatta. L2+ tai L3 tason kytkimen TP-Linkin mukaan tuo vaatisi mutta periaatteessa kaikki ohjeiden vaatimat ominaisuudet näyttäisi löytyvän myös Arubasta. Tämä olisi hyvä asia että saisi myös Aruballa toimimaan kun tulossa myös toinen kohde mihin myös tarviis useamman verkon ja enemmän löytyy itsellä luottoa Aruban kytkimiä kohtaan kuin TP-Linkille. Reititin taas ok kun riittänyt ominaisuuksien puolesta ja nopeudet olleet yhteyksien määrästä huolimatta sitä mitä pitääkin.
 
Tuossa kytkimessä pitäisi olla Layer 3 IPv4 static routing -tuki, mutta ei sekään niitä omin päin tee, joten veikkaan syntipukiksi reititintä https://www.arubainstanton.com/files/DS_AIO_1930SwitchSeries.pdf
Katsotaan illalla miten käy (mikäli ei muita esteitä tule testille) viimeksi koitin VLAN tasolla pelata niin routing jäi huomiotta. VLANien kanssa kyllä joutunut touhuamaan mutta en juuri routing puolta niin tämäkin on uuden opiskelua.
 
Piti tosin hieman soveltaa noiden kanssa... ihan 1:1 ei voinut tehdä kun Aruban kytkin kyseessä jolle menee reitittimen lan-portista molempia verkkoja varten trunk niin osa jutuista piti jättää tekemättä tai säätää ip osoitteen sijaan käyttämään vlania jotta alkoi toimimaan. :)
 
Piti tosin hieman soveltaa noiden kanssa... ihan 1:1 ei voinut tehdä kun Aruban kytkin kyseessä jolle menee reitittimen lan-portista molempia verkkoja varten trunk niin osa jutuista piti jättää tekemättä tai säätää ip osoitteen sijaan käyttämään vlania jotta alkoi toimimaan. :)
Mikä oli se ratkaisu ongelmaasi?

Minulle tuli aluksi se vaikutelma, että kytkimellä onnistui vlan eri porteille, mutta erilliset verkot pystyivät kuitenkin keskustelemaan. Reititin aiheuttaa tuon, jos palomuuri on asettettu sallimaan liikenne mihin vain. Eli toimii oikein.

Palomuuri säännöillä voi estää esim. eri verkkojen välillä, vierasverkosta ei pääsyä lan verkkoon, mutta lan verkosta voi sallia pääsyn vierasverkkoon.
 
Lähtökohtaisesti siellä pohjalla pitäisi olla deny all- sääntö, joten vähän hassua tuo silti on että oletusarvoisesti pääsee verkosta toiseen.
 
Lähtökohtaisesti siellä pohjalla pitäisi olla deny all- sääntö, joten vähän hassua tuo silti on että oletusarvoisesti pääsee verkosta toiseen.
Millätapaa toteuttaisit deny all säännöllä? Luulen että ongelma oli siinä kun en ole tuon static routen kanssa joutunut säätämään oli se että piti se reitti vaan vääntää noille molemmille ja pistää oma ip vlan2. Alkuun kun koitin noita erotella vain vlan käyttäen ilman static routea.

Verkot toimii nyt erillään mutta sellaisen havainnon tein että tuo reititin vastaa molempien verkkojen ip osoitteella pingiin riippumatta kummassa verkossa on. Itselle ei sinällään ongelma kerta nyt muuten data ei kulje verkkojen välillä mutta viittaako tuo vielä johonkin ongelmaan? Esimerkiksi 192.168.1.1 ja 192.168.2.1 on 2 erillistä verkkoa niin vaikka 2.3 loppuisesta voi pingata molempiin. Liekkö johtuu siitä kun sama fyysinen purkki pyörittää molempia verkkoja? Liekkö vielä jotain säätöä vaille tuo static route vai?
 
tracert 192.168.2.1 vetää suoraan reitittimelle 192.168.1.1/24 poolista eli liekkö ominaisuus ei vika tuo että vastaa pingiin kaikkien verkkojen reitittimen ip:llä?
 
Tuo linkitetty TP-Linkin (no pun intended) ohje on epätavallisen kahjo, ja sehän alkaa näin:
1) All the departments should be able to communicate with each other.

Yleensähän nuo multi-net applikaationotet on skenaarioitu niin, että korkeintaan yhteisille laitteille kuten printteri tms. halutaan pääsy kaikkialta, mutta ei suinkaan osastojen väliin

EDIT: Eli kun tekee juuri ohjeen mukaan, saa varmasti konfiguraation, jota ei OP eikä tuskin kukaan muukaan halua. Sen verran pitää soveltaa, että jättää pois kaikki staattiset reitit, jotka edesauttavat "osastojen" välistä ei-toivottua kommunikaatiota, ja ovat korkeintaan internet-yhteyden kannalta pakolliset.
 
Viimeksi muokattu:
Tuo linkitetty TP-Linkin (no pun intended) ohje on epätavallisen kahjo, ja sehän alkaa näin:
1) All the departments should be able to communicate with each other.

Yleensähän nuo multi-net applikaationotet on skenaarioitu niin, että korkeintaan yhteisille laitteille kuten printteri tms. halutaan pääsy kaikkialta, mutta ei suinkaan osastojen väliin

EDIT: Eli kun tekee juuri ohjeen mukaan, saa varmasti konfiguraation, jota ei OP eikä tuskin kukaan muukaan halua. Sen verran pitää soveltaa, että jättää pois kaikki staattiset reitit, jotka edesauttavat "osastojen" välistä ei-toivottua kommunikaatiota, ja ovat korkeintaan internet-yhteyden kannalta pakolliset.
Se on ollut kyllä tiedossa että TP-Link tekee välillä (lue:aina) omituisia virityksiä mutta pääasia että nyt sai tämän toimimaan niinkuin halusi.
 

Statistiikka

Viestiketjuista
258 431
Viestejä
4 490 821
Jäsenet
74 157
Uusin jäsen
mursu-90

Hinta.fi

Back
Ylös Bottom