Kahden eri ip alueen erotus toisistaan samasta verkosta hallittavalla kytkimellä, miten? Static route?

Liittynyt
20.04.2017
Viestejä
1 138
Reitittimenä TL-ER7206 v1.0 ja kytkimenä Aruba Instant On 1930 24G 4SFP/SFP+ Switch JL682A.

TP-Linkillä pystyy tekemään multi-nets verkot eli vaikka 192.168.1.1/24 ja 192.168.2.1/24 näin kuvitteellisesti. Ongelmana on se että TP-Link vaatisi tuon erotukseen toisistaan L3 tason kytkimen jotka maksaa liikaa omalle budjetille. Vaikka reitittimestä määrittäisi molemmille omat VLANit ja kytkimestä koittaa VLANeilla noita jakaa erilleen niin silti molemmista verkoista pääsee molempiin ip-alueisiin ja niissä oleviin laitteisiin käsiksi.

Ajatuksena olisi tehdä omat verkot tyyliin kotiverkko, puuhasteluverkko (esim. jos kaverin koneen täytyy päästä nettiin ja ei ole takeita koneen puhtaudesta niin voisi tämän pitää erossa omasta kotiverkosta) ja vaikka myös IoT-laitteille voisi tehdä oman verkkonsa. Ongelmana on se että TP-Link puskee nuo eri ip-alueet väkisin samaa piuhaa pitkin kulkemaan kun ei ole heidän valmistamaa L3 kytkintä perässä ja kuten jo mainitsin en saanut niitä kokeilusta huolimatta VLANeilla erotettua toisistaan niin mietin että onnistuisiko niiden erotus static routella?

Static routesta ei ole aiempaa kokemusta mutta mietin sitä että jos kytkimestä määrittäisi x VLANeille ip-osoitteet ja määrittäisi TP-Linkistä static routen ohjaamaan eri ip alueet kytkimen VLANien ip osoitteisiin niin saisiko sillä tapaa verkot erotettua toisistaan? Sen verta googlella sain hommaan selvyyttä että ilmeisesti joissain tapauksissa multicast liikenne tulisi ongelmaksi. Saako myös multicast liikenteen erotettua pysymään omissa verkoissaan static routen avulla?

Tärkeintä kun olisi saada datat pysymään erillään ilman että esimerkiksi tästä "vierasverkosta" tai "IoT" verkosta olisi mitään pääsyä kotiverkkoon tai toisinpäin. Jos tämä onnistuisi niin olisi hyvä ratkaisu niin selviäisi silloin verkon pyörityksestä pelkästään tuolla yhdellä reitittimellä.

Ideoita?

Edit: Muokattu typo pois.
 
Viimeksi muokattu:
Liittynyt
27.12.2018
Viestejä
1 699
192.168.1.1/24 ja 192.168.1.2/24
Nuo kaksi ip4-osoitetta ovat samassa verkossa 192.168.1.0/24. Kaksi eri verkkoa olisi esim. 192.168.1.0/24 ja 192.168.2.0/24. 254 osoitetta /24:ssä (.1-.254)

Määrittelet ne samat VLANit myös kytkimen portteihin, s.e. porttiin x tuleva liikenne tagataan VLAN Y:ksi, siitä lähtevä liikenne on untagged ja se portti x kuuluu vain VLANiin Y
 
Liittynyt
17.10.2016
Viestejä
1 084
Ja sitten kieltävät palomuurisäännöt verkkojen välille, jos ei halua reititystä.
 
Liittynyt
20.04.2017
Viestejä
1 138
Nuo kaksi ip4-osoitetta ovat samassa verkossa 192.168.1.0/24. Kaksi eri verkkoa olisi esim. 192.168.1.0/24 ja 192.168.2.0/24. 254 osoitetta /24:ssä (.1-.254)

Määrittelet ne samat VLANit myös kytkimen portteihin, s.e. porttiin x tuleva liikenne tagataan VLAN Y:ksi, siitä lähtevä liikenne on untagged ja se portti x kuuluu vain VLANiin Y
Ip osoitteessa kävi moka tätä kirjoittaessa, ovat siis erilliset ja täytyy vielä kerran tarkistaa kytkimen portit mutta oli porteilla VLANit tehtynä
 
Liittynyt
20.04.2017
Viestejä
1 138
Luultavasti selvisi tämäkin ongelma. Olikin pitkän asetuksien säädön jälkeisessä väsymyksessä jäänyt reitittimelle vievä portti klikkaamatta tagged onlyksi niin se luultavasti sotki verkot yhteen.
 
Liittynyt
20.04.2017
Viestejä
1 138
Ei näköjään selvinnyt sittenkään. VLAN 1 on kotiverkko ja VLAN 2 on tämä ns. vierasverkko. Tein trunkin Aruban porttiin johon TP-Link on kytketty. Kaikki toimii muuten paitsi että verkoista pääsee toisiinsa käsiksi kun on trunkissa aktiivisena sekä untagged ja tagged. Jos pistää pelkän tagged niin lyö kaiken liikenteen poikki. Vähän kaikkea on tullut kokeiltua ilman että tuo jäisi toimimaan. Ideoita?

TP-Linkistä on kyllä valittuna sama interface molemmille kun ei anna erotella noita ja molemmilla verkoilla on ainaskin asetuksissa valittuna eri VLANit. Trunk asetuksia en OC200 kautta löytänyt tuolle reitittimelle.
 
Liittynyt
20.04.2017
Viestejä
1 138
Aivan pienen hetken tuntuisi että verkko toimii jaettuna kun laittaa only tagged moodiin tuon trunkin, sitten tulee seinä vastaan eli ei liiku bitti yhtikäs minnekkään.
 
Liittynyt
27.12.2018
Viestejä
1 699
4.4.4 UG:
4. 3. 2 Configure LAN Networks
Configuration To create a LAN, follow the guidelines:
1 ) Create a Network with specific purpose. (For Layer 2 isolation, create a network as VLAN.) To realize inter-VLAN routing, create a network as Interface, which is configured with a VLAN interface.
2 ) Create a port profile for the network. The profile defines how the packets in both ingress and egress directions are handled.
3 ) Assign the port profile to the desired ports of the switch to activate the LAN.

Myös: VLAN configurations of the LAN ports on Omada Gateway in Controller mode | TP-Link Finland
 
Liittynyt
31.10.2018
Viestejä
90
Toimisiko jos vierailija ja iot verkko olisi pelkästään wifissä ja ehkä tarvittaessa yksi tai pari porttia suoraan reitittimen perässä ilman kytkintä. Kytkin olisi kokonaan kotiverkkoa jonne vierailijoilla ei olisi asiaa. Tuo yksinkertaistaisi setuppia kun ei tarvisi jakaa kytkintä. Toki jos tarvii enemmän portteja vierailijaverkkoon niin toinen kytkin ratkaisee sen ongelman.
Tein itselle tuollaisen setupin openwrt:llä ja vieläpä niin että vierailijaverkosta ei pääse kotiverkkoon mutta kotiverkosta pääsee silti vierailijaverkkoon.
 
Liittynyt
17.10.2016
Viestejä
842
Ei kannata yleensä käyttää VLANia 1 mihinkään, käytä jotain muita numeroita. Eli vaikka tuo 192.168.1.0/24 VLAN 10, 192.168.2.0/24 VLAN 20, laita ne molemmat haluamaasi porttiin tossa reitittimessä allowed vlaneiksi. Bonuksena voit tehdä vaikka 192.168.3.0/24 hallintavlaniksi. Sitten kytkimestä uplink portti trunkiksi, ja allowedeiksi 10 ja 20. Ja portit sitten access modeen ja 10 tai 20 tilanteen mukaan. Muurisääntöihin pohjalle deny all, ja sitten rakennat siihen päälle haluamasi säännöt ulospäin.
 
Liittynyt
27.12.2018
Viestejä
1 699
Ei kannata yleensä käyttää VLANia 1 mihinkään, käytä jotain muita numeroita.
Tuo on periaatteessa hyvä ohje turvallisuusmielessä, mutta myös hieno tilaisuus aloittelijalle (tai ihan kenelle vaan) lukita itsensä ulos hallinnasta pysyvästi. Tässä on vielä kolme eri tilaisuutta onnistua tuossa eli controller, router ja switch.
 
Liittynyt
17.10.2016
Viestejä
842
Tuo on periaatteessa hyvä ohje turvallisuusmielessä, mutta myös hieno tilaisuus aloittelijalle (tai ihan kenelle vaan) lukita itsensä ulos hallinnasta pysyvästi. Tässä on vielä kolme eri tilaisuutta onnistua tuossa eli controller, router ja switch.
Jos pelottaa, voi jättää yhden access portin vaikka tägäämättömäksi tms, pääsee hallintaan kiinni. Ja toki konsolipiuhalla nyt skippaa tuollaiset ongelmat.
 
Liittynyt
20.04.2017
Viestejä
1 138
4.4.4 UG:
4. 3. 2 Configure LAN Networks
Configuration To create a LAN, follow the guidelines:
1 ) Create a Network with specific purpose. (For Layer 2 isolation, create a network as VLAN.) To realize inter-VLAN routing, create a network as Interface, which is configured with a VLAN interface.
2 ) Create a port profile for the network. The profile defines how the packets in both ingress and egress directions are handled.
3 ) Assign the port profile to the desired ports of the switch to activate the LAN.

Myös: VLAN configurations of the LAN ports on Omada Gateway in Controller mode | TP-Link Finland
Jos tuon tekee VLANina niin ei anna kytkeä dhcp-jakelua verkkoa tehdessä päälle. Interfacena jos tekee niin antaa ja antaa myös valita verkolle VLANin mutta sen puolen toimivuus hieman haiskahtaa.
 
Liittynyt
17.10.2016
Viestejä
842
Hmm, totta, kuvittelin tuossa Arubassa olevan mutta väärässä olin, mun moka. Siinä tapauksessa jättää vaan konffimatta kaikkia portteja - toki factory reset toimii aina :D
 
Liittynyt
27.12.2018
Viestejä
1 699
Ongelmana on se että TP-Link vaatisi tuon erotukseen toisistaan L3 tason kytkimen jotka maksaa liikaa omalle budjetille.
Offtopic: Ei tuohon tavoittelemaasi verkkoconffiin L3-tason kytkintä tarvita, sikäli kun se reititin taipuu hommaan.
Mitä tulee TP-Linkin JetStream-kytkimiin, joita Omada SDN kontrolleri tukee, petyin kyllä emulaattorin (TP-Link Emulators | TP-Link Finland) perusteella niiden integrointiin ja todennäköisesti olisi pakko käyttää TP-Linkin switchin omaa management web-UI:ta tuon kontrollerin sijaan. Samalla voisi sitten jatkaa minkä tahansa valmistajan kytkimen käyttöä, koska TP-Linkin integrointi yhteen hallintaan tarjoaisi kovin vähän hyötyä, ja sekin lähinnä monitoroinnissa.
 
Liittynyt
20.04.2017
Viestejä
1 138
Offtopic: Ei tuohon tavoittelemaasi verkkoconffiin L3-tason kytkintä tarvita, sikäli kun se reititin taipuu hommaan.
Mitä tulee TP-Linkin JetStream-kytkimiin, joita Omada SDN kontrolleri tukee, petyin kyllä emulaattorin (TP-Link Emulators | TP-Link Finland) perusteella niiden integrointiin ja todennäköisesti olisi pakko käyttää TP-Linkin switchin omaa management web-UI:ta tuon kontrollerin sijaan. Samalla voisi sitten jatkaa minkä tahansa valmistajan kytkimen käyttöä, koska TP-Linkin integrointi yhteen hallintaan tarjoaisi kovin vähän hyötyä, ja sekin lähinnä monitoroinnissa.
Jep... tosin x syistä tuo pilvihallinta on kätevä kun on paljon poissa maisemista ja jos tulee tarve päästä tutkimaan ongelmaa etänä. Mutta oisko ideaa mistä lähteä ongelmaa vielä ratkomaan.
 
Liittynyt
27.12.2018
Viestejä
1 699
Oliko tuossa OC200:ssa tuorein firmis sisällä, jossa kontrolleri v4.4.4? Entä loitko ne port profiilit ja asetit ne porttiin (käsitääkseni yhtä ja samaa LAN-porttia pitäisi voida käyttää molempien verkkojen kanssa). Kun bitti ei kulje, niin voiko lähiverkosta kuitenkin pingata reititintä (TL-ER7206), jolloin vika olisi reitityksen puute internetiin, vai mikä on oire?
 
Liittynyt
27.12.2018
Viestejä
1 699
Lisäksi ACL:ään voi joutua tekemään sääntöjä joko sallimaan tai estämään liikennettä, esim. sallii guest-verkosta WANiin, mutta estää guestista liikenteen muualle: Omada Controller
 
Liittynyt
20.04.2017
Viestejä
1 138
Lisäksi ACL:ään voi joutua tekemään sääntöjä joko sallimaan tai estämään liikennettä, esim. sallii guest-verkosta WANiin, mutta estää guestista liikenteen muualle: Omada Controller
ACL vaikka teki säännöt että verkot ei keskustelisi keskenään niin silti tavara liikkui verkkojen välillä. Joka laitteessa on uusin firmis sisällä. Taas kokeilin säätää verkkoja niin jotenkin tuntuu siltä että aivan kuin reititin puskisi tavaraa eetteriin ilman VLANeja vaikka niiden numeroita eri verkoille asetuksissa kyselee. Olen kokeillut Arubasta käytännössä joka vaihtoehdon läpi niin alkaa olemaan sen suhteen ideat loppu. Muuten VLANit kyllä toimii muilta osin. En saanut tällä kertaa tuota bitti ei kulje efektiä toistumaan. Kokeilin jopa reitittimelle menevää porttia ajaa kytkimestä sekä trunkkina että tavallisena tagged only porttina jossa molemmat VLANit tägätty käyttöön mutta silti verkot juttelee keskenään ilman mitään ongelmia.
 
Viimeksi muokattu:

dot1q

Team SER
Liittynyt
03.05.2018
Viestejä
2 028
Jos sulla on jo aktiivinen sessio siellä, ACL ei tapa sitä sessioo. Estää uudet kylläkin.
 
Liittynyt
20.04.2017
Viestejä
1 138

Nyt sattu ihan muun asian takia löytyy ohjeet... käytännössä kaikki ominaisuudet mitä tuossa mainitaan löytyy Arubasta. Päivällä verkko myös muiden käytössä niin täytyy iltamyöhään noita testaa. Ainoa asia tosin ihmetyttää tuossa jonka seuraavasta lainauksesta boldaan: "With the topology and all the settings above, the three departments in different subnets can communicate with each other through the T2600G-28TS v3 and access the Internet via the gateway router TL-ER6120 v2. "

Tarkoittaako tuo nyt sitä että ongelmani ei ole vika vaan ominaisuus että verkot pääsee keskustelemaan keskenään sen sijaan että olisivat erotettuna toisistaan?
 
Liittynyt
27.12.2018
Viestejä
1 699
Jos ei mennä L3-kytkimiin, niin ei eri subneteissa majailevat hostit keskustele keskenään ilman reititintä. Onko tuossa TL-ER7206:ssa näyttää reititystaulukkoa, sillä vaikuttaa siltä, että sinne on jotakin kautta syntyneet reitit, joilla subnetit ei-toivotusti keskustelevat keskenään, mikä ei yleisesti ole mahdollista oletuksena.

1638272394607.png
 
Viimeksi muokattu:
Liittynyt
20.04.2017
Viestejä
1 138
Jos ei mennä L3-kytkimiin, niin ei eri subneteissa majailevat hostit keskustele keskenään ilman reititintä. Onko tuossa TL-ER7206:ssa näyttää reititystaulukkoa, sillä vaikuttaa siltä, että sinne on jotakin kautta syntyneet reitit, joilla subnetit ei-toivotusti keskustelevat keskenään, mikä ei yleisesti ole mahdollista oletuksena.

Luultavasti otan illalla kun verkossa ei ole muita käyttäjiä nuo löytämäni ohjeet käteen mitä en aiemmin jostain syystä löytänyt ja testailen. Ainaskin pari kohtaa niissä on mitkä jäi viimeksi tekemättä ja oli pieni aavistuskin et jotain nyt jäänyt huomaamatta. L2+ tai L3 tason kytkimen TP-Linkin mukaan tuo vaatisi mutta periaatteessa kaikki ohjeiden vaatimat ominaisuudet näyttäisi löytyvän myös Arubasta. Tämä olisi hyvä asia että saisi myös Aruballa toimimaan kun tulossa myös toinen kohde mihin myös tarviis useamman verkon ja enemmän löytyy itsellä luottoa Aruban kytkimiä kohtaan kuin TP-Linkille. Reititin taas ok kun riittänyt ominaisuuksien puolesta ja nopeudet olleet yhteyksien määrästä huolimatta sitä mitä pitääkin.
 
Liittynyt
20.04.2017
Viestejä
1 138
Tuossa kytkimessä pitäisi olla Layer 3 IPv4 static routing -tuki, mutta ei sekään niitä omin päin tee, joten veikkaan syntipukiksi reititintä https://www.arubainstanton.com/files/DS_AIO_1930SwitchSeries.pdf
Katsotaan illalla miten käy (mikäli ei muita esteitä tule testille) viimeksi koitin VLAN tasolla pelata niin routing jäi huomiotta. VLANien kanssa kyllä joutunut touhuamaan mutta en juuri routing puolta niin tämäkin on uuden opiskelua.
 
Toggle Sidebar

Statistiikka

Viestiketjut
148 679
Viestejä
2 823 758
Jäsenet
54 027
Uusin jäsen
ransuS

Hinta.fi

Ylös Bottom