מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



תקשורת בין vlans שונות - איך זה מתבצע?


עמוד 1 מתוך 2
עבור לעמוד  1  |  2  |  הבא 
   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
oferlap
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 29, 2009
הבעות תודה: 5
מספר הודעות: 101

 #1  נשלח: ב' 20/05/2019 15:52
תקשורת בין vlans שונות - איך זה מתבצע?

רשת ברירת המחדל 10.0.0.0/24 מתוייגת כ-Vlan 1,
תת רשת עבור מצלמות אבטחה מחוץ לדירה 10.0.20.0/24 מתוייגת כ- Vlan 20.
בתת הרשת הזו נמצאות גם המצלמות וגם NVR שמקליט אותן.
בראוטר פתוחים הפורטים הנדרשים לתקשורת עם ה- NVR מכל מקום (עובד גם ממחשבים ברשת ברירת המחדל דרך NAT loopback).
כמו כן הראוטר מאפשר התחברות מרחוק לרשת האבטחה דרך ssl vpn, מה שמאפשר תקשורת ישירה מול המצלמות (מהיר בהרבה בהשוואה לתהליך האימות הדו שלבי והתפריטים המסורבלים של ה- NVR).

אני מעוניין לאפשר למחשב מסויים ברשת הרגילה (כתובת איי פי או MAC ספציפי) להתחבר ישירות למצלמות האבטחה. איזו פונקציה או פונקציות לחפש בראוטר לשם כך? כללים ב- firewall? static routing?
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #2  נשלח: ב' 20/05/2019 17:15

דבר ראשון אתה צריך לדעת בכלל היכן מתבצע הניתוב בין כל ה VLANs שלך. זה למשל יכול להיות במתג L3 ואז ההגדרות שאתה צריך יהיו ברמה של ACL בו. או שהניתוב יכול להתבצע גם בנתב חיצוני שמחובר למתג בעזרת VLAN Trunk . אם זה המקרה, אז את ההגדרות הנדרשות אתה מבצע בנתב זה. דבר נוסף שצריך לבדוק, זה זה שבכלל קיים ניתוב תקין בין שני רשתות משנה אלה ( 10.0.0.0/24 ולבין 10.0.20.0/24 ) ושהניתובים אלו מוגדרים לעבור בין שני ממשקים נכונים ( ממשקים של VLAN 1 ולבין VLAN 20 ). דבר שני צריך להמשיך לכללים של FIREWALL של הנתב זה. שם צריך להיות מוגדר כלל אחד של איסור גורף לתקשורת בין שני רשתות משנה אלה ובנוסף לו גם כלל של אישור פרטני בין כתובות IP נדרשים ופורטים נדרשים. גם יש FireWalls שהסדר של הכללים בהם הוא חשוב. למשל יכול להיות שכלל מאפשר פרטני חייב לבוא לפני כלל איסור כללי, אחרת לפי הלוגיקה של המערכת כבר בשלב של כלל איסור גורף המערכת מכילה אותו ולא מתקדמת לכלל הבא. יש גם FireWalls שהכלל איסור לא נדרש, בגלל שהוא קיים מובנה בלוגיקה של המערכת.
| פרופיל | שלח הודעה | חפש
oferlap
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 29, 2009
הבעות תודה: 5
מספר הודעות: 101

 #3  נשלח: ב' 20/05/2019 17:22

sys_admin
·
תודה על התגובה. הנתב מחובר למתג דרך Trunk, וכרגע שתי הרשתות יכולות לגשת לאינטרנט, אך לא אחת לשניה (אלא רק אם יש פורטים ספציפיים פתוחים מהאינטרנט למכשיר מסויים, אז אפשר לגשת אליו מכל רשת).
מה זאת אומרת ניתוב בין שתי הרשתות? איך פונקציה כזו בנתב אמורה להיקרא?
| פרופיל | שלח הודעה | חפש
ag43
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 62
מספר הודעות: 957

 #4  נשלח: ב' 20/05/2019 17:40

מה הציוד שלך? בגדול אתה צריך ליצור הפניה בL3 עם פוליסי מתאים.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #5  נשלח: ב' 20/05/2019 19:11

oferlap
·

לשאלה של: "מה זאת אומרת ניתוב בין שתי הרשתות?", התשובה היא די פשוטה. כל VLAN נפרד זו רשת L2 נפרדת ( חוט וירטואלי נפרד ) . בשביל שתהייה תקשורת בין שני רשתות תקשורת שונות נדרש חיבור כלשהו בינהן. ברמה של חיבור L3 , זה ניתוב. בישביל ניתוב תקין, בנתב נדרשת טבלת ניתוב תקינה, שבה תהייה גם רשומה שכוללת את בפרטים הנדרשים של הרשתות משנה והנתיב ( ממשק רשת או כתובת שדרכה מגיעים ליעד הנדרש. ניתן לראות את הטבלה זו וגם את כל הרשומות בה ולהבין, אם קיימת רשומה נדרשת ותקינה.

גם לשאלה של: "איך פונקציה כזו בנתב אמורה להיקרא?", התשובה היא עוד יותר פשוטה. והיא שבכל נתב, לכל מערכת הפעלה של נתב או לכל ממשק ניהול של נתב היא אמורה להיקרא בשם אחר. יש גם נתבים רבים שלגמרי לבד, בצורה אוטומטית מייצרים רשומות ניתוב תקינות בין ממשקי רשת שלהם. מבחינת רוב הנתבים VLAN SubInterface הוא ממשק רשת לכל דבר ועניין. בשפה של IOS זה מה שנקרא Directly connected routes ומוסבר על זה למשל כאן בשפה פשוטה ובשני משפטים למי שלא מבתחום המחשבים או תקשורת:
https://geek-university.com/ccna/directly-connecte...
צירפתי גם צילום מסך של טבלת ניתוב לדוגמה מאחד הנתבים שלי וחלק ממנה ממתג L3 שמבצע ניתוב בין כמה VLANs שונים.




| פרופיל | שלח הודעה | חפש
oferlap
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 29, 2009
הבעות תודה: 5
מספר הודעות: 101

 #6  נשלח: ב' 20/05/2019 20:54

ag43 כתב:
מה הציוד שלך? בגדול אתה צריך ליצור הפניה בL3 עם פוליסי מתאים.
·
הנתב Draytek Vigor 2862L
והמתג D-Link DSG-1510-28P
יש לו תמיכה ברמת L3, אבל אני לא יודע עדיין לעשות שימוש בפונקציונליות הזו, מה שאני יודע זה להגדיר פורטים ברמת L2. היתרון של ניתוב בסוויץ' הוא שהנתונים לא צריכים לעבור דרך הראוטר ולבזבז מרוחב הפס של החיבור אליו? זה יכול להיות יתרון משמעותי, כי מדובר במחשב שאמור להציג על המסך אונליין את כל המצלמות 24/7, זה לא בדיוק רוחב פס זניח. האם יש חסרונות לקונפיגורציה כזו?

טבלת הניתוב ב- Draytek כרגע נראית כך:

Key Destination Gateway Interface
-----------------------------------------------------------------------------------
* 0.0.0.0/ 0.0.0.0 via 212.179.37.1 WAN1
S 10.131.72.221/ 255.255.255.255 via 10.131.72.221 USB
C 10.156.250.152/ 255.255.255.252 directly connected LTE
C~ 10.0.0.0/ 255.255.255.0 directly connected LAN1
C~ 10.0.10.0/ 255.255.255.0 directly connected DMZ
C~ 10.0.20.0/ 255.255.255.0 directly connected LAN3
C~ 10.0.30.0/ 255.255.255.0 directly connected LAN4
C~ 10.0.40.0/ 255.255.255.0 directly connected LAN2
* 212.179.37.1/ 255.255.255.255 via 212.179.37.1 WAN1
S 79.182.226.61/ 255.255.255.255 via 79.182.226.61 WAN1

Key
C: Connected S: Static R: RIP *: default ~: private B: BGP
| פרופיל | שלח הודעה | חפש
ag43
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 62
מספר הודעות: 957

 #7  נשלח: ב' 20/05/2019 21:33

לא מכיר את הציוד אבל תנסה ליצור פוליסי מהמחשב הספציפי שאתה רוצה (תן לו IP קבוע\שמור) לVLAN של המצלמות.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #8  נשלח: ג' 21/05/2019 0:09

מן הסתם שלא מדובר בכלל על יצירת "הפניה בL3 עם פוליסי", אלה כמו שכבר הסברתי את הנקודה זו לפני זה נדרש ליצור כלל שמאפשר תקשורת בין שני VLANS בין כתובות IP ספציפיות ולפורטים ספציפיים. בממשק ניהול של מוצר זה הגדרה זו מופיע כמה שזה לא מפתיע תחת FIREWALL , משם תחת EDIT FILTER SET ומשם תחת EDIT FILTER RULE . צירפתי גם צילום מסך. גם הייה מאוד עוזר ומומלץ לפתוח ספר הדרכה של מכשיר בעמוד 443 ולראות בברור את כל ההסבר הפשוט.


| פרופיל | שלח הודעה | חפש
oferlap
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 29, 2009
הבעות תודה: 5
מספר הודעות: 101

 #9  נשלח: ג' 21/05/2019 0:22

הצלחתי בינתיים ליצור תקשורת בין הרשתות - בנתב מדובר בטבלה מוזרה בשם Inter-LAN routing, עם המון check boxes. מאד לא אינטואיטיבי ומטעה, כי הכל נראה אפור ולא זמין לפעולה. לא ברור מה עשיתי שם שהפך חלק מה- check boxes לזמינות, וכעת יש ניתוב מלא בין הרשתות. מכאן כבר ברור שאנע צריך להגביל את התקשורת באמצעות כללים ב- firewall.
| פרופיל | שלח הודעה | חפש
ag43
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 62
מספר הודעות: 957

 #10  נשלח: ג' 21/05/2019 12:51

sys_admin כתב:
מן הסתם שלא מדובר בכלל על יצירת "הפניה בL3 עם פוליסי", אלה כמו שכבר הסברתי את הנקודה זו לפני זה נדרש ליצור כלל שמאפשר תקשורת בין שני VLANS בין כתובות IP ספציפיות ולפורטים ספציפיים. בממשק ניהול של מוצר זה הגדרה זו מופיע כמה שזה לא מפתיע תחת FIREWALL , משם תחת EDIT FILTER SET ומשם תחת EDIT FILTER RULE . צירפתי גם צילום מסך. גם הייה מאוד עוזר ומומלץ לפתוח ספר הדרכה של מכשיר בעמוד 443 ולראות בברור את כל ההסבר הפשוט.


·תפסיק.לבלבל.את.המוח. עשית בדיוק מה שאמרתי במילים אחרות.
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 447
מספר הודעות: 3740

 #11  נשלח: ד' 22/05/2019 16:16

oferlap כתב:
הצלחתי בינתיים ליצור תקשורת בין הרשתות - בנתב מדובר בטבלה מוזרה בשם Inter-LAN routing, עם המון check boxes. מאד לא אינטואיטיבי ומטעה, כי הכל נראה אפור ולא זמין לפעולה. לא ברור מה עשיתי שם שהפך חלק מה- check boxes לזמינות, וכעת יש ניתוב מלא בין הרשתות. מכאן כבר ברור שאנע צריך להגביל את התקשורת באמצעות כללים ב- firewall.

זה הגיוני בסה"כ - בראוטר ביתי ניתוב LAN-WAN אומר גם NAT. זה לא משהו שאתה רוצה כשאתה מנתב בין שני vlans ברשת הפנימית שלך. ניתוב LAN-LAN זה אומר שיש שני סגמנטים שונים בתוך אותה רשת פנימית שאמנם דורשים ראוטר ביניהם אבל לא צריך NAT.
| פרופיל | שלח הודעה | חפש
oferlap
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 29, 2009
הבעות תודה: 5
מספר הודעות: 101

 #12  נשלח: ה' 23/05/2019 0:37

NegativeIQ
·
זה לא בדיוק ראוטר שמיועד עבור השוק הביתי, אבל מבין הראוטרים שנועדו לעסקים קטנים ובינוניים, אלו של החברה הזאת נראו לי מהיותר ידידותיים למשתמש הלא מקצוען.
וכן, אתה צודק, בהגדרה הבסיסית של כל סגמנט (חוץ מרשת ברירת המחדל) ישנה אפשרות להגדיר אותו כ- NAT או כ- Routing, לא שאני בטוח מה המשמעות של זה בפועל, כי הגדרתי בטעות את אחד הסגמנטים כך, ובכל זאת היתה משם גישה לאינטרנט. זה לא אומר בוודאות שפעל שם NAT?
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 447
מספר הודעות: 3740

 #13  נשלח: ה' 23/05/2019 12:06

oferlap כתב:
@NegativeIQ
·
זה לא בדיוק ראוטר שמיועד עבור השוק הביתי, אבל מבין הראוטרים שנועדו לעסקים קטנים ובינוניים, אלו של החברה הזאת נראו לי מהיותר ידידותיים למשתמש הלא מקצוען.
וכן, אתה צודק, בהגדרה הבסיסית של כל סגמנט (חוץ מרשת ברירת המחדל) ישנה אפשרות להגדיר אותו כ- NAT או כ- Routing, לא שאני בטוח מה המשמעות של זה בפועל, כי הגדרתי בטעות את אחד הסגמנטים כך, ובכל זאת היתה משם גישה לאינטרנט. זה לא אומר בוודאות שפעל שם NAT?

אני מניח באמת שזה לא משהו שרלוונטי לכל משתמש ביתי (אם כי אפשר לגרום לרוב הראוטרים הביתיים לתמוך בזה עם קושחות צד ג').
לא הכי הבנתי את ההודעה שלך אבל כעיקרון כדי לחבר את הרשת הפנימית לאינטרנט אתה חייב NAT כי הראוטר שלך מקבל רק IP בודד מהספק (ככל שמדובר ב-IPv4 לפחות), לכן גם אם יש לך שני סגמנטים חייב להיות NAT גם בין סגמנט א' לאינטרנט וגם בין סגמנט ב' לאינטנרט. לעומת זאת, אתה לא רוצה NAT בין סגמנט א' לסגמנט ב' (כלומר תעבורה בתוך הרשתות הפנימיות שלך, שלא יוצאת לאינטרנט) - זה סתם ימנע תקשורת דו-כיוונית חופשית בין רשתות שנמצאות לגמרי בשליטתך.
| פרופיל | שלח הודעה | חפש
oferlap
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Aug 29, 2009
הבעות תודה: 5
מספר הודעות: 101

 #14  נשלח: ה' 23/05/2019 22:18

NegativeIQ
·התכוונתי ל- Radio Buttons שאפשר לראות בצילום המסך שצירפתי. קראתי קצת ברשת, ולא ממש הצלחתי בינתיים להבין מה זה עושה אם בכלל, אבל רשת ברירת המחדל (LAN1) היא רק NAT Usage, וישנה אופציה לרשת LAN נוספת בשם "IP Routed Subnet" שהיא רק For routing usage, והבנתי שהיא כנראה משמשת במקרים שמקבלים pool כתובות חיצוניות מהספק.
למעשה הראוטר מקבל במקרה שלי 3 כתובות WAN, אחת חיצונית מבזב"ל דרך חיבור VDSL, ו- 2 נוספות דרך LTE. בצורה כזו אני מצליח בדרך כלל לגרד את ה- 100 מגה יורד ו- 10 מגה עולה, כשהקו של בזק לבדו לא עובר את ה- 50/3 ביום טוב. הפינגים בבדיקות יוצאים לפעמים גבוהים ולפעמים נמוכים, תלוי דרך איזה חיבור הראוטר בוחר להעביר אותם..




| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #15  נשלח: ו' 24/05/2019 1:10

ag43 כתב:

ציטוט:
...


·תפסיק.לבלבל.את.המוח. עשית בדיוק מה שאמרתי במילים אחרות.


·
מי שמבלבל את המוח זה אתה.וגם אחרי זה אתה לא מבין את השטות לא קשורה שכתבת וממשיך להוסיף עלייה עוד שטויות נוספות. בין פוליסי L3 ( שגם לא קיימת בנתב זה ) ובין הניתוב בין רשתות משמנה ( inter vlan routing במקרה שלנו ) אין שום קשר ומן הסתם שלא רק שגם אמרת מילים אחרות, אלה גם מילים אלה הם לא קשורות כלל לנושא.
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב עבור לעמוד  1  |  2  |  הבא 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht