הגדרת רשת (VLANים) בבית שעובדים ממנו

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

הגדרת רשת (VLANים) בבית שעובדים ממנו

נושא שלא נקרא #1 

מנסה לעזור לחבר שלא מעוניין להביא בעל מקצוע.
מדובר בבית שיש בו גם משרד, במשרד (המסגרת האדומה) האנשים לא קבועים וכבר היו כמה"חכמולוגים".
הציוד קיים כבר כמה שנים רק לא מוגדר, סויטש גדול סיסקו סדרה SG300, סויטש קטן סדרה SG220, ראוטר פרטי צק פויינט, נקודות גישה AP810 דרייטק.

המטרה היא שרק מי שמתחבר ב WIFI לVLAN1 תהיה לו גישה ל NAS ומי שהתחבר ב WIFI ל אורחים יתחבר לVLAN10 שאין לו גישה ל NAS
כל השקעי רשת (LAN) יהיו שייכים ל VLAN10 של האורחים, כך שגם מי שמחבר את המחשב שלו לשקע יהיה יהי מופרד מ הNASים
ה DHCP לא יהיה המכשיר של הספק כדי שלא תהיה השפעה מהגדרות ואיפוס שהספק עושה וגם אם המכשיר לא יהיה קיים עדיין שהרשת תרוץ תקין גם אם לא תהיה גלישה לאינטרנט.

מה שאני צריך לדעת זה לפי המספרים של החיבורים בתרשים, זה :
1. מה להגדיר בסויטשים מבחינת TAG/UNTAG/TRUNK (מיספרתי את מספרי הפורטים/חיבורים)
2. האם זה משנה על איזה IP יהיה המכשיר של הספק? (העיקר שבראוטר הפרטי הוא יפנה לכתובת של הראוטר של הספק כ GW)

mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #2 

אפצ'י

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #3 

הציור קצת מטושטש. בפועל אתה רוצה 2 רשתות נפרדות לחלוטין כאשר רק לרשת אחת תהיה גישה לNAS הנ"ל? לא צריכה להיות כל קשר בין הקליינטים בשתי הרשתות?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

Re: הגדרת רשת (VLANים) בבית שעובדים ממנו

נושא שלא נקרא #4 

@mescaline
·
טוב, אנסה להסביר בקצרה מה צריך לחבר ולהגדיר בציוד שכתבתי עליו.
נתחיל מזה שמתג SG300 זה מכשיר עתיק ביותר, מלפני יותר מעשור והוא כבר שנתיים שמוגדר כז''ל ב CISCO ולא רק שלא מתחילים כרגע להגדיר אותו, אלה שמוציאים אותו לכיוון המרכז המיחזור הקרוב, צירפתי צילום מסך של המוצר. גם הנקודות גישה המוזכרות כאן, הם בידיוק באותו המצב.

עכשיו נתחיל מהציוד קצה של הספק אינטרנט או תשתית. את ציוד זה מגדירים כ Bridge ואת הרגל LAN שלו מחברים לרגל WAN של הנתב צ'ק פוינט ומגדירים בו חייגן הנדרש דרך ה Bridge שהגדרנו מקודם, אם מדובר על תשתית של בזק.
אחרי זה על רגל LAN של צ'ק פוינט שמחוברת כרגע למתג מגדירים את התת ממשק VLAN עם תיוג 10 ומגדירים עליו את כל מה שנדרש, כמו כתובת IP, למשל 192.168.10.1 , את התת רשת בגודל נדרש, שרת DHCP עם טווח מתאים, שיוך לצד הפנימי של NAT, ניתובים נדרשים, חוקי FireWall להפרדה בין שני הרשתות, לכיוון האינטרנט ושמהרשת של אורחים לא תהייה גישה לממשק ניהול של הנתב. וכמובן מגדירים את השיריון QoS לכל אחת מהרשתות, כך שהמשתמשים של רשת האורחים לא יחנקו את המשתמשים מהרשת השנייה.

ונעבור למתגים. דבר ראשון מעדכנים בהם את ה FirmWare לאחרון שזמין באתר של CISCO .
על מתג שמחובר לנתב מגדירים VLAN Trunk לפורטים של נתב של נקודת גישה ושל חיבור בין שני המתגים. במתג השני מגדירים את ה VLAN Trunk על הפורט שמחבר בין המתגים ועל הפורט שמחובר לנקודת גישה. בכל ה VLAN Trunks לא לשכוח להגדיר נכון את ה Native VLAN . את שאר הפורטים של כל אחד מהמתגים מגדירים כפורטי גישה עם שיוך ל VLAN הנדרש, לפי הרשת שנרצה שההתקן יהיה מחובר עלייה. את Management VLAN בכל אחד מהמתגים לא מגדירים על VLAN של האורחים. :lol:

ובסוף נעבור לנקודות גישה. על כל אחת מהנקודות גישה יוצרים VLAN Trunk עם שני ה VLANs שנרצה להשתמש בהם, יוצרים שני SSID שונים עם מפתחות הצפנה שונים ומשייכים אותם כל אחד ל VLAN משלו. גם כאן את הממשק ניהול לא מגדירים על ה VLAN של האורחים.

זה כל הסיפור.

udif
חבר ותיק
חבר ותיק
הודעות: 2067
הצטרף: אוקטובר 2005
מיקום: תל אביב
נתן תודות: 37 פעמים
קיבל תודות: 124 פעמים

נושא שלא נקרא #5 

אם אתה מקשיב ל @sys_admin וזורק את ה SG300 לפח המחזור הקרוב, רק תגיד לי קודם איפה הוא נמצא :-)


קודם כל אם לדייק, התאריך ש @sys_admin ציטט זה בסה"כ תאריך ההכרזה על end of life, זה לא בהכרח התאריך בפועל, מה גם שיש הרבה תאריכי E.O.L לכל מיני אספקטים:
https://www.cisco.com/c/en/us/products/ ... 40542.html
תמיכת חומרה לתקלות נמשכת עד 2023. תמיכה טלפונית נמשכת בתשלום.
ולעניין, במתאר בו ישנם מעורבים ראוטרים ביתיים של ספק האינטרנט שהם internet facing, אזי E.O.L של סוויצ' סיסקו פשוט בתוך הרשת נראה לי הדבר האחרון שצריך להטריד אותך כרגע :-)
נערך לאחרונה על ידי udif ב 13/02/2020 14:46, נערך פעם 1 בסך הכל.

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #6 

סייג אחד לSYSADMIN - תבדוק קודם מה הקושחה המומלצת ביותר לSWITCH הרלוונטי ע"י היצרן. לא תמיד האחרונה היא הטובה ביותר.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #7 

ag43 כתב:סייג אחד לSYSADMIN - תבדוק קודם מה הקושחה המומלצת ביותר לSWITCH הרלוונטי ע"י היצרן. לא תמיד האחרונה היא הטובה ביותר.
...
·
לא רק שהקושחה האחרונה, היא תמיד הטובה ביותר, אלה שהיא תמיד הכי נקייה מהבעיות אבטחה ובארגונים מסודרים תהליך עדכון זה מתבצע על ידי מערכת אוטומטית.
העדכונים אלה של CISCO בכלל ולמתג ספציפי זה בפרט לא מתפרסמים כי משעמם להם או כי יש אבטלה סמוייה בקרב המתכנתים של CISCO, אלה שהם משחררים עדכון של FIRMWARE כזה לרוב, אם מתגלית בעיה מהותית בתפקוד של התוכנה קודמת או, אם התפרסמה בעיית אבטחה שמאימת על הרשת שבה מותקן רכיב זה או על רכיב עצמו. כמובן שכל עדכון הבא כולל גם את הפתרונות לבעיות ששוחררו לפניו. כך שככל שנמצאים עם תוכנה ישנה יותר, כך חשופים יותר לשלל של איומי אבטחה שהתדלו והתפרסמו במשך הזמן רב יותר.
כך הייה גם בעדכון האחרון, שהאיום על מוצר ספציפי זה הייה עד כדי כך מהותי, עד ש CISCO שיחררו עדכון אבטחה גם אחרי התאריך שהם התחייבו לתמוך במוצר.
צירפתי כמה מצילומי מסך של פירוטי בעיות אבטחה שהתגלו במוצר ספציפי זה ואת הפירות של טיפול בהם בעדכוני אבטחה הקודמים של CISCO.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #8 

@udif
·
אם תסתכל בקישור המדובר אתה תגלה שהמוצר המדובר לא רק נמצא כבר שנתיים אחרי הכרזת EOL, אלה גם שנה אחרי התאריך אחרון של עדכון תוכנה וטיפול באיומי אבטחה שהתגלו.

כל מי שנמצא בתחום מבין עד כמה מסוכן להשתמש במוצר שהוגדר כ EOL ועוד כבר אחרי השלב של עדכון תוכנה סופי שלו.
ואני אנסה להסביר את הנושא בצורה פשוטה, שזה יהיה יותר מובן.
כמובן שאחרי תאריך EOL שהוכרז המוצר לא הופך לדלעת בצורה פיזית, כמו באותו הסיפור המפורסם, אלה שהוא הופך לדלעת מבחינת עמידות שלו לאיומי אבטחת מידע והופך לאיום בעצמו על כל הרשת שבה הוא מותקן.
את הנושא זה כבר פירטתי בתגובה הקודמת שלי, ואני אחזור, שהפרצות שהתגלו בו היו עד כדי כך רציניות עד שלפני כמה ימים שוחרר עדכון גם אחרי התאריך שהחברה התחייבה עליו. אבל בהמשך האיומים הבאים כבר לא יזכו למענה כלל.

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #9 

sys_admin כתב:
...
...
·
לא רק שהקושחה האחרונה, היא תמיד הטובה ביותר, אלה שהיא תמיד הכי נקייה מהבעיות אבטחה ובארגונים מסודרים תהליך עדכון זה מתבצע על ידי מערכת אוטומטית.
...
·
פשוט לא נכון. לצורך העניין ג'וניפר ממליצה לא להשתמש בקושחות JUNOS מתקדמות (שחלקן אף חדשות יותר) לסוויטצים ישנים יותר כי הביצועים יורדים דרסטית. זה לא אומר שהקושחה "הישנה" הוזנחה.

mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #10 

קראתי את התגובות וזה עזר לי מאוד.

1. רציתי לעת מה הככונה ב"הגדיר נכון את ה Native VLAN" ש SYS רשם?

2. שאני בוחר בסויטשים לשייך פורט ל VLAN, מה אני צריך לבצע TAG/UNTAG?

3. רציתי לקבל התייחסות לגבי חיבור 2 הראוטרים:
א. במידה ולא יהיה ניתן להגדיר את הראוטר של הספק כגשר, איך ניתן להשתמש ב 2 ראוטרים כפי שציירתי שאחד יהיה GW והשני יהיה DHCP/Vlan router, הבנתי שגם הגדרה כזו תמנה מצב שאם אחד הגאונים יחבר נתב משלו לרשת אז אף קליינט לא יקח ממנו כתובות כי כולם משוייכם ל VLANים

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #11 

1. לא הייתי מאפשר NATIVE VLAN בתצורה שלך.
2. tag עם הID המתאים.
3. אם מישהו מחבר נתב משלו אתה צריך לזרוק אותו מהחברה. בכל מקרה כדי למנוע את זה צריך להגדיר DHCP snooping. אתה צריך לוודא שהציוד שלך תומך.

mescaline (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #12 

אפשר בקצרה הסבר מה זה nativ vlan?

לגבי 3. אין על זה שליטה. כבר היו מקרים, ובכל זאת נרצה לדעת איך אפשר לעבוד בתצורה של GW ונתב מחוברים יחדיו

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #13 

ag43 כתב:
...
...
·
פשוט לא נכון. לצורך העניין ג'וניפר ממליצה לא להשתמש בקושחות JUNOS מתקדמות (שחלקן אף חדשות יותר) לסוויטצים ישנים יותר כי הביצועים יורדים דרסטית. זה לא אומר שהקושחה "הישנה" הוזנחה.
...
·
כמובן, שטענה שלך כמו: "ג'וניפר ממליצה לא להשתמש בקושחות JUNOS מתקדמות (שחלקן אף חדשות יותר) לסוויטצים ישנים יותר כי הביצועים יורדים דרסטית. זה לא אומר שהקושחה "הישנה" הוזנחה." , היא ממש רלוונטית וגם מאוד נכונה וקשורה לעניין של עדכוני FirmWare במתגי CISCO בכלל או עוד יותר רלוונטית ונכונה בהקשר של הדגמים שעליהם הדיון כאן ( SG300 ו 220 ) . :lol:

לצורך העניין, אתה בטח גם יכול להביא לנו קישור רלוונטי ישיר של CISCO לסברה זו שלך שבמתגים הנדונים כאן CISCO ממליצה בחום לא להשתמש ב FirmWares העדכניים שלהם, שבהם הם כבר סגרו את הפרצות אבטחה ובעיות אחרות שהתגלו וממליצים בחום להשתמש בגרסאות תוכנה ישנות שידועות בכך שהן מלאות בחורי אבטחה ובעיות אחרות שהתגלו והתפרסמו בהן במשך שנים ?

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #14 


sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #15 

ag43 כתב:1. לא הייתי מאפשר NATIVE VLAN בתצורה שלך.
...
·
זה רעיון מצויין, :lol: מה שזה יגרום לו, זה שלא תהייה לו תקשורת עם הצ'ק פוינט וכתוצאה מכך גם לא יהיה לא רק חיבור לאינטרנט, אלה גם לא תהייה לו חלוקת כתובות להתקני רשת, כי גם שרת DHCP שנמצא על אותו הצ'יק פוינט לא יהיה זמין.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”