מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



הגדרת רשת (VLANים) בבית שעובדים ממנו


עמוד 1 מתוך 2
עבור לעמוד  1  |  2  |  הבא 
   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
mescaline (עדן שחף)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Sep 27, 2018
הבעות תודה: 95
מספר הודעות: 1178

 #1  נשלח: ג' 11/02/2020 19:26
הגדרת רשת (VLANים) בבית שעובדים ממנו

מנסה לעזור לחבר שלא מעוניין להביא בעל מקצוע.
מדובר בבית שיש בו גם משרד, במשרד (המסגרת האדומה) האנשים לא קבועים וכבר היו כמה"חכמולוגים".
הציוד קיים כבר כמה שנים רק לא מוגדר, סויטש גדול סיסקו סדרה SG300, סויטש קטן סדרה SG220, ראוטר פרטי צק פויינט, נקודות גישה AP810 דרייטק.

המטרה היא שרק מי שמתחבר ב WIFI לVLAN1 תהיה לו גישה ל NAS ומי שהתחבר ב WIFI ל אורחים יתחבר לVLAN10 שאין לו גישה ל NAS
כל השקעי רשת (LAN) יהיו שייכים ל VLAN10 של האורחים, כך שגם מי שמחבר את המחשב שלו לשקע יהיה יהי מופרד מ הNASים
ה DHCP לא יהיה המכשיר של הספק כדי שלא תהיה השפעה מהגדרות ואיפוס שהספק עושה וגם אם המכשיר לא יהיה קיים עדיין שהרשת תרוץ תקין גם אם לא תהיה גלישה לאינטרנט.

מה שאני צריך לדעת זה לפי המספרים של החיבורים בתרשים, זה :
1. מה להגדיר בסויטשים מבחינת TAG/UNTAG/TRUNK (מיספרתי את מספרי הפורטים/חיבורים)
2. האם זה משנה על איזה IP יהיה המכשיר של הספק? (העיקר שבראוטר הפרטי הוא יפנה לכתובת של הראוטר של הספק כ GW)



פרופיל | שלח הודעה | חפש
mescaline (עדן שחף)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Sep 27, 2018
הבעות תודה: 95
מספר הודעות: 1178

 #2  נשלח: ה' 13/02/2020 0:02

אפצ'י
פרופיל | שלח הודעה | חפש
ag43
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 91
מספר הודעות: 1167

 #3  נשלח: ה' 13/02/2020 0:14

הציור קצת מטושטש. בפועל אתה רוצה 2 רשתות נפרדות לחלוטין כאשר רק לרשת אחת תהיה גישה לNAS הנ"ל? לא צריכה להיות כל קשר בין הקליינטים בשתי הרשתות?
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 424
מספר הודעות: 2279

 #4  נשלח: ה' 13/02/2020 11:05
Re: הגדרת רשת (VLANים) בבית שעובדים ממנו

mescaline
·
טוב, אנסה להסביר בקצרה מה צריך לחבר ולהגדיר בציוד שכתבתי עליו.
נתחיל מזה שמתג SG300 זה מכשיר עתיק ביותר, מלפני יותר מעשור והוא כבר שנתיים שמוגדר כז''ל ב CISCO ולא רק שלא מתחילים כרגע להגדיר אותו, אלה שמוציאים אותו לכיוון המרכז המיחזור הקרוב, צירפתי צילום מסך של המוצר. גם הנקודות גישה המוזכרות כאן, הם בידיוק באותו המצב.

עכשיו נתחיל מהציוד קצה של הספק אינטרנט או תשתית. את ציוד זה מגדירים כ Bridge ואת הרגל LAN שלו מחברים לרגל WAN של הנתב צ'ק פוינט ומגדירים בו חייגן הנדרש דרך ה Bridge שהגדרנו מקודם, אם מדובר על תשתית של בזק.
אחרי זה על רגל LAN של צ'ק פוינט שמחוברת כרגע למתג מגדירים את התת ממשק VLAN עם תיוג 10 ומגדירים עליו את כל מה שנדרש, כמו כתובת IP, למשל 192.168.10.1 , את התת רשת בגודל נדרש, שרת DHCP עם טווח מתאים, שיוך לצד הפנימי של NAT, ניתובים נדרשים, חוקי FireWall להפרדה בין שני הרשתות, לכיוון האינטרנט ושמהרשת של אורחים לא תהייה גישה לממשק ניהול של הנתב. וכמובן מגדירים את השיריון QoS לכל אחת מהרשתות, כך שהמשתמשים של רשת האורחים לא יחנקו את המשתמשים מהרשת השנייה.

ונעבור למתגים. דבר ראשון מעדכנים בהם את ה FirmWare לאחרון שזמין באתר של CISCO .
על מתג שמחובר לנתב מגדירים VLAN Trunk לפורטים של נתב של נקודת גישה ושל חיבור בין שני המתגים. במתג השני מגדירים את ה VLAN Trunk על הפורט שמחבר בין המתגים ועל הפורט שמחובר לנקודת גישה. בכל ה VLAN Trunks לא לשכוח להגדיר נכון את ה Native VLAN . את שאר הפורטים של כל אחד מהמתגים מגדירים כפורטי גישה עם שיוך ל VLAN הנדרש, לפי הרשת שנרצה שההתקן יהיה מחובר עלייה. את Management VLAN בכל אחד מהמתגים לא מגדירים על VLAN של האורחים.

ובסוף נעבור לנקודות גישה. על כל אחת מהנקודות גישה יוצרים VLAN Trunk עם שני ה VLANs שנרצה להשתמש בהם, יוצרים שני SSID שונים עם מפתחות הצפנה שונים ומשייכים אותם כל אחד ל VLAN משלו. גם כאן את הממשק ניהול לא מגדירים על ה VLAN של האורחים.

זה כל הסיפור.



פרופיל | שלח הודעה | חפש
udif
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Oct 19, 2005

מיקום: תל אביב
הבעות תודה: 111
מספר הודעות: 1944

 #5  נשלח: ה' 13/02/2020 14:54

אם אתה מקשיב ל sys_admin וזורק את ה SG300 לפח המחזור הקרוב, רק תגיד לי קודם איפה הוא נמצא


קודם כל אם לדייק, התאריך ש sys_admin ציטט זה בסה"כ תאריך ההכרזה על end of life, זה לא בהכרח התאריך בפועל, מה גם שיש הרבה תאריכי E.O.L לכל מיני אספקטים:
https://www.cisco.com/c/en/us/products/collateral/...
תמיכת חומרה לתקלות נמשכת עד 2023. תמיכה טלפונית נמשכת בתשלום.
ולעניין, במתאר בו ישנם מעורבים ראוטרים ביתיים של ספק האינטרנט שהם internet facing, אזי E.O.L של סוויצ' סיסקו פשוט בתוך הרשת נראה לי הדבר האחרון שצריך להטריד אותך כרגע


נערך בפעם אחרונה על-ידי udif בתאריך ה' 13/02/2020 15:46, נערך סך הכל פעם אחת
פרופיל | שלח הודעה | חפש
ag43
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 91
מספר הודעות: 1167

 #6  נשלח: ה' 13/02/2020 14:59

סייג אחד לSYSADMIN - תבדוק קודם מה הקושחה המומלצת ביותר לSWITCH הרלוונטי ע"י היצרן. לא תמיד האחרונה היא הטובה ביותר.
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 424
מספר הודעות: 2279

 #7  נשלח: ה' 13/02/2020 17:39

ag43 כתב:
סייג אחד לSYSADMIN - תבדוק קודם מה הקושחה המומלצת ביותר לSWITCH הרלוונטי ע"י היצרן. לא תמיד האחרונה היא הטובה ביותר.


·
לא רק שהקושחה האחרונה, היא תמיד הטובה ביותר, אלה שהיא תמיד הכי נקייה מהבעיות אבטחה ובארגונים מסודרים תהליך עדכון זה מתבצע על ידי מערכת אוטומטית.
העדכונים אלה של CISCO בכלל ולמתג ספציפי זה בפרט לא מתפרסמים כי משעמם להם או כי יש אבטלה סמוייה בקרב המתכנתים של CISCO, אלה שהם משחררים עדכון של FIRMWARE כזה לרוב, אם מתגלית בעיה מהותית בתפקוד של התוכנה קודמת או, אם התפרסמה בעיית אבטחה שמאימת על הרשת שבה מותקן רכיב זה או על רכיב עצמו. כמובן שכל עדכון הבא כולל גם את הפתרונות לבעיות ששוחררו לפניו. כך שככל שנמצאים עם תוכנה ישנה יותר, כך חשופים יותר לשלל של איומי אבטחה שהתדלו והתפרסמו במשך הזמן רב יותר.
כך הייה גם בעדכון האחרון, שהאיום על מוצר ספציפי זה הייה עד כדי כך מהותי, עד ש CISCO שיחררו עדכון אבטחה גם אחרי התאריך שהם התחייבו לתמוך במוצר.
צירפתי כמה מצילומי מסך של פירוטי בעיות אבטחה שהתגלו במוצר ספציפי זה ואת הפירות של טיפול בהם בעדכוני אבטחה הקודמים של CISCO.




פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 424
מספר הודעות: 2279

 #8  נשלח: ה' 13/02/2020 18:06

udif
·
אם תסתכל בקישור המדובר אתה תגלה שהמוצר המדובר לא רק נמצא כבר שנתיים אחרי הכרזת EOL, אלה גם שנה אחרי התאריך אחרון של עדכון תוכנה וטיפול באיומי אבטחה שהתגלו.

כל מי שנמצא בתחום מבין עד כמה מסוכן להשתמש במוצר שהוגדר כ EOL ועוד כבר אחרי השלב של עדכון תוכנה סופי שלו.
ואני אנסה להסביר את הנושא בצורה פשוטה, שזה יהיה יותר מובן.
כמובן שאחרי תאריך EOL שהוכרז המוצר לא הופך לדלעת בצורה פיזית, כמו באותו הסיפור המפורסם, אלה שהוא הופך לדלעת מבחינת עמידות שלו לאיומי אבטחת מידע והופך לאיום בעצמו על כל הרשת שבה הוא מותקן.
את הנושא זה כבר פירטתי בתגובה הקודמת שלי, ואני אחזור, שהפרצות שהתגלו בו היו עד כדי כך רציניות עד שלפני כמה ימים שוחרר עדכון גם אחרי התאריך שהחברה התחייבה עליו. אבל בהמשך האיומים הבאים כבר לא יזכו למענה כלל.



פרופיל | שלח הודעה | חפש
ag43
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 91
מספר הודעות: 1167

 #9  נשלח: ה' 13/02/2020 18:29

sys_admin כתב:

ציטוט:
...


·
לא רק שהקושחה האחרונה, היא תמיד הטובה ביותר, אלה שהיא תמיד הכי נקייה מהבעיות אבטחה ובארגונים מסודרים תהליך עדכון זה מתבצע על ידי מערכת אוטומטית.


·
פשוט לא נכון. לצורך העניין ג'וניפר ממליצה לא להשתמש בקושחות JUNOS מתקדמות (שחלקן אף חדשות יותר) לסוויטצים ישנים יותר כי הביצועים יורדים דרסטית. זה לא אומר שהקושחה "הישנה" הוזנחה.
פרופיל | שלח הודעה | חפש
mescaline (עדן שחף)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Sep 27, 2018
הבעות תודה: 95
מספר הודעות: 1178

 #10  נשלח: ו' 14/02/2020 9:44

קראתי את התגובות וזה עזר לי מאוד.

1. רציתי לעת מה הככונה ב"הגדיר נכון את ה Native VLAN" ש SYS רשם?

2. שאני בוחר בסויטשים לשייך פורט ל VLAN, מה אני צריך לבצע TAG/UNTAG?

3. רציתי לקבל התייחסות לגבי חיבור 2 הראוטרים:
א. במידה ולא יהיה ניתן להגדיר את הראוטר של הספק כגשר, איך ניתן להשתמש ב 2 ראוטרים כפי שציירתי שאחד יהיה GW והשני יהיה DHCP/Vlan router, הבנתי שגם הגדרה כזו תמנה מצב שאם אחד הגאונים יחבר נתב משלו לרשת אז אף קליינט לא יקח ממנו כתובות כי כולם משוייכם ל VLANים
פרופיל | שלח הודעה | חפש
ag43
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 91
מספר הודעות: 1167

 #11  נשלח: ו' 14/02/2020 9:56

1. לא הייתי מאפשר NATIVE VLAN בתצורה שלך.
2. tag עם הID המתאים.
3. אם מישהו מחבר נתב משלו אתה צריך לזרוק אותו מהחברה. בכל מקרה כדי למנוע את זה צריך להגדיר DHCP snooping. אתה צריך לוודא שהציוד שלך תומך.
פרופיל | שלח הודעה | חפש
mescaline (עדן שחף)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Sep 27, 2018
הבעות תודה: 95
מספר הודעות: 1178

 #12  נשלח: ו' 14/02/2020 10:00

אפשר בקצרה הסבר מה זה nativ vlan?

לגבי 3. אין על זה שליטה. כבר היו מקרים, ובכל זאת נרצה לדעת איך אפשר לעבוד בתצורה של GW ונתב מחוברים יחדיו
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 424
מספר הודעות: 2279

 #13  נשלח: ו' 14/02/2020 10:03

ag43 כתב:

ציטוט:
...


·
פשוט לא נכון. לצורך העניין ג'וניפר ממליצה לא להשתמש בקושחות JUNOS מתקדמות (שחלקן אף חדשות יותר) לסוויטצים ישנים יותר כי הביצועים יורדים דרסטית. זה לא אומר שהקושחה "הישנה" הוזנחה.


·
כמובן, שטענה שלך כמו: "ג'וניפר ממליצה לא להשתמש בקושחות JUNOS מתקדמות (שחלקן אף חדשות יותר) לסוויטצים ישנים יותר כי הביצועים יורדים דרסטית. זה לא אומר שהקושחה "הישנה" הוזנחה." , היא ממש רלוונטית וגם מאוד נכונה וקשורה לעניין של עדכוני FirmWare במתגי CISCO בכלל או עוד יותר רלוונטית ונכונה בהקשר של הדגמים שעליהם הדיון כאן ( SG300 ו 220 ) .

לצורך העניין, אתה בטח גם יכול להביא לנו קישור רלוונטי ישיר של CISCO לסברה זו שלך שבמתגים הנדונים כאן CISCO ממליצה בחום לא להשתמש ב FirmWares העדכניים שלהם, שבהם הם כבר סגרו את הפרצות אבטחה ובעיות אחרות שהתגלו וממליצים בחום להשתמש בגרסאות תוכנה ישנות שידועות בכך שהן מלאות בחורי אבטחה ובעיות אחרות שהתגלו והתפרסמו בהן במשך שנים ?
פרופיל | שלח הודעה | חפש
ag43
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Aug 23, 2008
הבעות תודה: 91
מספר הודעות: 1167

 #14  נשלח: ו' 14/02/2020 10:14

https://he.wikipedia.org/wiki/%D7%94%D7%91%D7%A0%D7%AA_%D7%94%D7%A0%D7%A7%D7%A8%D7%90

תעבוד על זה.
פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 424
מספר הודעות: 2279

 #15  נשלח: ו' 14/02/2020 10:17

ag43 כתב:
1. לא הייתי מאפשר NATIVE VLAN בתצורה שלך.



·
זה רעיון מצויין, מה שזה יגרום לו, זה שלא תהייה לו תקשורת עם הצ'ק פוינט וכתוצאה מכך גם לא יהיה לא רק חיבור לאינטרנט, אלה גם לא תהייה לו חלוקת כתובות להתקני רשת, כי גם שרת DHCP שנמצא על אותו הצ'יק פוינט לא יהיה זמין.
פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב עבור לעמוד  1  |  2  |  הבא 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht