Ρύθμιση Managed Switch

[Επισκέπτης]

Καλησπέρα,

αποφάσισα να κάνω το πολύ δύσκολο για εμένα βήμα να κάνω μετάβαση από unmanaged switch σε managed.  Λέω δύσκολο διότι όσες φορές κι αν κάθισα να δω tutorial πως σετάρουν τα switch δεν έβγαλα και πολύ άκρη. Περιμένω αυριο το TP-LINK TL-SG108E v6. Αγορά καθαρά βάσει κόστους.

Υπάρχει κάποιος απλός γρήγορος τρόπος να πετύχω τα παρακάτω;

Έχω τα εξής με καρφωτές IP (οι IP δεν είναι όλες έτσι αλλα τις δίνω σε σειρά για να βγάλουμε ευκολα άκρη)
Cosmote Router: 192.168.1.1
Deco 1 (Mesh): 192.168.68.1
Deco 2 (Mesh): 192.168.68.2
NAS 1: 192.168.68.3
NAS 2: 192.168.68.4
Συναγερμός: 192.168.68.5
NVR: 192.168.68.6
Υπολογιστής: 192.168.68.254
IoT συσκευές (smart λάμπες κλπ που συνδέονται στα Deco): 192.168.68.7 έως 253

Αυτό που θα ήθελα να πετύχω είναι το εξής:

1. Από τον υπολογιστή να μπορώ να βλέπω ΟΛΑ τα άλλα δίκτυα και τις συσκευές που είναι συνδεμένες σε κάθε δίκτυο
2. Το NVR να μην μπορεί να δει κανένα από τα άλλα δίκτυα
3. Τα decko να μην μπορούν να δουν κανένα από τα άλλα δίκτυα, θέλω δηλαδή απλά οι συσκευές συνδεμένες σε αυτά να έχουν πρόσβαση στο ίντερνετ

Είναι εύκολο ή παλούκι;

Ευχαριστώ.

[madrivermadonus]

Με τον8αρι εισαι στο οριο...

Το συγκεκριμενο μπορει να φτιαξει vlans για το οποιο υπαρχουν tutorials αν και ειναι λιγο ιδιοτροπο. αν ζοριστεις πες μου να σε βοηθησω 

Αρα φτιαχνεις vlans per port οπου θα ανηκουν οι ομαδες που θες να μιλανε και να απομονωνονται απο τις αλλες...

Πχ vlan1 port 2,3.  Vlan2 port 4,5 κ.ο.κ.

Θεωρω οτι θα πετυχεις ετσι αυτο που θες...

 

 

[Gogotsa]

Δεν εξηγεις γιατι πρεπει να εχεις 2 διαφορετικα υποδικτυα, ενω απο οτι φαινεται μπορεις να κανεις τη δουλεια σου με ενα χωρις να χρειαζεσαι L3.

[Επισκέπτης]

15 ώρες πριν, madrivermadonus είπε

Με τον8αρι εισαι στο οριο...

Το συγκεκριμενο μπορει να φτιαξει vlans για το οποιο υπαρχουν tutorials αν και ειναι λιγο ιδιοτροπο. αν ζοριστεις πες μου να σε βοηθησω 

Αρα φτιαχνεις vlans per port οπου θα ανηκουν οι ομαδες που θες να μιλανε και να απομονωνονται απο τις αλλες...

Πχ vlan1 port 2,3.  Vlan2 port 4,5 κ.ο.κ.

Θεωρω οτι θα πετυχεις ετσι αυτο που θες...

 

 

ok. Οπότε του λέω οτι το Τάδε Vlan1 θα τρέχει μόνο στα ports 2,3 και το Vlan 2 θα τρέχει στα ports 4,5. Αλλά αν του πω οτι Θέλω το PC να είναι στο Port 1 Vlan 3 και να βλέπει τα port 1-8 και όλα τα άλλα Vlan αλλά τα άλλα vlan να μην το βλέπουν, αυτο πως γίνεται;

υγ: Σίγουρα θα ποστάρω. Θα χρειαστώ τα φώτα σου.

 

14 ώρες πριν, Gogotsa είπε

Δεν εξηγεις γιατι πρεπει να εχεις 2 διαφορετικα υποδικτυα, ενω απο οτι φαινεται μπορεις να κανεις τη δουλεια σου με ενα χωρις να χρειαζεσαι L3.

Απο ψάξιμο σε ξένα φόρουμ, όλες τις smart συσκευες τις απομονώνουν απο το δίκτυο τους. Και ειδικά τα καταγραφικά και τις κάμερες. Εγώ εως τώρα το καταγραφικό μου το δουλευα offline. Όμως το χρειάζομαι on πλέον και θέλω να μην μπορεί να δει PC, NAS κλπ. Better be safe than sorry.

[Gogotsa]

Δεν εχει καμια λογικη αυτο που γραφεις φιλε. Στο ιδιο δικτυο πρεπει να ειναι ολα. Οχι οτι δε γινεται και αλλιως.

[madrivermadonus]

17 ώρες πριν, Kostas88KG είπε

Αλλά αν του πω οτι Θέλω το PC να είναι στο Port 1 Vlan 3 και να βλέπει τα port 1-8

το συγκεκριμενο switch δεν ειναι Layer3 και κανει απλα πραγματα. μπορει να κανει αυτο που σου εγραψα. εφοσον χωρισεις τα ports με vlans δεν θα μπορουν να επικοινωνουν μεταξυ τους. σωστα θελεις να απομονωσεις τις εξυπνες συσκευες καθως ανοιγουν τρυπες στο δικτυο για καλοθελητες

υ.σ. δεν ξερω γιατι βαζεις Ips 192.168.68.χ. πρεπει να ειναι ολες στο 192.168.1.χ δηλαδη στο ιδιο δικτυο του ρουτερ σου

[Επισκέπτης]

Στις 30/11/2022 στις 10:06 ΠΜ, Gogotsa είπε

Δεν εχει καμια λογικη αυτο που γραφεις φιλε. Στο ιδιο δικτυο πρεπει να ειναι ολα. Οχι οτι δε γινεται και αλλιως.

Γιατί "πρέπει" να είναι στο ίδιο δίκτυο;

18 ώρες πριν, madrivermadonus είπε

το συγκεκριμενο switch δεν ειναι Layer3 και κανει απλα πραγματα. μπορει να κανει αυτο που σου εγραψα. εφοσον χωρισεις τα ports με vlans δεν θα μπορουν να επικοινωνουν μεταξυ τους. σωστα θελεις να απομονωσεις τις εξυπνες συσκευες καθως ανοιγουν τρυπες στο δικτυο για καλοθελητες

υ.σ. δεν ξερω γιατι βαζεις Ips 192.168.68.χ. πρεπει να ειναι ολες στο 192.168.1.χ δηλαδη στο ιδιο δικτυο του ρουτερ σου

Βάζω 192.168.68.xx επειδή σαν router δουλευαν τα deco. Αυτά έδιναν τις IP. Το deco κατα την ενεργοποίηση του αυτοσεταρίστηκε στο "68" οπότε κράτησα το 68. To 1 είναι του Router (modem) της Cosmote. Ως DHCP σερβερ τα deco τόσο για τις iot όσο και για το ενσύρματο.

18 ώρες πριν, madrivermadonus είπε

σωστα θελεις να απομονωσεις τις εξυπνες συσκευες καθως ανοιγουν τρυπες στο δικτυο για καλοθελητες

Yes.

 

Μήπως μπορείς να μου εξηγήσεις εν συντομία tagged / untagged; Τα Vlan που θα κάνω τι να τα σετάρω;

VLAN-enabled ports are generally categorized in one of two ways, tagged or untagged. These may also be referred to as "trunk" or "access" respectively. The purpose of a tagged or "trunked" port is to pass traffic for multiple VLAN's, whereas an untagged or "access" port accepts traffic for only a single VLAN

Χαίρω πολύ χαιρόπουλος. Οπότε να τα κάνω untaged όλα εκτός απο το πρώτο που θα είνα το PC και τα nas για να εχουν πρόσβαση στα υπόλοιπα; Αν και είπες για το layer 3 που δεν το πιάνω ακριβώς...

edit:

Ωχχχ! Το L2 δεν έχει DHCP server ε; Οπότε πρέπει κάπως να σερβίρονται οι IP απο άλλη συσκευη; Ενώ θέλω L3 ουσιαστικά; 🤬

 

edit: Ας πούμε πως κάτι τέτοιο θέλω να κανω. Τα tagged/untagged λίγο όμως με κάνουν και χάνομαι.

 

 

Επεξ/σία 1 Δεκεμβρίου 2022 από Kostas88KG

[madrivermadonus]

Πρέπει να μάθεις κάποια πράγματα απο δίκτυα γιατί βλέπω οτι είσαι μπερδεμένος. Οι συσκευές που έιναι σε ένα δίκτυο 192.168.68.χ επικοινωνούν μεταξύ τους. όσες είναι στο πχ 192.168.1.χ επίσης μεταξύ τους. τα δύο δίκτυα άρα και οι συσκευές τους όχι. 

Αν τώρα οι deco μοιράζουν ips px 192.168.68.x δεν θα μιλάνε με τα υπόλοιπα εκτός του δίκτύου τους.

Τώρα αν θέλεις να κάνεις isolate συσκευές πρέπει να γίνει είτε με vlans έιτε με δημιουργία άλλων υποδικτύων με routing αλλα θελεις κι αλλα router...

για το 1ο μπορω να σου στειλω οδηγιες...

[achilles_g_]

Γιατί δεν βάζεις τα deco σε ap mode? Για τις ΙΟΤ συσκευές κάνε ένα guest  network

Επεξ/σία 2 Δεκεμβρίου 2022 από achilles_g_

[Neo]

Το tagged untagged ειναι για να ξερει η πορτα αν θα της ερθει το traffic taggaρισμενο απο την συσκευη που θα συνδεθεί απανω  η αν θα το taggarει το ιδιο το switch.

Ουσιαστικά ποιος θα βάλει το πακέτο που λέει για ποιο vlan προορίζετε το traffic.

Εγω εχω ενα pfsense (firewall) για δηλώσω οτι το ταδε vlan βλέπει τα παντα κτλ.

[Gogotsa]

Και σε διαφορετικα υποδικτυα μπορεις να εχεις αμφιδρομη προσβαση αλλα θα πρεπει να κανεις routing. To σωστο το ειπε ο φιλος πιο πανω. Τα βαζεις ΑΡ mode στο ιδιο δικτυο και μετα vlans. Αν σε μπερδευει το untagged tagged αστα ολα untagged και θα δουλεψουν μια χαρα.

[eliasbats]

Για να τα πάρουμε λίγο τα πράγματα με τη σειρά, αυτή τη στιγμή με τις συσκευές που διαθέτεις, δυστυχώς δεν γίνεται να φτάσεις στο στόχο που έχεις θέσει (με μια μικρή εξαίρεση που δεν ειναι σε καμια περιπτωση best practice).

Πολύ θεμιτό να θέλεις να κάνεις network segmentation στο δίκτυό σου για λόγους ασφαλείας, αλλά θα χρειαστείς και ένα L3 device (router) για να ρουτάρει τα διαφορετικά VLAN που θέλεις να φτιάξεις. Θα μου πεις, router εχω, της Cosmote. Ναι, αλλά οι consumer routers, όπως αυτός που μάλλον έχεις, στο 99% των περιπτώσεων δυστυχώς ρουτάρουν μόνο σε 2 interfaces: 1)WAN  2)LAN/WLAN συν ότι δεν υποστηρίζουν ούτως ή άλλως τη δημιουργία επιπλέον LAN interfaces, είτε στις φυσικές τους πόρτες είτε με 802.1q (ή VLAN trunking).

Επομένως, τί επιλογές έχεις ώστε να μπορείς να κάνεις routing:

1) Επιστρέφεις το L2 switch και αγοράζεις L3 switch μάλλον με αρκετά αυξημένο κόστος, αλλά πιο straight forward λύση.

2) Αγοράζεις consumer gigabit router με ~30-40 που έχει όμως υποστήριξη να δεχθεί 3rd party firmware, όπως το OpenWRT, ώστε να υποστηρίζει VLAN trunking και interVLAN routing

3) Αγοράζεις Μikrotik gigabit router ή switch/router (είναι λίγο πιο δύσκολο στη ρύθμιση αλλά μακροπρόθεσμα θα σε αποζημιώσει με τις δυνατότητές του)

4) Η εξαίρεση που έλεγα στην αρχή, είναι να υποστηρίζει η κάρτα δικτύου σου VLAN trunking, αλλά δεν στο προτείνω καθόλου για πολλούς λόγους, π.χ. για να γίνεται routing θα πρεπει να ειναι το PC σου συνεχώς ανοιχτό και να μπλέξεις ενδεχομένως και με Windows Firewall.

Υπόψιν, για να θέσεις τους επιθυμητούς περιορισμούς, ότι και αν επιλέξεις από παραπάνω, θα πρέπει να έχει και κάποιο βασικό μηχανισμό access lists ή firewall rules. Όλες οι κατηγορίες συνήθως το προσφέρουν αλλά καλό είναι να το διπλοτσεκάρεις πριν επιλέξεις.

 

Επεξ/σία 4 Δεκεμβρίου 2022 από eliasbats

[Επισκέπτης]

Στις 4/12/2022 στις 3:18 ΜΜ, eliasbats είπε

Πολύ θεμιτό να θέλεις να κάνεις network segmentation στο δίκτυό σου για λόγους ασφαλείας, αλλά θα χρειαστείς και ένα L3 device (router) για να ρουτάρει τα διαφορετικά VLAN που θέλεις να φτιάξεις.

Καλημέρα και συγνώμη για την καθυστέρηση στην απάντηση αλλά εχω πήξει στη δουλειά. Οπότε L3 = δημιουργεί LAN / νέα δίκτυα απο κάθε του θύρα πχ; Οπότε είναι και DHCP server; Το L2 τι δουλειά κάνει τοτε; Και γιατί έχει μεσα ρυθμίσεις για "VLAN";

[eliasbats]

Σκέτο L2 switch χωρίς router

Το L2 switch από μόνο του (χωρίς router) μπορεί να χρησιμοποιηθεί ώστε να διαχωρίσει ένα ενιαίο δίκτυο σε 2 ή περισσότερα τελείως ανεξάρτητα δίκτυα. Για παράδειγμα μποορούμε να χωρίσουμε το L2 switch σε 2 VLANS, VLAN id =1 & VLAN id =5. Αν είναι 8πορτο, μπορούμε π.χ. να πούμε ότι οι πόρτες 1 έως 3 θα εξυπηρετούν το VLAN 1, και οι υπόλοιπες πόρτες 4 έως 8 θα εξυπηρετούν το VLAN 5. Αυτά τα 2 δίκτυα (VLANS) ΔΕΝ θα μπορούν να μιλάνε μεταξύ τους, δηλαδή το PC που είναι κουμπωμένo στην πόρτα 1 δεν μπορεί να μιλήσει σε ένα άλλο που είναι κουμπωμένο στην πόρτα 6 (ακόμα και αν τα ρυθμίζαμε να είναι στο ίδιο IP subnet). Είναι σαν να χωρίσαμε το 8πορτο switch σε 2 ιδεατά switches, ένα 3πορτο και ένα 5πορτο, τα οποία δεν έχουν πουθενά κανένα σημείο επαφής.

L2 switch με router(s)

Τώρα, σε κάθε VLAN συνηθίζουμε να ορίζουμε διακριτά IP subnets, π.χ. στο VLAN 1 θα μπορούσαμε να αποδώσουμε στις συσκευές διευθύνσεις στο subnet 192.168.1.0/24 (δηλαδή 192.168.1.1-254), ενώ στο VLAN 5 θα μπορούσαμε να αποδώσουμε το subnet 192.168.2.0/24 (δηλαδή 192.168.2.1-254). Συνηθίζουμε να το κάνουμε αυτό, διότι μπορεί εν τέλει (είτε στον αρχικό σχεδιασμό είτε στο μέλλον) να παρουσιαστεί η ανάγκη αυτά τα 2 δίκτυα να είναι ορατά το ένα στο άλλο (δηλαδή να μιλάνε μεταξύ τους οι συσκευές, εφόσον το θέλουν) με τη βοήθεια μιας L3 routing device (ή απλα router), ή/και να τα εξυπηρετήσει ο ίδιος router για να βγουν στο internet (Θα μπορούσαμε όμως να έχουμε και διαφορετικό router σε κάθε VLAN, εάν το θέλαμε. Ο σχεδιασμός εξαρτάται από τα προσδοκώμενα αποτελέσματα).

Εάν συνδέαμε έναν router να "πατήσει" και στα 2 VLANS, π.χ. κουμπώναμε μία πόρτα του στην πόρτα 2 (VLAN1) του L2 switch, και μία άλλη πόρτα του στην πόρτα 7 (VLAN5) του L2 switch, τότε ο ρούτερ -- εάν δεν είναι ένας απλός οικιακός που όπως είπαμε πιο πάνω ότι μπορεί να έχει περιορισμό στον αριθμό των routed interfaces -- θα επιτρέψει στις συσκευές των 2 VLANS να μιλήσουν μεταξύ τους, εφόσον το επιχειρήσουν. Αυτό λέγεται interVLAN routing. Επιπλεόν, συνήθως οι routers έχουν και μηχανισμούς που μπορεί ο διαχειριστής να ορίσει ακριβώς ποιες επικοινωνίες να επιτρέπονται (δ/νσεις source & destination, πρωτόκολλα, source & destination protocol ports) και ποιες όχι, εάν το επιθυμεί. Θα μπορούσε να απογορεύσει και τελείως το interVLAN routing, αφήνοντας πρόσβαση των VLANS μόνο προς το internet.

[madrivermadonus]

3 ώρες πριν, eliasbats είπε

μία πόρτα του στην πόρτα 2 (VLAN1) του L2 switch, και μία άλλη πόρτα του στην πόρτα 7 (VLAN5) του L2 switch

μπορεί και με υλοποίηση  "router on a stick" να συνδεθεί με ένα μόνο καλώδιο το οποίο θα οριστει "Trunk" νε περνάνε όλα τα vlans απο εκεί.