Új hozzászólás Aktív témák
-
MasterMark
titán
válasz MaCS_70 #45449 üzenetére
A VLAN csak Layer 2-őn szeparál. Az L3 szeparálást neked kell megoldani tűzfallal például.
Cisco meg más mint minden más kb. Soho cuccal meg nem nagyon tudsz ilyesmit megcsinálni, esetleg valamilyen másik firmware-rel. De ezeket nem ismerem, nem tudom milyen tűzfal szabályokat tudnál konfigolni.
A WAN egyik VLAN-ba se kéne hogy beletartozzon, oda majd a router route-ol, ez a dolga. Meg NAT-ol ha arról van szó.
[ Szerkesztve ]
Switch Tax
-
Topikgazda
válasz ricsi99 #45447 üzenetére
A switch kérdése (amint Mastermark is írta) részemről elméleti, a gyakorlati kérdést azóta feltettem.
De nem igazán értem, hogy miért egyszerűbb egy Linux-eszközt felkonfigurálni, mint bolti eszközöket beállítani -- amik azért még csak nem is kerülnek csillagászati összegbe: a 8 portos menedzselhető switchem 10e Ft alatt volt, és alig volt drágább, mint ugyanez nem menedzselhetőben.
Vélhetően jóval olcsóbb, mint az Általad ajánlott +2 router...Kettős NAT-olást meg szerintem senkinek se tanácsoljunk!
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
Topikgazda
válasz MasterMark #45451 üzenetére
Asusokon a Merlin/HGG elvben teljes VLAN utasításkészletet tartalmaz, úgyhogy menni kell a dolognak.
De azt nem igazán értem, hogy ha már L2-ben elkülönítettem a portokat, tehát illetéktelen keret nem mehet félre, akkor minek az L3 szeparáció.
A WAN ugye helyből untagged, ami azon védtelenül jön, az mehet minden VLAN-ba, ott aztán majd kibogozzák, ami nekik volt szánva.
De mindez eleve a tűzfal belső oldalán történik, nemde?
Felmerült annak a gondolata is, hogy a LAN4-et (ami egyébként valóbban egy router lesz, a kettős NAT minden áldásával) DMZ-be teszem, védje meg magát... Konfigurálni meg majd úgyis tudom a saját LAN-oldaláról.
Viszont fogalmam sincs a DMZ-ről (beszélni hosszan tudok róla ), és nem tudom, hogy ő ilyenkor láthatja-e a LAN1-3-at és a wifit. (Az, hogy ő látszik-e, mellékes, a többiek nem jelentenek rá veszélyt, ő viszont lehet kíváncsi a többiekre. )Összességében tehát egy olyan megoldásra lenne szükségem, ahol egy Ethernet LAN-port csak netezhet, nem láthat be a többi LAN-portba és a wifibe.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
MasterMark
titán
válasz MaCS_70 #45453 üzenetére
Fordítva ülsz a lovon.
A WAN nem tartozik semmilyen vlan-ba, L2-n sem egy tartomány.
Layer 2-őn azért mert szét VLAN-ozol két hálót, az oké, hogy L2-őn nem tudnak kommunikálni, de IP cím alapján attól még tudnak. A router routing táblájába pedig automatikusan bekerül mindkét háló mint Connected háló, ezert magától odairányítja a csomagokat ha el akarja érni. (Itt jön a képbe a tűzfal, hogy nem engeded odairányítani.)
Lehet egyszerűbb lenne úgy kérdezni, hogy mit is akarsz igazából? Ne a megvalosítást mond, hanem hogy mi lenne a cél.
szerk.: Hiába tud VLAN-t, amit akarsz (L3 szeparálás) az nem tartozik VLAN körbe.
szerk.2:
Összességében tehát egy olyan megoldásra lenne szükségem, ahol egy Ethernet LAN-port csak netezhet, nem láthat be a többi LAN-portba és a wifibe.Ehhez alapjában nem kell VLAN. Ezt két hálóval és tűzfallal oldod meg.
A VLAN ott jön képbe, hogy ne kelljen két switchet venned, mindenhol két kábelt húzni stb.
[ Szerkesztve ]
Switch Tax
-
jerry311
nagyúr
válasz ricsi99 #45455 üzenetére
Nekem pl. van egy 5x 1G portos menedzselhető Netgear GS105Ev2 switchem, ami 9000 forint volt újonan, házhozszállítással együtt.
Van benne VLAN tagging, LACP, QoS, IGMP.
Hardverileg azt mondja a gyártó, hogy tudja a 10G-t, tehát minden porton mehet egyszerre 1G full duplex forgalom. Ez nem nagy dolog mostanában, szóval még akár tudhatja is.Az előszobában meg egy Cisco 6509 pihen, várja hogy szerszámos ládát készítsek belőle. Vagy ha valakinek kell, és fizeti a postát (vagy eljön érte), akkor mondjuk elviheti egy Aberlour A'bunadh és egy 21 éves Glenfiddich-ért cserébe.
Egyébként a 6509-es már (majdnem) mindent tud. Layer 3switch, mindenféle line carddal... Ha akarod beledugsz egy tűzfalat, WiFi controllert, különböző WAN kártyákat, ha netán éppen koaxon akarnád fogadni az internetet, vagy ISDN-en, PoE, két supervisor modullal akár upgradelheted anélkül, hogy megszakadna a hálózati kapcsolat. És nem utolsó sorban fűtésre is kiválóan használható ha jól ki van hajtva a 2x 6000 Watt-os táp. Ez egy nagyon rövid lista volt.
-
jerry311
nagyúr
válasz MaCS_70 #45453 üzenetére
Azért, mert az L2-n elkülönített hálózataid az első routeren meglátják egymást, az ugyanis L3-on kapcsolatot fog teremteni a kettő közt (=routing). Kivéve ha be lehet állítani, hogy ne tegye: tűzfal (vagy legalább egy inerface access control list), vagy PBR, vagy VRF.
A fentiek ilyen vagy olyan módon, de megakadályozhatják a 2 hálózat közti routolást.A SOHO routerek DMZ funkciója erre alkalmatlan. A legtöbb csak annyit csinál, hogy minden kintről érkező forgalmat beenged az DMZ-ként megjelölt IP-re. Ez az amit inkább nem szeretnénk, mint igen.
-
Topikgazda
válasz MasterMark #45454 üzenetére
Most nagyon meglepődtem...
Az egyetemen véletlenül kétszer is (különböző karokon) végigültem a VLAN-nal foglalkozó előadást, illetve gyakorlaton is kiemelt téma volt, és nagyon egyértelműen azt erőltették a fejünkbe, hogy az egyes VLAN-ok között nincs átjárás, még fotós példa is volt arra, hogy két gép azonos switchhez csatlakozva nem láthatja egymást, illetve a konfigurálandó példahálózatokban is ellenőrizni kellett, hogy ne tudják a gépek egymást elérni.
Minden jegyzet, tankönyv meg ismeretterjesztő anyag azt a példát hozza fel, hogy van egy vállalat, de úgy kell megszervezni a hálózatot, hogy az egyes osztályok ne lássanak bele egymás munkájába, mert a személyzetisnek semmi köze ahhoz, hogy mit csinál a pénzügyes. Tűzfalról sehol sincs szó, sőt, olyasmiről van, hogy a VLAN-ok között hogyan lehet megteremteni a kapcsolatot, ha mégis kéne...Szóval most erősen elbizonytalanodtam...
"Összességében tehát egy olyan megoldásra lenne szükségem, ahol egy Ethernet LAN-port csak netezhet, nem láthat be a többi LAN-portba és a wifibe.
Ehhez alapjában nem kell VLAN. Ezt két hálóval és tűzfallal oldod meg."
De hogyan oldom meg ezt a feladatot egy routerrel? Eddig itt a Prohardveren is azt a tanácsot kaptam, hogy Tomatoval sima ügy -- csakhogy nekem van némi gondom a Tomatoval, visont úgy néz ki, hogy a Merlin is tudja ugyanazt, csak nem GUI-n...
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
MasterMark
titán
válasz MaCS_70 #45459 üzenetére
Router nélkül két vlan nem is látja egymást. Mondom ez olyan mintha két külön switched lenne.
De mind a két switch valahol egy routerben fog végződni, ott pedig lehetséges a routing. (Mondjuk több routeren keresztül már érdekesebb a helyzet, de az elv ugyanez.)A router lényege a broadcast tartományok csökkentése. Azért, hogy ne kelljen mondjuk három szobában három gépnek külön-külön három switch mondjuk szobánként, kitalálták, hogy mi lenne ha csak virtuálisan lenne külön switch, de amúgy egy fizikai switch. Így lehet spórolni, az eszközök jobban ki vannak használva, a fizikai topológia is egyszerűbb.
Szeparálni L3 szinten kell mindenképp, ez nem vlan vagy L2 dolga. Tűzfal, ACL, vagy a már fent említett policy based routing, stb.
Külön LAN-ok között pedig a router biztosítja az átjárást. Ez VLAN-nál sincs máshogy. (Mindig úgy gondold el, hogy mintha fizikailag is külön switchekkel dolgoznál. Ha fogod és egymásra dugod a két switchet akkor tudnak egymással kommunikálni. Ha routerbe dugod akkor meg azon keresztül fognak tudni. Ez VLAN-nál ugyanez.)Lényeg ami neked kell:
Routeren:
Csinálsz két hálózatot.
Most ugye két interfészed van, WAN és minden más egy nagy bridge-ben. A bridge-ből ki kell venned egy portot. Így lesz három interfészed, mondjuk WAN, a bridge, és a külön port.
A bridge marad a mostani LAN hálód mondjuk legyen LAN1. A külön port lesz az új háló, mondjuk LAN2.
LAN1: 192.168.1.1/24
LAN2: 192.168.2.1/24
Mindkettőre kell egy egy DHCP szerver.
Így most van két külön hálod, ami csak a routeren keresztül tud kommunikálni.
Tűzfalat beállítod, hogy ami LAN1 felöl jön az ne mehessen a LAN2-re, és vica versa.Switch:
Csinálsz egy plusz VLAN-t, mondjuk a default 1-es mellé egy 2-est.
Beállítod mondjuk, hogy a 5-8 portok azok a VLAN 2 untagged portjai legyenek. (Így exclude-olod a VLAN1-ből egyúttal.)
Az 1-4 portok maradnak untaggedek a VLAN 1 defaultra.Na most. Akkor fogsz egy kábelt, a router bridge portjairól valamelyiket összekötöd a switch valamelyik 1-4 portjával vagyis a default VLAN 1-gyel. (Tehát nem azt amit kivettél a bridgeből.)
Fogsz egy másik kábelt. A router különvett portját rádugod a switch valamelyik 5-8 portjára azaz a VLAN2-re.És így van két szeparált hálózatod ami egy switchet használ két vlannal. A vlan tageket nem küldözgeted senkinek, nem kell tudnia senkinek hol van.
Az 1-4 és az 5-8 port mostantól mintha külön switch lenne.Routeres vlan ott jönne a képbe, hogy nem kell két kábel ehhez az egészhez a router meg a switch közé. Ekkor kéne trunk port ahol továbbítod és fogadod a vlan tageket a switchen és a routeren is. Ezt nem tudom pontosan hogy hogy lehetne megoldani bridge-elt interfészeknél. De az elv ugyanaz mint amit már írtam meg ahova a képeket raktam.
Switch Tax
-
Topikgazda
válasz jerry311 #45457 üzenetére
Neked is köszönöm a választ!
Sajnos fogalmam sincs arról, hogy milyen lehetőségek rejlenek a routerem mélyén, de kétlem, hogy kettős routing tábla lenne...
Közben előkerestem a jegyzetemet a VLAN-ról, aszongya, hogy: "A VLAN-ok akkor sem láthatják egymást, ha azonos fizikai hálózatban vannak, csak akkor, ha a routeren engedélyezzük köztük a routingot (útválasztást)."
Ebből nekem az jött le, hogy alapértelmezetten nincs engedélyezve a VLAN-ok között az útválasztás.
A nagy büdös kérdés az, hogy mit tehetek.
Az említett, "vendégport" ténylegesen egy TP-Link EAN110 outdoor AP-t szolgálna ki, ami az én felügyeletem alatt áll, ami ugye egy meghatározott eszköz meghatározott címekkel. Ezzel nem lehet kezdeni valamit?
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
MasterMark
titán
válasz MaCS_70 #45461 üzenetére
engedélyezzük köztük a routingot
Ez konfiguráció kérdése.
Alapból a csatolt hálózatok bekerülnek a routing táblába Connected-ként és már él is a routing a kettő között.
Ezt esetleg ki tudod venni, nagyobb hálóban lehet talál másfelel utat.
De szerintem ez eszközfüggő is, meg beállításfüggő is, hogy feveszi-e.szerk.: Csak a wifi ap de azon mindenki külön lesz? Mert akkor a vlan-t meg a switchet úgy ámblokk ki lehet hagyni, az ap-t meg kötöd a router különvett portjára és kész.
[ Szerkesztve ]
Switch Tax
-
Topikgazda
válasz MasterMark #45462 üzenetére
"Csak a wifi ap de azon mindenki külön lesz? Mert akkor a vlan-t meg a switchet úgy ámblokk ki lehet hagyni, az ap-t meg kötöd a router különvett portjára és kész."
Igen, csak az a kérdés, hogy hogyan veszem külön azt a portot!
Technikailag egy vendég wifi alakulna ki, de a router sajátja nem elég erős hozzá. Gyakorlatilag egy kliens fog csatlakozni hozzá.
Switchet én nem szeretnék VLAN-ra használni, ez pusztán kíváncsisági menet volt, ami ráadásul előbb jött, mint hogy rájöttem volna, hogy igencsak konkrét kérdésem is van.Köszönettel: MaCS
UI: Te sem nagyon alszol...
[ Szerkesztve ]
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
MasterMark
titán
válasz MaCS_70 #45463 üzenetére
Amugy annak az AP-nak is van tuzfala, plusz allitad be a mz ap isolationt.
Szerintem ott is lehet rule-okkal megadni, hogy ne erje el a privat halod. Nem ismerem, nezd meg mit tud.Az meg, hogy hogy kell konfigolni a routeredet, attol fugg milyen router milyen firmware, stb. Azt en most meg nem tudom mondani neked. Meg azt sem, hogy tudja-e egyáltalán. EdgeRouter-en, vagy Mikrotik-on, vagy valamilyen pfSense routeren, de barmilyen nagyobb enterprise routeren is igy kell.
De szerintem neked ez nem kell, old meg az AP tűzfalával, isolation-jével, meg rule-jaival.
Switch Tax
-
Topikgazda
válasz MasterMark #45464 üzenetére
De az AP-nek nem csak a túloldalát tudom konfigurálni? Magyarán azt, hogy a kliensek hogyan viselkedjenek?
Meg tudhatom mondani, hogy mihez férjen hozzá a routeroldalon?
Ez meg sem fordult a fejemben...Már olyanokon jár az agyam, hogy ráállítok a routerem (egyébként Asus RT-N18u vagy AC66u b1) vendég wifijére egy repeatert, a kedves vendég meg örüljön a felezett sebességnek...
A statikus útvonalakkal vajon nem lehet kezdeni valamit?
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
Elemental
addikt
Szevasztok!
Használatban van nálunk egy tp link TL-WR841N( Ver11.1) router. Két-három hete előjött egy olyan hiba, hogy nem tudom elérni a router kezelőfelületét sem lanon, sem távolról. A router minden funkciója működik, van net, mennek a portforwardok, wifi megy, de nem tudom elérni magát a routert. Áramtalanítás után kb egy napig rendben van, majd ismét előjön ez a hiba.
Találkoztatok már ilyennel? Mit tudok csinálni? -
lrigo
tag
válasz MasterMark #45468 üzenetére
Köszönöm, utána olvasok az EdgeRouter beállításainak.
Pár tízezer forint bőven belefér a büdzsébe, de nem akarok százezreket költeni a projektre.Jó szóval oktasd, játszani is engedd... (JA)
-
MasterMark
titán
Csak jelzem, hogy neked sincs szükséged VLAN-olásra router oldalról mindenképp. Olvasd el amit éjjel fejtegettünk.
A routeren megcsinálod a két hálót, a két portja külön adja ki, közte el lesz tűzfalazva. Ezt két sima switch-re továbbvezetheted, és azokon már két teljesen külön hálód van.
VLAN-nal a kábelek meg switchek számát csökkentheted.
Switch Tax
-
-
jerry311
nagyúr
válasz MasterMark #45470 üzenetére
Jogos, elég a a routeren be lehet állítani, hogy melyik port hova tartozik.
-
Topikgazda
válasz MasterMark #45470 üzenetére
"A routeren megcsinálod a két hálót," -- ez, feltételezem, már arra vonatkozik, ha megvan az EdgeRouter a kollégának.
Tudhatok AsusWRT-n / Tomaton két hálózatot definiálni?
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
jerry311
nagyúr
válasz MaCS_70 #45476 üzenetére
Szerintem igen, csak nem a wlan-t rakod az új bridgbe, hanem a vezetékes portot.
-
hortigzolee6
csendes tag
válasz hortigzolee6 #45394 üzenetére
Csaó! Cseréltem kábelt cat 6-osra! Így már az ONT-ba és a számítógépbe dugva 340Mbps sebességet érek el.De ez még messze van az 1 gigátol!
-
Topikgazda
válasz jerry311 #45477 üzenetére
Nagyon köszönöm!
Ez jól hangzik, különösen, hogy bridge-eket HGG-ben is tudok kezelni.
Apró pboblémám, hogy elég bizonytalan vagyok azzal kapcsolatban, hogy pontosan mi is az a bridge, olyan értelemben, hogy milyen feltételekkel mennek át rajta az adatok, illetve milyen jogosultságokkal és ki férhet hozzájuk.
Egy bridge-ről tudok, az a br0, ami tudtommal az alapértelmezett kapcsolat a wifi és a VLAN1 (LAN-portok) között.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
Topikgazda
válasz jerry311 #45480 üzenetére
Az inteface meg, ha jól gondolom, egy csatlakozási pont a külvilág számára.
A bridge tehát azt teszi lehetővé, hogy a benne foglalt elemeket közös néven szólíthassam? A br0 esetén tehát a br0 címén egyszerre tudok adatok küldeni/fogadni az összes Ethernet LAN portról és a wifiről, miközben nem tudom (nem számít) hogy az melyik lyukból is jön?
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
jerry311
nagyúr
válasz MaCS_70 #45481 üzenetére
Az interface = port általában. Hogy ez éppen fizikai vagy virtuális az egy másik kérdés.
Ha nagyon leegyszerűsítjük, akkor igen. Igazából inkább az történik, hogy a br0 továbbít a két L2 szegmens közt még mindig L2-n. Ha a br0 nem csak L2 hanem L3 virtuális port is (tehát van IP címe), akkor már használható routolásra is. Így megadhatod ezt GW IP címnek, benne lesz a route táblában és megszületett az L3 kapcsolat is.
-
lrigo
tag
válasz MasterMark #45470 üzenetére
Köszönöm, olvasok szorgosan.
Megrendeltem az EdgeRoutert, majd meglátom, hogy boldogulok vele.Közben elgondolkoztatott, amit a többiek is feszegettek.
A jobb routereken eredendően van WIFI vendég hálózat, ami alapból elszeparált a teljes hálózattól. Gyakorlatilag ez kellene nekem, csak vezetékes porton.A (#45477) jerry311 által linkelt Tomato fw. tud VLAN beállítást, csak az nem tiszta, hogy a VLAN hozzárendelhető-e egy vezetékes porthoz.
Jó szóval oktasd, játszani is engedd... (JA)
-
Topikgazda
Nekem ezzel a wifis vendéghálózattal kapcsolatban is vannak problémáim. Most, hogy megint rákattantam a témára, és újraolvasom a régi cikkeket, fórumtémákat, meg persze az elmúlt pár hónapban keletkezett újakat (alapvetően angol területről, főleg SmallNetNuilder, MakeUseOF, stb.), rendszeresen találkozom azzal az igénnyel, hogy:
olyan wifis vendéghálózatot akarnak, ami nem látja az alap LAN-t!!!
És megy a variálás a linuxos hálózatkonfigurálással, meg tesség OpenWRT-t használni -- és a végeredmény számtalanszor az, hogy nem sikerült...
Én meg nézek bután, mert nem értem. Az én értelmezésemben ez a vendéghálózat kritériuma. Próbáltam: ha rácsatlakozom a saját vendéghálózataimra, piszkosul nem látok mögéjük.
Kegyetlenül frusztráló.
És ezúton is köszönet Mastermarknak és Jerry-nek a segítségért!
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
VeryByte
őstag
válasz MaCS_70 #45486 üzenetére
Ha nem "igazi" vendéghálózatot csinálsz, hanem csak egy másik SSID-t a vendégeknek és nem kapcsolsz be monjuk izolációt, akkor mindenre rá fognak látni. És ezt sokan nem csinálják, mert nem tudják, hogy mi az.
"What is the most important thing in a woman?" - "The soul."
-
Topikgazda
válasz VeryByte #45487 üzenetére
Oké, de a SOHO routerek GUI-ében összesen annyi a választási lehetőség, hogy Guest Network ON/OFF, jó esetben mellette a rövid magyarázat, hogy ez arra való, hogy a rá csatlakozó vendég ne lássa a hálózatodat.
Ez pedig józan paraszti ésszel azt jelentené, hogy izolálva vagyok a guestttől, hiszen csak egy újabb SSID mégis milyen védelmet jelentene? Aztán lehet, hogy ezt egyes routereknél gyárilag elcseszerintik, de a vendéghálózat az KELLENE hogy jelentse, hogy van izoláció.
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
MasterMark
titán
válasz MasterMark #45489 üzenetére
Jah fontos, ez a tűzfal nem a routeren, hanem magán az AP-n van.
Switch Tax
-
JustInTime
csendes tag
Sziasztok!
Bocsánat, ha túl amatőr a kérdés.
Otthoni Telekomos Huawei HG8245H routerem usb portján keresztül szeretnék egy hálózati mappát megosztani a rá kábelen csatlakozó Samsung Tv, és a wifin csatlakozó laptop és android eszközök számára. A munkához kapcsolódó office fileokat és videókat tárolnék rajta és azokat szeretném elérni az eszközökről.Addig sikerült eljutnom, hogy a router beállitási panelén beállitottam az FTP servert, de sajnos a windows 10-es laptopomról nem látok semmilyen mappát a hálózati helyek között, csak a router ikonja jelenik meg, amelyre kattintva a router beálltásai érhetők el a böngészőben.
Filezilla-t letöltöttem, azzal látom az összes fájlt az adattárolón, illetve az androidos eszközről is tudtam rá csatlakozni, látom a fájlokat.
Köszi előre is a segitséget.
-
Topikgazda
válasz JustInTime #45491 üzenetére
Pontosan mit szeretnél?
IP cím alapján megy a csatolás?Egy dolog állandó: a változás - Internet powered by Vodafone Internet 150 with CBN CH7465VF & Asus RT-AC65P
-
qqzs
őstag
Sziasztok. Egy D-link DIR-842 router egy masik bejovo routert osztana tovabb kabelen es wifiben is es azt olvastam hogy a masodik router nem jo ha router modban megy hanem be kell allitani hogy switch legyen (ha jol emlekszem a kifejezesekre). Szoval mit kellene ezen allitani?
Eladó: GTS450
-
Borisz76
veterán
Synology NAS DSM6 - Összefoglaló : https://logout.hu/bejegyzes/borisz76/synology_nas_osszefoglalo.html
-
Topikgazda
válasz MasterMark #45490 üzenetére
Amíg a felhasználó egy fekete dobozt kap, amibe általában még csak bele sem tud nézni, nem nagyon érdekli (nem is tud róla, hogy érdekelhetné), hogy milyen a belső struktúra.
Én viszont szeretném megoldani a feladatomat (át is települtem vele az alapos listára, gondolom, feltűnt ), és legfőképpen megérteni az egészet. Ezzel viszont az a gondom, hogy emészthető leírást még nem találtam, az egyetemen rendszerint az a válasz, hogy Cisco/IOS, a fórumokon meg gyakran én vagyok az okoskodó idióta, aki nem ért ahhoz, amit meg szeretne érteni...
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
Topikgazda
válasz MasterMark #45497 üzenetére
Tulajdonképpen mindent. Minden információval gazdagabb leszek, de nő is a fejemben a káosz. Aztán persze (remélem) össze fog állni.
Itt most ugye a vendéghálózatok tűzfalazásáról volt szó, hogy hol is megy az a tűzfal. Most végignéztem az eddigi összes jegyzetemet, hálózati diagramomat, de tűzfalra nem találtam érdemi információt.
Sajnos az sem sokat segít, hogy rendszeresen olvasok cikkeket, blogokat, fórumokat -- amikről utólag, amikor már végre a fejembe erőltettem, derül ki, hogy téves információt tartalmaztak.
Kéne valami összefoglaló anyag -- gyakorlati példákkal, átlátható magyarázatokkal.
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
VeryByte
őstag
válasz MaCS_70 #45498 üzenetére
Most picit másképp mondom. Tegyük fel, hogy van egy "igazibb" routered (mondjuk valamelyik Ubiquiti EdgeRouter) és van egy acces pointod, mondjuk egy UAP AC Lite. Van egy hálózatod (192.168.10.0/24) és erre felhúzol 2 SSID-t, egy normált (NORMAL) és egy vendéget (GUEST). A vendégre bekapcsolod az izolációt, ekkor a saját háló felé menő forgalmat el fogja dobni már maga az AP, kivéve a default gateway-t (ami az EdgeRouter) - na itt jön be egy "tűzfal", ami az AP-n dolgozik. Eddig tiszta.
Ha definiálsz egy másik VLAN-t az EdgeRouter-en és nem akarod, hogy a vendég hálóból ezt a másik VLAN-t elérjék, akkor azt az EdgeRouter-en kell tűzfalaznod. Ez ugye a router-on-a-stick tipikus esete.
És akkor képzeld ezt el egy eszközbe beépítve, ami "router" is és access point is egyben.Ezt most nagyon pongyolán fogalmaztam, de kb. erről van szó.
[ Szerkesztve ]
"What is the most important thing in a woman?" - "The soul."
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Alpha Laptopszerviz Kft.
Város: Pécs