zmilet
#0
Hej
Kunne godt bruge lidt hjælp omkring switch, idet mit hoved er fyldt op 🙂
Har prøvet at google og læse, samt kigget youtube, men switch er noget indviklet må man sige, og ikke lige noget man bare gør.
Det jeg gerne vil, er at få bygget mig et rimeligt netværk op i mit hjem, i sig selv er det jo nok nemt nok.
Men, jeg vil gerne kunne styre hvilke computere der kan til gå hvad, og der har jeg forstået det sådan at så skal jeg have en managed switch.
Her kommer mit problem så, er det nok med en Layer2, eller skal jeg have en Layer3 ?
Har prøvet at skrive en opstilling, bare lige så i kan få en indsigt i hvor jeg vil hen af.
Opstilling:
NAS: Skal kunne tilgås det meste.
Kontor PC: Må tilgå internet, samt stue pc osv.(***1)
Stue PC: Må tilgå internet, samt Kontor PC, NAS, men ikke Musik pc.
Musik pc: Må tilgå NAS, men intet andet.(***1)
Denon forst.: Må tilgå internet, samt NAS
Tablet: Må tilgå internet, samt NAS, Kontor og Stue pc.
Tablet2 (Remote Denon) Skal kun tilgå Denon forstærker.
***1 består af samme maskine, som booter op på hver sin partition, med hver sin ip, og hver sin windows
ved ikke om det er samme mac adresse, eller om det ændrer noget.
Der er en router på selve indgang fra internettet.
Regner med at switch, så skal derefter, med alt koblet til den.
Håber i forstår hvor jeg vil hen, og håber der er et par kloge hoveder der ude, der kan hjælpe mig ang. hvad dette kræver af udstyr.
Om det er muligt? osv.
På forhånd tak.
Mvh. Niels
Kunne godt bruge lidt hjælp omkring switch, idet mit hoved er fyldt op 🙂
Har prøvet at google og læse, samt kigget youtube, men switch er noget indviklet må man sige, og ikke lige noget man bare gør.
Det jeg gerne vil, er at få bygget mig et rimeligt netværk op i mit hjem, i sig selv er det jo nok nemt nok.
Men, jeg vil gerne kunne styre hvilke computere der kan til gå hvad, og der har jeg forstået det sådan at så skal jeg have en managed switch.
Her kommer mit problem så, er det nok med en Layer2, eller skal jeg have en Layer3 ?
Har prøvet at skrive en opstilling, bare lige så i kan få en indsigt i hvor jeg vil hen af.
Opstilling:
NAS: Skal kunne tilgås det meste.
Kontor PC: Må tilgå internet, samt stue pc osv.(***1)
Stue PC: Må tilgå internet, samt Kontor PC, NAS, men ikke Musik pc.
Musik pc: Må tilgå NAS, men intet andet.(***1)
Denon forst.: Må tilgå internet, samt NAS
Tablet: Må tilgå internet, samt NAS, Kontor og Stue pc.
Tablet2 (Remote Denon) Skal kun tilgå Denon forstærker.
***1 består af samme maskine, som booter op på hver sin partition, med hver sin ip, og hver sin windows
ved ikke om det er samme mac adresse, eller om det ændrer noget.
Der er en router på selve indgang fra internettet.
Regner med at switch, så skal derefter, med alt koblet til den.
Håber i forstår hvor jeg vil hen, og håber der er et par kloge hoveder der ude, der kan hjælpe mig ang. hvad dette kræver af udstyr.
Om det er muligt? osv.
På forhånd tak.
Mvh. Niels
#1
Til ovenstående har jeg kigget på:
https://www.komplett.dk/cisco-...
https://www.komplett.dk/cisco-...
Den sidste skulle være Layer2 + 3
Men ved ikke om de kan det jeg gerne vil ?
Svaret blev redigeret 1 gang, sidst af zmilet d. 14-08-2014 18:20:51.
https://www.komplett.dk/cisco-...
https://www.komplett.dk/cisco-...
Den sidste skulle være Layer2 + 3
Men ved ikke om de kan det jeg gerne vil ?
Svaret blev redigeret 1 gang, sidst af zmilet d. 14-08-2014 18:20:51.
#2
#0
Din ***1-PC har samme MAC-adresse med mindre du aktivt ændrer dette. Det kan du gøre i Windows.
Din ***1-PC har samme MAC-adresse med mindre du aktivt ændrer dette. Det kan du gøre i Windows.
#3
#2 Nice Takker for input, så skulle det ikke være et problem
Noget input til om det skal være en Layer2 eller 3 switch ?
Noget input til om det skal være en Layer2 eller 3 switch ?
#4
Du skal kun bruge en lag 3 switch hvis du har interesse i at den skal lave routning. Ellers skal du bruge din router til det.
Undre mig dog lidt over du vil lukke så meget af for det, for vil jo mene det er enheder du har kontrol over.
Men I så fald, hvis de skal deles sådan op bør du få lavet nogle VLAN's og smide dem i.
Så du opdeler det i eksempel MULTIMEDIA, GAMER, SERVER osv.
Men bliver hurtigt noget bøvl hvis man ikke er inde i det :)
Og så ender du nok i at du skal have en anden router som har bedre understøttelse for de rigtige vlan :)
Undre mig dog lidt over du vil lukke så meget af for det, for vil jo mene det er enheder du har kontrol over.
Men I så fald, hvis de skal deles sådan op bør du få lavet nogle VLAN's og smide dem i.
Så du opdeler det i eksempel MULTIMEDIA, GAMER, SERVER osv.
Men bliver hurtigt noget bøvl hvis man ikke er inde i det :)
Og så ender du nok i at du skal have en anden router som har bedre understøttelse for de rigtige vlan :)
#5
#4 Det er et godt input du kommer med der. Vil du komme nærmere ind på hvad routing vil sige så? Jeg forstår det som når man router porte mellem de forskellige pc, lyder måske lidt dum, men har ikke været så meget inde i alle disse begreber.
Vil gerne have det så lukket, fordi at min musik pc, bliver brugt til at lave musik, ikke at afspille fra 🙂
Og at den derfor ikke skal på internet, idet der ikke skal være virus beskyttelse, updates osv på, så derfor er den et lukket system, dog skal den kunne gemme og åbne på NAS. Og vil så også bare gerne have at de andre pc jeg har på mit netværk, heller ikke kan komme i forbindelse med den.
Kan også godt lide at det er lukket, så de enheder der kun bliver brugt til en ting, kun kan ses på de maskiner de skal bruges. I stedet for at hvis man trykker "netværk", ja så vrimler det frem med forskellige enheder, håber du kan følge mig
Kommer vel ind i det med tiden (også en udfordring 🙂 )
En bedre router kommer derefter.
Vil gerne have det så lukket, fordi at min musik pc, bliver brugt til at lave musik, ikke at afspille fra 🙂
Og at den derfor ikke skal på internet, idet der ikke skal være virus beskyttelse, updates osv på, så derfor er den et lukket system, dog skal den kunne gemme og åbne på NAS. Og vil så også bare gerne have at de andre pc jeg har på mit netværk, heller ikke kan komme i forbindelse med den.
Kan også godt lide at det er lukket, så de enheder der kun bliver brugt til en ting, kun kan ses på de maskiner de skal bruges. I stedet for at hvis man trykker "netværk", ja så vrimler det frem med forskellige enheder, håber du kan følge mig
Kommer vel ind i det med tiden (også en udfordring 🙂 )
En bedre router kommer derefter.
#6
#4 Kom så til at tænke lidt nærmere over routing i mine øjne. Er for mig når man kan sige at f.eks. ip (X) kan tilgå port X, men ikke port Y. Ved ikke hvad man kalder det, men det er sådan jeg gerne internt ville kunne styre det hvis muligt, ud af til kan man vel indstille i sin router
#7
Spændende koncept du har gang i :) Er dog ikke sikker på du helt selv kan se hvor indviklet du er ved at gøre det for dig eller hvor meget arbejde der skal til for at løfte opgaven så du får lige en beskrivelse af hvor meget der skal til, så kan du selv vurderer om det virkeligt er det her du vil. Er det det vil jeg naturligvis gerne komme med flere informationer omkring opsætning.
Men inden jeg springer til den del, så vil jeg lige kommentere emnet omkring routning.. Routning må IKKE bruges til at styre hvilke enheder der må tilgå hvad.. routning er en funktion der groft sagt fortæller hvor de enkelte enheder finder andre netværk..
kig evt. herunder, der vil du se et eksempel på et entry i en routing tabel som kort viser at routeren har et "entry" i sin routnings tabelsom fortæller hvordan trafikken skal finde over til netværket 10.0.0.0/8..
D 10.0.0.0/8 [90/3072] via 10.10.0.158, 7w0d, Vlan3001
[90/3072] via 10.10.0.156, 7w0d, Vlan3101
Men uanset hvordan du vender og drejer den er routning IKKE beregnet til at bestemme hvad trafik der må løbe hvorhen, det har du accesslister og Firewall's til, hvilket er de to løsninger jeg kommer ind på om et øjeblik.
løsning 1
I løsning 1 løses problemet ved hjælp af en L2 switch og en ordentlig firewall.
i det her setup vil det være firewallen som styrer hvad de enkelte Vlan's må tilgå og agerer router, det kræver at du har en dedikeret firewall som kører med noget PFsense eller Sophos mm. En hjemmerouter kan IKKE håndterer dette. metoden kaldes i øvrig "router on a stick" hvis du vil søge lidt på det.
Metoden går kort sagt ud på at du opretter et vlan for hver "rolle", alle de vlan køres så ud til din firewall, som sørger for at give dem IP adresser mm. og som så håndterer hvad de må tilgå, i den forbindelse vil jeg anbefale at du grupperer dem, så eks. stue pc og kontor pc får samme regler i stedet for at du sidder og opretter 7 forskellige vlans.
du bør i øvrig være opmærksom på at alle dine vlans vil få deres eget ip range. Jeg har lavet et lille eksempel på hvordan det kunne se ud herunder hvis vi bare tager din opbygning i #0 og laver den ud fra det.
Vlan 2: (192.168.2.0/24) = Nas
Vlan 3: (192.168.3.0/24) = Kontor PC
Vlan 4: (192.168.4.0/24) = Stue PC
Vlan 5: (192.168.5.0/24) = Musik PC
Vlan 6: (192.168.6.0/24) = Denon Forst
Vlan 7: (192.168.7.0/24) = tablet
Vlan 8: (192.168.8.0/24) = Denon Tablet
så som du nok kan se bliver det IKKE let at finde rundt i..
Til sammenligning har jeg i mit eget netværk som er baseret på router on a stick følgende struktur:
Vlan 2: Home
Vlan 3: Guest
Vlan 4: Server/LAB
Altså noget mere groft grupperet men stadig afgrænset så de kun er de relevante enheder der har adgang til hinanden.
Løsning 2
Løsning 2 indebærer at du bruger din switch til at styre det hele, Men i modsætning til løsning 1 hvor du bare skulle bruge en switch der understøttede Vlan's skal du bruge en L2 switch som understøtter et fuldt IOS (eks. Cisco Catalyst 2960 med IPbase) vi snakker altså her om en helt anden prisklasse.. (du kan få det samme fra Dell og HP, men jeg arbejder til hverdag i rent cisco, så hvad de modeller hedder ved jeg ikke)
På den switch skal du ud i at lave accesslister, dvs. at du via en "liste" kan styre hvilke enheder der må kontakte hvad. Du skal bare vide at accesslister kan blive voldsomt forvirrende, specielt hvis du ikke har kendskab til dem i forvejen. Derudover vil du kun kunne lave regler på IP niveau hvis det skal virke med din hjemmerouter, så sikkerheden er ikke højere end at jeg ville kunne tage en tilfældig pc og give den din IP for eks. stue pc hvorefter jeg vil have adgang til alt det den har adgang til..
eks. på en access liste:
Standard IP access list Kontor_PC
10 permit 192.168.1.150
ovenstående vil blive tilknyttet et interface, hvorefter det kun er de adresser som står i den liste der må få adgang til den port.
Disclaimer: Det er sent, og jeg er sulten.. så jeg har ikke tjekket igennem for diverse fejl, det gør jeg lige i morgen og kommer med en rettelse hvis det er blevet for uforståeligt 😛
Svaret blev redigeret 1 gang, sidst af martinta d. 14-08-2014 23:06:58.
Men inden jeg springer til den del, så vil jeg lige kommentere emnet omkring routning.. Routning må IKKE bruges til at styre hvilke enheder der må tilgå hvad.. routning er en funktion der groft sagt fortæller hvor de enkelte enheder finder andre netværk..
kig evt. herunder, der vil du se et eksempel på et entry i en routing tabel som kort viser at routeren har et "entry" i sin routnings tabelsom fortæller hvordan trafikken skal finde over til netværket 10.0.0.0/8..
D 10.0.0.0/8 [90/3072] via 10.10.0.158, 7w0d, Vlan3001
[90/3072] via 10.10.0.156, 7w0d, Vlan3101
Men uanset hvordan du vender og drejer den er routning IKKE beregnet til at bestemme hvad trafik der må løbe hvorhen, det har du accesslister og Firewall's til, hvilket er de to løsninger jeg kommer ind på om et øjeblik.
løsning 1
I løsning 1 løses problemet ved hjælp af en L2 switch og en ordentlig firewall.
i det her setup vil det være firewallen som styrer hvad de enkelte Vlan's må tilgå og agerer router, det kræver at du har en dedikeret firewall som kører med noget PFsense eller Sophos mm. En hjemmerouter kan IKKE håndterer dette. metoden kaldes i øvrig "router on a stick" hvis du vil søge lidt på det.
Metoden går kort sagt ud på at du opretter et vlan for hver "rolle", alle de vlan køres så ud til din firewall, som sørger for at give dem IP adresser mm. og som så håndterer hvad de må tilgå, i den forbindelse vil jeg anbefale at du grupperer dem, så eks. stue pc og kontor pc får samme regler i stedet for at du sidder og opretter 7 forskellige vlans.
du bør i øvrig være opmærksom på at alle dine vlans vil få deres eget ip range. Jeg har lavet et lille eksempel på hvordan det kunne se ud herunder hvis vi bare tager din opbygning i #0 og laver den ud fra det.
Vlan 2: (192.168.2.0/24) = Nas
Vlan 3: (192.168.3.0/24) = Kontor PC
Vlan 4: (192.168.4.0/24) = Stue PC
Vlan 5: (192.168.5.0/24) = Musik PC
Vlan 6: (192.168.6.0/24) = Denon Forst
Vlan 7: (192.168.7.0/24) = tablet
Vlan 8: (192.168.8.0/24) = Denon Tablet
så som du nok kan se bliver det IKKE let at finde rundt i..
Til sammenligning har jeg i mit eget netværk som er baseret på router on a stick følgende struktur:
Vlan 2: Home
Vlan 3: Guest
Vlan 4: Server/LAB
Altså noget mere groft grupperet men stadig afgrænset så de kun er de relevante enheder der har adgang til hinanden.
Løsning 2
Løsning 2 indebærer at du bruger din switch til at styre det hele, Men i modsætning til løsning 1 hvor du bare skulle bruge en switch der understøttede Vlan's skal du bruge en L2 switch som understøtter et fuldt IOS (eks. Cisco Catalyst 2960 med IPbase) vi snakker altså her om en helt anden prisklasse.. (du kan få det samme fra Dell og HP, men jeg arbejder til hverdag i rent cisco, så hvad de modeller hedder ved jeg ikke)
På den switch skal du ud i at lave accesslister, dvs. at du via en "liste" kan styre hvilke enheder der må kontakte hvad. Du skal bare vide at accesslister kan blive voldsomt forvirrende, specielt hvis du ikke har kendskab til dem i forvejen. Derudover vil du kun kunne lave regler på IP niveau hvis det skal virke med din hjemmerouter, så sikkerheden er ikke højere end at jeg ville kunne tage en tilfældig pc og give den din IP for eks. stue pc hvorefter jeg vil have adgang til alt det den har adgang til..
eks. på en access liste:
Standard IP access list Kontor_PC
10 permit 192.168.1.150
ovenstående vil blive tilknyttet et interface, hvorefter det kun er de adresser som står i den liste der må få adgang til den port.
Disclaimer: Det er sent, og jeg er sulten.. så jeg har ikke tjekket igennem for diverse fejl, det gør jeg lige i morgen og kommer med en rettelse hvis det er blevet for uforståeligt 😛
Svaret blev redigeret 1 gang, sidst af martinta d. 14-08-2014 23:06:58.
#8
#7 Det er et suverænt indlæg det der, super tak, og det er godt beskrevet.
Takker, og ved godt at det kræver meget, og tager det også lidt som en udfordring 🙂 Hjælper jo som regel på noget som er svært.
Jeg har sat og læst og set på youtube de sidste 3 døgn til kl.6 om morgen, og kan se at det bliver en hård omgang at sætte sig ind i, men jeg er indstillet på at jeg vil gå hele vejen 🙂
Tror jeg misforstår hvad routing er for noget, men er lidt selv kommet frem til at ACL er der, det skal styres. Troede faktisk at det var routing, men så er jeg så meget klogere 🙂
En af de ting har kigget igennem er:
https://www.youtube.com/watch?...
Og jeg forstår det logiske i opbygningen, selvfølgelig ikke bare lige noget man bare lige springer ud i 🙂
Mit største problem var også at finde ud af, om det skulle være en L2 eller med L3, som jeg skulle investere i, idet at den forskel ikke er gået på lystavlen endnu, men i begge dine 2 fine eksempler, er det jo en Layer2.
Så løsningen må jo være fint med en L2 switch.
Routeren skal udskiftes alligevel, så begge løsninger er mulige, dog kan jeg sagtens se at løsning 2, er den mest enkle og overskuelige.
Linker lige til en Switch (Manual), jeg har på hånden, håber den kan bruges, for mig ser det ud som om den kan, den har da i hvert fald ACL ?
http://www.cisco.com/c/dam/en/...
Side 34 for ACL, side 70 for specs.
På forhånd tak
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 00:03:34.
Takker, og ved godt at det kræver meget, og tager det også lidt som en udfordring 🙂 Hjælper jo som regel på noget som er svært.
Jeg har sat og læst og set på youtube de sidste 3 døgn til kl.6 om morgen, og kan se at det bliver en hård omgang at sætte sig ind i, men jeg er indstillet på at jeg vil gå hele vejen 🙂
Tror jeg misforstår hvad routing er for noget, men er lidt selv kommet frem til at ACL er der, det skal styres. Troede faktisk at det var routing, men så er jeg så meget klogere 🙂
En af de ting har kigget igennem er:
https://www.youtube.com/watch?...
Og jeg forstår det logiske i opbygningen, selvfølgelig ikke bare lige noget man bare lige springer ud i 🙂
Mit største problem var også at finde ud af, om det skulle være en L2 eller med L3, som jeg skulle investere i, idet at den forskel ikke er gået på lystavlen endnu, men i begge dine 2 fine eksempler, er det jo en Layer2.
Så løsningen må jo være fint med en L2 switch.
Routeren skal udskiftes alligevel, så begge løsninger er mulige, dog kan jeg sagtens se at løsning 2, er den mest enkle og overskuelige.
Linker lige til en Switch (Manual), jeg har på hånden, håber den kan bruges, for mig ser det ud som om den kan, den har da i hvert fald ACL ?
http://www.cisco.com/c/dam/en/...
Side 34 for ACL, side 70 for specs.
På forhånd tak
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 00:03:34.
#9
En anden ting er jo også, at sådan et netværk forhåbenligt, kan udvides senere hen med noget alarm og kamara overvågning i hjemmet. Det er bare mine tanker omkring det 🙂
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 00:26:50.
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 00:26:50.
#10
Kan man ikke styre den slags på en simplere måde?
Hvad med en proxyserver (måske det er indbygget i din NAS?)
Proxyserver kan du jo sætte i DHCP opsætningen på din router, så får alle enheder den proxyserver som der så skal spørges.
Hvis du så sætter den op, kan man så ikke styre hvilke ip'er der må tilgå hvilke enheder?
Jeg ved godt det ikke er hardware begrænset på den måde, men ellers er det vel.
Og hvordan med WIFI enheder, dem vil du også styre, for det kan du vel ikke med en switch lige meget hvad, eller misforstår jeg?
Hvad med en proxyserver (måske det er indbygget i din NAS?)
Proxyserver kan du jo sætte i DHCP opsætningen på din router, så får alle enheder den proxyserver som der så skal spørges.
Hvis du så sætter den op, kan man så ikke styre hvilke ip'er der må tilgå hvilke enheder?
Jeg ved godt det ikke er hardware begrænset på den måde, men ellers er det vel.
Og hvordan med WIFI enheder, dem vil du også styre, for det kan du vel ikke med en switch lige meget hvad, eller misforstår jeg?
#11
#10 For mig virker det som om at en switch er det mest simple, vel også det mest lukkede, ved ikke om det kan gøres via en proxy.
Der er vel også den forskel, at med en switch, kan man sige at en pc, godt må tilgå sin netværks printer på en bestemt port, men ikke internet på internet port. Tror ikke man kan det med en proxy, men skal være svar skyldigt, da jeg først er begyndt at sætte mig ind i hvordan det kan lade sig gøre, men godt indspark, og muligvis en mulighed hvis det kan lade sig gøre
Mht. til wifi, kommer der ikke meget af, måske kun lige min tlf, men den behøver ikke tilgå noget af netværket, så den kan vel lukkes af via routeren, eller måske kobles på netværket via access point
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 01:14:23.
Der er vel også den forskel, at med en switch, kan man sige at en pc, godt må tilgå sin netværks printer på en bestemt port, men ikke internet på internet port. Tror ikke man kan det med en proxy, men skal være svar skyldigt, da jeg først er begyndt at sætte mig ind i hvordan det kan lade sig gøre, men godt indspark, og muligvis en mulighed hvis det kan lade sig gøre
Mht. til wifi, kommer der ikke meget af, måske kun lige min tlf, men den behøver ikke tilgå noget af netværket, så den kan vel lukkes af via routeren, eller måske kobles på netværket via access point
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 01:14:23.
#12
Kører dine tablets ikke via WIFI da?
#13
🙂 Du siger noget, og godt set. Måske der kommer nogle ting der ikke er mulige. men det vigtigste for mig at kunne styre bliver det kablede netværk, så må se hvad der kan gøres med de trådløse enheder, men vil helst undgå dem.
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 01:35:42.
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 01:35:42.
#14
#8
well 😉 Man skal også har et ønske om lidt udfordringer for at kaste sig ud i noget som det her, i hvert fald hvis det er via Cisco IOS og CLI 🙂 , jeg kan se at du har fundet en film omhandlende CCNA Security (gætter jeg på han snakker om) siden det er i den Access lister bliver testet.
Hvis du vil bruge lidt tid på det kan jeg anbefale CBTNuggets, enten kan du se lidt om access lists via deres Micronuggets på youtube
https://www.youtube.com/watch?...
https://www.youtube.com/watch?...
alternativt er deres hjemmeside et sygt godt sted at hente viden, et år koster desværre 5k så de er ikke billige 😉 men hvis det kun er ACL eller basis IP information du vil have kan du oprette dig og få én uge gratis (den uge skal du så bruge på at kigge CCNA basis videoerne igennem), gør du det er du i hvert fald rigtig godt kørerne (selvom det nok vil være lidt overkill til det du skal bruge her 😛 )
Jeg tog lige et kig på den manual, Linksys har da været enormt flinke og rent faktisk lavet en GUI til konfigurationen af ACL.. Så det tager en stor del af det komplicerede ud af det 🙂 Så jeg vil mene du skal give det et forsøg, vil dog nok have lidt problemer med at hjælpe dig med evt. fejl da jeg ikke aner hvordan den brugerflade er bygget op.
Sidste ting, nu skriver du at du ikke har fundet ud af hvad forskellen på L2 og L3 er endnu.. så du får lige en kort forklaring 😉
L2 og L3 referer til lag på OSI modellen, (det skal tælles nedefra hvis du kigger på dette billede)
Kort fortalt så har du 7 lag, de 4 øverste er vi ligeglade med her.. de er ikke relevante for det her, de 3 nederste er Physical, Data link og Network layer..
For lige at tage det mest basis, IP adresser er bygget op af subnet mask og IP adresse.. Der er en mening med galskaben, og de der kendte 255.255.255.0 kan faktisk bruges til meget.. men lige nu holder vi os bare lige til den korte simple forklaring.
Det er faktisk din subnet maske som bestemmer netværket størrelse, hvis du har en subnet maske på 255.255.255.0 betyder det at du har 255 ip adresser i det net som du kan bruge
så har du en ip der er 192.168.1.1 med en subnet mask på 255.255.255.0 betyder det at dit netværk går fra 192.168.1.1 - 192.168.1.255.
Har du en subnet mask på 255.255.254.0 betyder det at du har 512 mulige ip adresser.. dvs dit net vil nu går fra 192.168.1.0 til 192.168.2.255.
Jeg prøver lige at gå kort igennem de 3 nederste lag.
Physical eller lag 1 er den fysiske del, dvs. kabel og stik.. så har du et defekt kabel har du en lag 1 fejl..
Data Link eller lag 2 er mac adresser, og det er nok her der sker det færrest folk faktisk forventer.. ser lige om jeg kan finde ud af at forklare det men jeg giver ingen garantier for hvor forvirende det bliver.. ting som det er ret svært at forklare i skrift.
Godt så, jeg prøver.
Lag 2 er alle adresser på samme subnet (eks 192.168.1.0/24 altså alle adresser fra 192.168.1.0 til 192.168.1.255), så vidt så godt..
I forklaringen her har jeg 3 enheder..
NAS = 192.168.1.10 / subnet: 255.255.255.0
PC1 = 192.168.1.100 / subnet 255.255.255.0
switch = IP irrelevant
Det øjeblik du sætter din pc på netværket kontakter den din switch, porten går op i begge ender, din pc kontakter switchen med din mac adresse som afsender, switchen laver nu et entry i sin mac adresse tabel hvor den gemmer din mac adresse samt hvilken port du kom fra.
Nu sætter du din NAS til.. den gør det samme som PC'en, altså det sekund du sætter den til laver den et entry med mac adresse samt hvilken port du er forbundet til.
Nu sætter du dig hen til din pc og laver en ping mod NAS enheden,
Pinging 192.168.1.10 with 32 bytes of data:
Reply from 192.168.1.10: bytes=32 time<1ms TTL=64
Resultatet fra din ping ser du herover..
Det du bare ikke ser er at du faktisk ikke har brugt IP adressen overhovedet.. Din PC har ligesom en switch en lokal Mac adresse tabel (du kan se den ved at åbne en CMD og skrive "arp -a"), når du prøver at forbinde til en IP på dit eget netværk første gang sender din pc en broadcast (så vidt jeg husker) ud til switchen som sender den videre ud af alle porte der er åbne, den enhed der har den givne IP vil så vende tilbage med sin MAC adresse til pcen.. denne bliver nu gemt på pcen i den form herunder
Internet Address Physical Address Type
192.168.1.10 00-20-99-ff-0b-50 dynamic
Næste gang du så vil forbinde til IP 192.168.1.10 vil din pc sig "hov, den dims er på samme netværk som mig, jeg kigger i arp tabellen" den ser så at den har et entry på IP'en som match mac adressen 00-20-99-ff-0b-50, nu laver den så en pakke med det indhold den vil sende hvor den sætter mac adressen 00-20-99-ff-0b-50 som destination, denne pakke sender den ud til switchen som også har en record af mac adressen, som så vil sende den ud af det rigtige interface.
så buttom line i ovenstående er at du på dit lokal net ikke benytter IP adresser, det klares alt af mac adresser..
Network layer eller lag 3
Nu kommer vi så til Lag 3, for laget er jo der jo ikke uden grund.
Lag 3 er IP laget.. dvs. på det her lag fungerer alt som IP adresser og subnet masks, det er også her routning fungerer..
Hvis vi tager samme scenarie som før, så har vi to enheder
NAS = 192.168.1.10 / subnet: 255.255.255.0 / default gateway: 192.168.1.1
PC1 = 192.168.2.100 / subnet: 255.255.255.0 / default gateway: 192.168.2.1
bemærk at de den her gang er på hver sit netværk og har fået tilføjet en default gateway.. denne gang sidder der en router i stedet for en switch forbundet til begge enheder.. i scenariet går vi ud fra at routning mm. er oppe og køre.
Denne gang siger vi at du vil have fat i nogle filer på din NAS, NAS'en sidder som bekendt på et andet netværk.
Så hvis du sidder på din pc og starter en ping mod 192.168.1.10 vil pcen sige "hov, der er noget galt.. jeg sidder på 192.168.2.100 og mit net stopper ved 192.168.2.255, jeg kan ikke gå ned til 192.168.1.0 nettet."
Men i stedet for bare at droppe trafikken til adresser den ikke kender benytter den sin default gateway, altså routeren.. routeren ved hvordan den kommer over til det net. og har i sin routing tabel 2 router..
de kunne hedde
192.168.1.0/24 directly connected gigabit interface 1/0/1
192.168.2.0/24 directly connected gigabit interface 1/0/2
den vil derfor vide at den skal sende det trafik til 192.168.1.100 ud af interface 1/0/1 for at din NAS kan modtage det (og vice versa)
Igen.. Har ingen idé om hvor simpelt det blev.. men har virkelig svært ved at forklare det på en lettere måde 😛
well 😉 Man skal også har et ønske om lidt udfordringer for at kaste sig ud i noget som det her, i hvert fald hvis det er via Cisco IOS og CLI 🙂 , jeg kan se at du har fundet en film omhandlende CCNA Security (gætter jeg på han snakker om) siden det er i den Access lister bliver testet.
Hvis du vil bruge lidt tid på det kan jeg anbefale CBTNuggets, enten kan du se lidt om access lists via deres Micronuggets på youtube
https://www.youtube.com/watch?...
https://www.youtube.com/watch?...
alternativt er deres hjemmeside et sygt godt sted at hente viden, et år koster desværre 5k så de er ikke billige 😉 men hvis det kun er ACL eller basis IP information du vil have kan du oprette dig og få én uge gratis (den uge skal du så bruge på at kigge CCNA basis videoerne igennem), gør du det er du i hvert fald rigtig godt kørerne (selvom det nok vil være lidt overkill til det du skal bruge her 😛 )
Jeg tog lige et kig på den manual, Linksys har da været enormt flinke og rent faktisk lavet en GUI til konfigurationen af ACL.. Så det tager en stor del af det komplicerede ud af det 🙂 Så jeg vil mene du skal give det et forsøg, vil dog nok have lidt problemer med at hjælpe dig med evt. fejl da jeg ikke aner hvordan den brugerflade er bygget op.
Sidste ting, nu skriver du at du ikke har fundet ud af hvad forskellen på L2 og L3 er endnu.. så du får lige en kort forklaring 😉
L2 og L3 referer til lag på OSI modellen, (det skal tælles nedefra hvis du kigger på dette billede)
Kort fortalt så har du 7 lag, de 4 øverste er vi ligeglade med her.. de er ikke relevante for det her, de 3 nederste er Physical, Data link og Network layer..
For lige at tage det mest basis, IP adresser er bygget op af subnet mask og IP adresse.. Der er en mening med galskaben, og de der kendte 255.255.255.0 kan faktisk bruges til meget.. men lige nu holder vi os bare lige til den korte simple forklaring.
Det er faktisk din subnet maske som bestemmer netværket størrelse, hvis du har en subnet maske på 255.255.255.0 betyder det at du har 255 ip adresser i det net som du kan bruge
så har du en ip der er 192.168.1.1 med en subnet mask på 255.255.255.0 betyder det at dit netværk går fra 192.168.1.1 - 192.168.1.255.
Har du en subnet mask på 255.255.254.0 betyder det at du har 512 mulige ip adresser.. dvs dit net vil nu går fra 192.168.1.0 til 192.168.2.255.
Jeg prøver lige at gå kort igennem de 3 nederste lag.
Physical eller lag 1 er den fysiske del, dvs. kabel og stik.. så har du et defekt kabel har du en lag 1 fejl..
Data Link eller lag 2 er mac adresser, og det er nok her der sker det færrest folk faktisk forventer.. ser lige om jeg kan finde ud af at forklare det men jeg giver ingen garantier for hvor forvirende det bliver.. ting som det er ret svært at forklare i skrift.
Godt så, jeg prøver.
Lag 2 er alle adresser på samme subnet (eks 192.168.1.0/24 altså alle adresser fra 192.168.1.0 til 192.168.1.255), så vidt så godt..
I forklaringen her har jeg 3 enheder..
NAS = 192.168.1.10 / subnet: 255.255.255.0
PC1 = 192.168.1.100 / subnet 255.255.255.0
switch = IP irrelevant
Det øjeblik du sætter din pc på netværket kontakter den din switch, porten går op i begge ender, din pc kontakter switchen med din mac adresse som afsender, switchen laver nu et entry i sin mac adresse tabel hvor den gemmer din mac adresse samt hvilken port du kom fra.
Nu sætter du din NAS til.. den gør det samme som PC'en, altså det sekund du sætter den til laver den et entry med mac adresse samt hvilken port du er forbundet til.
Nu sætter du dig hen til din pc og laver en ping mod NAS enheden,
Pinging 192.168.1.10 with 32 bytes of data:
Reply from 192.168.1.10: bytes=32 time<1ms TTL=64
Resultatet fra din ping ser du herover..
Det du bare ikke ser er at du faktisk ikke har brugt IP adressen overhovedet.. Din PC har ligesom en switch en lokal Mac adresse tabel (du kan se den ved at åbne en CMD og skrive "arp -a"), når du prøver at forbinde til en IP på dit eget netværk første gang sender din pc en broadcast (så vidt jeg husker) ud til switchen som sender den videre ud af alle porte der er åbne, den enhed der har den givne IP vil så vende tilbage med sin MAC adresse til pcen.. denne bliver nu gemt på pcen i den form herunder
Internet Address Physical Address Type
192.168.1.10 00-20-99-ff-0b-50 dynamic
Næste gang du så vil forbinde til IP 192.168.1.10 vil din pc sig "hov, den dims er på samme netværk som mig, jeg kigger i arp tabellen" den ser så at den har et entry på IP'en som match mac adressen 00-20-99-ff-0b-50, nu laver den så en pakke med det indhold den vil sende hvor den sætter mac adressen 00-20-99-ff-0b-50 som destination, denne pakke sender den ud til switchen som også har en record af mac adressen, som så vil sende den ud af det rigtige interface.
så buttom line i ovenstående er at du på dit lokal net ikke benytter IP adresser, det klares alt af mac adresser..
Network layer eller lag 3
Nu kommer vi så til Lag 3, for laget er jo der jo ikke uden grund.
Lag 3 er IP laget.. dvs. på det her lag fungerer alt som IP adresser og subnet masks, det er også her routning fungerer..
Hvis vi tager samme scenarie som før, så har vi to enheder
NAS = 192.168.1.10 / subnet: 255.255.255.0 / default gateway: 192.168.1.1
PC1 = 192.168.2.100 / subnet: 255.255.255.0 / default gateway: 192.168.2.1
bemærk at de den her gang er på hver sit netværk og har fået tilføjet en default gateway.. denne gang sidder der en router i stedet for en switch forbundet til begge enheder.. i scenariet går vi ud fra at routning mm. er oppe og køre.
Denne gang siger vi at du vil have fat i nogle filer på din NAS, NAS'en sidder som bekendt på et andet netværk.
Så hvis du sidder på din pc og starter en ping mod 192.168.1.10 vil pcen sige "hov, der er noget galt.. jeg sidder på 192.168.2.100 og mit net stopper ved 192.168.2.255, jeg kan ikke gå ned til 192.168.1.0 nettet."
Men i stedet for bare at droppe trafikken til adresser den ikke kender benytter den sin default gateway, altså routeren.. routeren ved hvordan den kommer over til det net. og har i sin routing tabel 2 router..
de kunne hedde
192.168.1.0/24 directly connected gigabit interface 1/0/1
192.168.2.0/24 directly connected gigabit interface 1/0/2
den vil derfor vide at den skal sende det trafik til 192.168.1.100 ud af interface 1/0/1 for at din NAS kan modtage det (og vice versa)
Igen.. Har ingen idé om hvor simpelt det blev.. men har virkelig svært ved at forklare det på en lettere måde 😛
#15
Angående det trådløse så vil det i den her løsning med ACL ikke være et problem da selv trådløse enheder bruger mac og IP adresser 😉
Du kan dog ikke kontrollere om de har adgang imod internettet da de rammer din router først, men du kan kontrollere deres trafik mod eks. din NAS via ACL..
#10
En proxy server er i dag generelt en dårlig idé, og kender faktisk ingen i dag som friviligt ville implementere det 🙂 Hvis du endeligt ønsker at begrænse dine klienter vil de fleste større løsninger tilbyde et lille program der skal installeres på de maskiner der er i virksomheden som så styrer det en proxy gjorde før, men bare meget mere detaljeret 🙂
Du kan dog ikke kontrollere om de har adgang imod internettet da de rammer din router først, men du kan kontrollere deres trafik mod eks. din NAS via ACL..
#10
En proxy server er i dag generelt en dårlig idé, og kender faktisk ingen i dag som friviligt ville implementere det 🙂 Hvis du endeligt ønsker at begrænse dine klienter vil de fleste større løsninger tilbyde et lille program der skal installeres på de maskiner der er i virksomheden som så styrer det en proxy gjorde før, men bare meget mere detaljeret 🙂
#16
#14 Det er bare perfekt forklaret, og tror jeg har fanget den 100%, og hvis jeg har:
Så er L2, lige som når man logger ind på sin router, og under DCHP log kan se de enheder der er koblet til routeren, de står jo med en mac adresse.
En L2 bruger ikke ip som ID, men mac adressen.
En L3 bruger IP, så den netop kan gøre som du beskriver hvis de ikke er på samme netværk, det kan en L2 ikke, idet den ikke har den ekstra Standard gateway som L3 har.
Var bange for at man ikke brugte ip til at configurer ACL på en L2, men det gør man jo på begge, en L2 husker bare ligesom kun mac adressen, og bruger den til at videre sende data, hvorimod en L3 bruger IP.
Korrekt ?
Og ja svært at forklare på skrift 🤣
Svaret blev redigeret 2 gange, sidst af zmilet d. 15-08-2014 02:51:46.
Så er L2, lige som når man logger ind på sin router, og under DCHP log kan se de enheder der er koblet til routeren, de står jo med en mac adresse.
En L2 bruger ikke ip som ID, men mac adressen.
En L3 bruger IP, så den netop kan gøre som du beskriver hvis de ikke er på samme netværk, det kan en L2 ikke, idet den ikke har den ekstra Standard gateway som L3 har.
Var bange for at man ikke brugte ip til at configurer ACL på en L2, men det gør man jo på begge, en L2 husker bare ligesom kun mac adressen, og bruger den til at videre sende data, hvorimod en L3 bruger IP.
Korrekt ?
Og ja svært at forklare på skrift 🤣
Svaret blev redigeret 2 gange, sidst af zmilet d. 15-08-2014 02:51:46.
#17
#15
Nu snakker vi jo ikke erhvervs løsning, men en privatløsning..
Så måske man kunne nøjes ;)
Det var bare et forslag, jeg vidste ikke en gang om det kunne lade sig gøre, eller bruges. :)
Nu snakker vi jo ikke erhvervs løsning, men en privatløsning..
Så måske man kunne nøjes ;)
Det var bare et forslag, jeg vidste ikke en gang om det kunne lade sig gøre, eller bruges. :)
#18
#17 Mon ikke vi snart snakker en erhvervs løsning her 🤣 Sådan føles det i mit hoved, er godt nok ved at være fyldt med data.
Men stadig et godt input, for hvis nu det var lettere, ja hvorfor så ikke 🙂 Satte da også nogle tanker i gang, mht til måske nogle problemer med trådløse enheder, og kommunikationen med disse.
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 02:50:49.
Men stadig et godt input, for hvis nu det var lettere, ja hvorfor så ikke 🙂 Satte da også nogle tanker i gang, mht til måske nogle problemer med trådløse enheder, og kommunikationen med disse.
Svaret blev redigeret 1 gang, sidst af zmilet d. 15-08-2014 02:50:49.
#19
#14 Har lige sendt dig en PM 🙂
#20
Nå som en opfølgning på denne tråd, så har fået studeret en masse flere ting på nettet, og set endnu mere Youtube.
Med alt den info jeg har fået, er jeg nok bedst tjent med at skaffe mig en Layer 3 switch, uanset om jeg får brug for det eller ej, men så er bliver jeg da ikke låst der 🙂
Og så en meget stor tak jer alle, for jeres inputs, og et meget stort tusinde tak til Martinta, som har været en meget stor hjælp og givet mig en stor forståelse 🙂 .
Mvh. Zmilet
Med alt den info jeg har fået, er jeg nok bedst tjent med at skaffe mig en Layer 3 switch, uanset om jeg får brug for det eller ej, men så er bliver jeg da ikke låst der 🙂
Og så en meget stor tak jer alle, for jeres inputs, og et meget stort tusinde tak til Martinta, som har været en meget stor hjælp og givet mig en stor forståelse 🙂 .
Mvh. Zmilet