Bilo bi sjajno ako bi neko hteo da malo objasni celu tu stvar sa VLAN. Koliko sam ja uspeo da uklavirim, VLAN radi samo ako imas upravljivi switch u mrezi.

ja se slomi trazeci po netu jucer i danas skoro citav dan, ali nista nisam uspio naci. koliko sam shvatio, moram imati 3 switcha koja podrzavaju VLAN, sa svakim od njih kreirati po jedan VLAN, i onda to sve vezati na mikrotik :( sad me zanima, da li jedna mikrotik masina moze glumiti BAR JEDAN takav switch? Za sto ustvari sluzi VLAN interface na Mikrotiku?

VLAN se kreira na aktivnim layer 2 uredjajima, sto znaci aktivnim switchevima. U tom slucaju se odredjeni broj portova pridruzuje svakom VLAN-u cime se mogu kreirati grupe korisnika kao sto je to potrebno kolinsu. Na switch se kreira trunk port koji kompletan saobracaj vodi do routera, u ovom slucaju mikrotika. Na ethernet interfesu se kreiraju podinterfejsi koji su gateway zasebno za svaki VLAN. IP adresiranje u VLANu zavisi od zelje administratora i racunari u razlicitim vlanovima ne moraju biti u istom subnetu.

malo mi je cudno, da mikrotik nema podrsku za tako nesto, jer koliko mi se cini, taj sav posao u tim switchevima odraduje SOWTRARE. Jedino je mozda problem, sto switch ima vise portova, za svaki comp.

Adixe jden pitanejza tebe.

Kad ana MT ukljucim VLAn i na njega direktno ukrstenimkablom povezem neki obican racunar sa LAN karitcom (dakel bez ikakvog switcha izmedju) moze li to da radi?


Colinse, ako zelis daiams razlicite subnete za svaku ucionicu onda mozes prosto da LAN adapteru koji je u MT-u dodalis vise IP adresa iz razlicitih opsega. Na DHCP regulsies da racunari, dobijaju odgovarajuce IP adrese i tako ces, virtuelno, imati odvojene mreze, jer ce svaka ucionica biti na svom IP opsegu. Problem je da neko moze da racunaru dodeli staticnu adresu iz drugog opsega i videti rauner iz tog drugog opsega.

Ako ti nije problem kabliranje, to jest iz svake podmreze mozes da dovuces poseban UTP kabal do Mikrotika onda jednostavno u Mikrotik stavi vise LAN kartica, svakoj dodeli posebnu podmrezu i resio si problem, jer ce tada podmreze i fizicki biti odvojene.

Znaj samo da kada urais subnetting, bice ti komplikovanije da administriras windows merzu s ajednog mesta, jer ces racunarima morati da pristupas po ip adresi, Network Neighbourhood vise nece raditi (post sumnjam da imaju WINS server).

to znam brokeru, ali nije mi cilj da samo odvojim compove jedni od drugih, da se ne vide na mrezi, npr. compovi iz kabineta1, da ne vide compove iz kabineta 2 i obrnuto. htio sam samo da na naki nacin zastitim mrezu. znas kako je u skoli, uvijek ima nekih hackercica koji cackaju svasta, uvujek ce nesto pokvariti. mislio sam da, ako bi compovi bili u VLAN-ovima, da bi na neki nacin virtuelno svakom compu bili dodjeljeni parametri, neovisno sta ucenik upise za ip adresu, gateway i sl.npr. da se gleda mac adresa. znam da je i nju moguce promjeniti, ali racunam da ce im to malo kasnije pasti napamet. da li je moguce nekako sakriti mrezne parametre od klijenta? npr. da se onemoguci komanda /ipconfig ili tako nesto? na masinama mi je windowsxp, i ucenici ce pristupati sistemu preko limited accaunta, pa parametre nece moci previse dirati, ali uvijek postoji neki lijevi nacin.to sa subnettingom nisam htio raditi, bas iz razloga sto bih jos vise zakomplikovao situaciju, ali je skola i ogranicena sa budzetom,i nema bas previse para ni za kablove, ni za switchve :( a bojim se, da ce ucenici unistiti i ove kablove. vecina je u kanalicama, ali uvijek ima onih koji ne dodju da uce, nego da se igraju i gledaju sta ce pokvariti. ipak mi je lakse jedan kabal zamjeniti, nego tri.

ako oces da disablujes odredjene komande windows-a pogledaj start>run>gpedit.msc.
A mozes posebno i svaki program tj komandu iz dosa da zabranis ex:
cacls c:\windows\system32\ipconfig.exe /p administrator:f

sto znaci da ce samo user administrator imati full privilegije nad tim programu (u nasem slucaju ipconfig) na tom racunaru.
Ako u pravilu navedes samo jednog usera automatski za sve ostale je deny
Procackaj malo videces
Jos nesto u gpeditu zabranjujes ctrl+alt+del ustwari svaki deo windows-a u najmanje detalje


btw meni nisu dali da udjem u kabinet racunarstwa tako su se zastitili :P

_{[Ovu poruku je menjao Sasha_bn dana 07.08.2007. u 03:52 GMT+1]}

Do sada nisam imao potrebe da gledam manual na mikrotikovoj stranici za VLAN. ALi ovo sto oni kazu ovdje

VLAN port na ethernet interfejsu je ustvari TRUNK port koji omogucava da vise VLAN.ova komunicira medjusobno. Znaci kupite aktivni switch koji podrzava VLAN-ove odredite broj portova za svaki vlan, podesite trunk na switchu i taj trunk port switcha spojite na MT. To je svrha VLAN-a na MT-u.






_{[Ovu poruku je menjao AdiX dana 07.08.2007. u 11:48 GMT+1]}

@Broker:
Spajanje PC-a crossover kablom sa Mt-om na LAN port nisam testirao, ali sigurno je da ta komunikacija ne bi radila ako bi se PC spajao sa Cisco routerom jer se adresa na routeru ne postavlja na fizicki nego na logicki interface koji je gateway za jedan od VLAN-ova a na kojem je konfigurisan Trunk protokol.

Kada ukljucis VLAN dobijes slicna oganicenja kao i da si uradio subnetting, mozda cak i veca jer time ogranicavas mejusobnu komunikaciju racunara u LAN-u. Ako ti smeta subneting, smetace ti i VLAN.

Ako ti je samo cilj da onemogucis korisnke da menjaju parametre, onda to mora da radi sistem privilegija u lokalnoj mrezi.

Adix, hvala na pojasnjenju, to jest potvrdi.

Ovo nece raditi jer MT ocekuje tagovani paket koji nosi informaciju o broju vlan-a (vlan id)

@Kolins Balaban
Pominjao si tri vlana ili da ih nazovemo 3 mreze (kabinet1, kabinet2 i administracija). Odredis da ti je kabinet1 npr VLAN1, kabinet2 VLAN2 i administracija VLAN3. Ako trebas 3 switcha, medjusobno povezivanje moras odraditi preko TRUNK portova, tj, na svakom sw treba podesiti takav tip porta. Takodje, iz jednog sw treba povezati MT takodje preko trunk porta. Ostale portove na switchevima stavljas u odgovarajuci vlan (1,2 ili 3). Na MT kreiras 3 vlan interfejsa sa vlan id 1,2 i 3. Vlan interfejsima na MT dodelis adrese i dalje adresiras i racunare iz odgovarajucih opsega. Malo grubo objasnjeno ali nadam se da se razume :).

razumio sam sve ;) ali sam mislio, da mi jedan mikrotik moze da "glumi" smart switch, jer je skola kupila odreden dio novijih, ali polovnih compova, i sad je ostalo dosta viska PI i PII koje mogu iskoristiti za kojekakve servere, pa sam mislio, da se od mikrotika moze "napraviti" smart switch (naravno, tu mislim na mikrotik kao softverski dio + obicni switch kao hardverski dio), jer skola nema love da kupi 3 takva switcha (a trebali bi da budu minimalno 16-portni). znam da se cesto od NICEG ne moze napraviti nesto, ali sam se htio uvjeriti da je to u ovom slucaju, sa ovom opremom kojom ja raspoazem, zaista nemoguce. zapeo sam jos na jednoj stvari, ali cu otvoriti novu temu, jer nije vezana za ovu. veliko hvala na svakoj pomoci.
PS:odlucio sam se za ovu varijantu koju mi je predlozio Sasa_bn. Kreirao sam jedan .bat fajl u koji sam upisao sljedece:

cacls c:/windows/system32/ipconfig.exe /p kabinet24:f
cacls c:/windows/system32/cmd.exe /p kabinet24:f
cacls c:/windows/system32/services.msc /p kabinet24:f
cacls c:/windows/system32/ping.exe /p kabinet24:f

pokrecem ga na svakom compu,i samo mijenjam naziv compa. u gpedit.msc sam zabranio pristup control panelu, Ctrl + Alt + Del, sakrio Display Properties.nadam se, da je to dovoljna zastita za sada.






_{[Ovu poruku je menjao Kolins Balaban dana 07.08.2007. u 16:53 GMT+1]}

8 PORT NWAY FAST ETHERNET SWITCH
with
ADVANCED CONFIGURATION FUNCTIONS
and
REMOTE MANAGEMENT ABILITY VIA TinyIP
MODULE
(RTL8309SB chipset based)
User’s Manual
rev. 1.20
www.neomontana-bg.com
D i g i t a l S o l u t i o n s
y o u r p o w e r t o g e t t h i n g s d o n e
http://www.digitalsol.net [email protected]
Advanced design features

The smallest power consumption per port from all the switch
devices; makes it best choice for PoE solutions

Integrated EEPROM memory for storing custom device
configuration;

Integrated connector for easy external reprogramming of
configuration without the need of re-soldering any
components;

Easy connection to external TinyIP module for remote control
of the switch via Ethernet link
Management ability (statically or dynamically) via
TinyIP module)
• Port-based VLAN Grouping of ports – 8 VLAN Groups
• QoS function:
• QoS based on: (1) Port-based priority (2) 802.1p VLAN
tag (3) DiffServ/TOS field in TCP/IP header (4) IP
address
• Supports two-level priority queues with various
weighting ratios
• Queue service rate based on weighted round robin
algorithm
• Optional auto turn off Flow Control for 1~2 sec to avoid
head-of-line blocking
• Flexible 802.1Q port/tag-based VLAN:
• Optional 802.1Q tag-VID aware function
• Optional VLAN Ingress Tag Admit
• Optional VLAN Ingress Member set
• Optional ARP VLAN for broadcast packet
• Optional Leaky VLAN for unicast packet
• IEEE 802.1P/Q tag insertion or removal on per-port basis
(egress):
• Do not change packets (Default)
• Insert input port’s PVID for non-tagged packets. Do not
change packets if they are already tagged
• Remove VLAN tags from tagged packets. Do not
change packets if they are not tagged
• Remove VLAN tags from tagged packets then insert
the input port’s PVID. For non-tagged packets, insert
the input port’s PVID
• Selectable “Fast aging” (800uS) or “Normal aging” (300s) of
MAC table entries
• Detailed UTP Port Status and Control (Link, Speed, Duplex,
Remote fault, Jabber, AutoNeg.On, AutoNeg. Complete,
TX/RX Enable/Disable, Link quality, Loop)
• Per port TX/RX Enable/Disable (the easiest way to
disconnect port from switching)
• … and all other functions embedded in RTL8309SB chipset
(see datasheet for more info)
Key features (standard):
• 8 Port 10/100Base T/TX Nway (Auto-negotiation) Switch
with shielded RJ-45 connectors.
• Very Low Power consumption
• Auto-learning of networking configurations
• Auto-detect of Full/Half-duplex modes in all ports
• Dedicated full-duplex 200Mbps bandwidth on each port
• Store & Forward switching methods
• IEEE 802.3x flow control for Full-duplex
• Zero-Packet Loss Back-pressure flow control for Halfduplex
• Non-blocking & Non-head-of-line blocking full wire speed
forwarding
• Status LEDs: Power, 10/100M, Link/Activity And Full/Halfduplex
• Supports Auto MDIX function on each port
• Smart plug & play
TECHNICAL SPECIFICATIONS
1. Standards Compliance
- IEEE 802.3 10BASE-T
- IEEE 802.3u 100BASE-TX
2. Number Of Ports
- 8 integrated ports (10/100Mbps Nway port)
3. Fully Flow Control Supported
- Half-duplex mode: Backpressure
- Full-duplex mode: IEEE 802.3x.
4. Network Transmission Media
- 10Base–T Cat. 3, 4, 5 UTP/STP
- 100Base–TX Cat. 5 UTP/STP
5. Network Status Monitoring LEDs
- Per port: LINK/ACT (low power SMD LED’s)
- System: POWER
6. Buffer Memory
- 80KByte per device
7. Filter/Forward Rate
- Packet Filtering/ Forwarding Rates
- 100Mbps port - 148,800pps
- 10Mbps port - 148,80pps
8. MAC Address
- Up to 2K per device
9. Power
- Absolute maximum power voltage value – 15VDC !!!
- External DC power requirements: 7.5VDC – 15VDC;
- Power connector: Power Jack (2.1mm)
10. Power Consumption (@12VDC)
- Standby (no UTP connected): 0.45W
- UTP connected: 0.25W / per 100Mbs port
- Total: 3W (max)
11. Operating Temperature
- 0°~ 55°
12. Store Temperature
- -20°~ 90°
13. Humidity
- 10% ~90% RH (Non-condensing)
14. Safety & EMI Certificates
- CE & FCC-B

bolje ti je da zabranis NET.exe, taskkill, gpedit.msc (posle podesavanja u gpeditu :)), mmc.exe, ima jos stwari javicu ti kada se setim :D