|
[ notebookFun @ 29.03.2018. 07:48 ] @
| Imam nekoliko nejasnih pitanja i nadam se da cu dobiti adekvatan odgovor. Treba da unapredim mrezu u jednoj firmi koja ima oko 200 racunara u mrezi. Trenutno imaju nekoliko "kucnih" switch-eva i sad imaju u planu da to zamene sa smart switchem a ostali mogu raditi kao obicni.
U firmi postoji samo telekomov huawei router, na njega dolaze dvije optike i uradjen je failover. Na telekomovi routeru je iskljucen DHCP. U mrezi postoji jedan Windows server na kojem se nalazi AD i na njemu je ukljuce DHCP, DNS, VPN...itd
Od ponude za smart switch imaju D-Link DGS-3630-52TC/SI koji je layer 3.
Glavni razlog nabavke smart switch-a je filtriranje mac adresa. Treba napraviti white list sa uređajima koji mogu da koriste mrezu a sve ostale blokirati. Takođe bi trebalo uraditi port security...
Ja sam predlagao da se uradi bridge sa ovog Huawei rutera na smart switch i da se na njemu forwarduju svi portovi na server.
Interesuje me da li je neko koristio ovaj switch i da li ce on dobro da odradjuje failover izmedju dvije optike?
Da li je neko koristio njegov VPN, posto bi bilo bolje podici na njega nego na serveru?
Korisnici su malo cudni i htjeli bi da zadrze huawei ruter i podesen failover u njemu a da na ovom switch-u rade port forward. Ako bih ovaj switch stavio da radi kao obican switch (bridge) da li bi onda imao mogucnost podesavanje MAC filtera u njemu?
Nisam do sad imao iskustva sa ovim smart switch-em i predlozio sam Mikrotik router jer na njemu znam sve uraditi sto oni traze. Korisnik zeli samo ovaj D-LINK...
Sve sugestije su dobrodosle :)
|
[ Qazio @ 29.03.2018. 08:35 ] @
Cela ta prica sa tom firmom je malo konfuzna, a pokusacu objasniti zasto mislim da je tako.
- prvo dve optike, zasto? Teorija kaze ako zelis postici 5 devetki, onda prvi problem koji se pojavljuje je (ako sam dobro razumeo) imas dve optike preko istog provajdera - Telekoma, sto znaci ako padne jedna, sanse da su pale obe su 90%. Drugo sve i da nije tako, imas samo jedan ruter koji radi SLA ili slican protokol, sta ako ti padne taj ruter? Dzabe ti onda dve optike. Sve u svemu, kako stoje stvari dzabe bacaju pare na to, tj tako se to ne radi.
- drugo na AD je podignut VPN server? Ako je jos usput i file server, a mozda se na njemu vrti i neka aplikacija, ne bih dalje o tome, a pogotovu sto kazes da zelis neke portove preusmeriti, sto bi znacilo da je taj server ujedno i http ili sta god vec. Direktno izloziti DC ka net-u, ufffff… A da ne pricamo o tome da je zlatno pravilo na DC se ne stavlja APSOLUTNO nista
- iza rutera staviti L3 svic da bi se pravio port security??? Drugo, nisam siguran da mozes uopste praviti VPN ka tom svic-u, svicevi nisu namenjeni za to.
- Firma koja ima 200 korisnika i koristi kucne sviceve, a najvece dostignuce u koje zele investirati je D-Link? Iskreno, ja bih na tvom mestu prvo video sa njima sta zapravo zele, a nakon toga pokusao da im objasnim zasto im je potrebna profesionalna oprema, a ne kucna network izvedba, a ako odustanu, odustao bih i ja, jer na kraju ti kao neko ko je to kreirao trebas snositi posledice, tipa zasto serveri nisu u DMZ, ako padne net, kako je pao kad imamo dve optike, zasto mreza nije segmentirana, a ima toliki broj korisnika, itd. itd.
Ja razumem da mnogo firmi krene od malog broja uredjaja, pa se razviju u srednja preduzeca, ali to povlaci investicije za sobom ili ce poceti da se urusava lagano u najboljem slucaju, a ne daj Boze, moze da se slomi sve odjednom kao kula od karata, a ti onda ne znas sta bi, a odgovoran si za sve.
Zato i kazem ako citiram “Korisnik zeli samo ovaj D-link…” Ja bih ostavio korisniku da ga implementira, i trazio drugi posao :)
[ nkrgovic @ 29.03.2018. 08:45 ] @
Generalno, L3 switch nije da radi failover - ako imas ruter koji to radi, radi na njemu. Jos bolje ako ti je ruter managed, onda nije tvoja briga... Uostalom, kako bi to radilo? Da dva opticka porta bridge-ujes na dva ethernet, njih bodes u switch i onda na switcu dizes dve rute? Kako ce ti switch znati da li je ruta pala? Interfejs ce njemu biti ziv, njegov next-hop je ruter...
VPN na switch-u ne postoji, koristi Windows server, nemas bolje. Samo propusti sta treba kroz ruter.
E sad, filtriranje MAC adresa.... Sta tacno zelis da postignes? I sta znaci "port security"? 802.1X ili nesto prostije? Ako hoces da radis samo filtriranje po MAC adresi vodi racuna da :
- Na 200 uredjaja konstantno ces imati kvarove i nove adrese. Treba ti sistem da to pratis.
- Na 200 uredjaja nema sanse da pratis sve portove, a MAC adrese se fake-uju....
Iskreno, 200 uredjaja je ozbiljan enterprise korisnik, ta prica "ocemo 200 kucnih switcheva i jedan SMART (Braaate sta hoces, placamo ovaj SMART switch, znas koliko to kosta, a nista ne radi. Za te pare mozemo znas koliko puta u kafanu?) " - nece to da radi. Mislim RADICE, ali security? Vazi... :) Tu trebaju neki ozbiljni switchevi, neki pristojan NAC server, plus da se sve uveze na taj AD, pa da kazes da to nesto i radi. Vodi racuna da ti ostaje brdo switcheva koji ne podrzavaju 802.1q tagged tako da ne mozes ni da imas per-user VLAN, ni nista slicno. Takodje, na tom non-smart switchu moze da se kaci ko hoce, tako da imas sirok "lateral movement" preko segmenata mreze....
Odradi sta mozes, ali ne ocekuj neko resenje koje radi ozbiljno.
[ valjan @ 29.03.2018. 09:18 ] @
Ako sa njima potpišeš ugovor o održavanju i naplaćuješ im po izlasku, onda si obezbedio sebi redovan izvor prihoda koji će trajati ili dok oni tom svojom logikom ne ukapiraju da ti ne umeš da rešiš probleme sa mrežom pa potraže nekog drugog, ili dok se tebi ne smuči često zivkanje da nešto ne radi pa pobegneš od njih. A zivkanja će biti, jer kućni swičevi u daisy-chain varijanti, DC koji je u stvari server za sve, 200 korisnika na jednom sviču koji ima throughput 130.95 Mpps su prosto poziv za "gremline" da pokažu svoje umeće na ovoj mreži...
[ notebookFun @ 29.03.2018. 09:19 ] @
Ja bih najradije uzeo 1 mikrotik i uradio sve na njemu. Ali problem je sto je neko drugi ponudio opremu i ja je moram podesiti. Dobavljac kaze je switch layer 3 i da moze sve kao i Mikrotik i da cu imati nekakvu D-LINK obuku za to :D
Qazio
Kako su mi rekli, na Telekomovom router-u su dovedene dvije optike iz razlicitih dijelova grada, u njemu je uradjen failover i pusten kroz jedan Ethernet port.
Pod pojmom port security se misli da se ikljuci port na Switch-u za odredjenje korisnike (MAC adrese). Meni je besmisleno raditi to za svaku uticniku pa sam predlozio da se podesi MAC lista za sve korisnike koji mogu koristiti mrezu i da to vazi za sve uticnice.
Sta iako snifuje mrezu i spoof-uje mac ako i dalje ne moze pristupiti bitnim podacima? Jedino im moze ometati mrezu sa nekim ARP flood-om. Skenuo sam paznju da bih se ja vise zabavio sigurnoscu tog Windows servera...
@valjan
Pa nisu bas kucni, neki TP-LINK su ali su slabi, nemaju 10GbE portove kao ovaj ponudjeni.
Problem je sto oni imaju admine koji su i sami podesili DHCP na serveru, sve mi je to nekako nakaradno uradjeno... Mozda bi bilo najbolje da im predlozim pored ovih smart switch-eva da uzmu jos jedan Mikrotik na kojem bih uradio failover i forward portova kao i VPN server... Ali bi bilo onda besmisleno dati pare na smart switch kad on nema svoju punu funkciju...
[Ovu poruku je menjao notebookFun dana 29.03.2018. u 11:36 GMT+1]
[ bachi @ 29.03.2018. 11:12 ] @
Layer3 svič nije namenski ruter i ne može da menja namenski ruter. Layer3 svič u tom cenovnom rangu služi najviše sa segregaciju mreže u kojoj ćeš imati više podmreža i onda će taj svič da rutira između tih podmreža.
Dakle, ne bih ja prebacivao nešto što pouzdano radi sa Telekomovom opremom na bilo kakav svič, pogotovo ako postoji SLA sa Telekomom, a postoji, gde su oni dužni da tu opremu i održavaju i samim tim odgovorni za nju.
Dakle, ostavi failover kakav jeste na Huaweiu i tu ne diraj dugmiće.
Onda ovo ostalo je manje više lakše, s tim što jeste cimanje oko mac adresa, ali nadam se da ćeš naplatiti to kako treba.
To što je sve na jednom serveru gde je AD? Pa... Svi mi znamo da to ne treba tako i da AD treba da bude samo AD i DNS server i eventualno DHCP i apsolutno ništa više, ali... Budžet... Sve počinje i završava se sa budžetom. Naravno, unapred se ogradi i navedi potencijalne mane toga i u suštini zavisno od licence, ako se ne varam, standard server može da se podigne kao fizički + 2VM ili ga rokneš pod hyper-v server 2016 koji je besplatan i onda pod njim staviš 2 instance virtualnog servera, jedan bi bio AD, a na drugom bi bilo ostali mrežni servisi. Onda na taj VM host pošto je budžet očigledno šit, lepo digneš i pfsense i on ti bude VPN ruter, a taj posao radi sjajno, pričam iz iskustva. :D
[ notebookFun @ 29.03.2018. 11:55 ] @
A sta cemo sa forward-om portova koji radi Telekom na svom Huawei ruteru? To ide sve preko email-ova sa njima i ljude to nervira sto oni nemaju pristup tom ruteru...
[ notebookFun @ 29.03.2018. 12:06 ] @
Imaju ljudi budzet, ali moraju kupiti ove switcheve. Da li dodati jos jedan Mikrotik?
[ bachi @ 29.03.2018. 12:13 ] @
Pa koliko to portova forwardujete dnevno? 10? :D
Mislim, kao da se to radi svaki dan.
Stvar je jednostavna, barem ovako kako je ja vidim.
Ako je sve na Huaweiu, šta god da se desi sa Internet linkom, uključujući njihovu opremu - oni su odgovorni za to i ako ne reše prekid u roku od nn sati, plaćaju penale, jer je najverovatnije takav SLA.
Kada ti odradiš bridge, onda nije 100% njihova odgovornost ako ne radi net i samim tim sebi stvaraš problem i glavobolju da u tebe upiru prstom prvo kada net ne radi i u situaciju da ti budeš posrednik između te firme i Telekoma. Srećno sa tim.
Mislim da u odnosu na to slanje maila jednom u sto godina da bi se forwardovao port je dečija pesma, ali ti kako hoćeš.
[ notebookFun @ 29.03.2018. 12:54 ] @
Onda je po mene najbolje da im povezem ove switcheve, stavim servere na 10GbE portove i ne diram nista, uzmem im pare i ne diram nista :)
Ja nemam u planu da im dodajem te MAC adrese, oni ce to raditi sami, moje je samo da im dodam jednu eventualno radi probe.
Mene interesuje kako ce se ovaj Switch ponasati ako on nije DHCP server, da li cu imati mogudnosti da baratam sa MAC adresama i blokadama za odredjene portove (uticnice)? Nisam nikad radio sa ovim uređajem, ne djeluje mi mnogo komplikovano...
[ nkrgovic @ 29.03.2018. 12:58 ] @
Citat: notebookFun: Onda je po mene najbolje da im povezem ove switcheve, stavim servere na 10GbE portove i ne diram nista, uzmem im pare i ne diram nista :)
Pogledaj dokumentaciju da li je to switch port ili uplink port. Dosta putra sam vidjao da uplink port nema nikakav buffer ispred sebe, jer ocekuje da ide na trunk na drugom kraju - i onda dobijes ti 10Gb, ail losih. 4x1Gbit pravih portova cesto bolje radi.
[ notebookFun @ 29.03.2018. 13:14 ] @
hmmm...
[ Qazio @ 29.03.2018. 13:59 ] @
Djole moram da kupim to gvozdje Djoleee!!
- pa kupi ga i nosi ga kuci, a onda kupi sve ostalo sto ti treba :D
Ovo me sve asocira na tako nesto... :D
Pa napisano je da osnovni razlog kupovine svica port security i filtriranje mac adresa.
Prvo kako ces odraditi port security na 24 portnom svicu a imas 200 korisnika (sto podrazumeva da imas jedno 20 no name sviceva jedan iza drugog iili kako vec), drugo white list... Pa nije to AP, to je svic, trece ako je poenta zbudziti nesto, pa nemoj nista raditi, vec je zbudzeno i verovatno kako tako radi.
Forward portova na telekomovom ruteru preko Telekom podrske - to jednostavno nije tacno, obican kucni korisnik to moze da radi, a ne u tom slucaju gde sasvim sam siguran to je enterprice korisnik za Telekom. Mada nisam video telekomov Huawei ruter do koga dolaze dva opticka kabla, al ajde svasta se od kineza moze ocekivati :)
Bridge telekomovog rutera na L3 svic? Pa prebacivanje u bridge mod se radi kod ADSL-a pa onda PPoE, kod optike to se ne radi.
D-Link rekao da je L3 svic isto sto i ruter, pogotovu Mikrotik (mada odgovorno stojim da MIkrotik nije enterprice resenje), pa voleo bih da vidim tog strucnaka koji tako nesto kaze i jos da mi odrzi kurs za tako nesto :)
Iskreno mislim da onaj ko je postavio temu ima nameru da se malo sali na forumu ili ga je promasio
Virtuelizacija na cemu???? Ako nema para za sviceve i mreznu opremu, sta, radice virtueliczaciju na nekom PC racunaru?
i tako dalje...
[Ovu poruku je menjao Qazio dana 29.03.2018. u 15:14 GMT+1]
[ notebookFun @ 29.03.2018. 14:56 ] @
@Qazio
Imaju ljudi pare, ali postoji nesto sto se zove pranje novca i neko im je nametnuo tu D-LINK opremu!
Vidjao sam mikrotik u mrezi sa 500 racunara koji je radio odlicno posao rutera...
Telekom ima crni veliki Huawei ruter(Ne znam mu oznaku) koji ugradjuje korisnicima koji imaju opticki link, naravno na optiku se dodaje Ethernet Media Converter.
[Ovu poruku je menjao pajaja dana 29.03.2018. u 18:55 GMT+1]
[ Aleksandar Đokić @ 29.03.2018. 16:38 ] @
Moze, turi Mikrotik. Ali im trazi da ugase nakaradni NAT na glupom raspalom Huawei-ju... i da ti daju jedno 4-8 javnih da mozes lepo to da odradis.
U suprotnom batali.
[ notebookFun @ 29.03.2018. 17:07 ] @
Citat: Aleksandar Đokić: Moze, turi Mikrotik. Ali im trazi da ugase nakaradni NAT na glupom raspalom Huawei-ju... i da ti daju jedno 4-8 javnih da mozes lepo to da odradis.
U suprotnom batali.
Hvala, do sad sam i radio tako. Imaju vec 6 Javnih IP.
[Ovu poruku je menjao pajaja dana 29.03.2018. u 18:55 GMT+1]
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|