Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
05.10.2014 17:52:18
TP-Link TL-SG2008 switch ACL ei toimi. |
|
|
Hi, kas seegi on omale soetanud nimetatud switchi? Tundub et ACL ei toimi. See on seal üldse kuidagi segane. Nagu oleks kaks levelit reegleid. ACL reeglite listis saab reegleid nihutada üles-alla, kuid policite listis ei saa. Arusaamatuks jääb, et kui ACL listis ükski reegel ei vasta et siis milline on default action. Samuti on selgusetu et kui policite listis üks reegel näiteks lubab ja teine keelab, et kumb siis võidab. Policite listis järjekorda ei saa muuta ja vist kõik käiakse läbi.
Igaljuhul katsetuse tulemus oli et korra lasi läbi ja korra samas mitte. Oli ühte porti pandud wifi-ruuter, mille mobiilsed kliendid said DHCP kätte teises pordis asuvalt tulemüürilt. Tahtsin mobiilsete klientide MAC aadresside järgi liiklust lubada-blokeerida, et ainult osa saaks igale poole ja osa ainult gatewaysse. Aga ei toiminud. Muu paistab korras olema ja firmware sai ka uus pandud.
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
10.10.2014 20:30:13
|
|
|
Miks sa püüad switchi panna tegema tulemüüri tööd? Tee erinevad wifi VLANid ja müüri VLANide vahel. VLANi kuuluvust saad näiteks MAC aadressi v. kasutajanime parooli järgi jagada RADIUSe serverist.
_________________ Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
11.10.2014 00:05:19
|
|
|
OFFF kirjutas: |
Miks sa püüad switchi panna tegema tulemüüri tööd? Tee erinevad wifi VLANid ja müüri VLANide vahel. VLANi kuuluvust saad näiteks MAC aadressi v. kasutajanime parooli järgi jagada RADIUSe serverist. |
Wifil pole VLANi võimalust ja switch pole nii võimas et MACide alusel VLANe teha. See switch on 45 eur. Switch mis MAC alusel ka VLANe teeks maksaks 90 eur. Ostaks kohe aga ei kaalu üles oma tähtsusega.
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
13.10.2014 20:25:57
|
|
|
Võimalik, et see ACLide osa seal ongi bugine. Sedasorti odavkarpide softid on tihtipeale õige kehvasti testitud. Lõppeks keegi ju ei eelda, et 45-EURisel karbil kõik featuurid toimivad v. antakse kaasa juhend, mis ammendavalt seletab, kuidas asjad tööle saab.
_________________ Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
13.10.2014 20:49:21
|
|
|
OFFF kirjutas: |
Võimalik, et see ACLide osa seal ongi bugine. Sedasorti odavkarpide softid on tihtipeale õige kehvasti testitud. Lõppeks keegi ju ei eelda, et 45-EURisel karbil kõik featuurid toimivad v. antakse kaasa juhend, mis ammendavalt seletab, kuidas asjad tööle saab. |
Mul koju ei tasu eriti kallimat osta. Peamiselt Elioni TV vlani tarbeks, plus pisut endale põnevust. Tõenäoliselt ongi bugi, ACL bindimine VLANi viskab veel management interfacest välja, mis on hoopis teises VLANis. Võimlen momendil suppordiga, äkki pärast ütlevad veel aitäh ja lubavad teise mudeli vastu vahetada. Mingi 4 pordise "easy smart switch"i ostsin algul, see oli veel 25 eur, mingi uus mudel, aga Elioni VLANi jaoks piisav. Sellel oli selline viga et DHCP-d üldse mingi nipiga portidest läbi ei lasknud. Nädala oli garantiis, tunnistasid et on jah vigane, arvatavasti firmware ja siis vahetati välja, maksin poole juurde ja sain "smart switchi". Võiks järgmise katse teha siis "L2 switchi" peale ja veel juurde maksta kui juba hasardiks asi läks. Edasi on veel "L3 switch" ka sellel TP-Lingil.
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
15.10.2014 17:40:05
|
|
|
Eh no, võiks näiteks säänne olla. 38€ maksab.
http://www.sonictest.ee/epood/?243,rb260gs
Mul töötab RB260gs lihtsa jagajana, mis teeb 2t VLANi PON lahenduse taga. Pole ruuterit vaja. Nüüd plaan wifi juurde osta miniAP-na.
_________________ Ma trollin 50% oma postitustest. |
|
Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
52 |
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
15.10.2014 18:43:17
|
|
|
Pailaps kirjutas: |
Eh no, võiks näiteks säänne olla. 38€ maksab.
http://www.sonictest.ee/epood/?243,rb260gs
Mul töötab RB260gs lihtsa jagajana, mis teeb 2t VLANi PON lahenduse taga. Pole ruuterit vaja. Nüüd plaan wifi juurde osta miniAP-na. |
Tundub huvitav aga kas selle kohta mingit manuaali ka on? Esimese hooga nagu ei leidnud. GUI on kõige tähtsam, käsurida ei viitsi isegi proovida tänapäeva võimaluste puhul. RouterOS on mul virtuaalmasinas täitsa olemas ja GUI on täiesti rahuldav, hea on taga EoIP-d teha, kuid selle VLANiga võib vareseid loopida. RouterOS VLANil pole võimalusi ei PVID seadeteks, ingress-egress tagimiseks ega MAC põhiseks VLANitamiseks.
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
|
Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
52 |
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
16.10.2014 01:14:43
|
|
|
Täitsa hea. VLAN ja ACL ja port-isolation tundub olema korralik, eeldusel et ikka toimib ka. Tunduvad kuidagi odavama otsa switchid olema. Huvitav kas neil kallimaid ka on. Näiteks jäi silma et puudu oli:
*) MAC aadresside järgi VLAN
*) DHCP portide alusel blokeering
*) MAC learningu piiramine ja välja lülimine
*) flow control
*) storm control
TP-Link'il tundub sama raha eest rohkem võimalusi ja 3 porti rohkem.
Endal on see - http://www.tp-link.us/products/details/?categoryid=223&model=TL-SG2008
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
16.10.2014 15:47:23
|
|
|
vaegkuulja kirjutas: |
Täitsa hea. VLAN ja ACL ja port-isolation tundub olema korralik, eeldusel et ikka toimib ka. Tunduvad kuidagi odavama otsa switchid olema. Huvitav kas neil kallimaid ka on. Näiteks jäi silma et puudu oli:
*) MAC aadresside järgi VLAN
*) DHCP portide alusel blokeering
*) MAC learningu piiramine ja välja lülimine
*) flow control
*) storm control
TP-Link'il tundub sama raha eest rohkem võimalusi ja 3 porti rohkem.
Endal on see - http://www.tp-link.us/products/details/?categoryid=223&model=TL-SG2008 |
mul pole porte niipalju tarves. esimest kahte võimalust ei ole, teised on by default featuur.
kallimad switchid oskavad rohkemat ka.
Plaan on RB1100AHx2 kasutusele võtta.
_________________ Ma trollin 50% oma postitustest. |
|
Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
52 |
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
16.10.2014 17:09:16
|
|
|
Pailaps kirjutas: |
vaegkuulja kirjutas: |
Täitsa hea. VLAN ja ACL ja port-isolation tundub olema korralik, eeldusel et ikka toimib ka. Tunduvad kuidagi odavama otsa switchid olema. Huvitav kas neil kallimaid ka on. Näiteks jäi silma et puudu oli:
*) MAC aadresside järgi VLAN
*) DHCP portide alusel blokeering
*) MAC learningu piiramine ja välja lülimine
*) flow control
*) storm control
TP-Link'il tundub sama raha eest rohkem võimalusi ja 3 porti rohkem.
Endal on see - http://www.tp-link.us/products/details/?categoryid=223&model=TL-SG2008 |
mul pole porte niipalju tarves. esimest kahte võimalust ei ole, teised on by default featuur.
kallimad switchid oskavad rohkemat ka.
Plaan on RB1100AHx2 kasutusele võtta. |
Mida tähendab "by default featuur"? Igaljuhul selles SwOS manuaalis küll polnud välja lugeda mingit MAC learningu seadistust. Siis nii et näiteks sean max. 4 MACi ja kui 4 MACi on õpitud, siis enam rohkem keegi ligi ei saa. Või siis panen käsitsi MACid kirja ja lülin learningu välja. Storm controli seadeid ka ei märganud, nii et saan näiteks broadcastile ja multicastile seada kiiruspiidangud vastavalt pordile. Aga see RB1100AHx2 pole ju switch enam ja hind on ka 5x kallim. See Mikrotik tundub kuidagi amatöörettevõtmine olema, neil on dokumentatsiooni kirjutamisega probleeme, ei usalda neid eriti. TP-Link on jube eeskujulik koduleht ja support on ka viisakas, lisaks dokumentatsioonile on veel võimalus webis kohe virtuaalselt proovida manageerimist. Aga ruuteri-gateway-tulemüüriks ise kasutan üldse Kerio Controlit, mida ei vahetaks mitte ühegi muu vastu, arvan et sellest võimsamat gatewayd polegi olemas.
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
17.10.2014 13:34:41
|
|
|
#GUI on kõige tähtsam, käsurida ei viitsi isegi proovida tänapäeva võimaluste puhul. #
Selle attitudega kaugele ei sõida.
_________________ Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
17.10.2014 13:46:34
|
|
|
vaegkuulja kirjutas: |
Täitsa hea. VLAN ja ACL ja port-isolation tundub olema korralik, eeldusel et ikka toimib ka. Tunduvad kuidagi odavama otsa switchid olema. Huvitav kas neil kallimaid ka on. Näiteks jäi silma et puudu oli:
*) MAC aadresside järgi VLAN
*) DHCP portide alusel blokeering
*) MAC learningu piiramine ja välja lülimine
*) flow control
*) storm control
|
"MAC aadresside järgi VLAN" võiks olla nagu 802.1x ja RAIDUS serveri teema. Kommutaator enamasti ei peagi sellist asja "omaenese tarkusest" oskama.
Mis loom võiks olla "DHCP portide alusel blokeering"? DHCP on tavaline L3 protokoll. Kui kommutaatoril on ACLide tugi, siis saab muu hulgas ka DHCP-d keelata-lubada.
"MAC learningu piiramine ja välja lülimine" -- milleks see küll hea võiks olla?
"flow control" -- see on nagu rohkem "päris" kommutaatorite teema, kuigi kindlasti leidub ka selliseid odavama otsa tükke, mis QoSist midagi teavad. Jällegi, milleks?
"storm control" kommutaator, mis ei oska STP-d rääkida ei ole nagu väga kommutaatori nime väärt.
Kõige odavam "päris" kommutaator, mida mina tean, on HP1810. Kusagil kanti 150 E.
_________________ Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
17.10.2014 14:08:31
|
|
|
OFFF kirjutas: |
#GUI on kõige tähtsam, käsurida ei viitsi isegi proovida tänapäeva võimaluste puhul. #
Selle attitudega kaugele ei sõida. |
Ma ei tahagi kuhugi sõita.
OFFF kirjutas: |
"MAC aadresside järgi VLAN" võiks olla nagu 802.1x ja RAIDUS serveri teema. Kommutaator enamasti ei peagi sellist asja "omaenese tarkusest" oskama.
|
Ei, see on muu asi - http://www.tp-link.us/resources/simulator/TL-SG3424/Index.htm
VLAN ---> MAC VLAN
OFFF kirjutas: |
Mis loom võiks olla "DHCP portide alusel blokeering"? DHCP on tavaline L3 protokoll. Kui kommutaatoril on ACLide tugi, siis saab muu hulgas ka DHCP-d keelata-lubada.
|
Ei, see pole ACL seotud. Vaata samast lingist. Network Security --> IP-MAC Binding --> DHCP Snooping
OFFF kirjutas: |
"MAC learningu piiramine ja välja lülimine" -- milleks see küll hea võiks olla?
|
Selleks et keegi enam rohkem ei saa sisevõrgus switchist läbi peale nende kes juba on.
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
17.10.2014 17:58:31
|
|
|
Üsna kummaline riistapuu see TP-LINK. Hiinlased on sinna mingeid omapäraseid, üldiselt kommutaatorile mitte-omaseid featüüre juurde aretanud. Kui need nüüd veel töötaks kah...
MACi põhine piiramine on muidugi puhtakujuline "security by obscurity" päriselt peaks seda asja siiski 802.1x tegema või siis üldse tegemata jätma, selmet pseudo-turvat aretada.
_________________ Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
Kommentaarid: 32 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
29 |
|
tagasi üles |
|
|
vaegkuulja
Aeg maha 30
liitunud: 08.11.2007
|
17.10.2014 18:59:43
|
|
|
OFFF kirjutas: |
Üsna kummaline riistapuu see TP-LINK. Hiinlased on sinna mingeid omapäraseid, üldiselt kommutaatorile mitte-omaseid featüüre juurde aretanud. Kui need nüüd veel töötaks kah...
MACi põhine piiramine on muidugi puhtakujuline "security by obscurity" päriselt peaks seda asja siiski 802.1x tegema või siis üldse tegemata jätma, selmet pseudo-turvat aretada. |
Mulle on see TP-Link kuidagi sümpatiseerima hakanud, webisait on ülevaatlik, dokumentatsioon põhjalik ja manageerimine käe järgi. Kunagi aastaid tagasi avastasin et korraliku managed switchi saab ka odavamalt. Esimese TP-Link smart-switchi ostsin 2008a. Väga korralik, siiani töös, ainult toite sai vahetatud, ütles üles. Uutel mudelitel funktsioone on rohkem ja mõõtmed on poole väiksemad. See "easy smart", "smart", "L2" ja "L3" on suht meelevaldsed ja pole otseselt seotud layeritega. Umbes nii et "L2" tähendab et osa funktsioone on L3 ning "L3" tähendab et juba rohkem on L3 funktsioone lisaks. Lihtsalt hinnaklass.
_________________ [img:]https://foorum.hinnavaatlus.ee/images/200x40_HV.gif[/img:] |
|
Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
0 :: |
1 |
|
tagasi üles |
|
|
|