először is köszönöm a meleget-hideget. Sajnos/hál istennek már nem vagyok a Révai rendszergazdája de mit megtanultam ott egyes listratagok kiváncsiak rá igy leirom. Laci nem azért nem irtam le mert nem akartam csak feleslegesen több levelet begépelni a szabadidő terhére (2 éves gyerek asszony ....). Azt hiszem elfogadható indok:D
Vágjunk a közepébe már ez is hosszú lesz: LAN Szerencsémre az iskolánban volt egy nagy villamos rendszer átalákítás és ennek a keretében majdnem az egyész iskolában ujra lett huzalozva a lan igyhát tiszta lappal indulhattam (jó kihivás volt ~3km kábel behuzása). Szóval gyakorlatilag 4 központot alakítottam ki szerverszoba feladata kettős szerverek és a mellette lévő számtecterem kiszolgálása 102 terem feladata sziplán a 102-es számtecterem kiszolgálása ~24 port 101 központi elosztó maradék kiszolgálása sz1 terem feladata az sz1-es számtecterem kiszolgálása + wifi kapcsolat + diszterem alpvetően a szerver szobában a sulinetes szekrényben elfértem a többi helyen 9 illetve 16 u magas zárható rack szekrénybe raktam a felszerelést természetesen megfelelő kifejtők pach panelek kábelek segedelmével. szerintem elég kultúrált és átláthatón sikerül összehozni (na jó serverszobában eléggé 'érdekes' felállás jött össze a test környezetek miatt).Alapvetően a szekrények aljába tettem egy APC szünetmentes tápegységet fölé gyürüspanel majd pach panel felváltva legtetején optikai kifejtő doboz majd Zyxel ES-2024-a swichek kerültek be. alapvetően a egy 1gb 8 eres optikai gerincre van felfözve az egész iskola soros kiépítéssel. idővel beüzemeltem egy routert és egy tűzfalat melynek a kivitelezésére hardveres megoldás csillagászeti összegért lett volna megoldható. -> először barkácsoltam majd vetettem 2 db MSI kicsi 9xx szériás gépet melybe DOM modullal mikrotik op rendszert telepítettem (max 4-7e Ft 1 lisenc mikortik) ezen kivül wifi kapcsolatra feltettem a révai és az egyetem tetejére egy-egy dualfejes antennát és mikortik-es routerboardot. (wlan-ok.hu nál mindent megkaptam Köszönet Rajmon Lászlónak) vlan Ez szimpla vlan és nem wlan azaz egy olyan lejhetőség mely layer2-es programozható swichek adtak mellyel logikailag oszthattam fel a hállózatot, miért? egyszerű egy gép elkezd szemetelni a hálózaton ne haljon be az egész csak az adott ág. illetve nehezebb benne illegális dolgot művelni :D és nem utolsó soron könnyen kézbentartható Igy lett vagy 23 vlanom: vlan 1 -- name 1 ip 192.168.1.0/24;alap vlan ezt esetleges swich hiba miatt nem bántottam, de semmilyen forgalom nincs rajta vlan 2 -- name Bgazdasagi ip 10.1.2.0/26;mint kitalálható gazdasági iroda gépei vlan 3 -- name Bnyomtatok ip 10.1.3.0/26;nyomtatószerverrek és hálózati nyomtatók vlan 4 -- name 0server ip 10.1.255.0/24;belső müködéshez elengedhetettlen szerverek vlan 5 -- name 0admin ip 10.1.1.0/26;na itt én garázdálkodtam vlan 10 -- name Kpubl ip 195.199.183.200/29; Sulinetes publikus vlan vlan 12 -- name KRvedett ip erre nem emlékszem; sulinetes védett vlan vlan 24 -- name Ksz2 ip =sz2; technikai vlan a sulinetes swich használatához vlan 30 -- name Rvedett ip 10.1.24.0/26; iskolai adminisztráció gépei vlan 31 -- name Rtanar ip 10.1.25.0/26; tanárok által bitorolt gépek vlan 32 -- name Rszertar ip 10.1.26.0/26; szertárakban használt gépek vlan 33 -- name Rkonyvtar ip 10.1.27.0/26; könyvtár dolgozói gépei vlan 50 -- name wifi ip 10.1.32.0/24; wifi vlan 51 -- name diak ip 10.1.33.0/26; egyébb itt ott elszort diák gépek vlan 52 -- name projektor ip 10.1.34.0/26; termekben projektorokhoz szabadon álló protok vlan 61 -- name sz1 ip 10.1.16.0/26; gépterem vlan 62 -- name sz2 ip 10.1.17.0/26; gépterem vlan 63 -- name sz3 ip 10.1.18.0/26 ; gépterem vlan 98 -- name voip ; sajnos ez még csak ötlet volt és ez tette be az ajtót vlan 99 -- name router ip 10.1.99.0/26; aktiv eszközök admin felülete vlan 100 -- name turfal ip 10.1.100.0/26; router és a tűzfal közötti kommunikáció vlan 101 -- name niif ; niif felé lévő wifi kapcsolat vlan 255 -- name DMZ 92.168.255.0/24; publikus server nézzük miért lett kiosztva igy az egész: vannak vlanok ami csak válaszolhat kérdésre és van olyan ami kérdezhet is illetve vannak olyanok melyek egyáltalán nem kommunkálhatnak bizonyos irányba igy a végeredményben a belső kommunikációt szabályozó configrészletem: add action=add-src-to-address-list address-list=ideig address-list-timeout=30m chain=ss comment="" connection-state=new disabled=no dst-address=10.1.x.xx dst-port=xx \ protocol=tcp add action=drop chain=ss comment="" connection-state=new disabled=no dst-address=10.1.3.33 dst-port=33 protocol=tcp add action=accept chain=ss comment="rg gp elrse" disabled=no src-address-list=ideig add action=drop chain=ss comment="" disabled=no out-interface=Rvoip src-address=10.1.1.0/26 add action=accept chain=ss comment="" connection-state=new disabled=no dst-address=10.1.255.0/24 src-address=10.1.0.0/18 add action=accept chain=ss comment="" connection-state=new disabled=no dst-address=10.1.0.0/18 src-address=10.1.255.0/24 add action=accept chain=ss comment="" connection-state=new disabled=no dst-address=10.1.3.0/26 src-address=10.1.0.0/19 add action=drop chain=ss comment="" connection-state=new disabled=no dst-address=10.1.1.10 src-address=10.1.24.4 add action=drop chain=ss comment="" disabled=no első sor egy kiskapu amivel bárhonnan RG jogokat kaphatok 30 percre (portkopogtatás) ha megfigyelitek nem külön külön szabályoztam le egy egy vlan/subnet forgalmát hanem többet összevontam egy egy parancsba: pl add action=accept chain=ss comment="" connection-state=new disabled=no dst-address=10.1.3.0/26 src-address=10.1.0.0/19 nyomathat a 10.1.0.0-10.1.31.255-ig bárki na a routerről ennyi nem többet az egy másik alkalommal lesz. Ami még érdekes: Swichek: minegyikben van lehetőség egy egyszerű conf állományon S/FTP keresztül történő feltőltés segítségével configurálni (ujrainítást igényel) mig a ssh minden további nélkül egy szabványos felületet ad, de aki nem szereti a 'fapados' módszereket az talál www is (nem minden funkció érhető el rajta). példaképpen beillesztek egy configot: Building configuration... Current configuration: no remote-management 1 vlan 1 name 1 normal "" fixed 1-26 forbidden "" untagged 1-26 ip address default-management 192.168.1.3 255.255.255.0 exit vlan 2 name Bgazdasagi normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 3 name Bnyomtatok normal "" fixed 24-26 forbidden 1-23 untagged 1-24 exit vlan 5 name 0admin normal 24 fixed 25-26 forbidden 1-23 untagged 1-24 exit vlan 10 name Krpubl normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 12 name KRvedett normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 20 name KFpubl normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 22 name KFvedett normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 30 name Rvedett normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 31 name Rtanari normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 32 name Rszertar normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 33 name Rkonyvtar normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 50 name wifi normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 51 name 0diak normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 52 name projektor normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 61 name 0sz1 normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 63 name 0sz3 normal "" fixed 1-23,25 forbidden 24,26 untagged 1-24,26 exit vlan 99 name router normal "" fixed 25-26 forbidden 1-24 untagged 1-24 ip address 10.1.99.3 255.255.255.192 ip address default-gateway 10.1.99.62 exit vlan 100 name tuzfal normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit vlan 101 name niif normal "" fixed 25-26 forbidden 1-24 untagged 1-24 exit interface port-channel 1 pvid 63 exit interface port-channel 2 pvid 63 exit interface port-channel 3 pvid 63 exit interface port-channel 4 pvid 63 exit interface port-channel 5 pvid 63 exit interface port-channel 6 pvid 63 exit interface port-channel 7 pvid 63 exit interface port-channel 8 pvid 63 exit interface port-channel 9 pvid 63 exit interface port-channel 10 pvid 63 exit interface port-channel 11 pvid 63 exit interface port-channel 12 pvid 63 exit interface port-channel 13 pvid 63 exit interface port-channel 14 pvid 63 exit interface port-channel 15 pvid 63 exit interface port-channel 16 pvid 63 exit interface port-channel 17 pvid 63 exit interface port-channel 18 pvid 63 exit interface port-channel 19 pvid 63 exit interface port-channel 20 pvid 63 exit interface port-channel 21 pvid 63 vlan-trunking exit interface port-channel 22 pvid 63 exit interface port-channel 23 pvid 63 exit interface port-channel 24 pvid 3 exit interface port-channel 25 vlan-trunking exit interface port-channel 26 vlan-trunking exit hostname Revai-003 snmp-server get-community public snmp-server set-community public snmp-server trap-community public remote-management 2 start-addr 10.1.255.x end-addr 10.1.255.x service snmp remote-management 2 start-addr 10.1.1.10 end-addr 10.1.1.20 service ftp icmp snmp ssh https
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx