először is köszönöm a meleget-hideget. Sajnos/hál istennek már nem vagyok a
Révai rendszergazdája de mit megtanultam ott egyes listratagok kiváncsiak rá
igy leirom. Laci nem azért nem irtam le mert nem akartam csak feleslegesen
több levelet begépelni a szabadidő terhére (2 éves gyerek asszony ....). Azt
hiszem elfogadható indok:D
Vágjunk a közepébe már ez is hosszú lesz:
LAN
Szerencsémre az iskolánban volt egy nagy villamos rendszer átalákítás és ennek
a keretében majdnem az egyész iskolában ujra lett huzalozva a lan igyhát
tiszta lappal indulhattam (jó kihivás volt ~3km kábel behuzása).
Szóval gyakorlatilag 4 központot alakítottam ki
szerverszoba feladata kettős szerverek és a mellette lévő számtecterem
kiszolgálása
102 terem feladata sziplán a 102-es számtecterem kiszolgálása ~24 port
101 központi elosztó maradék kiszolgálása
sz1 terem feladata az sz1-es számtecterem kiszolgálása + wifi kapcsolat +
diszterem
alpvetően a szerver szobában a sulinetes szekrényben elfértem a többi helyen 9
illetve 16 u magas zárható rack szekrénybe raktam a felszerelést természetesen
megfelelő kifejtők pach panelek kábelek segedelmével. szerintem elég kultúrált
és átláthatón sikerül összehozni (na jó serverszobában eléggé 'érdekes'
felállás jött össze a test környezetek miatt).Alapvetően a szekrények aljába
tettem egy APC szünetmentes tápegységet fölé gyürüspanel majd pach panel
felváltva
legtetején optikai kifejtő doboz majd Zyxel ES-2024-a swichek kerültek be.
alapvetően a egy 1gb 8 eres optikai gerincre van felfözve az egész iskola
soros kiépítéssel.
idővel beüzemeltem egy routert és egy tűzfalat melynek a kivitelezésére
hardveres megoldás csillagászeti összegért lett volna megoldható. -> először
barkácsoltam majd vetettem 2 db MSI kicsi 9xx szériás gépet melybe DOM
modullal mikrotik op rendszert telepítettem (max 4-7e Ft 1 lisenc mikortik)
ezen kivül wifi kapcsolatra feltettem a révai és az egyetem tetejére egy-egy
dualfejes antennát és mikortik-es routerboardot. (wlan-ok.hu nál mindent
megkaptam Köszönet Rajmon Lászlónak)
vlan
Ez szimpla vlan és nem wlan azaz egy olyan lejhetőség mely layer2-es
programozható swichek adtak mellyel logikailag oszthattam fel a hállózatot,
miért? egyszerű egy gép elkezd szemetelni a hálózaton ne haljon be az egész
csak az adott ág. illetve nehezebb benne illegális dolgot művelni :D és nem
utolsó soron könnyen kézbentartható
Igy lett vagy 23 vlanom:
vlan 1 -- name 1 ip 192.168.1.0/24;alap vlan ezt esetleges swich hiba miatt nem
bántottam, de semmilyen
forgalom nincs rajta
vlan 2 -- name Bgazdasagi ip 10.1.2.0/26;mint kitalálható gazdasági iroda gépei
vlan 3 -- name Bnyomtatok ip 10.1.3.0/26;nyomtatószerverrek és hálózati
nyomtatók
vlan 4 -- name 0server ip 10.1.255.0/24;belső müködéshez elengedhetettlen
szerverek
vlan 5 -- name 0admin ip 10.1.1.0/26;na itt én garázdálkodtam
vlan 10 -- name Kpubl ip 195.199.183.200/29; Sulinetes publikus vlan
vlan 12 -- name KRvedett ip erre nem emlékszem; sulinetes védett vlan
vlan 24 -- name Ksz2 ip =sz2; technikai vlan a sulinetes swich használatához
vlan 30 -- name Rvedett ip 10.1.24.0/26; iskolai adminisztráció gépei
vlan 31 -- name Rtanar ip 10.1.25.0/26; tanárok által bitorolt gépek
vlan 32 -- name Rszertar ip 10.1.26.0/26; szertárakban használt gépek
vlan 33 -- name Rkonyvtar ip 10.1.27.0/26; könyvtár dolgozói gépei
vlan 50 -- name wifi ip 10.1.32.0/24; wifi
vlan 51 -- name diak ip 10.1.33.0/26; egyébb itt ott elszort diák gépek
vlan 52 -- name projektor ip 10.1.34.0/26; termekben projektorokhoz szabadon
álló protok
vlan 61 -- name sz1 ip 10.1.16.0/26; gépterem
vlan 62 -- name sz2 ip 10.1.17.0/26; gépterem
vlan 63 -- name sz3 ip 10.1.18.0/26 ; gépterem
vlan 98 -- name voip ; sajnos ez még csak ötlet volt és ez tette be az ajtót
vlan 99 -- name router ip 10.1.99.0/26; aktiv eszközök admin felülete
vlan 100 -- name turfal ip 10.1.100.0/26; router és a tűzfal közötti
kommunikáció
vlan 101 -- name niif ; niif felé lévő wifi kapcsolat
vlan 255 -- name DMZ 92.168.255.0/24; publikus server
nézzük miért lett kiosztva igy az egész:
vannak vlanok ami csak válaszolhat kérdésre és van olyan ami kérdezhet is
illetve vannak olyanok melyek egyáltalán nem kommunkálhatnak bizonyos irányba
igy a végeredményben a belső kommunikációt szabályozó configrészletem:
add action=add-src-to-address-list address-list=ideig address-list-timeout=30m
chain=ss comment="" connection-state=new disabled=no dst-address=10.1.x.xx
dst-port=xx \
protocol=tcp
add action=drop chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.3.33 dst-port=33 protocol=tcp
add action=accept chain=ss comment="rg gp elrse" disabled=no
src-address-list=ideig
add action=drop chain=ss comment="" disabled=no out-interface=Rvoip
src-address=10.1.1.0/26
add action=accept chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.255.0/24 src-address=10.1.0.0/18
add action=accept chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.0.0/18 src-address=10.1.255.0/24
add action=accept chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.3.0/26 src-address=10.1.0.0/19
add action=drop chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.1.10 src-address=10.1.24.4
add action=drop chain=ss comment="" disabled=no
első sor egy kiskapu amivel bárhonnan RG jogokat kaphatok 30 percre
(portkopogtatás)
ha megfigyelitek nem külön külön szabályoztam le egy egy vlan/subnet
forgalmát hanem többet összevontam egy egy parancsba:
pl
add action=accept chain=ss comment="" connection-state=new disabled=no
dst-address=10.1.3.0/26 src-address=10.1.0.0/19
nyomathat a 10.1.0.0-10.1.31.255-ig bárki
na a routerről ennyi nem többet az egy másik alkalommal lesz.
Ami még érdekes:
Swichek: minegyikben van lehetőség egy egyszerű conf állományon S/FTP keresztül
történő feltőltés segítségével configurálni (ujrainítást igényel) mig a ssh
minden további nélkül egy szabványos felületet ad, de aki nem szereti a
'fapados' módszereket az talál www is (nem minden funkció érhető el rajta).
példaképpen beillesztek egy configot:
Building configuration...
Current configuration:
no remote-management 1
vlan 1
name 1
normal ""
fixed 1-26
forbidden ""
untagged 1-26
ip address default-management 192.168.1.3 255.255.255.0
exit
vlan 2
name Bgazdasagi
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 3
name Bnyomtatok
normal ""
fixed 24-26
forbidden 1-23
untagged 1-24
exit
vlan 5
name 0admin
normal 24
fixed 25-26
forbidden 1-23
untagged 1-24
exit
vlan 10
name Krpubl
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 12
name KRvedett
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 20
name KFpubl
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 22
name KFvedett
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 30
name Rvedett
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 31
name Rtanari
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 32
name Rszertar
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 33
name Rkonyvtar
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 50
name wifi
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 51
name 0diak
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 52
name projektor
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 61
name 0sz1
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 63
name 0sz3
normal ""
fixed 1-23,25
forbidden 24,26
untagged 1-24,26
exit
vlan 99
name router
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
ip address 10.1.99.3 255.255.255.192
ip address default-gateway 10.1.99.62
exit
vlan 100
name tuzfal
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
vlan 101
name niif
normal ""
fixed 25-26
forbidden 1-24
untagged 1-24
exit
interface port-channel 1
pvid 63
exit
interface port-channel 2
pvid 63
exit
interface port-channel 3
pvid 63
exit
interface port-channel 4
pvid 63
exit
interface port-channel 5
pvid 63
exit
interface port-channel 6
pvid 63
exit
interface port-channel 7
pvid 63
exit
interface port-channel 8
pvid 63
exit
interface port-channel 9
pvid 63
exit
interface port-channel 10
pvid 63
exit
interface port-channel 11
pvid 63
exit
interface port-channel 12
pvid 63
exit
interface port-channel 13
pvid 63
exit
interface port-channel 14
pvid 63
exit
interface port-channel 15
pvid 63
exit
interface port-channel 16
pvid 63
exit
interface port-channel 17
pvid 63
exit
interface port-channel 18
pvid 63
exit
interface port-channel 19
pvid 63
exit
interface port-channel 20
pvid 63
exit
interface port-channel 21
pvid 63
vlan-trunking
exit
interface port-channel 22
pvid 63
exit
interface port-channel 23
pvid 63
exit
interface port-channel 24
pvid 3
exit
interface port-channel 25
vlan-trunking
exit
interface port-channel 26
vlan-trunking
exit
hostname Revai-003
snmp-server get-community public
snmp-server set-community public
snmp-server trap-community public
remote-management 2 start-addr 10.1.255.x end-addr 10.1.255.x service snmp
remote-management 2 start-addr 10.1.1.10 end-addr 10.1.1.20 service ftp icmp
snmp ssh https
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.1let.hu/illemtan.html
Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
