Miert is a multido? (Valami oka van annak, hogy mindezt a multba helyezted?) Egyebkent a VOIP miert csukja be az ajtót???
2008/12/17 Sinkó Gábor Zoltán <[email protected]> > először is köszönöm a meleget-hideget. Sajnos/hál istennek már nem vagyok a > Révai rendszergazdája de mit megtanultam ott egyes listratagok kiváncsiak > rá > igy leirom. Laci nem azért nem irtam le mert nem akartam csak feleslegesen > több levelet begépelni a szabadidő terhére (2 éves gyerek asszony ....). > Azt > hiszem elfogadható indok:D > > Vágjunk a közepébe már ez is hosszú lesz: > LAN > Szerencsémre az iskolánban volt egy nagy villamos rendszer átalákítás és > ennek > a keretében majdnem az egyész iskolában ujra lett huzalozva a lan igyhát > tiszta lappal indulhattam (jó kihivás volt ~3km kábel behuzása). > Szóval gyakorlatilag 4 központot alakítottam ki > szerverszoba feladata kettős szerverek és a mellette lévő számtecterem > kiszolgálása > 102 terem feladata sziplán a 102-es számtecterem kiszolgálása ~24 port > 101 központi elosztó maradék kiszolgálása > sz1 terem feladata az sz1-es számtecterem kiszolgálása + wifi kapcsolat + > diszterem > > alpvetően a szerver szobában a sulinetes szekrényben elfértem a többi > helyen 9 > illetve 16 u magas zárható rack szekrénybe raktam a felszerelést > természetesen > megfelelő kifejtők pach panelek kábelek segedelmével. szerintem elég > kultúrált > és átláthatón sikerül összehozni (na jó serverszobában eléggé 'érdekes' > felállás jött össze a test környezetek miatt).Alapvetően a szekrények > aljába > tettem egy APC szünetmentes tápegységet fölé gyürüspanel majd pach panel > felváltva > legtetején optikai kifejtő doboz majd Zyxel ES-2024-a swichek kerültek be. > > alapvetően a egy 1gb 8 eres optikai gerincre van felfözve az egész iskola > soros kiépítéssel. > > idővel beüzemeltem egy routert és egy tűzfalat melynek a kivitelezésére > hardveres megoldás csillagászeti összegért lett volna megoldható. -> > először > barkácsoltam majd vetettem 2 db MSI kicsi 9xx szériás gépet melybe DOM > modullal mikrotik op rendszert telepítettem (max 4-7e Ft 1 lisenc mikortik) > ezen kivül wifi kapcsolatra feltettem a révai és az egyetem tetejére > egy-egy > dualfejes antennát és mikortik-es routerboardot. (wlan-ok.hu nál mindent > megkaptam Köszönet Rajmon Lászlónak) > > vlan > Ez szimpla vlan és nem wlan azaz egy olyan lejhetőség mely layer2-es > programozható swichek adtak mellyel logikailag oszthattam fel a hállózatot, > miért? egyszerű egy gép elkezd szemetelni a hálózaton ne haljon be az egész > csak az adott ág. illetve nehezebb benne illegális dolgot művelni :D és nem > utolsó soron könnyen kézbentartható > Igy lett vagy 23 vlanom: > > vlan 1 -- name 1 ip 192.168.1.0/24;alap vlan ezt esetleges swich hiba > miatt nem bántottam, de semmilyen > forgalom nincs rajta > vlan 2 -- name Bgazdasagi ip 10.1.2.0/26;mint kitalálható gazdasági iroda > gépei > vlan 3 -- name Bnyomtatok ip > 10.1.3.0/26;nyomtatószerverrek<http://10.1.3.0/26;nyomtat%C3%B3szerverrek>és > hálózati nyomtatók > vlan 4 -- name 0server ip 10.1.255.0/24;belső müködéshez elengedhetettlen > szerverek > vlan 5 -- name 0admin ip 10.1.1.0/26;na itt én garázdálkodtam > vlan 10 -- name Kpubl ip 195.199.183.200/29; Sulinetes publikus vlan > vlan 12 -- name KRvedett ip erre nem emlékszem; sulinetes védett vlan > vlan 24 -- name Ksz2 ip =sz2; technikai vlan a sulinetes swich > használatához > vlan 30 -- name Rvedett ip 10.1.24.0/26; iskolai adminisztráció gépei > vlan 31 -- name Rtanar ip 10.1.25.0/26; tanárok által bitorolt gépek > vlan 32 -- name Rszertar ip 10.1.26.0/26; szertárakban használt gépek > vlan 33 -- name Rkonyvtar ip 10.1.27.0/26; könyvtár dolgozói gépei > vlan 50 -- name wifi ip 10.1.32.0/24; wifi > vlan 51 -- name diak ip 10.1.33.0/26; egyébb itt ott elszort diák gépek > vlan 52 -- name projektor ip 10.1.34.0/26; termekben projektorokhoz > szabadon álló protok > vlan 61 -- name sz1 ip 10.1.16.0/26; gépterem > vlan 62 -- name sz2 ip 10.1.17.0/26; gépterem > vlan 63 -- name sz3 ip 10.1.18.0/26 ; gépterem > vlan 98 -- name voip ; sajnos ez még csak ötlet volt és ez tette be az > ajtót > vlan 99 -- name router ip 10.1.99.0/26; aktiv eszközök admin felülete > vlan 100 -- name turfal ip 10.1.100.0/26; router és a tűzfal közötti > kommunikáció > vlan 101 -- name niif ; niif felé lévő wifi kapcsolat > vlan 255 -- name DMZ 92.168.255.0/24; publikus server > > nézzük miért lett kiosztva igy az egész: > vannak vlanok ami csak válaszolhat kérdésre és van olyan ami kérdezhet is > illetve vannak olyanok melyek egyáltalán nem kommunkálhatnak bizonyos > irányba > igy a végeredményben a belső kommunikációt szabályozó configrészletem: > > add action=add-src-to-address-list address-list=ideig > address-list-timeout=30m chain=ss comment="" connection-state=new > disabled=no dst-address=10.1.x.xx dst-port=xx \ > protocol=tcp > add action=drop chain=ss comment="" connection-state=new disabled=no > dst-address=10.1.3.33 dst-port=33 protocol=tcp > add action=accept chain=ss comment="rg gp elrse" disabled=no > src-address-list=ideig > add action=drop chain=ss comment="" disabled=no out-interface=Rvoip > src-address=10.1.1.0/26 > add action=accept chain=ss comment="" connection-state=new disabled=no > dst-address=10.1.255.0/24 src-address=10.1.0.0/18 > add action=accept chain=ss comment="" connection-state=new disabled=no > dst-address=10.1.0.0/18 src-address=10.1.255.0/24 > add action=accept chain=ss comment="" connection-state=new disabled=no > dst-address=10.1.3.0/26 src-address=10.1.0.0/19 > add action=drop chain=ss comment="" connection-state=new disabled=no > dst-address=10.1.1.10 src-address=10.1.24.4 > add action=drop chain=ss comment="" disabled=no > > első sor egy kiskapu amivel bárhonnan RG jogokat kaphatok 30 percre > (portkopogtatás) > ha megfigyelitek nem külön külön szabályoztam le egy egy vlan/subnet > forgalmát hanem többet összevontam egy egy parancsba: > pl > add action=accept chain=ss comment="" connection-state=new disabled=no > dst-address=10.1.3.0/26 src-address=10.1.0.0/19 > > nyomathat a 10.1.0.0-10.1.31.255-ig bárki > > na a routerről ennyi nem többet az egy másik alkalommal lesz. > > Ami még érdekes: > Swichek: minegyikben van lehetőség egy egyszerű conf állományon S/FTP > keresztül > történő feltőltés segítségével configurálni (ujrainítást igényel) mig a ssh > minden további nélkül egy szabványos felületet ad, de aki nem szereti a > 'fapados' módszereket az talál www is (nem minden funkció érhető el rajta). > példaképpen beillesztek egy configot: > > Building configuration... > > Current configuration: > > no remote-management 1 > vlan 1 > name 1 > normal "" > fixed 1-26 > forbidden "" > untagged 1-26 > ip address default-management 192.168.1.3 255.255.255.0 > exit > vlan 2 > name Bgazdasagi > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 3 > name Bnyomtatok > normal "" > fixed 24-26 > forbidden 1-23 > untagged 1-24 > exit > vlan 5 > name 0admin > normal 24 > fixed 25-26 > forbidden 1-23 > untagged 1-24 > exit > vlan 10 > name Krpubl > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 12 > name KRvedett > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 20 > name KFpubl > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 22 > name KFvedett > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 30 > name Rvedett > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 31 > name Rtanari > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 32 > name Rszertar > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 33 > name Rkonyvtar > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 50 > name wifi > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 51 > name 0diak > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 52 > name projektor > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 61 > name 0sz1 > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 63 > name 0sz3 > normal "" > fixed 1-23,25 > forbidden 24,26 > untagged 1-24,26 > exit > vlan 99 > name router > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > ip address 10.1.99.3 255.255.255.192 > ip address default-gateway 10.1.99.62 > exit > vlan 100 > name tuzfal > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > vlan 101 > name niif > normal "" > fixed 25-26 > forbidden 1-24 > untagged 1-24 > exit > interface port-channel 1 > pvid 63 > exit > interface port-channel 2 > pvid 63 > exit > interface port-channel 3 > pvid 63 > exit > interface port-channel 4 > pvid 63 > exit > interface port-channel 5 > pvid 63 > exit > interface port-channel 6 > pvid 63 > exit > interface port-channel 7 > pvid 63 > exit > interface port-channel 8 > pvid 63 > exit > interface port-channel 9 > pvid 63 > exit > interface port-channel 10 > pvid 63 > exit > interface port-channel 11 > pvid 63 > exit > interface port-channel 12 > pvid 63 > exit > interface port-channel 13 > pvid 63 > exit > interface port-channel 14 > pvid 63 > exit > interface port-channel 15 > pvid 63 > exit > interface port-channel 16 > pvid 63 > exit > interface port-channel 17 > pvid 63 > exit > interface port-channel 18 > pvid 63 > exit > interface port-channel 19 > pvid 63 > exit > interface port-channel 20 > pvid 63 > exit > interface port-channel 21 > pvid 63 > vlan-trunking > exit > interface port-channel 22 > pvid 63 > exit > interface port-channel 23 > pvid 63 > exit > interface port-channel 24 > pvid 3 > exit > interface port-channel 25 > vlan-trunking > exit > interface port-channel 26 > vlan-trunking > exit > hostname Revai-003 > snmp-server get-community public > snmp-server set-community public > snmp-server trap-community public > remote-management 2 start-addr 10.1.255.x end-addr 10.1.255.x service snmp > remote-management 2 start-addr 10.1.1.10 end-addr 10.1.1.20 service ftp > icmp snmp ssh https > > > > _______________________________________________ > Techinfo mailing list > [email protected] > http://lista.sulinet.hu/mailman/listinfo/techinfo > Illemtan: http://www.1let.hu/illemtan.html > Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx > >
_______________________________________________ Techinfo mailing list [email protected] http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.1let.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhalo2.hu/Faq.aspx
