uldii12345 Ierakstīts Augusts 4, 2020 Share Ierakstīts Augusts 4, 2020 Nesen objektā saskāros ar interesantu konfigurāciju mikrotikā. Pie IP/adress uz bridge salikti vairāki subneti 192.168.0.1/24, 192.168.1.1/24,192.168.0.254/24, 192.168.88.1/24 Visdrīzākais tiek izmantots 192.168.0.254/24, jo dchp arī uz to. Šādi vairāki adrešu ieraksti uz 1 bridge nevar radīt mistiskus L2 gļukus, vai tas neko neietekmē un ir normāla prakse likt vairākas adreses uz viena interfeisa? Link to comment Share on other sites More sharing options...
tiger23 Augusts 4, 2020 Share Augusts 4, 2020 Tādu brīnumu neesmu redzējis, bet zinu un esmu izmantojis tādu lietu, kā IP aliasing. Ir nācies uz tā paša Rasperry eth0 likt divas pilnīgi dažādas IP. Link to comment Share on other sites More sharing options...
hero Augusts 4, 2020 Share Augusts 4, 2020 Tā var darīt, ja vienā L2 domainā vajag paralēli vairākus tīklus dabūt. Ilgtermiņā tas var sagādāt problēmas, bet kā pagaidu variants - der. Kāpēc tas ir radies jau jājautā pašam autoram, jo tur var būt viss sākot no 'pagaidu variantā uzlikts papildus tīkls migrācijai, kur pēc tam aizmirsa noņemt' līdz pat 'kāda pseido-admina meistardarbiem' 1 1 Link to comment Share on other sites More sharing options...
uldii12345 Augusts 5, 2020 Author Share Augusts 5, 2020 Es jau klientam ieteicu, to visu nahrenizēt un atstāt 1 subnetu, interesēja tikai vai to daru pamatoti un kāpēc vispār jāliek vairāki subneti uz viena interfeisa. Principā, tur tas routeris būtu droši vien no jauna jāsaprogrammē. Tīkla shēma tur ir tāda, mikrotik ir pieslēgts aiz tele2 huawei. Uz mikrotik ir gan statiska WAN ip adrese, gan dchp klients. Firewall sākās ar aizliedzošiem forward rulliem dažām ip udp protokolam, hvz vēl kas. Kaut gan viss strādā, tik ik pa brīdim sāk bremzēties un tad palīdz tele2 restarts. Link to comment Share on other sites More sharing options...
uldise Augusts 5, 2020 Share Augusts 5, 2020 1 stundu atpakaļ, uldii12345 teica: Firewall sākās ar aizliedzošiem forward rulliem dažām ip udp protokolam tas vairāk izklausās pēc mēģinājuma neļaut visiem LANā darīt visu - tāpēc arī saliek dažādos subnetos, Mikrotik pēc noklusējuma norūtēs visus - un tad var likt aizliegumus. DHCP jau jā - tikai vienam, bet tad tas nozīmē, ka ir kastes, kurām ir statiskās adreses saliktas, kas arī pakļaujas iepriekš minētajiem Firewall rules. Link to comment Share on other sites More sharing options...
Ronalds Augusts 5, 2020 Share Augusts 5, 2020 Pirms 58 minūtēm , uldise teica: tas vairāk izklausās pēc mēģinājuma neļaut visiem LANā darīt visu Jā, bet tas nestrādā. Ja vajag aizliegumus, tas darās savādā. Klasisks variants - dhcp dala IP pēc mac, ja IP nav DHCP izdalīta, tad drop visam. pirms 2 stundām , uldii12345 teica: Es jau klientam ieteicu, to visu nahrenizēt un atstāt 1 subnetu Tieši tā! Link to comment Share on other sites More sharing options...
mafijs Augusts 5, 2020 Share Augusts 5, 2020 pirms 2 stundām , uldii12345 teica: Es jau klientam ieteicu, to visu nahrenizēt un atstāt 1 subnetu Pirms nahrenizēt, paskaties ARP, kādas IP adreses reāli ir tīklā, kuras izmantojas, lai saprastu kuri subneti reāli izmantojas. Jā, ir tāds joks redzēts, pats tādu esmu pēc tam pārmantojis savulaik. DHCP dala vienu subnetu, pēc tam leases to MAC statiski piesaista citam subnetam. Nedomāju ka tas ir kas labs. tāds "fiksais variants uz laiku" . Pie tam firewall nebija nekādi aizliegumi starp subnetiem. Pēcāk visu pa vlan_iem saliku. Link to comment Share on other sites More sharing options...
Stepselis Augusts 5, 2020 Share Augusts 5, 2020 (labots) pirms 12 stundām , hero teica: vajag paralēli vairākus tīklus dabūt. Ilgtermiņā tas var sagādāt problēmas, Piemēram, kādas? Es arī ar kaut ko tādu esmu saskāries, bet problēmas gan nav novērotas. Mikrotiks taču strādā stabili kā cirvis - Vai nu pie nepareizas konfigurācijas kaut kas nestrādā, vai strādā visu laiku. Labots Augusts 5, 2020 - Stepselis Link to comment Share on other sites More sharing options...
mafijs Augusts 5, 2020 Share Augusts 5, 2020 Nav "labais tonis" tādus tiklus veidot. Nevar pilnībā norobežot divus subnetus. Ar roku ieleic otra tīkla IP adreses un voalā - jau esi otrā tīklā pie tā paša switch porta. Bet tas mazina drošibu. Piemēram, ja kopēja fiziskā tīkla atrodas novērošanas kameras. Ļoti izplatīta lieta. Un pēc sadales pa vlaniem, CPU noslodze RB3011 samazinājās par 10-15 % neko citu nedarot un pat pieaugot datorus kaitam tīklā. Link to comment Share on other sites More sharing options...
Stepselis Augusts 5, 2020 Share Augusts 5, 2020 Pirms 5 minūtēm , mafijs teica: Un pēc sadales pa vlaniem, CPU noslodze RB3011 samazinājās par 10-15 % neko citu nedarot un pat pieaugot datorus kaitam tīklā. Tātad, ja grib divus subnetus, tad jātaisa VLAN? Link to comment Share on other sites More sharing options...
mafijs Augusts 5, 2020 Share Augusts 5, 2020 Tā būtu pareizāk. Vai fiziski divi tīkli, kas savienojas tikai pie rūtera. Vai arī vlan , tikai tad vajadzēs menedžejamos switch. Ieguldījums dārgāks, bet elastīgāks. Jebkurā vietā jebkuru vlan var "palaist" 1 Link to comment Share on other sites More sharing options...
uldise Augusts 5, 2020 Share Augusts 5, 2020 pirms 4 stundām , Ronalds teica: Jā, bet tas nestrādā. es neteicu ne to, ka tas strādā korekti, ne to, ka tā ir jādara. vienkārši mēģināju rast skaidrojumu, kāpēc tā ir darīts - tas, ka ne īpaši korekti un viegli appejami, tas ir cits stāsts. Link to comment Share on other sites More sharing options...
hero Augusts 5, 2020 Share Augusts 5, 2020 (labots) pirms 2 stundām , Stepselis teica: Piemēram, kādas? 1. nevari normāli iedarbināt viena L2 segmenta ietvaros abiem apakštīkliem DHCP servisu 2. pie troubleshootinga, ja tu pingo, tev specifiski vienmēr būs jānorāda source adrese, ja gribi nopingot tā paša vlana ietvaros citu IP segmentu, kas nav primārais 3. no drošības viedokļa, daudzi liek secondary subnetus, cerībā, ka tādējādi tīkli tiek izolēti, bet tā nav. Diezgan primitīvi nosnifojot ARPu, tu vari saprast kādi citu apakštīkli tur dzīvo, nomainīt ip adresi uz vajadzīgo un pielietojot kādu no spoofing tehnikām sākt sniffot/'pentestēt' tīklu. 4. pie trafika prioritizēšanas un šeipošanas ir vieglāk, ka katrs segments ir uz sava vlana/interfeisa 5. ja tiek darbināti dinamiskie routing protokoli - neighbori būvēsies tikai no primary subneta IP, kas atkal pie protokola keepaliviem un troubleshootinga rada problēmas. utt Jā, lielākā daļa problēmu mazās implementācijās nekad nebūs aktuālas, bet tad, kad būs - paši to sapratīsiet un labosiet kļūdas. Galvenais viens teikums - nelikt secondary subnetus viena L2 segmenta ietvaros, ja idejas pamatā ir 'security' aspekts. Rezumējot: - īslaicīgi - migrējot subnetu vai palielinot, ir normāli uzkabināt divus tīklus - ilgtermiņā: -- tad jautājums kāpēc to dara - ja tīkls ir pa īsu, palielini masku. -- ja ir nepieciešama 'segmentācija' (atdalīt datus/voipu/video/wifi/guestus/serverus/dmz/watever), tad vispareizākais ir veidot jaunus vlanus/subinterfeisus/zonas (atkarībā no izmantotās tehnoloģijas /rūtera/firewalla) Labots Augusts 5, 2020 - hero 3 Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!