תקשורת בין vlans שונות - איך זה מתבצע?

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
oferlap (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 357
הצטרף: אוגוסט 2009
נתן תודות: 51 פעמים
קיבל תודות: 35 פעמים

תקשורת בין vlans שונות - איך זה מתבצע?

נושא שלא נקרא #1 

רשת ברירת המחדל 10.0.0.0/24 מתוייגת כ-Vlan 1,
תת רשת עבור מצלמות אבטחה מחוץ לדירה 10.0.20.0/24 מתוייגת כ- Vlan 20.
בתת הרשת הזו נמצאות גם המצלמות וגם NVR שמקליט אותן.
בראוטר פתוחים הפורטים הנדרשים לתקשורת עם ה- NVR מכל מקום (עובד גם ממחשבים ברשת ברירת המחדל דרך NAT loopback).
כמו כן הראוטר מאפשר התחברות מרחוק לרשת האבטחה דרך ssl vpn, מה שמאפשר תקשורת ישירה מול המצלמות (מהיר בהרבה בהשוואה לתהליך האימות הדו שלבי והתפריטים המסורבלים של ה- NVR).

אני מעוניין לאפשר למחשב מסויים ברשת הרגילה (כתובת איי פי או MAC ספציפי) להתחבר ישירות למצלמות האבטחה. איזו פונקציה או פונקציות לחפש בראוטר לשם כך? כללים ב- firewall? static routing?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #2 

דבר ראשון אתה צריך לדעת בכלל היכן מתבצע הניתוב בין כל ה VLANs שלך. זה למשל יכול להיות במתג L3 ואז ההגדרות שאתה צריך יהיו ברמה של ACL בו. או שהניתוב יכול להתבצע גם בנתב חיצוני שמחובר למתג בעזרת VLAN Trunk . אם זה המקרה, אז את ההגדרות הנדרשות אתה מבצע בנתב זה. דבר נוסף שצריך לבדוק, זה זה שבכלל קיים ניתוב תקין בין שני רשתות משנה אלה ( 10.0.0.0/24 ולבין 10.0.20.0/24 ) ושהניתובים אלו מוגדרים לעבור בין שני ממשקים נכונים ( ממשקים של VLAN 1 ולבין VLAN 20 ). דבר שני צריך להמשיך לכללים של FIREWALL של הנתב זה. שם צריך להיות מוגדר כלל אחד של איסור גורף לתקשורת בין שני רשתות משנה אלה ובנוסף לו גם כלל של אישור פרטני בין כתובות IP נדרשים ופורטים נדרשים. גם יש FireWalls שהסדר של הכללים בהם הוא חשוב. למשל יכול להיות שכלל מאפשר פרטני חייב לבוא לפני כלל איסור כללי, אחרת לפי הלוגיקה של המערכת כבר בשלב של כלל איסור גורף המערכת מכילה אותו ולא מתקדמת לכלל הבא. יש גם FireWalls שהכלל איסור לא נדרש, בגלל שהוא קיים מובנה בלוגיקה של המערכת.

oferlap (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 357
הצטרף: אוגוסט 2009
נתן תודות: 51 פעמים
קיבל תודות: 35 פעמים

נושא שלא נקרא #3 

@sys_admin
·
תודה על התגובה. הנתב מחובר למתג דרך Trunk, וכרגע שתי הרשתות יכולות לגשת לאינטרנט, אך לא אחת לשניה (אלא רק אם יש פורטים ספציפיים פתוחים מהאינטרנט למכשיר מסויים, אז אפשר לגשת אליו מכל רשת).
מה זאת אומרת ניתוב בין שתי הרשתות? איך פונקציה כזו בנתב אמורה להיקרא?

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #4 

מה הציוד שלך? בגדול אתה צריך ליצור הפניה בL3 עם פוליסי מתאים.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #5 

@oferlap
·

לשאלה של: "מה זאת אומרת ניתוב בין שתי הרשתות?", התשובה היא די פשוטה. כל VLAN נפרד זו רשת L2 נפרדת ( חוט וירטואלי נפרד ) . בשביל שתהייה תקשורת בין שני רשתות תקשורת שונות נדרש חיבור כלשהו בינהן. ברמה של חיבור L3 , זה ניתוב. בישביל ניתוב תקין, בנתב נדרשת טבלת ניתוב תקינה, שבה תהייה גם רשומה שכוללת את בפרטים הנדרשים של הרשתות משנה והנתיב ( ממשק רשת או כתובת שדרכה מגיעים ליעד הנדרש. ניתן לראות את הטבלה זו וגם את כל הרשומות בה ולהבין, אם קיימת רשומה נדרשת ותקינה.

גם לשאלה של: "איך פונקציה כזו בנתב אמורה להיקרא?", התשובה היא עוד יותר פשוטה. והיא שבכל נתב, לכל מערכת הפעלה של נתב או לכל ממשק ניהול של נתב היא אמורה להיקרא בשם אחר. יש גם נתבים רבים שלגמרי לבד, בצורה אוטומטית מייצרים רשומות ניתוב תקינות בין ממשקי רשת שלהם. מבחינת רוב הנתבים VLAN SubInterface הוא ממשק רשת לכל דבר ועניין. בשפה של IOS זה מה שנקרא Directly connected routes ומוסבר על זה למשל כאן בשפה פשוטה ובשני משפטים למי שלא מבתחום המחשבים או תקשורת:
https://geek-university.com/ccna/direct ... ed-routes/
צירפתי גם צילום מסך של טבלת ניתוב לדוגמה מאחד הנתבים שלי וחלק ממנה ממתג L3 שמבצע ניתוב בין כמה VLANs שונים.

oferlap (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 357
הצטרף: אוגוסט 2009
נתן תודות: 51 פעמים
קיבל תודות: 35 פעמים

נושא שלא נקרא #6 

ag43 כתב:מה הציוד שלך? בגדול אתה צריך ליצור הפניה בL3 עם פוליסי מתאים.
...
·
הנתב Draytek Vigor 2862L
והמתג D-Link DSG-1510-28P
יש לו תמיכה ברמת L3, אבל אני לא יודע עדיין לעשות שימוש בפונקציונליות הזו, מה שאני יודע זה להגדיר פורטים ברמת L2. היתרון של ניתוב בסוויץ' הוא שהנתונים לא צריכים לעבור דרך הראוטר ולבזבז מרוחב הפס של החיבור אליו? זה יכול להיות יתרון משמעותי, כי מדובר במחשב שאמור להציג על המסך אונליין את כל המצלמות 24/7, זה לא בדיוק רוחב פס זניח. האם יש חסרונות לקונפיגורציה כזו?

טבלת הניתוב ב- Draytek כרגע נראית כך:
[left]
Key Destination Gateway Interface
-----------------------------------------------------------------------------------
* 0.0.0.0/ 0.0.0.0 via 212.179.37.1 WAN1
S 10.131.72.221/ 255.255.255.255 via 10.131.72.221 USB
C 10.156.250.152/ 255.255.255.252 directly connected LTE
C~ 10.0.0.0/ 255.255.255.0 directly connected LAN1
C~ 10.0.10.0/ 255.255.255.0 directly connected DMZ
C~ 10.0.20.0/ 255.255.255.0 directly connected LAN3
C~ 10.0.30.0/ 255.255.255.0 directly connected LAN4
C~ 10.0.40.0/ 255.255.255.0 directly connected LAN2
* 212.179.37.1/ 255.255.255.255 via 212.179.37.1 WAN1
S 79.182.226.61/ 255.255.255.255 via 79.182.226.61 WAN1

Key
C: Connected S: Static R: RIP *: default ~: private B: BGP
[/left]

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #7 

לא מכיר את הציוד אבל תנסה ליצור פוליסי מהמחשב הספציפי שאתה רוצה (תן לו IP קבוע\שמור) לVLAN של המצלמות.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #8 

מן הסתם שלא מדובר בכלל על יצירת "הפניה בL3 עם פוליסי", אלה כמו שכבר הסברתי את הנקודה זו לפני זה נדרש ליצור כלל שמאפשר תקשורת בין שני VLANS בין כתובות IP ספציפיות ולפורטים ספציפיים. בממשק ניהול של מוצר זה הגדרה זו מופיע כמה שזה לא מפתיע תחת FIREWALL , משם תחת EDIT FILTER SET ומשם תחת EDIT FILTER RULE . צירפתי גם צילום מסך. גם הייה מאוד עוזר ומומלץ לפתוח ספר הדרכה של מכשיר בעמוד 443 ולראות בברור את כל ההסבר הפשוט.

oferlap (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 357
הצטרף: אוגוסט 2009
נתן תודות: 51 פעמים
קיבל תודות: 35 פעמים

נושא שלא נקרא #9 

הצלחתי בינתיים ליצור תקשורת בין הרשתות - בנתב מדובר בטבלה מוזרה בשם Inter-LAN routing, עם המון check boxes. מאד לא אינטואיטיבי ומטעה, כי הכל נראה אפור ולא זמין לפעולה. לא ברור מה עשיתי שם שהפך חלק מה- check boxes לזמינות, וכעת יש ניתוב מלא בין הרשתות. מכאן כבר ברור שאנע צריך להגביל את התקשורת באמצעות כללים ב- firewall.

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #10 

sys_admin כתב:מן הסתם שלא מדובר בכלל על יצירת "הפניה בL3 עם פוליסי", אלה כמו שכבר הסברתי את הנקודה זו לפני זה נדרש ליצור כלל שמאפשר תקשורת בין שני VLANS בין כתובות IP ספציפיות ולפורטים ספציפיים. בממשק ניהול של מוצר זה הגדרה זו מופיע כמה שזה לא מפתיע תחת FIREWALL , משם תחת EDIT FILTER SET ומשם תחת EDIT FILTER RULE . צירפתי גם צילום מסך. גם הייה מאוד עוזר ומומלץ לפתוח ספר הדרכה של מכשיר בעמוד 443 ולראות בברור את כל ההסבר הפשוט.
...
·תפסיק.לבלבל.את.המוח. עשית בדיוק מה שאמרתי במילים אחרות.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

נושא שלא נקרא #11 

oferlap כתב:הצלחתי בינתיים ליצור תקשורת בין הרשתות - בנתב מדובר בטבלה מוזרה בשם Inter-LAN routing, עם המון check boxes. מאד לא אינטואיטיבי ומטעה, כי הכל נראה אפור ולא זמין לפעולה. לא ברור מה עשיתי שם שהפך חלק מה- check boxes לזמינות, וכעת יש ניתוב מלא בין הרשתות. מכאן כבר ברור שאנע צריך להגביל את התקשורת באמצעות כללים ב- firewall.
...
זה הגיוני בסה"כ - בראוטר ביתי ניתוב LAN-WAN אומר גם NAT. זה לא משהו שאתה רוצה כשאתה מנתב בין שני vlans ברשת הפנימית שלך. ניתוב LAN-LAN זה אומר שיש שני סגמנטים שונים בתוך אותה רשת פנימית שאמנם דורשים ראוטר ביניהם אבל לא צריך NAT.

oferlap (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 357
הצטרף: אוגוסט 2009
נתן תודות: 51 פעמים
קיבל תודות: 35 פעמים

נושא שלא נקרא #12 

@NegativeIQ
·
זה לא בדיוק ראוטר שמיועד עבור השוק הביתי, אבל מבין הראוטרים שנועדו לעסקים קטנים ובינוניים, אלו של החברה הזאת נראו לי מהיותר ידידותיים למשתמש הלא מקצוען.
וכן, אתה צודק, בהגדרה הבסיסית של כל סגמנט (חוץ מרשת ברירת המחדל) ישנה אפשרות להגדיר אותו כ- NAT או כ- Routing, לא שאני בטוח מה המשמעות של זה בפועל, כי הגדרתי בטעות את אחד הסגמנטים כך, ובכל זאת היתה משם גישה לאינטרנט. זה לא אומר בוודאות שפעל שם NAT?

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

נושא שלא נקרא #13 

oferlap כתב:@NegativeIQ
·
זה לא בדיוק ראוטר שמיועד עבור השוק הביתי, אבל מבין הראוטרים שנועדו לעסקים קטנים ובינוניים, אלו של החברה הזאת נראו לי מהיותר ידידותיים למשתמש הלא מקצוען.
וכן, אתה צודק, בהגדרה הבסיסית של כל סגמנט (חוץ מרשת ברירת המחדל) ישנה אפשרות להגדיר אותו כ- NAT או כ- Routing, לא שאני בטוח מה המשמעות של זה בפועל, כי הגדרתי בטעות את אחד הסגמנטים כך, ובכל זאת היתה משם גישה לאינטרנט. זה לא אומר בוודאות שפעל שם NAT?
...
אני מניח באמת שזה לא משהו שרלוונטי לכל משתמש ביתי (אם כי אפשר לגרום לרוב הראוטרים הביתיים לתמוך בזה עם קושחות צד ג').
לא הכי הבנתי את ההודעה שלך אבל כעיקרון כדי לחבר את הרשת הפנימית לאינטרנט אתה חייב NAT כי הראוטר שלך מקבל רק IP בודד מהספק (ככל שמדובר ב-IPv4 לפחות), לכן גם אם יש לך שני סגמנטים חייב להיות NAT גם בין סגמנט א' לאינטרנט וגם בין סגמנט ב' לאינטנרט. לעומת זאת, אתה לא רוצה NAT בין סגמנט א' לסגמנט ב' (כלומר תעבורה בתוך הרשתות הפנימיות שלך, שלא יוצאת לאינטרנט) - זה סתם ימנע תקשורת דו-כיוונית חופשית בין רשתות שנמצאות לגמרי בשליטתך.

oferlap (פותח השרשור)
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 357
הצטרף: אוגוסט 2009
נתן תודות: 51 פעמים
קיבל תודות: 35 פעמים

נושא שלא נקרא #14 

@NegativeIQ
·התכוונתי ל- Radio Buttons שאפשר לראות בצילום המסך שצירפתי. קראתי קצת ברשת, ולא ממש הצלחתי בינתיים להבין מה זה עושה אם בכלל, אבל רשת ברירת המחדל (LAN1) היא רק NAT Usage, וישנה אופציה לרשת LAN נוספת בשם "IP Routed Subnet" שהיא רק For routing usage, והבנתי שהיא כנראה משמשת במקרים שמקבלים pool כתובות חיצוניות מהספק.
למעשה הראוטר מקבל במקרה שלי 3 כתובות WAN, אחת חיצונית מבזב"ל דרך חיבור VDSL, ו- 2 נוספות דרך LTE. בצורה כזו אני מצליח בדרך כלל לגרד את ה- 100 מגה יורד ו- 10 מגה עולה, כשהקו של בזק לבדו לא עובר את ה- 50/3 ביום טוב. הפינגים בבדיקות יוצאים לפעמים גבוהים ולפעמים נמוכים, תלוי דרך איזה חיבור הראוטר בוחר להעביר אותם..

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #15 

ag43 כתב:
...
...
·תפסיק.לבלבל.את.המוח. עשית בדיוק מה שאמרתי במילים אחרות.
...
·
מי שמבלבל את המוח זה אתה.וגם אחרי זה אתה לא מבין את השטות לא קשורה שכתבת וממשיך להוסיף עלייה עוד שטויות נוספות. בין פוליסי L3 ( שגם לא קיימת בנתב זה ) ובין הניתוב בין רשתות משמנה ( inter vlan routing במקרה שלנו ) אין שום קשר ומן הסתם שלא רק שגם אמרת מילים אחרות, אלה גם מילים אלה הם לא קשורות כלל לנושא.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”