switch managed e vlan

[vizzz]

Per un amico dovrei configurare la sua LAN in maniera particolare..
i vari punti di rete devono poter comunicare tutti tra di loro, ma solo alcune postazioni hanno accesso ad internet tramite il router.
Vorrebbe anche avere la possibilità di abilitare agevolmente per una postazione l'accesso ad internet.
E' una cosa che dovrebbe essere in grado di fare autonomamente senza dovermi chiamare...quindi una cosa semplice per il suo livello di conoscenza delle reti.
Tanto per capirci a lui andrebbe benissimo anche abilitare internet per una postazione semplicemente spostando il plug dallo switch da una posizione ad un altra.
io avevo inizialmente pensato alle vlan...ma non le conosco molto bene e non saprei se sono applicabili con successo in questo caso...
accetto suggerimenti!

p.s. non ha problemi ad acquistare uno switch managed.

[BTS]

beh, puoi anche semplicemente NON impostare i gateway...

che rete è?
di casa?

[vizzz]

Quote:

Originariamente inviato da BTS

beh, puoi anche semplicemente NON impostare i gateway...

che rete è?
di casa?

si rete casalinga...l'avevo pensato anche io...ma non credo sia in grado di togliere/mettere il gateway
pur essendo una rete casalinga verrà fatta a dovere (armadietto rack, patch panel, switch rack, ciabatta rack e ups)

[hibone]

se ha un router firewall basterebbe impostare le regole verso l'interfaccia wan. queste poi, di solito, possono essere disattivate senza doverle necessariamente eliminare..

di solito è un'impostazione che qualsiasi router adsl riesce a fare...

[vizzz]

Quote:

Originariamente inviato da hibone

se ha un router firewall basterebbe impostare le regole verso l'interfaccia wan. queste poi, di solito, possono essere disattivate senza doverle necessariamente eliminare..

di solito è un'impostazione che qualsiasi router adsl riesce a fare...

potrebbe essere un idea, ma voglio legarmi il meno possibile al router visto che è l'unica parte in gioco di cui non conosco ne marca ne specifiche.

[hibone]

Quote:

Originariamente inviato da vizzz

potrebbe essere un idea, ma voglio legarmi il meno possibile al router visto che è l'unica parte in gioco di cui non conosco ne marca ne specifiche.

non volersi legare all'unica parte della rete nata espressamente per fare cio che chiedi è un po un controsenso in termini spero che tu ne sia consapevole

detto questo puoi sempre interporre un firewall discreto, puoi provare con upnp oppure puoi creare uno script (batch) per cambiare le impostazioni di rete usando netset (della microsoft)

la nuova technet fa abbastanza schifo, comunque la pagina di supporto è questa.
http://support.microsoft.com/kb/268781
io lo uso per configurare automaticamente la mia rete ad ogni format

se pensi che il tizio possa fare danni anche cosi puoi racchiudere netset e file di configurazione dentro un archivio autoestraente winrar
doppio click ci riuscirà a farlo? estraendo l'archivio viene configurata la rete. e siccome l'archivio è protetto il suo contenuto non può essere alterato...
al limite può cancellarlo..

[BTS]

oppure ipcop...

[vizzz]

un amico mi ha suggerito una soluzione molto elegante ma devo vedere monetariamente come si traduce .

lo switch implementa due vlan; una vlan tagga i pacchetti usando l'header TOS (type of service).
Il router droppa i pacchetti non taggati.

spostando una postazione di rete sotto una porta che tagga i pacchetti si esce in internet...così posso anche configurare gateway ecc per tutti

[slowped]

Quote:

Originariamente inviato da vizzz

lo switch implementa due vlan; una vlan tagga i pacchetti usando l'header TOS (type of service).
Il router droppa i pacchetti non taggati.

Secondo me il tag dei pacchetti è inutile e fa crescere i costi (sia il router che i driver delle schede di rete devono supportare 802.1q).
Io farei così:
a) l'interfaccia LAN del router e tutti i PC con indirizzi sulla stessa sottorete IP (per esempio 192.168.1.0/24)
b) tutti i PC con default gateway l'indirizzo LAN del router
c) definizione di due vlan untagged sullo switch (per esempio vlan1 e vlan2)
d) il router e i PC che devono andare in internet collegati alle porte di una stessa vlan (per esempio vlan1)
e) tutti gli altri PC sull'altra vlan (nel nostro caso vlan2)

I PC che devono andare in internet sono sulla stessa vlan del router che è anche il loro default gateway e quindi navigano.
Gli altri sono sull'altra vlan, hanno lo stesso default gateway (il router) ma non lo vedono.

Per consentire l'accesso a un PC basta connetterlo a una porta che fa parte della vlan1. Per impedire la navigazione in internet è sufficiente connetterlo a una porta sull'altra vlan.

[vizzz]

Quote:

Originariamente inviato da slowped

Secondo me il tag dei pacchetti è inutile e fa crescere i costi (sia il router che i driver delle schede di rete devono supportare 802.1q).
Io farei così:
a) l'interfaccia LAN del router e tutti i PC con indirizzi sulla stessa sottorete IP (per esempio 192.168.1.0/24)
b) tutti i PC con default gateway l'indirizzo LAN del router
c) definizione di due vlan untagged sullo switch (per esempio vlan1 e vlan2)
d) il router e i PC che devono andare in internet collegati alle porte di una stessa vlan (per esempio vlan1)
e) tutti gli altri PC sull'altra vlan (nel nostro caso vlan2)

I PC che devono andare in internet sono sulla stessa vlan del router che è anche il loro default gateway e quindi navigano.
Gli altri sono sull'altra vlan, hanno lo stesso default gateway (il router) ma non lo vedono.

Per consentire l'accesso a un PC basta connetterlo a una porta che fa parte della vlan1. Per impedire la navigazione in internet è sufficiente connetterlo a una porta sull'altra vlan.

questa era la mia idea iniziale ma non permette la comunicazione tra pc di vlan diverse...o sbaglio?

[slowped]

Quote:

Originariamente inviato da vizzz

questa era la mia idea iniziale ma non permette la comunicazione tra pc di vlan diverse...o sbaglio?

Ops... non avevo letto bene la seconda riga del tuo messaggio

Quote:

i vari punti di rete devono poter comunicare tutti tra di loro

In effetti in questo modo hai una separazione delle due vlan che non consente la comunicazione tra di esse.

La soluzione tagged/untagged risolve il problema ma accertati di avere tutti i dispositivi in grado di supportare 802.1q.

[vizzz]

Quote:

Originariamente inviato da slowped

Ops... non avevo letto bene la seconda riga del tuo messaggio



In effetti in questo modo hai una separazione delle due vlan che non consente la comunicazione tra di esse.

La soluzione tagged/untagged risolve il problema ma accertati di avere tutti i dispositivi in grado di supportare 802.1q.

già devo controllare per bene...ma è necessario che anche le NIC supportino 802.1q? ora mi preoccupa anche il prezzo di switche e router ehehe

[slowped]

Quote:

Originariamente inviato da vizzz

già devo controllare per bene...ma è necessario che anche le NIC supportino 802.1q?

Più che le schede il supporto deve essere nel driver per il sistema operativo che usi.

Quote:

Originariamente inviato da vizzz

ora mi preoccupa anche il prezzo di switche e router ehehe

Da come avevi esposto la faccenda mi pareva di aver capito che essi fossero già "in casa". Secondo me rischi di spendere un botto per una cosa che può essere ottenuta con altri strumenti che richiedono solo un minimo di applicazione da parte di chi li dovrà usare. Alcune soluzioni possibili ti sono state già illustrate ("firewall sul router" o "script di configurazione rete" o "UPnP" by hibone, "ipcop su un PC dedicato" by BTS).

Una ulteriore soluzione potrebbe essere quella di inserire un secondo router a cui connettere le macchine che non devono accedere in internet opportunamente configurato in modo da consentire l'instradamento dei pacchetti solo verso l'altra rete ma non verso internet. Se configuri tutti i PC con il DHCP a seconda dell'apparato di rete a cui colleghi un dato PC esso andrà o meno verso l'esterno. Chiaramente sul router internet devi anche impostare una route statica verso la rete chiusa. In questo modo tutti i PC si vedono tra loro ma solo quelli connessi al router "aperto" vanno fuori dalla LAN.