Hårdvarufunderingar mindre företagsnätverk

Permalänk
Medlem

Hårdvarufunderingar mindre företagsnätverk

Hej!

Har fått förfrågan av en bekant att titta över deras nätverkslösning som i dagsläget är en absolut katastrof. Det är två näringsidkare som delar på en ostabil ADSL-uppkoppling i dagsläget, dessutom sitter kunder (café, gratis WLAN till kaffet) och arbetsdatorer på samma nätverk. Om det är den billiga konsumenthårdvaran som brister stabilitetsmässigt eller om det faktiskt är något fel på linan in i huset låter jag dock vara osagt då jag inte är riktigt så insatt i situationen än.

För att råda bot på detta är tanken att det ska dras in fiber och hela nätverkslösningen ska ses över. Det hela måste kunna genomföras på en hyfsat tight budget, så konsumenthårdvara kommer antagligen vara ett krav för att möta budgeten. Min spontana tanke var att köra på en konsumentrouter med DD-WRT/Tomato och slänga upp tre VLAN på tre olika LAN-portar: ett för verksamhet #1, ett för verksamhet #2 och slutligen ett för verksamhet #2:s WLAN som kommer användas av kunder. Vi pratar alltså om runt runt 10-40 anslutna enheter och stabilitet är ett måste (självklart inte 99,999% uptime).

Så här ser det ut visualiserat:

Routern jag hade i åtanke är en Netgear WRN 3500L som tidigare visat sig vara en stabil och tillförlitlig router enligt egen erfarenhet. Men hur den hanterar så här pass många enheter blir jag osäker på. Varje port på routern är i sin tur kopplad till en vanlig "dum" switch för varje VLAN.

Som bilden visar är tanken att det ska finnas två APs som sköter WLAN:et i VLAN 3 där kunderna får husera. Har kollat på Ubiquiti:s produkter vilka verkar vara väldigt prisvärda och spela i en helt annan liga än vanliga konsument-produkter.

Har även gått i tankar om att det skulle kunna vara ett alternativ att ha en pfSense-/m0n0wall-burk som med 4 NICs, ett för varje subnät + WAN. Men supportmässigt känns det betydligt enklare att slippa dras med en hel dator som kan krångla. Betydligt lättare att då istället ha två identiskt konfigurerade routrar, där en agerar backup och kopplas in om den andra strular.

Alla förslag på förbättringar och andra idéer som kan hjälpa mig att ta fram en bra/bättre lösning välkomnas!

Permalänk
Medlem

Dumswitchar fattar inte VLAN, så din vlan-konfiguration kommer inte fungera. Jag hade nog satt upp nåt sånt här:

Glömde döpa om R1 till Pfsense.

Kort sagt. Du konfar din pfsense som brandvägg/router. Du sätter upp tre logiska interface på din pfsense på LAN-interfacet. Ett för varje VLAN.
Detta då varje vlan måste ha ett eget subnät. Det går inte att dela ett /24 nät i 3 vlan för det är inte så vlan fungerar. Så här kan det då se ut:
VLAN1: 192.168.1.0 /24
VLAN2: 192.168.2.0 /24
VLAN3: 192.168.3.0 /24

I pfsense bygger du sedan 3 logiska interface. Logiska interface1 tillhör VLAN1 och ska då ha ip-adress 192.168.1.1. Interface2 för VLAN2 ska ha 192.168.2.1 osv. Pfsense måste vara default gateway. Du måste också sätta upp 3 separata DHCP-pooler, då varje kund kommer behöva en egen. Detta gör du i de logiska interfacen i PFsense.

I LAN-porten i PFsense kopplar du sedan en VLAN-kapabel switch. Mellan Pfsense och denna switch kör du helt enkelt trunking, dot1q. Sen sätter du varje interface mot dina SW1,SW2,SW3 i var sitt VLAN. 1, 2, 3.

På så sätt kommer trafiken flöda typ såhär:
Frame från dator3 på vlan3 vill till internet. Dator skickar frame till SW3, som skickar vidare till vlan-switch. Vlan-swtich ser att framen kom från interfacet mot SW3 och lägger på en dot1q tagg för VLAN 3 och skickar till Pfsense. PFsense tar emot framen, ser att den är taggad med VLAN 3 och skickar till det logiska interface som tillhör VLAN 3 i Pfsensen. Logiska interface3 ser att trafiken ska till internet, tar bort dot1Q taggen och skickar till ISP.

Genom att sätta upp brandväggsregler blockerar du sen trafik från t.ex 192.168.1.0 att nå annat än internet, på så sätt kan inte kunderna nå varandra.

Du får då alltså ett bra uppdelat nät, du behöver bara en switch som är kapabel till VLAN, de andra tre switcharna kan vara riktigt jävla korkade, det behövs inte mer.

I Pfsense kan du för framtiden sätta upp hotspots för det trådlösa. Det är i princip en grej wifi surfarna "loggar in på", för att få tillgång till wifi. Det gör att du kan skydda dig juridiskt då du kan tvinga en ToS där du kan säga, fildelning olaglig osv blablabla. Du kan också med hotspotten koppla den mot betalsidor, så att kunder eventuellt betalar för en timmes surf med paypal eller liknande. Eller att ni har en token som följer med kvittot, så att endast betalande kunder kan surfa, eftersom den token de fått ger dem access osv. Inga grannar kommer kunna snylta.

Man kan göra mycket skitcoolt med pfsense. Som en proxy, du kan sätta in proxy som begränsar vissa sidor. Du kan sätta upp rate'-limiting så att varje klient begränsas till en viss bandbredd osv. PFsense är helt jävla fantastiskt.

Du kan också göra som så att du helt enkelt kopplar dina APs direkt till VLANswitchen på ett VLAN 4, så att det är helt separat. Gör det också lättare om du vill skapa hotspots osv.

Jag tror dock att pfsense är ett krav för att detta ska fungera. Din Netgear WRN 3500L har inte stöd för dot1Q, och heller inte logiska interface eller multipla DHCP-pooler. Eftersom du delar upp ett nät i tre virtuella krävs det annorlunda hårdvara/mjukvara för att få det att fungera, mer än vad jag tror den routern har.

vlan-kapabel switch kan du säkert använda denna, den ahr stöd för dot1Q:
http://www.prisjakt.nu/produkt.php?e=878014
Osäker på prestandan dock, du lär behöva en bättre modell, eftersom man som sagt får vad man betalar för.

Kolla här annars:
http://www.prisjakt.nu/kategori.php?k=398&t=981#rparams=l=s16...

Detta verkar vara ett sjukt intressant projekt, vill gärna höra hur det går/gick

Visa signatur

CCNA

Permalänk
Medlem

Tack vipers för att du tog dig tid att svara så utförligt!

Efter att ha tagit mig en ordentlig funderare har jag kommit fram till att det ändå får bli en pfSense-maskin. Att köra med något annat vore bara att måla in sig själv i ett hörn inför framtiden. Det ska dock tilläggas att det går alldeles utmärkt att köra VLAN med Tomato/DD-WRT på de flesta Broadcom-baserade routrar som finns, dock inget/skakigt stöd för IEEE 802.1Q. Så det bästa man kan göra är att tilldela en port på routern till respektive VLAN och slänga på en dum-switch bakom.

Då jag redan har ett antal oanvända Intel Dual Port NICs liggande så kommer ett sånt att sitta i pfSense-burken. Så som jag har förstått det så verkar Intel NICs verkar vara de kort som är mest driftsäkra och stabila. Ska heller inte vara några problem med VLAN. Den övriga hårdvaran i burken är tbd.

Det enda problemet som ska lösas nu är relaterat till AP. Tanken är nu att köra två VLAN till båda AP, ett VLAN till varje SSID då Ubiquiti-AP:n har stöd för upp till fyra VLAN/SSID. Ett VLAN för kunder där bandbredden kommer att begränsas och även tjänster blockeras samt ett VLAN för det ena företaget. Båda APs kommer att konfigureras identiskt. Nu till problemet! För att man ska kunna styra AP:n måste det finnas ett VLAN även för detta, det måste vara "untagged" till AP:ns port. Så på en och samma port på switchen måste det alltså gå att ha två "tagged" VLAN (för datatrafik) samt ett "untagged"(för management). Påminner till stor del om http://wiki.ubnt.com/UniFi_and_switch_VLAN_configuration

Enligt vad jag kan minnas finns det ingen standard som garanterar att det ska funka att köra både untagged och tagged trafik på samma port, utan det verkar skilja sig mellan tillverkare och modell? Har tittat på en Netgear GS724T v3 (http://www.prisjakt.nu/produkt.php?p=786093) men är som sagt osäker på om den fixar ovanstående.

Tl;dr Hjälp mig hitta en VLAN-kapabel switch för under 2000 kr som med 100% säkerhet kan köra tagged och untagged VLAN på samma port.

Permalänk
Medlem
Skrivet av megamats:

Enligt vad jag kan minnas finns det ingen standard som garanterar att det ska funka att köra både untagged och tagged trafik på samma port, utan det verkar skilja sig mellan tillverkare och modell? Har tittat på en Netgear GS724T v3 (http://www.prisjakt.nu/produkt.php?p=786093) men är som sagt osäker på om den fixar ovanstående.

Tl;dr Hjälp mig hitta en VLAN-kapabel switch för under 2000 kr som med 100% säkerhet kan köra tagged och untagged VLAN på samma port.

Ska inte säga att såhär är det, men såvitt jag vet; om du vill ha båda delar så får du köra den porten som trunk.

Skrivet av vipers:

Dumswitchar fattar inte VLAN, så din vlan-konfiguration kommer inte fungera.

Fast, har han separata, fysiska nätverkskort så kan ju pfsense sköta vlan-delen. Om han vill ha dumma switchar efter sedan går ju det bra. Men man tappar en del i flexibillitet.

Visa signatur

"Det här systemet fungerar urkasst." - operatör.
"Hur ska det fungera då?" - jag
"Gör så att det fungerar som jag vill." - operatör.
/facepalm

Permalänk
Medlem
Skrivet av megamats:

Det enda problemet som ska lösas nu är relaterat till AP. Tanken är nu att köra två VLAN till båda AP, ett VLAN till varje SSID då Ubiquiti-AP:n har stöd för upp till fyra VLAN/SSID. Ett VLAN för kunder där bandbredden kommer att begränsas och även tjänster blockeras samt ett VLAN för det ena företaget. Båda APs kommer att konfigureras identiskt. Nu till problemet! För att man ska kunna styra AP:n måste det finnas ett VLAN även för detta, det måste vara "untagged" till AP:ns port. Så på en och samma port på switchen måste det alltså gå att ha två "tagged" VLAN (för datatrafik) samt ett "untagged"(för management). Påminner till stor del om http://wiki.ubnt.com/UniFi_and_switch_VLAN_configuration

Enligt vad jag kan minnas finns det ingen standard som garanterar att det ska funka att köra både untagged och tagged trafik på samma port, utan det verkar skilja sig mellan tillverkare och modell? Har tittat på en Netgear GS724T v3 (http://www.prisjakt.nu/produkt.php?p=786093) men är som sagt osäker på om den fixar ovanstående.

Tl;dr Hjälp mig hitta en VLAN-kapabel switch för under 2000 kr som med 100% säkerhet kan köra tagged och untagged VLAN på samma port.

DVS att porten måste vara en trunk På cisco språk. Du måste ha en managed switch för att få det till. Netgear prosafe 108 använder jag själv i mitt hemma nät och kan rekommendera dom. Det finns en POE modell också. GS108PE heter den tror jag.

Visa signatur

Bosna u <3

I7-6700K :-: 16gb DDR4 :-: ASUS 1080TI :-: MSI Gaming Carbon :-: NH-U14S :-: FD R5 :-: Seasonic X 760W

Permalänk
Rekordmedlem

Varför inte också en Ubiquiti router.

Visa signatur

Ryzen 5 2400G, Asus ROG STRIX B350-F Gaming, 500GB Samsung 970EVO NVMe M.2 och en väldig massa masslagring. Seasonic Focus+ Gold 650W, Antec P 180 med Schyte o Sharkoon fläktar via en t-balancer, Tittar på en Acer ET430Kbmiippx 43" 4K
Främre ljudkanalerna återges via Behringer DCX2496, högtalare Truth B3031A, Truth B2092A Har också Oscilloskop, mätmikrofon och en Colorimeter.

Permalänk
Medlem

Kunden måste fråga sig om de kan arbeta utan att nätverket fungerar. Kan de göra det så ska du satsa på konsument hårdvara.
Kan kunden inte göra det så ska de satsa på riktigt hårdvara.

Sedan är det viktigt att man inte bygger "coola" lösningar som de själva inte kan underhålla. Vad händer när du inte kan hantera detta?

Visa signatur

| Citera för svar! | Gilla bra inlägg! |

Permalänk
Medlem
Skrivet av megamats:

Tl;dr Hjälp mig hitta en VLAN-kapabel switch för under 2000 kr som med 100% säkerhet kan köra tagged och untagged VLAN på samma port.

Jag köpte en http://www.dustin.se/product/5010640698/hp-1910-8g-poe-180w/ och en http://www.dustin.se/product/5010637576/ubiquiti-unifi-pro-80... till hemmet alldeles nyligen. Funkar klockers tillsammans.

Visa signatur

Cisco - Linux - VMWare
-- Citera mig om ni vill få återkoppling --

Permalänk
Medlem
Visa signatur

| Citera för svar! | Gilla bra inlägg! |