Blockera oönskad trafik såsom broadcast mm

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002

Blockera oönskad trafik såsom broadcast mm

På ett av de företag där jag arbetar har vi industriell utrustning känslig för broadcast trafik och annan typ av "allmänt snack" på nätverket.
Tjänster och prat som i normala fall kan vara bra för att saker och ting skall hitta varann utan att leta nämnvärt eller kräva p2p adressering.

Jag gjorde en förenklad bild över hur nätet ser ut idag.

Mellan företag 1 och företag 2 går det en 1000mbit fiber, då avståndet är c:a 1000-1500m.
På den inkommande fibern i företag 2, som delar samma fysiska nätverk och adressering som vi gör på företag 1 så sitter det en enklare smart-switch med fiberconverters, det är liknande modell - fast med färre portar;
http://www.dustin.se/product/5010660192/d-link-dgs-1210-28p-2...

Eftersom broadcast osv finns en del i det delade nätet, skulle jag vilja välja portar i switchen nämnd ovan till att blockera "prat-traffik" såsom broadcast - hur gör man detta? Finns det något enkelt sätt, behöver man köpa in extra utrustning?

Jag har en bättre modell layer 2 liggande som jag ev. kan byta ut om detta hjälper.

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Maj 2008

Jag förstår mig inte riktigt på vad för utrusning det är, men kan du inte bara sätta dom bakom en brandvägg?

En server här, några servrar där.

Trädvy Permalänk
Medlem
Plats
här..
Registrerad
Jun 2006

Du kan inte göra ett skit med utrustningen du har. Det jag skulle göra är att skaffa en Roger och dela företagen i olika subnät och sedan sätta nämd utrustning i ett eget nät.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002
Skrivet av moron:

Jag förstår mig inte riktigt på vad för utrusning det är, men kan du inte bara sätta dom bakom en brandvägg?

Det är sk. PLC'er, alltså hårdvara för industrier, gaska simpel teknik - men den baseras på TCP/IP.

Anledningen att vi vill ha, utrustningen i samma nät är att ett utav våra affärssystem pratar med PLC'erna direkt för att se hur mycket data de har processerat.
I just detta fall handlar det om ett hyvleri som gör brädbitar till mindre brädbitar, stockar till panel osv.
All denna datan, hur det går och vad som blir gjort och inte, är viktigt att våra undersystem för veta och kan processera, så det enda vi vill ha bort är broadcast'en som stör PLC'erna och får dem att hänga sig och/eller skicka felaktig data.

Kan man lösa det med en brandvägg?
Tips på vilken isåfall..

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2012

En router mellan PLCerna och resten av nätverket så slipper ni broadcast. En switch bryter collisiondomains och en router bryter broadcastdomains.
De hamnar inte i samma nät, men bara ett router hopp bort. Det borde inte ha någon betydelse

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2008

Det ska gå med i princip vilken som helst, spärra bara all trafik utom den som behöv till PLC:erna

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002
Skrivet av Sir. Haxalot:

Du kan inte göra ett skit med utrustningen du har. Det jag skulle göra är att skaffa en Roger och dela företagen i olika subnät och sedan sätta nämd utrustning i ett eget nät.

Skickades från m.sweclockers.com

.. Roger?

Näten är separeade på IP-nivå, men inte fysiskt.
Anledningen är att det står tunna klienter där ute idag som kör sina maskiner från ett virtuellt kluster inne på företag 1.
Dessa maskiner har bara 1 nätverkskort, men den virtuella maskinen pratar alltså med 2st adresser - 10.0.0.X och 192.168.0.X - för att kunna komminucera med både företags applikationerna och direkt med PLC'erna.

Tidigare stod det "vanliga" datorer ute i produktionslinjerna, men de dog på löpande band efter den relativt hårda miljö, damm osv som finns i ett hyvleri/trä-industri.
Därav att det sattes ut mindre, helt passiva, tunna klienter utan fläktar som skulle surra runt allt skräp som fanns i luften.

.. Men det kanske är det enda rätta, att sätta ut vanliga maskiner där igen?
Finns ju NUC'ar och lite annat trevligt numera som man kan använda..

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002
Skrivet av drefk2000:

En router mellan PLCerna och resten av nätverket så slipper ni broadcast. En switch bryter collisiondomains och en router bryter broadcastdomains.
De hamnar inte i samma nät, men bara ett router hopp bort. Det borde inte ha någon betydelse

Funkar med vilken router som helst då eller?
Det är relativt lite data som skickas mellan PLC'er och affärssytem...

Men rent config mässigt, hur sätter jag upp det?

Skrivet av fiffy:

Det ska gå med i princip vilken som helst, spärra bara all trafik utom den som behöv till PLC:erna

Nu snackar vi dock åter switch igen.. eller?, brandvägg?
*confused..*

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2012
Skrivet av andreas_dock:

Funkar med vilken router som helst då eller?
Det är relativt lite data som skickas mellan PLC'er och affärssytem...

Men rent config mässigt, hur sätter jag upp det?

Nu snackar vi dock åter switch igen.. eller?, brandvägg?
*confused..*

Det funkar med vilken router som helst. Configen kan se väldigt olika ut.
I en Cisco är det superenkelt.

interface fa0/1
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

interface fa0/2
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

interface fa0/3
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

osv

där xxx.xxx.xxx.xxx är den ip du vill använda och yyy.yyy.yyy.yyy är subnetmasken

Om du använder en L3 switch (alltså en switch som kan routa) från cisco så måste du i globalt config läge skriva "ip routing" för att slå på routingfunktionen.

På en L3 switch skulle en enkel config kunna se ut så här:

ip routing

vlan 100
name kontor

vlan 200
name PLC

vlan 300
name kontor2

int vlan 100
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

int vlan 200
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

int vlan 300
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

int gi0/1
switchport mode access
switchport access vlan 100
no shut

int gi0/2
switchport mode access
switchport access vlan 200
no shut

int gi0/3
switchport mode access
switchport access vlan 300
no shut

sen sparar du med "wr" eller copy run start

Vill du ha något billigare så funkar vilken of the shelf router som helst för detta ändamål

Inte switch. Som jag sa så bryter inte en switch broadcast. En brandvägg skulle göra jobbet, men känns som overkill när det räcker med en router.
Som du märker skiljer jag på en switch, som arbetar på lager 2 och L3 switch som arbetar på lager 2 och 3 och är mer en router med swtichmöjlighet eller tvärtom om man vill se det så.
Vill du ha mer hjälp så PM:a ditt telefonnummer så kan jag ringa upp dig om du känner att det behövs

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2008
Skrivet av andreas_dock:

Funkar med vilken router som helst då eller?
Det är relativt lite data som skickas mellan PLC'er och affärssytem...

Men rent config mässigt, hur sätter jag upp det?

Nu snackar vi dock åter switch igen.. eller?, brandvägg?
*confused..*

Jag menade brandvägg, men det räcker som någon annan påpekade med en router.

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002
Skrivet av drefk2000:

Det funkar med vilken router som helst. Configen kan se väldigt olika ut.
I en Cisco är det superenkelt.

interface fa0/1
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

interface fa0/2
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

interface fa0/3
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

osv

där xxx.xxx.xxx.xxx är den ip du vill använda och yyy.yyy.yyy.yyy är subnetmasken

Om du använder en L3 switch (alltså en switch som kan routa) från cisco så måste du i globalt config läge skriva "ip routing" för att slå på routingfunktionen.

På en L3 switch skulle en enkel config kunna se ut så här:

ip routing

vlan 100
name kontor

vlan 200
name PLC

vlan 300
name kontor2

int vlan 100
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

int vlan 200
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

int vlan 300
ip address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
no shut

int gi0/1
switchport mode access
switchport access vlan 100
no shut

int gi0/2
switchport mode access
switchport access vlan 200
no shut

int gi0/3
switchport mode access
switchport access vlan 300
no shut

sen sparar du med "wr" eller copy run start

Vill du ha något billigare så funkar vilken of the shelf router som helst för detta ändamål

Inte switch. Som jag sa så bryter inte en switch broadcast. En brandvägg skulle göra jobbet, men känns som overkill när det räcker med en router.
Som du märker skiljer jag på en switch, som arbetar på lager 2 och L3 switch som arbetar på lager 2 och 3 och är mer en router med swtichmöjlighet eller tvärtom om man vill se det så.
Vill du ha mer hjälp så PM:a ditt telefonnummer så kan jag ringa upp dig om du känner att det behövs

Jag PM'ar
Du verkar vara riktigt inne på Cisco - och det är bra grejor.
Budgeten finns väl för att bekosta detta med några tusen iaf, så hellre en "riktig" lösning än en router från elgiganten för 299kr..

Sedan är ju alltid gratis gott...

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002

Skulle man kunna göra så här, rent praktiskt för att blockera broadcast trafiken men ändå ha dubbelriktad kommunikation?

Laptop 1 skall alltså kunna kommunicera med Laptop 2 och vice versa.
Laptop 2, eller alltså PLC'erna i detta fall - sitter "bakom routern", men på samma nät.
Laptop 1, eller företag 1, kommer in via WAN -porten och får då sin skräptrafik bortfiltrerad..

Känns fel, eller?

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2012
Skrivet av andreas_dock:

Skulle man kunna göra så här, rent praktiskt för att blockera broadcast trafiken men ändå ha dubbelriktad kommunikation?
http://adock.se/users/upload/files/ping-over-wan-to-lan-and-b...

Laptop 1 skall alltså kunna kommunicera med Laptop 2 och vice versa.
Laptop 2, eller alltså PLC'erna i detta fall - sitter "bakom routern", men på samma nät.
Laptop 1, eller företag 1, kommer in via WAN -porten och får då sin skräptrafik bortfiltrerad..

Känns fel, eller?

Du kan sätta båda i de "vanliga" portarna. De ska ligga på olika nät. T.ex :
Laptop 1 : 192.168.103.0 /24
Laptop 2: 192.168.104.0 /24

Annars kommer routern agera switch och vidarebefodra broadcast. Ligger de på olika nät tvingas den routa paketen och det är det vi vill.
Du kommer alltid få en viss mängd broadcast på respektive segment, annars fungerar inte nätet. Men det du slipper är broadcast från andra maskiner utanför segmentet (nätet).
Det här är en mycket mycket billigare lösning än med att använda Cisco, så räcker bandbredden på en "hobby" router så kör med det.

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro

Trädvy Permalänk
Medlem
Plats
Varberg
Registrerad
Jan 2002
Skrivet av drefk2000:

Du kan sätta båda i de "vanliga" portarna. De ska ligga på olika nät. T.ex :
Laptop 1 : 192.168.103.0 /24
Laptop 2: 192.168.104.0 /24

Annars kommer routern agera switch och vidarebefodra broadcast. Ligger de på olika nät tvingas den routa paketen och det är det vi vill.
Du kommer alltid få en viss mängd broadcast på respektive segment, annars fungerar inte nätet. Men det du slipper är broadcast från andra maskiner utanför segmentet (nätet).
Det här är en mycket mycket billigare lösning än med att använda Cisco, så räcker bandbredden på en "hobby" router så kör med det.

Ahh, kanon!

Men vilken config skall jag då ha i routern för att den defakto skall routa på LAN-portarna?, trodde routingen bara gjordes mellan WAN<->LAN?

Det viktiga är ju som sagt att maskinerna på 192.168.103.0/24 kan prata med några maskiner på 192.168.104.0/24 och vice versa.

Routern jag kommer använda en en Linksys by Cisco WRT54GL (http://www.prisjakt.nu/produkt.php?p=74148) med DD-WRT firmware.
Då låser man upp en hel del funktioner som återfinns i de lite mer avancerade enheterna, om man behöver dem?
Wifi-delen kommer jag stänga av helt för detta ändamål.

Citera eller Svara för respons! •
Pixel Artist - Öppen för förslag på beställningsjobb! PM'a mig. • Mer på Instagram
YouTube - Gör lite såsaker här ibland, unboxing, drönar/go-pro saker och dyl. •

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2012
Skrivet av andreas_dock:

Ahh, kanon!

Men vilken config skall jag då ha i routern för att den defakto skall routa på LAN-portarna?, trodde routingen bara gjordes mellan WAN<->LAN?

Det viktiga är ju som sagt att maskinerna på 192.168.103.0/24 kan prata med några maskiner på 192.168.104.0/24 och vice versa.

Routern jag kommer använda en en Linksys by Cisco WRT54GL (http://www.prisjakt.nu/produkt.php?p=74148) med DD-WRT firmware.
Då låser man upp en hel del funktioner som återfinns i de lite mer avancerade enheterna, om man behöver dem?
Wifi-delen kommer jag stänga av helt för detta ändamål.

Allt du behöver göra är att ha olika nät på dem. Låt oss säga att du har en switch mellan datorerna och de ligger på olika nät. Då kan de inte kommunicera. För att prata mellan olika nät krävs routing. Så allt du behöver göra är att sätta olika nät och koppla in det i en router.

För att vara lite tydligare med vad som händer:

när pc1 vill prata med pc2 skickar den en arp (Vem har ip address X, pc2 svarar "det är jag", pc1 lägger till macaddressen i sin arptabell och börjar skicka frames till pc2). När du har en router kommer routern agera pc2 och svara till pc1 att det är den som har ipadress X och sedan routa paketet till router interfacet som pc2 sitter på som i sin tur sickar frames till pc2. Sen gör pc2 samma sak tillbaka. På det sättet sprids inte pc1s arp (broadcast) vidare till pc2 utan det stannar vid routern

Intel Core i7 6850K 3,6 GHz 15MB @ 4,7GHz kyld med Noctua NH-U9S på MSI X99A Raider
Corsair Vengence LPX 64GB (8x8GB) DDR4 3000MHz @ 3200 MHz
2x MSI GeForce GTX 1080 8GB Aero OC i SLI
HyperX Predator 480GB M.2 och 4x Samsung 750-Series 250Gb i raid 0
Oculus Cv1. Win10 pro