Inlägg

Dags att släppa "klasserna" och bli "klasslös" Classless Inter-Domain Routing - Wikipedia, the free encyclopedia

Du har möjligtvis inte skaffat Telias Digital-tv tjänst ?

Hej, kanske är lite sent ute men ifall någon har en invite kvar tar jag gärna emot en.

Här är en bra länk som förhoppningsvis kan reda ut ditt problem med aktiv / passiv.. http://slacksite.com/other/ftp.html

Ifall du kan köra fler än ett untagged vlan per port så kan du testa med följande konfiguration ( Inget jag testat själv men såg andra personer som hade lyckade resultat )

Skapa 3 vlan. Ett för internet, ett för företag1 och ett för företag 2.

Ex, VLAN 10, VLAN 20, VLAN 30

Port 1 är emot det ena företaget, port 2 emot det andra. Port 3 ansluts till "Internet"

VLAN 10 skall vara untagged på port 1 & 3
VLAN 20 skall vara untagged på port 2 & 3
VLAN 30 skall vara untagged på port 1,2,3

PVID Port 1 = 10
PVID Port 2 = 20
PVID Port 3 = 30

Detta är inget som fungerar på alla modeller/märken men du kan testa och se ifall det fungerar på din Linksys. Datorerna du ansluter måste sitta i samma subnät.

Det finns switchar som klarar av att göra det du efterfrågar utan att du behöver använda VLAN (IEEE 802.1Q). Funktionen heter olika beroende på vilken tillverkare av utrustning det är. Cisco kallar det protected ports. Andra namn är port isolation, vissa netgear switchar går det att lösa med "port based vlans".

Kolla ifall din switch har stöd för det. Kommer förmodligen inte heta protected ports då din Cisco switch tillhör switcharna ifrån Linksys. Notera att "protected ports" enbart funkar lokalt på switchen. Du gör helt enkelt så att två eller fler portar inte kan "prata" med varandra utan enbart med de portar i switchen du bestämmer att de skall kunna "prata" med. "Protected ports" har inte samma funktioner och finesser som man får med IEEE 802.1Q vlan.

Skall rummen vara anslutna direkt till brandväggen eller till en switch som använder sig utav VLAN? Ifall du sätter mindre switchar i varje rum skall de också använda sig utav VLAN eller räcker det med att varje rum är isolerat?

Skrivarna sätter du på ett eget vlan och sedan kan du styra med regler i brandväggen. Hur de ansluts beror på vart de är inkopplade i nätverket (I mindre switchar på rummen eller direkt i brandväggen eller någon annan switch)

En övervakningsbar switch har flera funktion än vad en "vanlig" switch har. De har exempelvis funktioner som VLAN, QoS, stp, snmp övervakning mm. Dessa switchar går också ofta konfigurera via någon form av CLI eller webbgränssnitt. Som privatperson har man ofta inte något behov av dessa funktioner så du klara dig förmodligen med en vanlig icke-övervakningsbar switch.

Det enda jag kan komma på nu är att access-listan måste skrivas "rätt" annars är det risk att det blir en routing-loop men det beror mera på hur topologin ser ut.

Ja det är möjligt. Det gäller att planera och testa annars är risken stor att det blir något fel.

Men som sagt det är genomförbart. Börja gärna med att testa på några datorer eller ett nät. Ifall det kommer att bli någon större effekt i slutändan låter jag vara osagt.

Vet ej ifall du vill ha hjälp med konfiguration och liknande men det finns information om policy-based routing på Cisco's hemsida. Har också sett "guider" som behandlar ungefär samma sak som du är ute efter på nätet.

Du kan också ta en titt på ifall WCCP kan hjälpa dig.

Eftersom att din HP säger att LACP är successful så får vi "anta" att det är korrekt. Det kan däremot vara bra att dubbelkolla på din Cisco switch med

sh etherchannel 1 port-channel
sh etherchannel 1 summary

Kontrollera också så att det inte är passive i båda ändarna. Är det så kommer det inte skapas någon "channel". Utöver det du redan konfigurerat så skall det inte vara något mera.
Du kan som sagt justera hur balanseringen fungerar. Cisco har olika balanseringsmodeller beroende på vilken switch modell det är. Du kan kolla vilket som används med "show etherchannel load-balance"

Vilken balansering man skall använda beror på miljön och vad man vill uppnå.

Jag skulle gissa på att dina switchar använder sig av source mac. Då kommer paket ifrån samma dator att använda samma port. Så som sagt testa med fler datorer ifall du kan.

Etherchannel är Cisco's namn på att bundla ihop länkar. Så när Cisco pratar om Etherchannel ingår både LACP, PAgP och manuellt konfiguration.

Rent spontant kan jag rekommendera följande länkar.

http://www.cisco.com/en/US/products/hw/switches/ps637/prod_co...

http://www.cisco.com/en/US/products/hw/switches/ps637/product...

Där finns ganska bra "guider" hur du kommer igång och hjälp hur du konfigurera vlan mm.

Min uppfattning är också att webinterfacet på de switcharna inte är mycket att hänga i granen.

Kolla så att det inte är några duplexfel emellan dina enheter.

Tänkte bara påpeka att duplex inte handlar om vilken hastighet du har i de olika riktningarna.
Duplex handlar om ifall du kan skicka data i båda riktningarna samtidigt eller inte.

3550 är en lager 3 switch så du kan också leka med routing ifall du vill göra det. Inget som brukar vara nödvändigt i hemmet men du kanske vill lära dig eller "leka" lite.

Är imagen på 3550 EMI så har du också stöd för "avancerad routing" (mera routingprotkoll, PBR osv).

2524 är enbart lager 2 (alltså ingen routing). HP har eventuellt ett webinterface som är lite lättare att förstå ifall man är ny med produkten.

Finns även switchar som har stöd för någon form av rate limiting (traffic policing, traffic shaping).

Kan de D-Linkarna begränsa trafik i båda riktningarna ? Alltså download och upload.

Samt kan du specificera vilka "källor" (IP, MAC, Port, Fysiskt port osv) som skall begränsas ? Eller blir det generellt på all trafik ?

Du behöver en brandvägg där man kan välja ifall man vill använda sig av nat eller inte. Dvs i enbart routat läge.

Exempelvis Cisco ASA, 5505 modellen är nog den modell som passar er storleksprofil bäst.

Detta kräver att du har en nät att routa samt att din ISP förser dig med ett "länknät".

Alternativ är att köra en transparent brandvägg. Då utförs ingen routing eller nat av brandväggen. Trafiken flödar igenom brandväggen ungefär likadant som på en vanlig switch. Cisco ASA går att köra som en transparent brandvägg också.

Kolla upp licenserna och de restriktioner (vpn-terminering, multicast mm) som finns så att du inte stöter på några problem.

WANEM finns också. http://wanem.sourceforge.net/

(Har inte personligen hunnit test detta, så kan inte säga ifall det är något att hänga i granen)

Nu vet jag som sagt inte hur 3Com konfigurationen ser ut för vlan.

Rent allmänt så borde port 1 tagga alla de vlan som skall till pfsense.

Alltså de vlanen du skall använda, skall taggas på port 1 emot pfsense.

De portar som ansluter till klienterna skall inte tagga någon trafik. De skall enbart vara medlem i respektive vlan.

Kan kolla upp hur 3Com hanterar sin vlan konfiguration. Så kan jag nog beskriva lite bättre.

Du använder alltså switchen enbart som en lager 2 switch och taggar vlanen på en trunk till din pfsense låda ?

Eller är det en routad lager 3 länk emellan pfsense och switch ?

Eller har du flera länkar emellan switch och pfsense och kör separata vlan på de olika länkarna ?

Tips är att dubbelkolla konfigurationen. Se till så att länken där du taggar vlanen kommer upp. Kolla också så att de inte är något strul med native vlanet. Kolla också DHCP inställningarna i pfsense.

Jag är ingen höjdare på varken pfsense eller 3Com men det du försöker göra skall fungera och bör vara relativt enkelt att sätta upp.