Może się zdarzyć, że drukarka w sieci nie jest widoczna (np. w innej podsieci niż drukarka). Wówczas prawdopodobnie jest błędnie ustawiona brama domyślna drukarki ustalana przez serwer dhcp.
Drukarkę dodajemy jako obiekt.
W serwerze dhcp ustawiamy bramę na default, lub bramę spod sieci drukarki.
VLAN przykład
1. Konfiguracja router'a
A. Tworzymy interfejsy
B. Tworzenie obiektu działającego w obrębie VLAN
C. Dodanie obiektu VLAN do serwera DHCP
2. Konfiguracja switch'a 192.168.0.10
A. Stworzenie VLAN na 48 portowym switch'u
B. Stworzenie VLAN na switch'u 24 portowym
QoS
Tworzymy nową kolejkę ustawień pasma.
Polityki ochrony->Ustawienia QoS->Nowa kolejka->CBQ
odpowiednie kolumny minimum i maksimum są dla opcji ściągania i pobierania jako wartości minimalne i maksymalne.
Wprowadzamy regułę firewall
Firewall i NAT-> Dodaj pustą regułę->
gdzie obowiązkowo wybieramy dowolne filtrowanie URL!
Następnie klikamy na kolumnę Akcja -> zezwól, gdzie w zakładce kolejka QoS wybieramy zdefiniowaną kolejkę
Polityki ochrony->Ustawienia QoS->Nowa kolejka->CBQ
odpowiednie kolumny minimum i maksimum są dla opcji ściągania i pobierania jako wartości minimalne i maksymalne.
Wprowadzamy regułę firewall
Firewall i NAT-> Dodaj pustą regułę->
Następnie klikamy na kolumnę Akcja -> zezwól, gdzie w zakładce kolejka QoS wybieramy zdefiniowaną kolejkę
Portal autoryzacyjny
Tworzymy i konfigurujemy bazę LDAP lokalnie.
Tworzymy użytkownika.
Użytkownicy -> Użytkownicy i grupy -> Nowy użytkownik (imię, nazwisko, email)
Działanie portalu sprawdzamy poprzez wpisanie do adresu przeglądarki :
http://ip_netasq/auth
Tworzymy użytkownika.
Użytkownicy -> Użytkownicy i grupy -> Nowy użytkownik (imię, nazwisko, email)
po zaakceptowaniu użytkownika pojawia się opcja możliwości ustalenia hasła.
Włączamy portal autoryzacyjny
Użytkownicy -> Konfiguracja bazy LDAP
Użytkownicy -> Portal autoryzacji -> zakładka Portal autoryzacji->Włącz uwierzytelnianie...
Tworzymy reguły firewall'a
przy czym:
4 regułę tworzy się poprzez kreator: Firewall->Dodaj->Kreator reguły uwierzytelniania
Działanie portalu sprawdzamy poprzez wpisanie do adresu przeglądarki :
http://ip_netasq/auth
VLAN - konfiguracja
Netasq
1. Konfiguracja interfejsu do obsługi
sieci VLAN
Na interfejsie wewnętrznym in dodajemy VLAN.
Wybieramy
pojedynczy interfejs VLAN i klikamy Następny.
VLAN ustawiamy na interfejsie wewnętrznym sieci "in".
VLAN Tag określa id vlanu nadanego w
switchu.
W urządzeniu switch id jest grupą portów switcha.
Konfiguracja sieciowa interfejsu
vlan_wifi musi być różna niż konfiguracja interfejsu głównego
in.
W utworzonym interfejsie vlan_wifi wybieramy
zakładkę zaawansowane i ustawiamy MTU: 1500.
możemy ustawić zakres adresów przyznawanych przez serwer dhcp dla sieci wifi
Konfiguracja sieci → serwer DHCP → Zakres adresów → Dodaj → obiekt
Po wypełnieniu klikamy zastosuj i
wybieramy bramę dla nowego zakresu adresów czyli
dla zakresu dhcp_range_wifi →
Firewall_vlan_wifi
O ile druga regułka NAT określa ruch
interfejsu głównego to 1 regułka NAT przekierowuje ruch pochodzący
z sieci Network_vlan_wifi do internetu.
Możemy rónież zastosować filtrowanie MAC adresów bez tworzenia zakresów adresów przez serwer DHCP jak powyżej.
- tworzymy dowolny host pracujący w sieci VLAN w obiektach nadając mu adres zgodny z interfejsem podsieci VLAN np. 192.168.1.xxx i przypisujemy mu odpowiadający adres MAC, obiekt zapisujemy
- następnie ustawiamy statyczny adres w serwerze dhcp zwracając uwagę aby adres był przydzielany przez określoną bramę (Firewall_ksiegowosc) odpowiadającą interfejsowi z VLAN:
W ten sposób jak powyżej tworzymy wiele VLAN'ów. Zasada interfejs z niepowtarzalnym adresem IP oraz do tego interfejsu serwer DHCP.
Aby stworzone sieci (porty ) VLAN nie widziały się , należy w ustawieniach firewall'a dodawać następujące reguły blokowania ruchu z jednej sieci network_VLAN1 do drugiej i odwortnie jak niżej:
Możemy rónież zastosować filtrowanie MAC adresów bez tworzenia zakresów adresów przez serwer DHCP jak powyżej.
- tworzymy dowolny host pracujący w sieci VLAN w obiektach nadając mu adres zgodny z interfejsem podsieci VLAN np. 192.168.1.xxx i przypisujemy mu odpowiadający adres MAC, obiekt zapisujemy
- następnie ustawiamy statyczny adres w serwerze dhcp zwracając uwagę aby adres był przydzielany przez określoną bramę (Firewall_ksiegowosc) odpowiadającą interfejsowi z VLAN:
W ten sposób jak powyżej tworzymy wiele VLAN'ów. Zasada interfejs z niepowtarzalnym adresem IP oraz do tego interfejsu serwer DHCP.
Aby stworzone sieci (porty ) VLAN nie widziały się , należy w ustawieniach firewall'a dodawać następujące reguły blokowania ruchu z jednej sieci network_VLAN1 do drugiej i odwortnie jak niżej:
2. Konfiguracja SWITCH'a
Dodajemy nr_id VLAN static: Switching -> VLAN -> Basic
Dla VLAN ID 1 (domyślnego VLAN) wszystko zostawiamy bez zmian czyli wszystkie porty literka U.
Zaznaczyć odpowiedni Port PVID Configuration -> e(XX) tutaj g1 i wpisujemy w kolumnę Configured PVID (1 to 4093) : 4 i zapisujemy.
Dodajemy nr_id VLAN static: Switching -> VLAN -> Basic
ADVANCED -> VLAN Membership -> VLAN nr_id -> Untag (U) - wyznaczenie portu na którym będzie VLAN
ADVANCED -> VLAN Membership -> VLAN nr_id -> TAG (T) - wyznaczenie portu połączenia z routerem
Dla VLAN ID 4 port 1 jako U (VLAN dla księgowości) i port 48 jako router T.
3. Konfiguracja Switch'a D-LINK DES-1252
Logujemy się do panelu administracyjnego przez przeglądarkę www.
Domyślny (fabryczny) adres IP : 192.168.0.1 hasło: admin
Uruchomiany wizard. Wybieram exit.
Wybieramy opcję: Configuration->802.1Q VLAN Asymmetric (Enabled) i wybieramy przycisk Add VID, który pozwoli na zdefiniowanie nowej sieci VLAN.
Ustawiamy id sieci VLAN tutaj 5 na pierwszym porcie. VLAN Name służy do opisania sieci. Tak samo dla potrzeb ćwiczenia tworzymy sieć VLAN 6 opartą o 3 port.
Uzyskujemy na dwóch portach dwie wyodrębnione sieci VLAN. Na porcie 1 VLAN_id = 5 (sala 205A) oraz na porcie 3 VLAN_id = 6 (sala 207A). Następnie klikamy na przycisk PVID settings.
Na rysunku powyżej przypisujemy do poszczególnych portów id VLAN.
Ustawienie protokołu STP (blokowanie pętli na switch'u)
Wybieramy opcję: Configuration->802.1D Spanning Tree->Enabled
Podłączone okablowanie do switch'a jest widoczne na obrazku w kolumnie State jako Forward. Niepodłączone porty switch'a są oznaczone jako Disabled.
W switchu dokonujemy zwarcia portu 7 i 8.
Następuje blokowanie jednego z portów w tym wypadku 8. Dzięki blokadzie nie ma pętli a użytkownik podłączony do portu 8 nie ma komunikacji w sieci.
==================================================
Przykład:
Połączenie dwóch switch'y Netgear 48 portowy i 24 portowy, zdefiniowanie 1 VLAN dla dyrekcji opratego o dwa oprty na każdym switch'u.
Rysunek poglądowy
1. Konfiguracja routera.
Na porcie 5 urządzenia UTM konfigurujemy wewnętrzny interfejs o nazwie vlan i jednocześnie o adresie 192.168.41.1. Pod ww. interfejs definiujemy podsieć (interfejs) do obsługi VLAN - dyrekcja o adresie 192.168.42.1 i tagu ID 5.
Tworzymy dwa interfejsy ponieważ chcemy aby na jednym był VLAN a na drugim inna sieć, która nie ma dostępu do dyrekcji.
Dla obu interfejsów tworzymy dwa osobne zakresy adresów dhcp, tak aby przy przełączaniu komputerów z odpowiednich portów switch'a widzieć czy jesteśmy w VLAN czy w adresacji poza VLAN.
Dla sieci VLAN tworzymy zakres : 192.168.42.2 - 192.168.42.10 oraz przypisujemy interfejs przez który będzie przekazywany adres z puli w tym wypadku Firewall_vlan (192.168.42.1).
Dla sieci z poza VLAN tworzymy zakres adresów od 192.168.41.11 - 192.168.41.15, tutaj definiujemy jak wyżej bramę interfejsu : firewall_dyrekcja.
W ten sposób stworzyliśmy dwa interfejsy i dwa zakresy adresów dla sieci VLAN i reszty świata spoza.
2. Konfiguracja Switcha 48 portów.
Podpinamy laptop pod dowolny port i ustalamy dla tego switcha adres np. 192.168.0.10
Wybieramy zakładkę switches i ustalamy VLAN dyrekcja z ID 5.
W ustawienia Advanced
dla VLAN - domyślnie (poza VLAN):
dla VLAN z id 5
Przy czym port 48 łączy się z portem nr 5 router'a (rys poglądowy) natomiast port 44 stanowi połączenie ze switchem 24 portowym. Na porcie 3 i 4 jest zdefiniowany VLAN dyrekcja.
Po zdefiniowaniu VLAN, chcąc połączyć się ze switchem podpinamy laptop w dowolny port (oprócz zdefiniowanych jako VLAN tu 3 i 4) i nadajemy ręcznie ustawienia karty sieciowej.
Żeby sprawdzić poprawność działania VLAN ustawiamy TCP/IP karty sieciowej na dhcp. Jeśli podepniemy się pod porty 3 lub 4 to otrzymamy zakres sieci z VLAN (192.168.42.xxx), jeśli podepniemy się pod inne porty otrzymamy zakres spoza VLAN (192.168.41.xxx).
3. Konfiguracja Switcha 24 porty.
Jak wyżej logujemy się i ustalamy adres switcha na 192.168.0.20. Definiujemy porty 3 i 4 jako VLAN.
Na zakończenie wybieramy port 3,4 i dopisujemy w kolumnie Configured PVID liczbę identyfikującvą VLAN czyli 5
Subskrybuj:
Posty (Atom)