Konfiguracja TL-ER6120 , TL-SG1016DE, TL-SG108PE i AP TP-LINK EAP245


(rkeson) #1

Witam.

Potrzebuję przeprowadzić konfigurację na TP-ER6120 i tak po kolei.
Do TP-ER6120 mam wpięty net od dwóch dostawców na WAN port 1 i 2 do portu 3 i 4 są wpięte dwa switch TL-SG1016DE i ustawiony jest VLAN1 pierwszy switch służy do obsługi komputerów firmowych (port3) natomiast drugi switch służy do zarządzania maszynami itd. (port4) i to jak na razie działa ok.
To co chcę zrobić z Portem 5 a mianowicie mam teraz ustawione VLAN1 i tu jest wpięty switch TL-SG108PE i to troszkę nie tak wygląda ponieważ do tego switcha jest wpięty monitoring , AP TP-LINK EAP245 gdzie logują się goście i również mam dwa kompy wpięte do tego switcha na sztywno. Moje pytanie brzmi prosto jak ustawić Port 5 żeby nie widział portu 3,4 i tak żeby cała komunikacja w tym przypadku szła tylko przez WAN 2 a dodatkowo czy można tak zrobić żeby sieć z portu 5 widziała drukarki oprócz otoczenia sieciowego w porcie 3 i 4 . Nie wiem czy to dobrze opisałem ale dla znawców tematu myślę że to wystarczy.
Czekam na jakieś wskazówki.


(Jakub Danecki) #2

Upewniam się:
Musisz trochę popatrzeć różnicę między pracą na poszczególnych warstwach ISO OSI - VLANy działają niżej i kompletnie im obojętne, co jest w pakietach - czy to ruch z przeglądarki, kamery, czy drukarki. Interesuje je tylko między którymi gniazdami jest dozwolony ruch.
Konfigurację VLANów można porównać do ciągnięcia fizycznych (choć tutaj w praktyce - wirtualnych) kabli ethernet. Nie możesz tak pociągnąć kabla ethernet, żeby szły nim tylko niektóre dane z wybranego urządzenia. Wszystkie albo żadne.
To co chcesz osiągnąć, czyli filtrowanie danych w zależności od przeznaczenia robi się wyżej - na warstwie protokołu IP, a nawet TCP, a jak poszaleć, to można (i chyba by wypadało) zrobić to zarówno na poziomie ethernetu i VLANów oraz firewalla w ER6120.

Musisz sobie rozpisać co ma skąd dochodzić fizycznie i na jakiej warstwie to się ma odbywać (ethernetu i wirtualnych kabli, czy analizowania rodzaju ruchu (wystarczy pewnie poziom analizy portów docelowych) i przeznaczenia LAN/WANowego (IP).

Uwagi ogólne:

  1. Monitoring i sieć dla gości (ludzie z zewnątrz firmy - ja to tak rozumiem) na jednej podsieci - ja bym to wydzielił jednak i uznał WIFI gości za najbardziej niebezpieczny ruch. Powinien iść prosto do routera z prawem tylko wyjścia na świat, nawet pingi nie powinny działać do sieci lokalnej, ja zwykle daję tutaj oddzielną pulę IP).
  2. Możliwe, że coś źle rozumiem, najlepiej narysuj to, choćby na kartce co ma widzieć co (i na której warstwie ma być sterowanie dostępem).
  3. Jak używasz sformułowania "otoczenie sieciowe" musisz określić, co przez to rozumiesz. wąsko zdefiniowane windowsowe otoczenie, to jest kompletnie coś innego, niż cały ruch sieciowy chodzący po ethernecie i jeszcze coś innego niż urządzenia rozpoznawane po TCP/IP.

(rkeson) #3

Więc na początku chcę podziękować za podjęcie tematu i może spróbuję to wyjaśnić żeby uzyskać określony efekt.

Tak jak pisałem wyżej mam ruter TL-ER6120 porty 3 i 4 traktuję jako sieć firmową natomiast port 5 jest dla gości.

  • na TL-ER6120 jest zrobione DHCP które przydziela 10 ip z półki 10.0.0.100 do 110 reszta sprzętu jest przypisana w zakładce rezerwacja i tu jest około 50 urządzeń przypisanych z palca od adresu 10.0.0.50 do 99
  • na TL-SG1016DE port 3 (VLAN1) jest stałe ip 10.0.0.2
  • na TL-SG1016DE port 4 (VLAN1) jest stałe ip 10.0.0.3 tu jest AP TP-LINK EAP245 dla pracowników sieć firmowej
  • na TL-SG108PE port 5 (VLAN3) jest stałe ip 10.0.0.4 tu jest AP TP-LINK EAP245 dla Gości z zewnątrz ( jak im zrobić inne ip żeby nie były z sieci firmowej 10.0.0.?

Odpowiedź na uwagi ogólne:

  1. Powyżej opisałem po krótce
  2. To narysuję jak wrócę z delegacji
  3. Otoczenie sieciowe to ja tak rozumuję że są w nim serwery, drukarki, laptopy i również 2 szt. NAS generalnie wszystko na windows

Czekam na dalsze wskazówki.


(Jakub Danecki) #4

I robi się skomplikowanie, rysunek by wyjaśnił:

  1. Przypisałeś IP dla dwóch urządzeń TL-SG1016DE - spoko. Ale to nie ma związku ani z VLAN, ani z portem. Ten IP służy tylko do zarządzania tym konkretnym switchem. Być może niejasno napisałeś, ale zwracam uwagę, że przypisuje się IP do urządzeń obsługujących TCP/IP, a nie do VLAN i portów.
  2. EAP dla gości - ten AP ma dwie przydatne funkcje: "Izolacja klientów sieci bezprzewodowej, Mapowanie SSID do VLAN" wg strony. Ja bym więc:
    zrobił VLAN na ER6120 tylko dla gości. Ustawił kolejną pulę IP (np. zwyczajową 192.168.x.x) i podłączył ją do NAT bezpośrednio tamże i powiązał z tym VLAN, o ile ER6120 to potrafi (powinien). Do tego zabronił tej puli dostępu do pul firmy - 10.x.x.x. Dalej wystawiłbym ten VLAN oczywiście na porcie 5 i włączył funkcję izolacji. Wtedy masz jako-tako zabezpieczoną sieć.
  3. Port 5 (ten dla gości) według mnie nie powinien mieć absolutnie żadnego dostępu do jakichkolwiek urządzeń w otoczeniu sieciowym. Jak gościowi ufasz, dajesz dostęp do sieci wewnętrznej. Jak nie ufasz - TYLKO do internetu. Nie ma stanów pośrednich. "Jak Pan chce wydrukować, proszę przesłać emailem."

A jak chcesz mieć takie pomieszane zasady dostępu, to bez sensu jest cała polityka bezpieczeństwa i stosowanie korporacyjnych urządzeń :slight_smile:

  1. Przypisania WAN1 i WAN2 robisz oczywiście w ER6120, na pewno ma także failover.

(rkeson) #5

Zapytam tak całkiem poważnie czy była by szansa jak bym tobie dał zdalny dostęp do tego urządzenia i byś zobaczył ze swojego punktu widzenia a ja bym narysował schemat jak to miało by hulać.Oczywiście nie chcę nic za darmo.

A tak dla ciekawostki tu jest ten ruterek online https://www.tp-link.com/resources/simulator/TL-ER6120(UN)/userRpm/Index.htm


(Jakub Danecki) #6

Mówię od razu, że teraz jestem trochę zajęty (łagodnie mówiąc) i chwilę czasu na rzut oka będę miał dopiero w przyszłym tygodniu jak dobrze pójdzie. Ale popatrz sobie na poradnik:
https://www.tp-link.com/in/faq-1849.html