Internettilkopling med 16 IP - Hvordan ?

[arne22]

Hei !

 

Vi har akkurat fått oppgradert fra en enkelt fast statisk IP adresse til et /28 nett, det vil si 16 globale IP adresser hvor av 14 skal kunne "brukes".

 

Den gamle gatewayen er av NAT type og ser ut til å kunne håndtere kun en eneste global IP (med portforwarding til interne servere.)

 

Tanken er å kjøre noen serverfunksjoner på de nye ledige IP'ene og spørsmålet blir så hvordan man eventuelt kan få koblet dette, dvs alle serverne opp mot internett.

 

ISP er Lyse nett, og linjen kjører ved hjelp av lysleder fiber.

 

Skulle det kunne være så enkelt at man kan sette opp en switch eller en hub, rett etter "Lyse sin box" og så koble opp flere servere og eventuelle flere gatewayer med hver sin globale adresse ?

 

Hvis dette eventuelt kan fungere så skulle det jo bli å sette opp globale ip addresser x.x.x.11, x.x.x.12, x.x.x.13, x.x.x.14 og så skulle gateway adresse og øvrige nettverks konfigureringsdata bli like for de ulike serverne.

 

Skulle det kunne gjøres så enkelt ?

 

Hvis ikke, er det noen annen "grei og enkel måte" som kan brukes for å få nyttegjort disse 14 IP adressene ?

Endret 23. mai 2013 av arne22

[kjetilkl]

Du kan selvsagt sette de offisielle IP'ene direkte på serverne/tjenestene og koble den til nettverket med en switch - det er ikke noe problem, men da står de samtidig direkte på internett med tilgang for hackere osv.

 

Det enkleste er vel å bruke en brannmur der du kan sette opp NAT skikkelig, evt der du kan sette de offisielle IP'ene du vil bruke i en egen sone (DMZ) og stenge ned uønsket trafikk.

(De fleste brannmurer støtter dette, så litt usikker ift til at du sier det ikke går i den du har)

 

Det kan også hende ISP'en din tilbyr dette som en tjeneste.

[arne22]

Mange takk for tilbakemelding.

 

Jeg fikk også et par ord fra leverandøren som forundret meg litt:

 

Man sier at man vanligvis ikke har noe med kundens oppkobling å gjøre, og det er vel sånn sett også rimelig nok hvis de bare opplyser om egenskapene til "eget nett", og så sier man:

 

"Med alminnelig switch/hub vil trafikken først trafikken gå ut på nett og deretter inn igjen.

En lag2 switch vil dermrd kunne gjøre jobben bedre, der den kan vel konfigureres pr port som skal nyttes pr ip (13 stk)"

 

Etter å ha lest denne teorien for ganske mange år siden så trodde jeg jo at alle switcher og hubber jobbet på OSI level 2. Det kan se ut som om at i dag så er dette ikke (helt) tilfellet.

 

http://www.cisco.com..._evolution.html

 

En slik kombinert router/switch eller level 2/3 switch ser ut til å være utgangspunktet for internettleverandøren sitt svar, og det som man betegner som en "alminnelig switch".

 

Det stemmer vel ikke helt ? En helt alminnelig billig swith som man kjøper fra Komplett, det vil vel vanligvis være en level 2 switch som godt kan brukes i denne sammenhengen (??!!).

 

Monn tro om man fortsatt kan kjøpe det som vi i gamle dager kalte for en "hub". Disse må da i alle tilfeller kjøre level 2 ??!! (Slik at de kan brukes.)

 

Det skulle vel også fungere med "komplettswitchen" ?

 

Det som står i leverandørens siste setning om å konfigurere portvis, det må vel også referere til en nivå 3 som ikke er en "vanlig switch" .. (??!!)

 

Er jeg på rett spor ?

Endret 24. mai 2013 av arne22

[arne22]

Her har vel Cisco forklart ganske enkelt hva en level 2 og en level 3 switch er for noe. Har de ikke det ? Forklaringen medfører vel også at det som er en "billig og enkel switch" er en "nivå 2 dings" som i dette tilfellet bør kunne brukes (??!!)

 

Level 2 (Det kommer også opp en swtich foran routeren, dvs mellom ISP gateway og egne router(e)).

http://www.cisco.com...gure_l2l3_1.gif

 

Her har vi en level 3 swith og det er denne typen utstyr som ISP som en "normal switch" som ville gjort ISP sitt svar "riktig":

http://www.cisco.com...gure_l2l3_2.gif

 

(Klokken 09:00 i morges så ante jeg ikke at denne typen level-3 switcher fantes.)

Endret 24. mai 2013 av arne22

[nomore]

En HUB er "dum" og har ingen inteligens. En pakke som kommer inn på port 1 blir repetert og sendt ut på alle de andre portene. Før var HUB billig og switch dyrt.

En enkel switch er inteligent, og ser på MAC-adressene den har på portene, og ser dermed på hver enkelt pakke og gjentar den kun på porten til den spesifike mottaker.

 

Om man skal kjøpe noe nytt i dag så kjøper man switch, ikke HUB. Og har man HUB i drift, uten å vite hvorfor, så bytter man den ut med en switch og vil i de aller fleste tilfeller

forbedre hastigheten og stabiliteten i nettverket.

[arne22]

Jo, det er den grunnleggende teorien om switcher og hubber, brukt i lan sammenheng.

 

Spørsmålet her var hvordan en "vanlig switch" kjører "OSI nivå 2" eller "OSI nivå 3" for å få til det som den gjør. Jeg tror at en "billig switch" kun kjører "OSI level 2 og at den også kan brukes i den aktuelle tilkoblingen mellom ISP gateway og flere lokale routere som får hver sin globale ip adresse.

 

Altså:

 

ISP gateway --- wan switch ---- Flere lokale gatewayer med hver sin globale ip --- lan switch -- lan noder

 

Men jeg er jo på ingen måte sikker, derfor denne tråden.

 

Fant ellers en Wikipedia artikkel om multilevel switcher:

http://en.wikipedia..../Network_switch

 

(Og jeg håper og tror at komplett sine billige swither ikke har noen "OSI level 3 komponent" som medfører at de ikke kan brukes for den aktuelle oppgaven.)

 

For å formulere problemstillingen litt annerledes og i en setning:

 

Kan en standard lan switch også brukes i rollen som wan switch når "wan" i geografisk utstrekning er begrenset til et enkelt datarom. (Med 16 globale ip adresser.)

Endret 24. mai 2013 av arne22

[nomore]

Du kan bruke både level 2 og 3, samt billige switcher fra Komplett. Om du ikke har noen kunnskap om config så anbefaler eg deg en standard såkalt unmanaged switch.

 

Men vurder driftsstabilitet opp mot prisen. En dårlig switch kan yte dårlig, og ta kvelden ved høy belastning.

[kjetilkl]

Jeg tror ikke du skal gjøre dette for komplisert.

 

-Skal du sette serverne/tjenestene rett på internett holder det med en switch til 200,- fra komplett uansett hva slags funksjonalitet denne har.

 

Det du får med en mer avansert switch er evt høyere ytelse og større muligheter for overvåking og trafikkstyring - men er du ute etter det tror jeg heller du burde gå for en brannmur som du kjører dette igjennom - noe du kanskje uansett burde gjøre.

 

Med mindre du skal ha trafikkanalyse på applikasjonsnivå så kan du bruke en hvilken som helst bedrifts-brannmur fra en tusenlapp og oppover til dette - her er det igjen funksjonalitet (og ytelse hvis du skal ha IDM) du betaler for.

Endret 24. mai 2013 av kjetilkl

[Gjest]

En alminnelig switch vil selvfølgelig operere på lag 2 i OSI-modellen, men det her man må skille mellom Unmanaged- og Managed-switch.

 

En unmanaged er en dumswitch uten funksjoner for konfigurering (vlan f.eks) - derimot en managed switch er en smart switch som lar deg lage vlan osv...

 

En lag 3 switch lar deg sette opp mer avansert ruting.

 

Forøvrig var post nummer #2 av kjetilkl et godt svar til deg

 

EDIT:

Man ser gjerne på lag 3 switcher som core switcher da det ikke er behov for det overalt og de er dyrere en lag 2 switcher...

Endret 24. mai 2013 av Gjest

[arne22]

Jo takker så meget. Da ser det ut som å være så enkelt som jeg hadde håpet på. Svaret på linjeleverandøren tyder vel på noe annet, men det beror nok på et de regner en "managed multileyer swith" for å være "det normale".

 

Fra ISP supportm sitat:

 

"Med alminnelig switch/hub vil trafikken først trafikken gå ut på nett og deretter inn igjen.

En lag2 switch vil dermrd kunne gjøre jobben bedre, der den kan vel konfigureres pr port som skal nyttes pr ip (13 stk)"

 

Dette stemmer jo sånn sett da ikke helt.

 

Med en vanlig billig swith til 200 kroner så vil jo disse litt merkelige formuleringene ikke "slå til" ved at den billige switchen faktisk er en nivå 2 dings, og den kan heller ikke konfigureres per port.

 

Ville bare forsøke å hente inn noen synspunkter før de helt store omkoblinger på datarommet. Leste som sagt denne teorien for en del år siden, men prinsippene ser ut til å være stadig vekk de samme.

Endret 24. mai 2013 av arne22

[nomore]

Tja, om du har bedt om ett /28-nett så _pleier_ dette å skyldes mer krevende behov for både kontroll, ytelse og oppsett. Og her kan en rimelig unmanaged switch være litt malplassert.

[arne22]

Ikke ytelse men oppsett.

 

Når den første problemstillingen rundt pakketransport på et grunnleggende OSI level 2 nivå er klargjort, så kommer jo de neste problemstillingene som går på filtrering/overvåking, level 3 og den slags.

 

Det kommer en ny tråd i den sammenheng.

 

Det er sånn sett bare et spørsmål om å utrede "grunnteorien" for ett spørsmål ad gangen, før "den praktiske handling", slik at man skjønner sånn noenlunde hva man holder på med.

[Gjest]

Ville bare forsøke å hente inn noen synspunkter før de helt store omkoblinger på datarommet. Leste som sagt denne teorien for en del år siden, men prinsippene ser ut til å være stadig vekk de samme.

Ting er det samme, Request for Comments (RFC)-dokumentene har ikke endret seg og det her produsentene bygger produktene sine på.

 

Du vil nok ha behov for en managed switche eller to. Spørs på behovet.

Kan anbefale både HP sin V1910 & V1810 serie

[Habla Møberg]

Har hatt samme utfordring selv, med et 28-nett fra BKK fiber (samme som Lyse).

Endte med at jeg røsket ut et helt skap med servere og svitsjer, og satt inn en velvoksen server med ClearOS, hvor jeg virtualiserer noen (windows)servere som står i DMZ på denne. Enkelt og greit, og mye mindre å holde styr på. Klarer ikke finne noe vesentlig negativt med denne løsningen, annet enn at en bør ha endel redundanse Forøvrig leverte BKK en skapmontert Cisco-svitsj (har knapt sett på den, så aner ikke hvilken type det er snakk om) som tar inn fiberen på en fiberport til høyre, og en ca 20 stk kobberporter ellers, men bare den ene er satt opp, da med hele subnettet. Vil tro de kunne satt opp noe vLAN på den så en fikk nettet fordelt på flere porter, men uansett bør jo all trafikk gå innom "noe" som filtrerer vekk verste skitten før en deler ut til servere, og den svitsjen som BKK leverte kunne ikke gjøre noe særlig jobb der.

Største utfordringen med ClearOS er at det ikke er så lett å få tak på kvalifisert personell til å drifte den, så den aktuelle bedriften kjøper endel tjenester fra Clearfoundation. Som egentlig fungerer greit så langt, men det er litt skummelt å basere seg på at ens systemer skal driftes av et firma i USA...

[arne22]

OK takker for tipset. Vil undersøke mulighetene og se på prisene.

 

Kjente ikke til denne, men nå er den i alle fall tatt med i betraktning:

 

http://h10010.www1.hp.com/wwpc/uk/en/sm/WF06b/12883-12883-4172267-4172281-4172281-4218346-4177643.html?dnr=1

 

Og denne:

 

http://h17007.www1.hp.com/us/en/networking/products/switches/HP_1810_Switch_Series/index.aspx#.UZ9EirU4E3M

[arne22]

fikse->

 

Takker så meget. Tenker litt i samme retning som "din løsning", men overveier, i alle fall som en midlertidig løsning å la den eksisterende gateway router stå der og eventuelt kjøre den i "parallell" med en løsning som kanskje kan ligne noe på den som du beskriver.

 

Derfor behovet for en "enkel switch før den enkelte gateway".

 

(Altså flere gateways etter en "enkel wan-switch")

Endret 24. mai 2013 av arne22

[Habla Møberg]

Satser du på å virtualisere, eller vil du ha fysiske maskiner? Er det snakk om stor belastning på disse?

Uten at jeg er noen ekspert på svitsjing, så har flere av mine bekjente skrytt fælt av MikroTik sine produkter. Det vil overraske meg stort om du ikke finner et rett produkt der. Feks skal RB1100 være litt av en potet, til knappe 4.000,- Dette er en ruter som du også kan bruke som svitsj, eller egentlig omtrent hva du vil. Den er dog en anelse krevende å sette opp. Visstnok. Jeg har ikke prøvd ut, men kommer til å leke meg med en slik en vakker dag. Her er en liten infobrosjyre om OS-et som står på ruterne til de

Jeg har brukt endel "rimelige" Cisco-svitsjer (under 10K) som ikke har iOS men en enklere variant av program. De er ikke å anbefale! Ustabile når en lager noen VLAN og litt filtrering. Nesten søppel.

 

ClearOS kan du og få til å gjøre det aller aller meste, og den gjør det ekstremt bra. Jeg har satt opp flere slike bokser som står rundtom, og når de er satt opp så "bare" virker de, med ekstremt lite vedlikehold. Hovedsakelig har det vært maskinvaren som har laget krøll. En slik som jeg satt opp i juni 2010 som har "alt" av tjenester som en mellomstor bedrift har bruk for, har ennå ikke hatt 1 feil. Men så er maskinvaren i den solide saker med bla.a. Intel hovedkort.

[PoTski]

Skal du pushe mye data, kjøp en HP eller en cisco SMB. Har aldri hatt noe problemer med de. billig og bra.

[Gjest Slettet-t9DveYkZ]

Dersom dere har en god brannmur, ville jeg uten tvil gjort som kjetilkl sier, og satt de i DMZ og NAT-et adressene.

Da har du god kontroll på trafikken inn og ut til maskinene, i tillegg til en sikkerhet du ikke vil kunne få ved å sette maskinene rett ut på nett.

 

Dette kan også gjøre at du kan spare inn på et par IP-adresser, litt avhengig av hva slags trafikk det er snakk om.

Har du en mail-server (port 25), en web-server (port 80) og en ftp-server (port 21), kan disse dele samme IP ved at du NAT-er de forskjellige portene mot de forskjellige serverne.

 

Eksterne IP-adresser er noe som alltid er greit å ha tilgang på, så spar der du kan.