hvad er rigtigt? Layer 2 og 3 switche. Omvendt router og falsk dhcp
Jeg bor i en boligforening, hvor vi har fælles internet. Vi har vores eget netværk med switche (HP 2524) der er 24 porte i. Nu har vores udbyder så foreslået os,at vi køber nye switche, som han kalder Layer 2 switche med mulighed for Layer 3. Han siger, der ofte er problemer med vores net, da enkelte beboere f.eks. har købt sig en ny trådløs roueter, som de så sætter forkert op, eller de får nyt windows, som de ligeledes konfigurerer forkert. Han kalder det, at de enten laver en omvendt router, eller de laver en falsk dhcp. Han siger så, at hvis vi køber nye switche HP2610/24 kan vi undgå disse muligheder.
Jeg er nu i tvivl om han bare vil sælge os noget nyt gear, eller om der er hold i de udsagn han kom med. Er der nogen her der kan forklare, hvordan det hænger sammen?
Han har ret i at en simpel switch, som måske er sådan een I har, ikke beskytter brugerne mod hinanden. Man kan selvfølgelig med bedre udstyr, bedre beskytte jer mod hinanden. Jeg kender ikke, og har ikke undersøgt, de to produkter der nævnes, men som udgangspunkt vil jeg mene han har ret.
Der er ingen tvivl om at en layer 3 switch giver langt bedre sikkerhed og mange flere muligheder for at styre, separere og kontrollerer trafikken.
Der er dog mange andre muligheder for at opnå samme faciliteter, men det kræver selvfølgelig at nogen administrerer jeres net. Fordelen med en layer 3 switch i forhold til en layer 2 er at det kan sættes op fra leverandøren til at begrænse de enkelte beboers muligheder for at ødelægge det for de andre.
Det hele munder ud i om i har tilid til jeres udbyder og så selvfølgelig økonomi. Jeg kan sagtens se at en Layer 3 switch kunne være en relativt billig løsning hvis det sættes rigtig op fra starten
Jeg har desværre først set dit indlæg nu, men jeres leverandør ved tydeligvis ikke så meget om HP serien.
Den switch 2524 i har, er rigtig god kvalitet, og HP sikre løbende at nye funktioner kommer til. I behøves derfor ikke at investere i en ny switch for at være "up to date", den switch som
I har kan sagtens opdateres med den nyeste firmware og programmeres så den sikre alle på netværket mod de problemer som I har i boligforeningen. Desuden kan den sikre jer mod at kunne komme ind på naboens computer.
Layer 3 switch er at skyde over målet, og alt for dyr investere i for en boligforening.
Opdater jeres HP 2524 til firmware F_05_69, og lav en programmering af den så er det klaret.
Hvis han ikke kan klare det er du velkommen til at vende tilbage til mig.
En 2610-24 er sådan set efterfølgeren til 2524, og den kan i skrivende stund købes til ca 3200kr hos f.eks ProShop. En 2610-24 er en L2 switch med enkelte L3 funktioner.
Ja, jeg har programmeret flere af dem om, og det der virker rigtigt godt.
Først opdateres den til nyeste firmware, 5.69 eller 5.72 kommer ud på et, de har begge den funktion jeg benytter.
Brug port-isolation til at beskytte alle brugernes porte, switchen kan så ikke lave kommunikation mellem portene, men kun til en port defineret af dig eks. port 24.
Det vil sige at i en boligforening kan man ikke komme ind på naboens computer, virus kan ikke spredes lokalt, og DHCP adresser tildeles kun fra eks. port 24. og ikke fra en evt. forkert forbundet router.
Hmm... Lyder som Cisco's Private VLAN, god ide Martin - det vil være den helt rigtige løsning for dem! Noget tyder på at F.05.17 er nok, men HP har historisk set mange fejl, så hvorfor ikke lande på den nyeste!
Smid et svar, så BØR Anne give dig point!
Martin: Kan vi ikke aftale, at du ikke kalder det at programmere, men at konfigurere? :-)
Det er en aftale jeg kalder det for konfigurere for eftertiden. Ja funktionen kan med fordel bruges i mange netværk også til virksomheder, det er effektivt mod virusspredning.
Funktione er i mange af HP's switche, men kaldes typisk noget forskellig, men kik i manualen eller bare spørg.
Hvad siger I til denne bemærkning: HP2524 er en switch som har meget begrænset muligheder, heriblandt port filtrering, som vi ikke vil anbefale, man begrænser sig på switchen idet man kun kan oprette et vlan når denne form for port isolation bruges. Derudover kan switchen ikke sikre for spoofing, da der ikke bliver lavet en bindingtabel mellem ip og mac.
Det lyder som om de er ved at rode sig ud i et forklaringsproblem. Jeg kan også nævne en række af funktioner som der ikke er tilgængelig i HP 2524, men har I brug for det?
Hvilken setup har I på jeres netværk? Har I selv en router/firewall ? eller er I koblet direkte op til en fiber?
De boligforeninger jeg administrere har ingen behov for en layer 3 switch, og netværket kører stabilt.
Der er sjældent behov for V-LAN i boligforeninger, nogle gange laves der et administrations V-LAN til internetudbydere som ønsker at overvåge switchen. Selskaber jeg kender der gør det er jay.net. (Virksomheder bruger det dog ofte til servere og anden kommunikation).
Det jeg forstår med en bindingstabel, er at switchen kun sender pakker til den port som computeren er forbundet til og det gør en switch altid. Hvis I havde en gammeldags hub, ville alle pakke komme på alle porte, og så ville det være usikkert. Sikkerheden består derfor i at jeres router /firewall som sikre at pakkerne sendes til den rigtige computer, da routeren både registrere MAC og IP adresse.
Det de tænker på her, er nok nærmere at bruge switchen som router, som man kan med en layer3 switch. Men det kan jeg kun se at der er behov for, hvis I får en fiber direkte ind til boligforeningen uden jeres egen firewall/router. Normalt vil jeg dog her anbefale en router/firewall, som er standart i boligforeninger.
Klaus du må lige rette mig hvis jeg tager fejl.
KH. Martin Lohse
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.