Dobrý den.
Do dnešního dne vypadá sí následujícím způsobem.
ISP-------MK1-HW AP------------HW AP-------------HW AP
Na AP jsou pripojeni Klienti a routr slouzi jako shaper jak pro lokalni provoz, tak pro inet konektivitu. Z toho tedy plyne ze na MK1 je vytvoreno jak mangle pro lokal tak pro inet. Je na nem nastaven firewall pro blokovani urcitych portu, svazani mac+ip apod. Zitra chci sit predelat, vse je nachystane, alel mam par otazek. Sit bude tedy vypadat takhle.
ISP-------MK1-------------MK2----------HW AP
MK1 = 2xCM9 (jedna jako AP bridge pro klienty, druha jako ap bridge pro MK2)
MK2 = 2xCM9 (jedna jako station na MK1 a druha jako ap bridge pro klienty)
Tim ze pridam MK2 a udelam spojeni mk1 mk2 pres ap bridge-station, dostanu v MK1 pouze mac adresu cm9 karty mk2 routru. Z toho tedy plyne, ze jakekoliv svazani mac+ip musim tedy udelat na mk2, vcetne manglovani lokalniho provozu. Ted co by me ale zajimalo je jak byste resily znackovani paketu pro lidi za MK2. Protoze i kdyz se v arp MK1 zobrazuje pouze jedna ip adresa, dokaze MK1 rozpoznat a manglovat lidi, co jsou schovani za MK2. Coz se mi samozrejme hodi, protoze to mam vsechno delano centralne na jednom routru. Presto me ale zajima, zda to nema nejake minusy, popr. zda se muzou vyskytnout nejake problemy apod. Dekuji.
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Prosim o konzultaci následujícího navrhu propopojení 2xMK.
Doporučuju:
projít si toto forum, je tam spousta odpovědí na tvé otázky - například že ten mk2 nebude chodit jako klient v ploché síti, jedině že bys to rozroutoval, což by bylo jedině dobře. WDS i EoIP ti jen zvedne zatížení procesoru na těch MK, už to tu psal někde jinde úplně nádherně JALI, že cokoliv v bridge je špatně. Pokud máš mk1 silnou mašinu, klidně si všechno ovládej z jednoho, ale lepší je mít zátěž rozloženou. Konrolu MAC+IP musíš samozřejmě dělat na každém mk, což je imho podstatně rozumnější - zabránit vstupu do sítě co nejblíže útočníkovi, je kravina mu dát přístup do celé sítě a omezovat ho až na konci na výstupu do netu.
projít si toto forum, je tam spousta odpovědí na tvé otázky - například že ten mk2 nebude chodit jako klient v ploché síti, jedině že bys to rozroutoval, což by bylo jedině dobře. WDS i EoIP ti jen zvedne zatížení procesoru na těch MK, už to tu psal někde jinde úplně nádherně JALI, že cokoliv v bridge je špatně. Pokud máš mk1 silnou mašinu, klidně si všechno ovládej z jednoho, ale lepší je mít zátěž rozloženou. Konrolu MAC+IP musíš samozřejmě dělat na každém mk, což je imho podstatně rozumnější - zabránit vstupu do sítě co nejblíže útočníkovi, je kravina mu dát přístup do celé sítě a omezovat ho až na konci na výstupu do netu.
0 x
