Zdravým páni,
bol som požiadaný, aby som dal do poriadku dátové rozvody v škole, plus konekt.
Oni chudáci ešte stále fungovali na infoveku konekt 8mega pre celu školu.
Pôjde tam 3011 - core router
Sú tam asi tri PC učebne spolu cca 90 PC, plus učitelia,kancelarie atd.. odhadujem 150 nejakých zariadení.
Je tam správca siete, ktorý do MK nič moc.
A tu je moja dilema, ako čo nejednoduchšie dokázal správca pridávať zariadenia do MK a mal požiadavku aby bola zviazana MACK+IP.
napadajú ma tieto možnosti
1. ARP+make static plus nejaký coment kto j kto. Pri DHCP servru asi nebude fungovať, novo pripojený sa aj tak pripojí.
2. DHCP server+make static+ filter rules dva riadky IP+MACK na konci drop - PRACNE
3. iba filter rules
4. hotspot asi najlepšie riešenie, ale oni moc nechceli sa prihlasovať cez meno heslo, našiel som v hotspote IP bindings, ak tu zadam IP+MACK, už asi nebude žiadať prihlásenie do hotspotu, ale bude to fungovať ako kontrola prístupu????
Neviem pre akú variantu sa mám rozhodnúť, aby som mal kľud a nemusel stále tam ničo riešiť.
Neviete poradiť hoci aj niečo iné napr. userman??
Ďakujem
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
ZŠ aký firewall ??
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Pokud tam mají AD, ověřoval bych stanice pomocí Radiusu přímo z AD. Pak na MK nemusíš vůbec sahat a vše řešíš v AD.
Tzn. PC dostane z AD DHCP IP adrsu na základě MAC, MK si to natáhne radiusem a vytvoří pravidlo.
Tzn. PC dostane z AD DHCP IP adrsu na základě MAC, MK si to natáhne radiusem a vytvoří pravidlo.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Zdar,
úspešne prevádzkujem na našej škole static DHCP s funkciou reply-only na danú VLAN (interface). Je to jednoduché a funguje to spoľahlivo. Mám takto asi 15 učební + asi ďalších 10 sietí so štandardným DHCP (vedenie, kabienty, prednáškové učebne, učiteľskú wifi s overením 802.1x a hotspot... Do kopy 250 statických a asi 400 dynamických zariadení. RADIUSom by som to na základke nekomplikoval. RADIUS používam len na overenie hotspot wifi s kontami na Active Directory.
Hlavne odporúčam používať VLAN alebo samostatne rozsieťovať a rozdeliť učebne, kabinety, vedenie, wifinu,.....
Ja som tiež ako správca s mikrotikom začínal a nebol to v škole veľký problém. Cez winbox je to aj pre neskúseného správcu celkom príjemné.
Konekt 8Mb je blbosť. Nech si skúsia pozrieť či nie sú v dosahu uzla SANET. To je akademická sieť a pre školy je to výhodné. (Ak tam teda neideš predávať tvoj konekt
Ak by si potreboval niečo doriešiť kľudne napíš SZ
úspešne prevádzkujem na našej škole static DHCP s funkciou reply-only na danú VLAN (interface). Je to jednoduché a funguje to spoľahlivo. Mám takto asi 15 učební + asi ďalších 10 sietí so štandardným DHCP (vedenie, kabienty, prednáškové učebne, učiteľskú wifi s overením 802.1x a hotspot... Do kopy 250 statických a asi 400 dynamických zariadení. RADIUSom by som to na základke nekomplikoval. RADIUS používam len na overenie hotspot wifi s kontami na Active Directory.
Hlavne odporúčam používať VLAN alebo samostatne rozsieťovať a rozdeliť učebne, kabinety, vedenie, wifinu,.....
Ja som tiež ako správca s mikrotikom začínal a nebol to v škole veľký problém. Cez winbox je to aj pre neskúseného správcu celkom príjemné.
Konekt 8Mb je blbosť. Nech si skúsia pozrieť či nie sú v dosahu uzla SANET. To je akademická sieť a pre školy je to výhodné. (Ak tam teda neideš predávať tvoj konekt
Ak by si potreboval niečo doriešiť kľudne napíš SZ
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Noxus28 píše:Zdar,
úspešne prevádzkujem na našej škole static DHCP s funkciou reply-only na danú VLAN (interface). Je to jednoduché a funguje to spoľahlivo. Mám takto asi 15 učební + asi ďalších 10 sietí so štandardným DHCP (vedenie, kabienty, prednáškové učebne, učiteľskú wifi s overením 802.1x a hotspot... Do kopy 250 statických a asi 400 dynamických zariadení. RADIUSom by som to na základke nekomplikoval. RADIUS používam len na overenie hotspot wifi s kontami na Active Directory.
Hlavne odporúčam používať VLAN alebo samostatne rozsieťovať a rozdeliť učebne, kabinety, vedenie, wifinu,.....
Ja som tiež ako správca s mikrotikom začínal a nebol to v škole veľký problém. Cez winbox je to aj pre neskúseného správcu celkom príjemné.
Konekt 8Mb je blbosť. Nech si skúsia pozrieť či nie sú v dosahu uzla SANET. To je akademická sieť a pre školy je to výhodné. (Ak tam teda neideš predávať tvoj konekt
Ak by si potreboval niečo doriešiť kľudne napíš SZ
Vďaka za odpovede,
tiež najprv som rozmýšľal nad vlan, ale keď som bol na obhliadke a spýtal som sa na nejakú topológiu siete, ktorá vetva ide kde a cez ktorý switch, nikto nič nevie.
Nejaká firma pri rekonštrukcii školy naťahala rozvody dala ich pod fasádu a nenechala nič, nejaký nákres.
Switche nejaké nomanagment zixel, ani nie sú zapojene na 1G uplinky, iba zapojene do 100kových eth. Je problém idetifikovať už len uplinkovú vetvu do racku.
Včera som odniesol CRS 125-24 , už bude lepšie nájsť smerovanie káblov, len bojím sa, že dlšky káblov sú na hrane a asi preto neboli zapojené do 1G uplinku .
Konekt neje blbosť, je to realita. Ani VDSL nemajú možnosť.
Natiahol som optiku a pondelok fungujú 100/100, myslím že to pre nich bude riadny skok.
Preto asi kašlem na vlany a rozmyšľam nad jedným subnetom pre DHCP a druhy static sabnet pre kamery switche atd..
Zisťovanie trasy nikto nezaplatí a preto skôr by som rišil iba firewall
0 x
farmar píše:
Vďaka za odpovede,
tiež najprv som rozmýšľal nad vlan, ale keď som bol na obhliadke a spýtal som sa na nejakú topológiu siete, ktorá vetva ide kde a cez ktorý switch, nikto nič nevie.
Nejaká firma pri rekonštrukcii školy naťahala rozvody dala ich pod fasádu a nenechala nič, nejaký nákres.
Switche nejaké nomanagment zixel, ani nie sú zapojene na 1G uplinky, iba zapojene do 100kových eth. Je problém idetifikovať už len uplinkovú vetvu do racku.
Včera som odniesol CRS 125-24 , už bude lepšie nájsť smerovanie káblov, len bojím sa, že dlšky káblov sú na hrane a asi preto neboli zapojené do 1G uplinku .
Konekt neje blbosť, je to realita. Ani VDSL nemajú možnosť.
Natiahol som optiku a pondelok fungujú 100/100, myslím že to pre nich bude riadny skok.
Preto asi kašlem na vlany a rozmyšľam nad jedným subnetom pre DHCP a druhy static sabnet pre kamery switche atd..
Zisťovanie trasy nikto nezaplatí a preto skôr by som rišil iba firewall
Jasne ak sa ináč nedá a nezaplatia ani manag switche tak bohužiaľ, my sme na to šli po blokoch nie všetko naraz ale donútil som našich aspoň nakúpiť manag signamax z druhej ruky od ISP za pár korún a už sa aspoň dalo riešiť VLAN.
Tak vyskúšaj, neviem či sa ti to bude dať prevádzkovať na 1 interface s ARP reply-only. To by si musel mat v DHCP static všetky zariadenia.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Noxus28 píše:farmar píše:
Vďaka za odpovede,
tiež najprv som rozmýšľal nad vlan, ale keď som bol na obhliadke a spýtal som sa na nejakú topológiu siete, ktorá vetva ide kde a cez ktorý switch, nikto nič nevie.
Nejaká firma pri rekonštrukcii školy naťahala rozvody dala ich pod fasádu a nenechala nič, nejaký nákres.
Switche nejaké nomanagment zixel, ani nie sú zapojene na 1G uplinky, iba zapojene do 100kových eth. Je problém idetifikovať už len uplinkovú vetvu do racku.
Včera som odniesol CRS 125-24 , už bude lepšie nájsť smerovanie káblov, len bojím sa, že dlšky káblov sú na hrane a asi preto neboli zapojené do 1G uplinku .
Konekt neje blbosť, je to realita. Ani VDSL nemajú možnosť.
Natiahol som optiku a pondelok fungujú 100/100, myslím že to pre nich bude riadny skok.
Preto asi kašlem na vlany a rozmyšľam nad jedným subnetom pre DHCP a druhy static sabnet pre kamery switche atd..
Zisťovanie trasy nikto nezaplatí a preto skôr by som rišil iba firewall
Jasne ak sa ináč nedá a nezaplatia ani manag switche tak bohužiaľ, my sme na to šli po blokoch nie všetko naraz ale donútil som našich aspoň nakúpiť manag signamax z druhej ruky od ISP za pár korún a už sa aspoň dalo riešiť VLAN.
Tak vyskúšaj, neviem či sa ti to bude dať prevádzkovať na 1 interface s ARP reply-only. To by si musel mat v DHCP static všetky zariadenia.
Trochu som sa hral na stole a najlepšie vychadza hotspot.
PC učebne, kancelárie a zariadenia učiteľov, budu v IP Bindigs, bypas. IP a MACK bude pridelená danému zariadeniu a pôjde bez nutnosti loginu na hotspote.
Walled Garden v hotspote umožnuje ďalšie možnosti povolenia webov atď..
Zároveň, hotspot bude pripravený pre návštevy a možno časom povolia aj žiakom, kde sa bude dať orezávať rýchlosť atď..
Zároveň sa budu nasadzovať 14 Unfi AP LR , kde bude admin controlerom môcť bloknuť zariadenie už na vstupe do AP
Ale aj tak vďaka.
0 x
V pohode 
Unifi AP mám aj u nás, vcelku spokojnosť. Vysielam 2 siete, jednu pre učiteľov s elektronickou triednou knihou na tablete overením cez 802.1X na RADIUS a druhá je čistý hotspot pre ostatné mobilné zariadenia. Interný portál nevyhovoval tak to ide na mikrotik... sem tam sa niektoré AP trošku sekne ale cez controller alebo SSH sa to dá resetovať.
Veľa úspechov
Unifi AP mám aj u nás, vcelku spokojnosť. Vysielam 2 siete, jednu pre učiteľov s elektronickou triednou knihou na tablete overením cez 802.1X na RADIUS a druhá je čistý hotspot pre ostatné mobilné zariadenia. Interný portál nevyhovoval tak to ide na mikrotik... sem tam sa niektoré AP trošku sekne ale cez controller alebo SSH sa to dá resetovať.
Veľa úspechov
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo