Aanmaken VLAN

[reyntjensw]

Ik zit met volgend probleem :

We gaan voor een vzw een nieuw netwerk opzetten dat uit 2 delen bestaat. Een intranet deel en een hotspot gedeelte.
Deze 2 delen moeten strikt van elkaar gescheiden zijn voor de veiligheid. Maar kan iemand mij zeggen wat we hiervoor specifiek nodig hebben?

Er zijn 2 locaties (de zaal en een kantoor gedeelte) die met elkaar verbonden zijn met een fiber en er zijn momenteel nog geen switches of ander materiaal aangeschaft.

Bij het maken van een VLAN, hoe kan je de clients dan toevoegen? Moet je hiervoor de netwerkkabels in bepaalde vooraf geconfigureerde poorten steken of hoe gaat dit?

Bedankt

[Sub Zero]

Zoals je al zegt: je steekt de kabels van je clients (of je access point) in een vooraf geconfigureerde poort. Niks meer dan dat.

[reyntjensw]

Ah ok, ik wist niet dat het zo makkelijk was. Heb je hiervoor managed switchen nodig of kan dit ook met een gewone switch?

[Mr.T]

Ik denk dat je beter eens exact beschrijft wat je nodig hebt, want zomaar even VLAN roepen is niet altijd de beste oplossing.

om VLANs te gebruiken heb je inderdaad een managed switch nodig. Indien je toch traffic wilt kunnen routeren tussen je VLANs heb je een managed L3 switch nodig, of een extra router.

[reyntjensw]

De bedoeling is de volgende:

Er is een kantoor gedeelte waar enkele pc's op zijn aangesloten, deze mogen alleen connecteren met de server die er gaat komen.
In de zaal is het de bedoeling dat klanten kunnen surfen (enkel internet, vandaar het idee van een vlan). Er komt ook een kassasysteem die ook moet connecteren met de server (voor oa backups enz).


Dus in grote lijnen, de zaal moet afgezonderd zijn van het kantoor gedeelte (met uitzondering van het kassasysteem).
Wat zou ik hier het best voor gebruiken?

Indien mogelijk liefst de 1gbit versie vn switchen enz, want in de toekomst zou er in de zaal gestreamed moeten worden.

[Draco888]

Misschien een IPcop oplossing? Enige wat je nodig hebt is een oude PC met drie netwerkkaarten. Op deze manier zijn intranet, vlan en internet totaal gescheiden.

[Mr.T]

hoe groot is de afstand tussen het kantoor gedeelte en de zaal?
Wat voor fiber ligt er tussen beide?
Heb je ook wireless nodig in het kantoor gedeelte?
Hoeveel budget is er beschikbaar?
Als je managed gbit switches nodig hebt, zal je wel flink wat euro's mogen reserveren (reken op een 1000 euro voor een HP procurve, cisco nog een pak meer).

[reyntjensw]

De afstand tussen de zaal en het kantoor is tussen de 20 en 30 meter.
Het type fiber weet ik niet maar zal het eens navragen.
In het kantoorgedeelte gebeurd alles wired, hier is dus geen wireless nodig.
Het budget ligt rond de € 6 a € 7000, met hierbij 4 pc's, printer, hotspots, 2 switches, voorlopig een nas (een server komt later) en een hw firewall (vpn moet mogelijk zijn).

[Sub Zero]

Moet de fiber tussen de zaal gebruikt worden? Kun je daar niet eenvoudig een UTP kabel naartoe trekken? De apparatuur om die fiber aan te sluiten zal je te veel geld kosten in vergelijking met de rest van de setup.

Als je toch 2 aparte switches koopt, dan heb je eigenlijk geen managed switches nodig. Je verkeer is dan zowiezo gescheiden per switch, dus vlans zijn nergens voor nodig.

[reyntjensw]

Er liggen ook 7 netwerkkabels tussen het kantoor en de zaal, 2 ervan gaan wel gebruikt worden voor telefonie.

Zou je het laatste deel vn je antwoord eens kunnen verduidelijken?
Wil dat dan zeggen da als je 2 switches met elkaar verbindt, dat je bijvoorbeeld vanuit de zaal niet op het deel kan van het kantoor?

[Mr.T]

Als er toch 7 netwerkkabels tss de zaal en het kantoor liggen, zou ik die fiber ook niet gebruiken.
Deze gaat enkel de totale kostprijs opdrijven.

Persoonlijk zou ik het zelfs bij 1 degelijke switch (bijv hp procurve 2810-24G) houden, samen met dan een firewall zoals de juniper ssg 5 / 20 / 140 afhankelijk van de mogelijkheden die je nodig hebt.

[reyntjensw]

Waar ik nog niet van gesproken heb is dat er buiten de hotspots ook nog wand stopcontacten zijn voor het netwerk. Dus daar komen er ook nog eens een stuk of 10 bij. Dus zou er eventueel nog een kleine 24 ports bij moeten komen in de zaal, of hoe zouden jullie dit oplossen?

[Sub Zero]

Zou je het laatste deel vn je antwoord eens kunnen verduidelijken?
Wil dat dan zeggen da als je 2 switches met elkaar verbindt, dat je bijvoorbeeld vanuit de zaal niet op het deel kan van het kantoor?

Als je beide switches dan direct linkt met je firewall, dan kun je vanop het netwerk in de zaal inderdaad niet op het netwerk van de kantoren. Als je beide koppelt met mekaar kan dit weer wel natuurlijk.

Ik denk dat je best eens een schema maakt met alles erop en eraan, wandcontactdozen, aantal clients, kabels van waar naar waar, ... Zo volledig mogelijk. Kwestie van een zo volledig mogelijk antwoord te kunnen geven.

[reyntjensw]

Kheb mijn best gedaan om alles te tekenen.
In de serverkast en de verdeelkast staat er een rack waar er voldoende plaats is voor alles.

Enkel de bar moet dus in verbinding komen met het kantoorgedeelte en het zou mogelijk moeten zijn om snel de bestemming van een wandcontactdoos te verwisselen. (later zouden er lessen georganiseerd worden en dan zou er verbinding gemaakt moeten kunnen worden met het kantoorgedeelte)

Ik hoop dat het een beetje duidelijk is, anders moet je het maar vragen

alvast bedankt

[Sub Zero]

Hoe ik het zou doen om zo weinig mogelijk kosten te maken: 2 Gbit switches, managed, eentje in de verdeelkast en eentje in de serverkast. Zaalswitch naar kantoorswitch en kantoorswitch naar de firewall. Zaal+bar patchen op zaalswitch, kantoor patchen op de andere. De hotspots ook uplinken naar de zaal-switch. Je hebt dan nog de fiber en 6 UTP patches over voor de toekomst.

Als je dan snel de wandcontactdozen wil wisselen van 'netwerk' dan heb je maar alleen de vlan op de switch aan te passen en je zit gebeiteld. Voor de switchen kan je eender welk merk nemen (vb: hp procurve, cisco catalyst - redelijk duur, linksys SRW2024, ...). ls router kun je een Juniper SSG-5 of een Cisco 851 ofzo nemen. Hangt af van je persoonlijke voorkeur.

[reyntjensw]

Bedankt voor de duidelijke uitleg, ik had nog 2 (laatste) vraagjes:

- 1 ivm de vlans, kan je elke poort op een switch toevoegen aan een vlan?
- heeft er iemand ervaring met de fortinet 50A firewall? Deze werd me door iemand aangeraden.

[Sub Zero]

Als je switches goed geconfigureerd zijn, dan kun je inderdaad elke poort in een bepaalde vlan configureren. Ik heb zelf persoonlijk geen ervaring met fortinet firewalls, maar in een zusterbedrijf gebruikten ze die dingen en waren er toch precies niet ontevreden over.

[reyntjensw]

okido:), bedankt voor jullie hulp

[Goendi]

Ik volg niet goed waarom elke hotspot een aparte kabel nodig heeft. En iets wat ik mis in dit geheel..; Waar komt de WAN zijde binnen? Wat voor connectie is het?

Geheel terzijde is het perfect mogelijk om met 2 pfsense server cases identiek hetzelfde te bereiken, met dit verschil dat er nog een hoop extra functionaliteiten inzitten, en je bovendien nog een captive portal hebt waarmee je je hotspot clients kunt regelen. http://www.pfsense.org. voordeel: cheap.

[reyntjensw]

De wan zijde komt binnen in de serverkast bij de nas en de firewall.
Hoe zou jij de hotspots dan verbinden?
Ik heb al wat zitten kijken naar pfsense, het lijkt heel interessant, maar waar vind je in België zo een behuizing voor een pfsense?

Edit : qua verbinding zal er een telenet office access verbinding zijn.

[Sub Zero]

Ik heb al wat zitten kijken naar pfsense, het lijkt heel interessant, maar waar vind je in België zo een behuizing voor een pfsense?

http://www.linuxbelgiumshop.be/nl/index ... PCLSR-2206
Die zit in Gent aan de KaHo hogeschool.

[Mr.T]

Ik heb al wat zitten kijken naar pfsense, het lijkt heel interessant, maar waar vind je in België zo een behuizing voor een pfsense?

http://www.linuxbelgiumshop.be/nl/index ... PCLSR-2206
Die zit in Gent aan de KaHo hogeschool.

Da's veel geld voor een basic supermicro systeem waarvan ze de specs nog ni eens vermelden.
Dan kan je evengoed iets halen bij bijv. ahead-it.be en het zelf installeren.

[reyntjensw]

Dat was ook een beetje mijn mening, voor die € 800 kan je heel makkelijk een simpele fortinet kopen. Die is natuurlijk wel geen opensource.
Hoeveel zou het kosten om zelf zo een server samen te stellen?

[Mr.T]

ik vermoed dat de server die ze daar gebruiken, niet meer als 400 euro zal kosten.
Kijk maar eens bij ahead-it.be. Daar beginnen ze al bij minder als 300 euro excl. btw. En ahead-it is dan nog niet eens de goedkoopste.

[reyntjensw]

qua hdd, zou je dan gaan voor een flashcard of zou je dan gaan voor een sata schijf?
Hoe kan je die dan integreren? Want ik heb hier geen ervaring mee

[tw2007]

Ik heb al wat zitten kijken naar pfsense, het lijkt heel interessant, maar waar vind je in België zo een behuizing voor een pfsense?

http://www.linuxbelgiumshop.be/nl/index ... PCLSR-2206
Die zit in Gent aan de KaHo hogeschool.

Soekris bordjes zijn ook altijd handig voor zelfbouw routers. http://www.soekris.com. Ze hebben zelf een online shop, maar ik heb de mijne bij een verdeler in België gekocht: https://kd85.com/. Zeer vlot qua communicatie, betaling & levering!

Pfsense is (i.t.t. bijvoorbeeld m0n0wall) niet echt geoptimaliseerd voor embedded platforms. Ze hebben wel een speciale versie daarvoor, maar zonder add-on packages. Ik draai m0n0wall op een soekris 5501-60...

Tom

[Mr.T]

Persoonlijk zou ik voor een vzw niet kiezen voor een opensource oplossing.
Gezien het budget zou ik eerder gaan voor een commerciele oplossing (juniper ssg, cisco asa, hotbrick, fortinet, ...). Dit zal je veel kopzorgen besparen en vooral wat betreft support later voordeliger zijn.

[reyntjensw]

Ik heb eens gekeken, en die bakjes kosten 2x niets als je dit vergelijkt met een gewone server

Edit : daar heb je wel gelijk bij, maar voor thuisgebruik zou je dit wel eventueel kunnen gebruiken

[Sub Zero]

Ik moet eigenlijk Mr T gelijk geven. Ik zou voor een instapmodel gaan van de grote jongens. Pfsense en toestanden is leuk als je zelf een hobbyist bent die aan al die dingen uit geraakt. Maar aan de aard van de vragen van de topicstarter is hij denk ik beter af met een ssg'tje met een duidelijke webinterface ofzo.

[silencer]

qua hdd, zou je dan gaan voor een flashcard of zou je dan gaan voor een sata schijf?
Hoe kan je die dan integreren? Want ik heb hier geen ervaring mee

sata schijf, op de flash versie kan je geen addons installeren, ik zou zelf een kleine pc samenstellen,hoeft nt groot te zijn.

bekijk het eens in vmware(ik krijg wel een foutmelding bij het opstarten(van vmware), niets van aantrekken.(als je wilt gaan filteren=>antivirus,... is pfsense niet geschikt).

pfsense wordt altijd zeer uitgebreid getest voordat er een final verse wordt uitgebracht (en er is commerciële support), heeft een zeer uitgebreide webinterface(alles is in te stellen via webinterface)+SSH en is makkelijk te configureren(zelfs voor leken).

[skynetbbs]

Eventueel gewoon enkele fonera classics van 20euro/stuk plaatsen?
ze maken automatisch 2 netwerken aan... een "myplace" en een "fon_Free_internet";
de klanten kunnen op het FON gedeelte na authenticatie
en je kassa's kunnen op het WPA2/AES gedeelte van Myplace (zelf te kiezen)

de kassa's komen op 192.168.10.X of het WAN netwerk (bridged); eg je intern netwerk
de bezoekers komen op 192.168.182.x en kunnen overal op BEHALVE op je intern netwerk;

deze foneras gebruiken allemaal "linux/iptables" dus je kunt altijd de streaming server whitelisten

ze zijn redelijk plug&play... zijn er al een 400.000 wereldwijd geinstalleerd;
bezoekers authenticeren zich via de browser of via
specifieke connection clients zoals EasyWifi van Devicescape