---

I min boligforening har vi et netværk som indimellem er ret ustabilt -
ofte pga. forkert konfigurerede routere eller wifi-basestationer som
tilsluttes netværket og svarer på DHCP forespørgsler.
Jeg ved at nogle managed switche kan filtrere den slags, f.eks. så man
kun tillader DHCP sessioner i en retning. Umiddelbart er det vel
filtrering på lag 3(?)

Edbpriser siger at lag 3 managed switche fåes fra ca. 1600 og opad.

Kan man regne med at alle lag 3 switche kan filtrere den slags?
-og hvor billigt kan man tillade sig at gå ned?

Skal jeg bare kigge de forskelllige manualer igennem for ACL'er eller
noget i den stil?

Det skal siges at netværket i flere år har kørt med de billigste
unmanaged switche overhovedet, så målet er ikke som sådan at få noget
lækkert enterpriseklasse grej, men mere at få et par enkelte
stabiliserende features.


På forhånd tak,
Kenneth

---

On Wed, 29 Nov 2006 12:29:40 +0100, Kenneth <jakabov@mail.dk> wrote:

> Edbpriser siger at lag 3 managed switche fåes fra ca. 1600 og opad.
>
> Kan man regne med at alle lag 3 switche kan filtrere den slags?

Nej. Hvis det skal fungere ordentligt, skal switchen vide, hvor den
kan forvente DHCP discover/requests fra, og hvorfra den skal forvente
DHCP offer.

> -og hvor billigt kan man tillade sig at gå ned?

Det ved jeg ikke. Jeg ved, at Ciscos switche kan lave DHCP Snooping,
men på dit indlæg i øvrigt ser det ud til, det er over dit budget.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Asbjorn Hojmark wrote:
> On Wed, 29 Nov 2006 12:29:40 +0100, Kenneth <jakabov@mail.dk> wrote:

>> Kan man regne med at alle lag 3 switche kan filtrere den slags?
>
> Nej. Hvis det skal fungere ordentligt, skal switchen vide, hvor den
> kan forvente DHCP discover/requests fra, og hvorfra den skal forvente
> DHCP offer.

Tak for svaret.

Jeg håbede på at man kunne lave en regel i retning af
iptables -A FORWARD -i eth1 -proto udp -sport 67 -j ACCEPT
iptables -A FORWARD -i eth2:eth24 -proto udp -sourceport 67 -j DROP

(Jeg er klar over at man næppe bruger iptables syntax i en switch, men
kender ikke så meget til CLI i IOS og lignende...)
Så skal man jo bare sørge for at portene "eth2" - "eth24" er der hvor
klienterne sidder, og den officielle DHCP server er på "eth1".

Jeg ved det ikke har noget at gøre med en rigtig "dhcp-helper" service,
men det er vel også mest til routede net.

>> -og hvor billigt kan man tillade sig at gå ned?
>
> Det ved jeg ikke. Jeg ved, at Ciscos switche kan lave DHCP Snooping,
> men på dit indlæg i øvrigt ser det ud til, det er over dit budget.

Det er det nok, uden jeg lige ved hvor meget den slags koster fra Cisco.
Jeg ved at HP Procurve 26xx serien kan, og de er vist rimelig fornuftige
i pris (vi bruger dem på mit arbejde), så det kan måske blive et
alternativ.

Er der ingen af jer hajer der har erfaringer med det billigere managed
grej (jeg ved at proffer foretrækker Cisco o.l.), men nogen må for fa'en
købe de billige mærker?

Jeg må vist til at skimme manualer...

Mvh
Kenneth

---

Kenneth wrote:

> Er der ingen af jer hajer der har erfaringer med det billigere managed
> grej (jeg ved at proffer foretrækker Cisco o.l.), men nogen må for fa'en
> købe de billige mærker?

Generelt kan man langt hen ad vejen sige, at man får, hvad man betaler
får. Eller i hvert fald, at man ikke får mere, end man betaler for.

Noget af det, der kommer med en dyrere switch, er også bedre
sikkerhedsfunktioner.

Det undrer mig faktisk, at så mange bygger bolignet og totalt ignorerer
den slags issues …


--
Jens

---

Asbjorn Hojmark wrote:
> On Wed, 29 Nov 2006 12:29:40 +0100, Kenneth <jakabov@mail.dk> wrote:
>
>> -og hvor billigt kan man tillade sig at gå ned?
>
> Det ved jeg ikke. Jeg ved, at Ciscos switche kan lave DHCP Snooping,
> men på dit indlæg i øvrigt ser det ud til, det er over dit budget.

HP ProCurve 26xx understøtter også DHCP snooping (fra og med en af de
nye firmware-revisioner). De er lidt billigere end Cisco switchene, men
mangler givetvis også en del andre features, som Cisco-boksene har. Jeg
har ikke set det på billigere switche (men det er selvfølgelig ikke det
samme som at det ikke findes).

Som Morten Guldager foreslog, så kunne I placere jeres brugere i hvert
deres VLAN. Det har hele tiden været vores målsætning at gøre, men vi
har da brugt DHCP snooping som (en fantastisk velfungerende)
"mellemstation".

Mvh. Martin

---

On Sun, 03 Dec 2006 18:40:34 +0100, "J. Martin Petersen"
<jmp@alvorlig.dk> wrote:

> Som Morten Guldager foreslog, så kunne I placere jeres brugere i hvert
> deres VLAN.

Det kan resultere i ganske mange VLAN, der så skal termineres, og det
kan gøre den ende af løsningen halvdyr. En løsning i samme stil er
Private VLAN -- hvor forskellige klienter er i samme subnet, men ikke
kan nå hinanden på L2 -- men det skal selvfølgelig også supporteres i
udstyret.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

2006-12-03 Asbjorn Hojmark wrote
> On Sun, 03 Dec 2006 18:40:34 +0100, "J. Martin Petersen"
><jmp@alvorlig.dk> wrote:
>
>> Som Morten Guldager foreslog, så kunne I placere jeres brugere i hvert
>> deres VLAN.
>
> Det kan resultere i ganske mange VLAN, der så skal termineres, og det
> kan gøre den ende af løsningen halvdyr.

Er der så slemt at terminere 100 VLANs?

Jeg har ikke selv prøvet, men ville umiddelbart tro det let kunne
klares på en klat middelmådig hardware og linux.

Og det er jo super let at scripte sig igennem konfigurationen på
sådan en linux ting....

Men klart nok at hvis vi taler om store trafikmængder vil det nok
kræve en del af CPU'en samt bussen hen til netkortene.


/Morten

---

On Mon, 04 Dec 2006 17:45:07 GMT, Morten Guldager
<Morten.Guldager@gmail.com> wrote:

>>> Som Morten Guldager foreslog, så kunne I placere jeres brugere i
>>> hvert deres VLAN.

>> Det kan resultere i ganske mange VLAN, der så skal termineres, og
>> det kan gøre den ende af løsningen halvdyr.

> Er der så slemt at terminere 100 VLANs?

Det afhænger selvfølgelig en del af, hvad der skal ske med trafikken.
Hvis de skal snakke med hinanden med god performance, kan det være ret
krævende.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

On Mon, 04 Dec 2006 23:50:31 +0100, Asbjorn Hojmark
<Asbjorn@Hojmark.ORG> wrote:

>> Er der så slemt at terminere 100 VLANs?

> Det afhænger selvfølgelig en del af, hvad der skal ske med trafikken.
> Hvis de skal snakke med hinanden med god performance, kan det være ret
> krævende.

I øvrigt... Det kan være værre, at udstyret skal supportere 100
samtidige VLAN (det gør meget billigt udstyr ikke), og man får 100
VLAN, man skal køre spanning tree for aht. redundans (det kan det
meste billigt udstyr ikke), ligesom man spilder en masse adresser
(hvilket selvfølgelig er mest interessant, hvis det er registrerede
adresser.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

J. Martin Petersen wrote:

> HP ProCurve 26xx understøtter også DHCP snooping (fra og med en af de
> nye firmware-revisioner). De er lidt billigere end Cisco switchene, men
> mangler givetvis også en del andre features, som Cisco-boksene har. Jeg
> har ikke set det på billigere switche (men det er selvfølgelig ikke det
> samme som at det ikke findes).
>
> Som Morten Guldager foreslog, så kunne I placere jeres brugere i hvert
> deres VLAN. Det har hele tiden været vores målsætning at gøre, men vi
> har da brugt DHCP snooping som (en fantastisk velfungerende)
> "mellemstation".
>
> Mvh. Martin

Jeg har før fået anbefalet et VLAN pr. bruger, men umiddelbart lyder det
voldsomt hvis vi så skal have 65-80 VLANS og ditto subnet i routeren.
Bliver det så ikke også meget sværere for folk at f.eks. spille online
spil med hinanden, dele filer med Windows shares osv., fordi de så ikke
er på samme subnet?

Mht. HP 26xx, så var det netop dem jeg havde i sigte. Dem halv-kender
jeg fra arbejdet, hvor de fungerer OK og de kan fåes for cirka 3000 for
24 + 2 dual porte.

Jeg har måske mulighed for at købe en stak gamle Nortel Baystack 450
switche. De kan bl.a. blokere for uønsket DHCP, omend det kun er med
ACL, og de har også VLANs, trunking m.m.

Har I nogle kommentarer omkring køb af brugt udstyr? Tommelfingerregler
for priser? Er der nogle /uundværlige/ features som er "opfundet"
indenfor de sidste 5 år, som jeg vil savne i en ældre switch?

Findes der i øvrigt et sted hvor det er mere oplagt at diskutere
boligforenings-net? Jeg regnede med at der var masser som havde lavet
den slags projekter, men jeg synes ikke jeg kan google mig til særlig
meget (brugbart). F.eks. savner jeg noget inspiration til eller
erfaringer med båndbreddefordeling, logning ifm. uddelegering af ansvar
for ulovligheder, adgangsstyring osv.

Mvh
Kenneth

---

On Mon, 04 Dec 2006 10:37:58 +0100, Kenneth <jakabov@mail.dk> wrote:

>Jeg har før fået anbefalet et VLAN pr. bruger, men umiddelbart lyder det
>voldsomt hvis vi så skal have 65-80 VLANS og ditto subnet i routeren.

Så er private VLAN som Asbjørn foreslår en god ide.
Det er en Cisco feature - jeg ved ikke om HP også har noget lignende?


>Findes der i øvrigt et sted hvor det er mere oplagt at diskutere
>boligforenings-net?

Dette er den rigtige nyhedsgruppe til formålet.

>Jeg regnede med at der var masser som havde lavet
>den slags projekter, men jeg synes ikke jeg kan google mig til særlig
>meget (brugbart). F.eks. savner jeg noget inspiration til eller
>erfaringer med båndbreddefordeling, logning ifm. uddelegering af ansvar
>for ulovligheder, adgangsstyring osv.

Du kan prøve at tilmelde dig bolignetforeningens mailingliste:
http://www.bolignetforeningen.dk/
Den er dog ikke så aktiv.


/Jarlskov

---

Lasse Jarlskov wrote:

> Du kan prøve at tilmelde dig bolignetforeningens mailingliste:
> http://www.bolignetforeningen.dk/
> Den er dog ikke så aktiv.

Tak. Den kendte jeg slet ikke.

Mvh
Kenneth

---

2006-11-29 Kenneth wrote
> I min boligforening har vi et netværk som indimellem er ret ustabilt -
> ofte pga. forkert konfigurerede routere eller wifi-basestationer som
> tilsluttes netværket og svarer på DHCP forespørgsler.

Kunne du ikke starte med at detektere dem der laver ballade,
og så blokere netop den bruger med en passende regel i din
firewall/router.

Så skal de nok komme rendende med både rødvin og undskyldning.
Det hjælper naturligvis ikke super meget mens det står på, men
sådan et automatisk ballade=>døden program plejer at have en
vis opdragende effekt.

Men ellers må man konstatere at du netop nu har erfaret nogle
af ulemperne ved et layer-2 net.
Jeg plejer at sige at inden for samme layer-2 segment står alle
lige. Kan man ikke samarbejde fucker det op for alle.


/Morten

---

2006-11-29 Kenneth wrote
> I min boligforening har vi et netværk som indimellem er ret ustabilt -
> ofte pga. forkert konfigurerede routere eller wifi-basestationer som
> tilsluttes netværket og svarer på DHCP forespørgsler.
> Jeg ved at nogle managed switche kan filtrere den slags, f.eks. så man
> kun tillader DHCP sessioner i en retning. Umiddelbart er det vel
> filtrering på lag 3(?)

Ah ja, jeg glemte helt... Måske du kan lave noget smart med vlan.

Hver bruger i eget vlan. Du binder dem så alle sammen i din
firewall/router. Så sidder hver bruger på sit eget layer-2 segment

Det er måske billigere med vlan switche end de der smarte nogen
Asbjørn er på vej ud i...


/Morten

---

Morten Guldager <Morten.Guldager@gmail.com> crashed Echelon writing
news:slrnemrede.cqf.Morten.Guldager@linuxine.mogul.dk:

> Det er måske billigere med vlan switche end de der smarte nogen
> Asbjørn er på vej ud i...

En Cisco med vlan og switchport protection behøver faktisk ikke være så
dyr, og kan sikkert findes endnu billigere som brugt.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

Kenneth <jakabov@mail.dk> wrote:

>I min boligforening har vi et netværk som indimellem er ret ustabilt -
>ofte pga. forkert konfigurerede routere eller wifi-basestationer som
>tilsluttes netværket og svarer på DHCP forespørgsler.
>Jeg ved at nogle managed switche kan filtrere den slags, f.eks. så man
>kun tillader DHCP sessioner i en retning. Umiddelbart er det vel
>filtrering på lag 3(?)

Ja, jo. Men det kræver ikke en switch der kan route, blot at den er L3
"aware".

Cisco kalder det DHCP snooping og det findes på også deres mindre
swtiche.

Det handler om at man

1) aktiverer det globalt på et/flere/alle vlan
2) definerer uplink-porte som dhcp snooping trust porte

hvis du ønsker yderligere filtrering så bør du kigge på ARP inspection
og IP source guarding som er beslægtede teknologier.

>Edbpriser siger at lag 3 managed switche fåes fra ca. 1600 og opad.

Jo - men en Cisco koster nok lidt mere.

>Kan man regne med at alle lag 3 switche kan filtrere den slags?

Nej.

--
Lars Kim Lund
http://www.net-faq.dk/