---

Ja, cross posting, - fordi jeg har brug for et hurtigt input (til møde i
aften)!

Facts:
Vi er en andelsforening på 10 lejligheder (men dette gælder selvfølgelig
alle der ønsker at dele en internet forb.) der ønsker at dele en 2
Mbit/512kbit ADSL forbindelse (formentligt fra Tiscali, m. cisco 827
router).

Baggrund:
Der findes en hel del foreninger/kollegier etc. der har en sådan delt
forb., men de kører i hovedreglen på et ganske almindeligt switchet netværk,
form. på et eller flere private klasse B/C net! Hvad vi ønsker er en total
fysisk (virtuel?) adskillelse mellem vores maskiner hele vejen til internet
forb. (827'eren). Vi har ikke behov for at 'spille' sammen etc. og vi ønsker
det skal være en ren HW løsnin, med en tredie part (konsulent) til konf. af
firewall's, switches. Behovet for yderligere firewalls mod internettet er
den enkeltes eget ansvar. Vi ønsker heller ikke en firewall HW boks pr.
lejlighed.

Spørgsmål:

- Hvordan gøres dette bedst og billigst?

- Jeg har fået foreslået en HP 2524 mellem router og klienter. Jeg
forestiller mig man laver 10 VLAN's, én til hver lejlighed og gør en 11.'te
VLAN (til WAN) medlem af alle de andre VLAN's. Har ikke før hørt det skulle
kunne lade sig gøre, - kan det det?

I hvilken grad vil en sådan opsætning påvirke muligheden for NAT og port
filtrering?

Og hvad koster det (HW boksene) (Jo jeg kender prisen på en HP 2524)?

Venlig hilsen
Christian Hedegaard
Andelsfore. 'Nordborg'

---

"CHE" <CHE@(-NOSPAM-)ihk.dk> skrev i en meddelelse
news:9rp84t$14i4$1@news.net.uni-c.dk...
>Jeg
> forestiller mig man laver 10 VLAN's

Det er også en mulighed at sætte en PPPoE koncentrator op og lade folk
koble op med en klient eller med egen router.
Får i et ADSL produkt med flere IP'er kan hver bolig dermed få en public
IP

> Og hvad koster det (HW boksene) (Jo jeg kender prisen på en HP
2524)?

Gratis sw på www.mikrotik.com
Hardware er en pc med nogle multi-ports netkort

--
Martin Højriis Kristensen - http://www.makr.dk/?usenet
Jeg repræsenterer med dette indlæg mig selv og ikke TDC Internet

---

"Martin Højriis Kristensen" <usenet@makr.dk> wrote in message
news:3be026bf$0$221$edfadb0f@dtext.news.tele.dk...
> "CHE" <CHE@(-NOSPAM-)ihk.dk> skrev i en meddelelse
> news:9rp84t$14i4$1@news.net.uni-c.dk...
> >Jeg
> > forestiller mig man laver 10 VLAN's
>
> Det er også en mulighed at sætte en PPPoE koncentrator op og lade folk
> koble op med en klient eller med egen router.
> Får i et ADSL produkt med flere IP'er kan hver bolig dermed få en public
> IP

En interessant løsning! Ligner lidt en form for multihomed routing
server løsning. Den har dog nogle bagdele vi gerne vil undgå, nemlig helst
ingen separate routers og helst ikke en form for softwareløsning. Problemet
er at ved denne (paranoide?) opsætning vi søger kræves det at vi bestiller
det hos 3. part. Det vil sige at de skal stå for opsætning og konfigurering
og sidde på administrator adgang etc. - og det kan vise sig at blive
særdeles dyrt i længden i konsulenttimer ved en delvis softwarebaseret
løsning!

>
> > Og hvad koster det (HW boksene) (Jo jeg kender prisen på en HP
> 2524)?
>
> Gratis sw på www.mikrotik.com

Ja, prisen kan ikke diskuteres, mere det at en sådan maskine formentligt
koster mere at holde kørende joule-wise!

> Hardware er en pc med nogle multi-ports netkort

Var faktisk ikke bekendt med at sådanne kort fandtes!

Men tusind tak for en alternativ indfaldsvinkel for løsning af problemet! et
eller andet sted føler jeg at der mangler en form for SOHO produkt for vores
problemstilling, og formentligt vil komme i en eller anden form for HW
baseret sag efterhånden som deling bliver udbredt!?

>
> --
> Martin Højriis Kristensen - http://www.makr.dk/?usenet
> Jeg repræsenterer med dette indlæg mig selv og ikke TDC Internet

Christian H.

---

"CH" <che@(-NOSPAM-)cph.ih.dk> skrev i en meddelelse
news:9rsrb3$2sh1$1@news.cybercity.dk...
> helst ikke en form for softwareløsning.

Det her er ikke mere software end IOS er det i cisco-routere.
Routeren er jo sit eget OS og skal ikke køre under hverken win eller
linux

> Ja, prisen kan ikke diskuteres, mere det at en sådan maskine
formentligt
> koster mere at holde kørende joule-wise!

Den behøver ingen harddisk, og processoren kan være en gammel svend uden
blæser.
Ergo meget lidt forbrug, men sandsynligvis en smule mere end en
dedikeret router

> Var faktisk ikke bekendt med at sådanne kort fandtes!

Dlink har lavet et. De skriver om det på router-siden

> Men tusind tak for en alternativ indfaldsvinkel for løsning af
problemet! et
> eller andet sted føler jeg at der mangler en form for SOHO produkt for
vores
> problemstilling

Selv tak, og ja. Men du er jo lidt ude over SOHO begrebet her...

--
Martin Højriis Kristensen - http://www.makr.dk/?usenet
Jeg repræsenterer med dette indlæg mig selv og ikke TDC Internet

---

in article 9rp84t$14i4$1@news.net.uni-c.dk, CHE at CHE@-NOSPAM-ihk.dk wrote
on 31/10/01 17:17:

> - Jeg har fået foreslået en HP 2524 mellem router og klienter. Jeg
> forestiller mig man laver 10 VLAN's, én til hver lejlighed og gør en 11.'te
> VLAN (til WAN) medlem af alle de andre VLAN's. Har ikke før hørt det skulle
> kunne lade sig gøre, - kan det det?

VLAN ville imho være en fin løsning. Det giver også mulighed for senere at
koble enkelte lejligheder sammmen hvis det skulle blive aktuelt.

--
/peter

"Where's my burrito?" -- Homer

---

"Pete" <pete@hldns.com> wrote in message
news:B8063EE0.D029%pete@hldns.com...
> in article 9rp84t$14i4$1@news.net.uni-c.dk, CHE at CHE@-NOSPAM-ihk.dk
wrote
> on 31/10/01 17:17:
>
> > - Jeg har fået foreslået en HP 2524 mellem router og klienter. Jeg
> > forestiller mig man laver 10 VLAN's, én til hver lejlighed og gør en
11.'te
> > VLAN (til WAN) medlem af alle de andre VLAN's. Har ikke før hørt det
skulle
> > kunne lade sig gøre, - kan det det?
>
> VLAN ville imho være en fin løsning. Det giver også mulighed for senere at
> koble enkelte lejligheder sammmen hvis det skulle blive aktuelt.

Ja, det kunne måske blive aktuelt. Da jeg nu, efter vores møde i går er
blevet kasserer (desværre!?) kunne man godt forestille sig en eller anden
form for intranetserver, der kunne holde folk opdaterede omkring vores
økonomiske formåen (- og alt muligt andet, som f.eks. hvem der står for tur
næste gang der skal laves oprydning, etc.). Denne intranetserver kunne også
bruges udelukkende til at holde bestyrelsen (3 personer) orienteret.
Depends...!

>
> --
> /peter
>
> "Where's my burrito?" -- Homer

Christian H.

---

On Wed, 31 Oct 2001 17:17:19 +0100, "CHE" <CHE@(-NOSPAM-)ihk.dk>
wrote:

> Der findes en hel del foreninger/kollegier etc. der har en sådan delt
> forb., men de kører i hovedreglen på et ganske almindeligt switchet netværk,
> form. på et eller flere private klasse B/C net! Hvad vi ønsker er en total
> fysisk (virtuel?) adskillelse mellem vores maskiner hele vejen til internet
> forb. (827'eren).

På fx. Cisco-switch kan man køre 'private VLANs', der basalt set
betyder at de enkelte porte ikke kan snakke med hinanden, men
godt kan snakke med en default gateway (ADSL-routeren).

Almindelige VLAN kan kun bruges, hvis routeren også understøtter
VLAN trunking på sin LAN-port, og det er mildest talt ikke dem
alle der gør det.

-A
PS: FUT dk.edb.netvaerk
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:cc31utgm81uni2a3gsn0ftf98hk2ljgtfl@news.worldonline.dk...
> On Wed, 31 Oct 2001 17:17:19 +0100, "CHE" <CHE@(-NOSPAM-)ihk.dk>
> wrote:
>
> > Der findes en hel del foreninger/kollegier etc. der har en sådan
delt
> > forb., men de kører i hovedreglen på et ganske almindeligt switchet
netværk,
> > form. på et eller flere private klasse B/C net! Hvad vi ønsker er en
total
> > fysisk (virtuel?) adskillelse mellem vores maskiner hele vejen til
internet
> > forb. (827'eren).
>
> På fx. Cisco-switch kan man køre 'private VLANs', der basalt set
> betyder at de enkelte porte ikke kan snakke med hinanden, men
> godt kan snakke med en default gateway (ADSL-routeren).

Altså, du skelner mellem almindelige VLAN's og 'private VLAN's'? Hvad er
forskellen?
Når du siger "Cisco-switch kan man køre 'private VLANs'", er det så alle,
f.eks. en 2900 eller skal vi have fat i en større, f.eks. én 5000'er?

> Almindelige VLAN kan kun bruges, hvis routeren også understøtter
> VLAN trunking på sin LAN-port, og det er mildest talt ikke dem
> alle der gør det.

Jeg foresiller mig at det du taler om er at lave et VLAN (VLAN1-VLAN10
på port 1-10 og så trunke på f.eks. port 11 (router-porten), hvilket
medfører ISL protocol traffik på port 11, som routeren bliver nødt til at
understøtte!?

Men altså konklusionen er at vi kan bruge en VLAN switch, sålænge den
understøtter 'private VLAN's' mode?

>
> -A
> PS: FUT dk.edb.netvaerk

Okay..., mit spørgsmål specifikt drejer sig om et lille netværk (10
klienter), men jeg føler at problemstillingen i høj grad også kan overføres
til store netværk (før spørgsmålet i gruppen her, forespurgte jeg hos en
anden gruppe af andelsforeninger m. 79 lejl.. et af svarene jeg fik var:
"Med switche kan du ikke se hinanden, det er jo hele ideen i en switch"!!!
Desværre tror jeg det er en ret udbredt holdning hos en række af disse
boligforeninger (og kollegier, - men da prøver de forskellige studenter i
det mindste at prøver at beskytte sig selv ved hjælp af de populære
'firewalls' a la zonealarm, etc))
Desuden mener jeg at jeg kan få en højere 'hitrate' på mine spørsmål i
'dk.edb.netvaerk.stort' gruppen, da VLAN teknikker vel er mest udbredt på
store netværk bl.a. pga.dets fordele med hensyn til reduktion af broadcast
trafik fremfor at bruge en lidt dyrere og besværligere routerbroadcastwall?!

> --
> Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon
Postel
> Links : http://www.hojmark.org/networking/
> FAQ : http://www.net-faq.dk/

Christian H.

---

Hej "CH" <che@(-NOSPAM-)cph.ih.dk>

>Altså, du skelner mellem almindelige VLAN's og 'private VLAN's'? Hvad er
>forskellen?

almindelige VLAN er helt adskilte og kan bedst sammenlignes med
"virtuelle kabler". Private VLAN er en vist nok et cisco-navn og er
forholdsvist nyt. Det er i princippet det samme som VLAN bortset fra
at man kan have en promiscuous port der kan forwarde til flere VLAN.

>Når du siger "Cisco-switch kan man køre 'private VLANs'", er det så alle,
>f.eks. en 2900 eller skal vi have fat i en større, f.eks. én 5000'er?

Catalyst 6000 running CatOS 5.4 or later, on the Catalyst 4000, 2980G,
2980G-A, 2948G, and 4912G running CatOS 6.2 or later.

På XL switchene kan man bruge multi-VLAN til at opnå det samme. Et
VLAN pr. port og en multi-VLAN port til uplink (et der er medlem af
alle VLAN og som kan forwarde til dem alle).

Dvs. der er forbindelse fra alle porte til uplink men ikke mellem de
enkelte porte.

> Jeg foresiller mig at det du taler om er at lave et VLAN (VLAN1-VLAN10
>på port 1-10 og så trunke på f.eks. port 11 (router-porten), hvilket
>medfører ISL protocol traffik på port 11, som routeren bliver nødt til at
>understøtte!?

Nej. Med PVLAN og MVLAN laver man "flade" net, dvs. et IP-subnet men
med begrænsninger i hvilke porte der kan tale sammen. Det kan
sammenlignes lidt med VLAN access-lists.

Den "rigtige" løsning er at route, men det kræver som du siger en boks
(router) der kan terminere og route mellem VLAN. Det indebærer en
eller anden form for VLAN trunking protokol, det kan være ISL, en
anden propritær protokol eller endnu bedre dot1q.

> Men altså konklusionen er at vi kan bruge en VLAN switch, sålænge den
>understøtter 'private VLAN's' mode?

Eller multi-VLAN eller noget andet tilsvarende. Der er ingen der siger
det skal være fra Cisco.

>Okay..., mit spørgsmål specifikt drejer sig om et lille netværk (10
>klienter), men jeg føler at problemstillingen i høj grad også kan overføres
>til store netværk

Det kan du have ret i. Men så kan man spørge hvorfor du ikke nøjedes
med at stille spørgsmålet der? Generelt bør man sætte followup ved
crossposts og det er meget sjældent en god idé at crossposte mellem de
to netværksgrupper. Der er to fordi man ønsker at opdele emner, og så
hjælper det ikke hvis man crossposter til begge grupper.

>store netværk bl.a. pga.dets fordele med hensyn til reduktion af broadcast
>trafik fremfor at bruge en lidt dyrere og besværligere routerbroadcastwall?!

Routerbroadcastwall!?

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Fri, 2 Nov 2001 01:50:50 +0100, "CH" <che@(-NOSPAM-)cph.ih.dk>
wrote:

>> På fx. Cisco-switch kan man køre 'private VLANs', der basalt set
>> betyder at de enkelte porte ikke kan snakke med hinanden, men
>> godt kan snakke med en default gateway (ADSL-routeren).

> Altså, du skelner mellem almindelige VLAN's og 'private VLAN's'?

Ja.

> Hvad er forskellen?

Indenfor et VLAN kan alle maskiner snakke med hinanden (de er i
samme broadcast-domæne). Men et VLAN kan underopdeles i private
VLAN, hvor de enkelte maskiner kan snakke med deres router, men
ikke nødvendigvis med hinanden.

> Når du siger "Cisco-switch kan man køre 'private VLANs'", er det så alle,
> f.eks. en 2900 eller skal vi have fat i en større, f.eks. én 5000'er?

Der er forskel på, hvad man kan indenfor private VLAN med de
forskellige switche. En 2900 XL understøtter private VLAN edge,
og kan bruges i det setup du beskriver.

> Jeg foresiller mig at det du taler om er at lave et VLAN (VLAN1-VLAN10
> på port 1-10 og så trunke på f.eks. port 11 (router-porten), hvilket
> medfører ISL protocol traffik på port 11, som routeren bliver nødt til at
> understøtte!?

Ja, hvis man laver det som du foreslår med 10 'rigtige' VLAN og
en trunk, så skal routeren understøtte enten 802.1Q eller ISL.
Det er som sagt langt fra alle routerne der gør det.

> Men altså konklusionen er at vi kan bruge en VLAN switch, sålænge den
> understøtter 'private VLAN's' mode?

Du kan også bruge en, der kun understøtter almindelige VLAN, men
det stiller bare nogle andre krav til routeren og andet delt
udstyr.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/