Kotnetwerk ... Hoe bouwen

maandag 19 mei 2008 07:57

Wees er dan wel zeker van dat die Linksys router met VLAN's overweg kan hé !
Het is wel mooi om die 48 port switch netjes te gaan partitioneren, uiteindelijk heb je 1 "dot Q" trunk naar de router en dit moet ermee overweg kunnen !

Indien die Linksys router met 802.1q trunking overweg kan en dus vlan-labeltjes kan lezen & schrijven vooraleer de ethernet frames op dat touwtje richting de 48p switch komt is het een goede setup ja.

Helemaal leuk is als je "per vlan" ACL's kan doen om wat te filteren etc, maar dat zijn meestal features voor het iets duurdere spul ... ik weet niet of die Linksys router dat kan.

Conceptueel zit het wel goed voor je soho-netwerkje!

Acties:

maandag 19 mei 2008 08:02

Karnemelk FTW

Ik zou dan liever gewoon in plaats van die router een PC'tje neerzetten met een goede gigabit NIC. Je kan dan zeker alles monitoren wat je wil en je hebt aan een netwerkkaart genoeg als je op die netwerkkaart ook gaat trunken. Je hangt dus ook allebei je modems op die switch ieder in een eigen vlan.

Je kan er namelijk donder op zeggen dat mensen bestanden naar elkaar willen sturen en anders moet dat ook allemaal via dat Linksys routertje en dat trekt hij echt niet.

Acties:

Geckoo

Good news, everyone!

misschien een rare opmerking, maar je wilt 2 adsl lijnen aanvragen omdat je 100% uptime wilt.
is het dan niet beter om een kabel aansluiting erbij te nemen?
kijk naar afgelopen week. alles wat adsl was lag er goed uit.

Professor Hubert Farnsworth: Shut up friends.
My internet browser heard us saying the word Fry and it found a movie about Philip J. Fry for us. It also opened my calendar to Friday and ordered me some french fries.

maandag 19 mei 2008 08:19

Acties:

maandag 19 mei 2008 08:39

TrailBlazer schreef op maandag 19 mei 2008 @ 07:57:
Ik zou dan liever gewoon in plaats van die router een PC'tje neerzetten met een goede gigabit NIC. Je kan dan zeker alles monitoren wat je wil en je hebt aan een netwerkkaart genoeg als je op die netwerkkaart ook gaat trunken. Je hangt dus ook allebei je modems op die switch ieder in een eigen vlan.

Je kan er namelijk donder op zeggen dat mensen bestanden naar elkaar willen sturen en anders moet dat ook allemaal via dat Linksys routertje en dat trekt hij echt niet.

Yep, dat gaat die Linksys inderdaad niet trekken ! Het zal "iets duurder spul" moeten worden of inderdaad een Linux doosje met 2 NIC's met de nodige modules om VLAN's te supporteren, en een PPPoE stackje.
Ofwel "iets" meer investeren in een L3-switch, maar ik vrees dat een 48ports wat centen gaat kosten...

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 103% gewijzigd door Ruudjah op 01-12-2009 23:14 ]

maandag 19 mei 2008 09:11

Acties:

maandag 19 mei 2008 09:22

Powa 2 Tha PPL :)

Topicstarter

Bedankt voor alle reacties

jvanhambelgium schreef op maandag 19 mei 2008 @ 07:17:
Indien die Linksys router met 802.1q trunking overweg kan en dus vlan-labeltjes kan lezen & schrijven vooraleer de ethernet frames op dat touwtje richting de 48p switch komt is het een goede setup ja.

Ik zie niets van 802.1q trunking in manual van de router (RV042). Ik dacht gewoon dat je de router poort op je switch in elke VLAN steekt ? Maar blijkbaar niet ?

TrailBlazer schreef op maandag 19 mei 2008 @ 07:57:
Ik zou dan liever gewoon in plaats van die router een PC'tje neerzetten met een goede gigabit NIC. Je kan dan zeker alles monitoren wat je wil en je hebt aan een netwerkkaart genoeg als je op die netwerkkaart ook gaat trunken. Je hangt dus ook allebei je modems op die switch ieder in een eigen vlan.

Je kan er namelijk donder op zeggen dat mensen bestanden naar elkaar willen sturen en anders moet dat ook allemaal via dat Linksys routertje en dat trekt hij echt niet.

Een apparte pc is niet echt een oplossing. Aangezien eenmaal het draait er zo min mogelijk moet aan gewerkt worden. Dus crashende pc's zijn uit den boze. Wil het clean oplossen met echte netwerkhardware

En als mensen naar elkaar willen sturen (dus geen VLAN's dan) moet het toch niet allemaal naar die router ? Waarom bestaat er een SWITCH dan ?

Geckoo schreef op maandag 19 mei 2008 @ 08:02:
misschien een rare opmerking, maar je wilt 2 adsl lijnen aanvragen omdat je 100% uptime wilt.
is het dan niet beter om een kabel aansluiting erbij te nemen?
kijk naar afgelopen week. alles wat adsl was lag er goed uit.

Dommel heeft zijn eigen DSLAM. dxADSL heeft een andere (scarlet). Dus de kans dat ze beiden platgaan is al lager. Het is ook geen zo'n probleem dat het er een uurtje uitligt ofzo. Maar in een ander gebouw is er nu E-Leven, ze zijn bijna falliet, internet ligt er soms 3 dagen uit etc ... Zo'n dingen wil ik vermijden.

Ruudjah schreef op maandag 19 mei 2008 @ 08:39:
Traffic shaping lijkt me dan een mooie oplossing, waar je dus ervoor zorgt dat iemand die 50 torrents, een FTP en 30 HTTP connecties open heeft staan nog steeds evenveel juice van je internetlijn krijgt. Verder is het inherent aan de ADSL techniek dat als je één link voltrekt, de andere daar onder lijdt. Dus als iemand 100% staat te uploaden, kwakt de download geweldig in (als in je kan nog maar 20% van je capaciteit gebruiken). Alleen al hierom lijkt traffic shaping me gewenst voor jouw situatie.

Die linksys switch kan dit niet allemaal waarschijnlijk ? Welke switch zou je dan aanraden?

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 104% gewijzigd door Ruudjah op 01-12-2009 23:15 ]

maandag 19 mei 2008 09:28

Acties:

maandag 19 mei 2008 09:30

Karnemelk FTW

Ruudjah schreef op maandag 19 mei 2008 @ 09:22:
[...]

'echte' netwerkhardware bestaat niet. AFAIK zijn Cisco routers ook gewoon x86 doosjes met off-the-shelf pentiums erin. Iig een paar jaar geleden was dat zo, hadden ze gewoon P3's in die dingen. Lijkt me sterk als dat nu anders is. Enige wat anders is, is dat je een anders uitzient kastje hebt met andere software. En Cisco software is IMHO een ramp om mee te werken, maar ik ben dan ook geen gemiddelde NT-er.

Er zijn inderdaad Cisco's met een x86 cpu met name de PIX lijn had die maar waarom zou die minder betrouwbaar zijn. Die apparatuur is gemaakt om jaren achter elkaar te draaien. Verder is die software echt prima om mee te werken als je er wat tijd in stopt.

Je kan simpelweg een passief gekoeld x86 doosje pakken met erin wat NIC's. Goedkoper, en betere software. Bovendien heb je betere support (OSS software), en werk je met een open platform. Als Cisco besluit een gat niet patchen zit je mooi met je hardware wat je minstens een drag met drie nullen heeft gekost, als het er geen vier nullen zijn.

Hoe vaak denk je dat een Cisco exploit ook daardwerkelijk in het wild misbruikt wordt. Vaak zijn het bugs waarbij je aan zoveel randvoorwaarden moet voldoen dat het eigenlijk alleen maar in een lab lukt om er misbruik van te maken. Wat dat betreft is een PC echt een stuk onveiliger omdat daar veel meer common knowledge van is.

Tsjah, ik zou denk ik een switch nemen die:
Netwerkverkeer onderling tussen de poorten uit kan schakelen
Snel genoeg is
Fysiek de poorten uitschakelbaar kan maken (als mensen niet betalen)
Thats it. De rest van de logica komt allemaal in de router. mocht je bang zijn voor router uitval, software als pfSense, m0n0wall ondersteunen dacht ik live failover (dus de NAT tabel wordt realtime bijgehouden op beide bakken, zodat je verbinding er nooit uit ligt). Kan me niet voorstellen dat router distributies als Smoothwall dergelijke zaken niet ondersteunen.

[...]
Het gaat er echt om dat je niet afhankelijk bent van één techniek. De kans dat beide ADSL centrales eruit liggen is veel groter dan dat én de ADSL én de kabelverbinding eruit ligt. Wat als ze bij wegwerkzaamheden je telefoonkabel eruit trekken? Zit je dan mooi met twee ADSL verbindingen.

Acties:

0X55AA

Waar je misschien ook aan kan denken is het feit of je wel mag monitoren. Is dit geen schending van de privacy?

Een bepaalde limiet (down/up) instellen per kabeltje lijkt mij geen probleem, maar echt het internetgedrag monitoren van de student (wat, hoeveel en wanneer) lijkt mij minder kunnen.

maandag 19 mei 2008 09:33

Acties:

maandag 19 mei 2008 09:59

Karnemelk FTW

Een PC is echt niet zo heel veel crashgevoeliger dan een router hoor. Als je kijkt naar een VIA Epia systeempje die kunnen passief gekoeld worden. Je kan eventueel zelfs een CF als harddisk gebruiken. Die hebben geen bewegende delen dus minder kans dat het stuk gaat.
Naar mijn idee is de enige oplossing of een hele dure echt professionele apparatuur kopen ala cisco/juniper of een PC in elkaar zetten die zo betrouwbaar mogelijk is.
Ik denk dat voor jouw situatie een PC de enige optie is omdat geld en kennis voor een cisco/juniper niet aanwezig is. Je te veel eisen hebt voor de huis tuin en keuken routertjes.

Het heeft sowieso allemaal voordelen. Je kan mensen via een anonymous proxy laten werken dit kan ook nog wat schelen in je bandbreedte gebruik.

[ Voor 10% gewijzigd door TrailBlazer op 19-05-2008 09:34 ]

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 98% gewijzigd door Ruudjah op 01-12-2009 23:15 ]

maandag 19 mei 2008 12:11

Acties:

maandag 19 mei 2008 12:30

Powa 2 Tha PPL :)

Topicstarter

0X55AA schreef op maandag 19 mei 2008 @ 09:30:
Waar je misschien ook aan kan denken is het feit of je wel mag monitoren. Is dit geen schending van de privacy?

Een bepaalde limiet (down/up) instellen per kabeltje lijkt mij geen probleem, maar echt het internetgedrag monitoren van de student (wat, hoeveel en wanneer) lijkt mij minder kunnen.

Elke ISP doet het hier

Met al die baggerlimieten.

En over die PC als router ... Welke echte Router kan bv de functies aan die ik nodig heb ?

[ Voor 9% gewijzigd door dupondje op 19-05-2008 12:14 ]

Acties:

Kokkers

Ik heb goede ervaringen met pfSense.
Dit is een freeBSD gebaseerde software firewall/router.

Ik draai pfSense zelf virtueel in VMware maar een dedicated machine is eenvoudig te realiseren.
BSD specifieke kennis heb je er ook niet voor nodig.

Lees ook bijvoorbeeld eens:
http://doc.pfsense.org/in..._setup_vlans_with_pfSense.

Houdt in je achterhoofd dat loadbalancing van inkomend en uitgaand verkeer over meedere WAN interfaces niet zo eenvoudig is als het lijkt. Wellicht doe je er goed aan om ('handmatig') via DHCP verschillende default gateways toe te kennen of in failover mode te draaien.

Als je een dedicated pc gaat gebruiken is het wellicht handig om wat spare parts op de plank te hebben liggen voor als je voeding, controller, moederboard o.i.d. uitfikt. De shit opnieuw opbouwen terwijl al je kotgenoten zonder internet zitten lijkt me een slecht plan.

Koop 2 identieke ex kantoor pc'tjes (Compaq Evo ofzo, € 100 het stuk), frot daar de benodigde netwerkkaarten en CF kaartjes in (mirror) en je kunt redelijk makkelijk omprikken bij harwdware problemen.

Ervaring: Check vooraf of de netwerkkaarten de benodigde features ondersteunen en koop er een van een gerenommeerd merk, dit bespaart je een ritje terug naar de winkel.

[ Voor 16% gewijzigd door Kokkers op 19-05-2008 12:39 ]

maandag 19 mei 2008 12:31

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 109% gewijzigd door Ruudjah op 01-12-2009 23:15 ]

maandag 19 mei 2008 12:36

Acties:

Kokkers

Ruudjah, 2 zeggen meer dan 1

(Was meer bedoeld als aanvulling)

Opzich een leuke vingeroefening om dit probleem met een paar honderd euro te benaderen.

maandag 19 mei 2008 12:55

Acties:

maandag 19 mei 2008 17:20

Powa 2 Tha PPL :)

Topicstarter

Ruudjah schreef op maandag 19 mei 2008 @ 12:31:
'echte' router? Bedoel je een 'hardware' router, dus een appliance, een kastje die neerzet, configged, en klaar is kees, of een 'software' router, een x86 box met hierop routerings software?

[...]

Wat ik zeg .

Een hardware router dus ... Linksys Cisco Dlink & consoorten dus

Het budget is groter dan bv 500eur ...
Ik wil gewoon geen Cisco kopen, als je alles kan met een Linksys ...

[ Voor 12% gewijzigd door dupondje op 19-05-2008 16:25 ]

Acties:

Verwijderd

Als ik bij mij op kot kijk, zie ik veel mensen met gedeelde mappen zodat de kotgenoten aan die bestanden kunnen, dit schakel je uit door je VLANs. Heb je hier wel voldoende aan gedacht?

maandag 19 mei 2008 17:26

Acties:

maandag 19 mei 2008 17:31

Powa 2 Tha PPL :)

Topicstarter

dupondje schreef op zondag 18 mei 2008 @ 23:47:
Ik zou ook elke poort in een appart VLAN steken, zodat het netwerk veilig is. Niemand kan op een pc in een andere kamer dan. En dan heb ik ook geen probleem om intern verkeer te scheiden van extern verkeer voor traffiek stats.

Ik heb er aan gedacht ja

Acties:

maandag 19 mei 2008 18:53

dupondje schreef op maandag 19 mei 2008 @ 12:11:
[...]

En over die PC als router ... Welke echte Router kan bv de functies aan die ik nodig heb ?

https://www.juniper.net/p...rvices_routers/index.html

deze kunnen alles en meer wat jij zoekt.

en dan heb je een echt routing platform.

Acties:

maandag 19 mei 2008 18:57

Karnemelk FTW

Yep dat kost je wel een klein fortuin plus dat het veel lastiger te configureren is zonder dat voorkennis. Ik blijf erbij dat een PC icm een switch die vlans ondersteunt. Als je echt een snelle oplossing wil zou je eigenlijk naar een L3 switch moeten kijken de gebruikers kunnen dan op wirespeed naar elkaar verkeer sturen. Wat die L3 switch niet lokaal kent zal hij dan naar de firewall sturen die dan het verkeer verdeelt over 1 van de 2 verbindingen.
Overigens moet je je niet verkijken op de complexiteit van het geheel wat je wil opbouwen. Ik heb het idee dat je niet helemaal weet waar je mee bezig bent.

Acties:

maandag 19 mei 2008 19:00

Powa 2 Tha PPL :)

Topicstarter

JMW761 schreef op maandag 19 mei 2008 @ 17:31:
[...]

https://www.juniper.net/p...rvices_routers/index.html

deze kunnen alles en meer wat jij zoekt.

en dan heb je een echt routing platform.

Achter deze router moet je nog een 48 ports switch plaatsen?

Kan ik met die Juniper dan:
1) Traffiek per poort op switch monitoren
2) Traffiek prioriteit instellen voor een bepaalde poort op switch
3) Snelheid verminderen op een bepaalde poort @ switch
4) Een bepaalde poort op switch enkel via WAN1 of WAN2 laten gaan
5) Een ip-range instellen die enkel WAN1 of enkel WAN2 gebruikt
6) Zorgen als WAN1 bijna vol zit, dat WAN2 wordt gebruikt
7) WAN1 of WAN2 vast instellen voor een bepaalde port (bv www traffiek enkel via WAN2)

En ken je een winkel in nederland/belgie die Juniper verkoopt ?

[ Voor 4% gewijzigd door dupondje op 19-05-2008 18:57 ]

Acties:

LauPro

Prof Mierenneuke®

Wat je ook doet, ik kan de RV042/RV082 van Linksys afraden, deze killt namelijk na 20-30 minuten openstaande sessies (bijvoorbeeld ssh). Dit kan bij andere software voor problemen zorgen.

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!

maandag 19 mei 2008 19:02

Acties:

maandag 19 mei 2008 19:06

Powa 2 Tha PPL :)

Topicstarter

LauPro schreef op maandag 19 mei 2008 @ 19:00:
Wat je ook doet, ik kan de RV042/RV082 van Linksys afraden, deze killt namelijk na 20-30 minuten openstaande sessies (bijvoorbeeld ssh). Dit kan bij andere software voor problemen zorgen.

Ook met de nieuwste firmware's ?

Acties:

maandag 19 mei 2008 19:10

Karnemelk FTW

Dat ze niet in de pricewatch staan geeft al een beetje aan welke categorie dit is. Dit soort dingen koop je enkel bij officiele retailers. Ik denk minimaal 3000 euro. De hardware is in jouw ogen mischien betrouwbaarder maar door jouw gebrek aan kennis krijg je het nooit voor elkaar om dat ding goed te configureren.
Aan de vragen die je stelt kan ik al zien dat je te weinig basic networking skills hebt om meteen met dit soort apparatuur aan de slag te gaan. De config die je wil is al complex en op zulke specialistsche apparatuur kan een hoop maar dan moet je echt wel alle configuratie mogelijkheden kennen en begrijpen.
Volg nou gewoon de raad op van de mensen die zeggen dat je een op linux/freebsd/netbsd gebaseerde pc neer moet zetten. Je kan vele malen meer hulp krijgen voor dit soort dingen en die ga je nodig hebben.

Acties:

maandag 19 mei 2008 19:25

Karnemelk FTW

LauPro schreef op maandag 19 mei 2008 @ 19:00:
Wat je ook doet, ik kan de RV042/RV082 van Linksys afraden, deze killt namelijk na 20-30 minuten openstaande sessies (bijvoorbeeld ssh). Dit kan bij andere software voor problemen zorgen.

Dit is gewoon basic firewall gedrag en ook prima gedrag. Moet je je voorstellen dat iedere TCP voor eeuwig blijft staan ook al gaat er geen verkeer meer over heen. Dan heb je binnen no-time een DOS attack voor je kiezen. Gewoon allemaal SSH sessies opzetten en lekker niks laten doen. Je firewall moet voor elke sessie wat geheugen reserveren omdat die statefull is. Als inactieve sessies er nooit uitgooit worden hangt dat ding zich vanzelf op. Als het goed is stuurt een applicatie op een gegeven moment ook wel een FYN wat er voor zorgt dat die sessie verdwijnt maar als dit niet gebeurt dan gaat het mis.
Als je dat niet wil moet je gewoon zorgen dat je keepalives stuurt binnen je sessie.

[ Voor 9% gewijzigd door TrailBlazer op 19-05-2008 19:11 ]

Acties:

maandag 19 mei 2008 19:28

dupondje schreef op maandag 19 mei 2008 @ 18:57:
[...]

Achter deze router moet je nog een 48 ports switch plaatsen?

Kan ik met die Juniper dan:
1) Traffiek per poort op switch monitoren
2) Traffiek prioriteit instellen voor een bepaalde poort op switch
3) Snelheid verminderen op een bepaalde poort @ switch
4) Een bepaalde poort op switch enkel via WAN1 of WAN2 laten gaan
5) Een ip-range instellen die enkel WAN1 of enkel WAN2 gebruikt
6) Zorgen als WAN1 bijna vol zit, dat WAN2 wordt gebruikt
7) WAN1 of WAN2 vast instellen voor een bepaalde port (bv www traffiek enkel via WAN2)

En ken je een winkel in nederland/belgie die Juniper verkoopt ?

yes en nog 7x yes, deze machines draaien het JUNOS systeem welke ook draait op de professionele routers die draaien bij de TIER-1 providers all over the world (dat zijn de T-series met name).

voor prijzen kan je gewoon googlen op j2300 en prijs bijvoorbeeld.
ze lijken voor zo'n 1000 euro van de hand te gaan.

Er zijn genoeg manuals te vinden over hoe je JUNOS configureerd trouwens, dus daar zou ik me niet bang over laten praten. Enige netwerk kennis is natuurlijk wel vereist.

Acties:

maandag 19 mei 2008 19:36

dupondje schreef op maandag 19 mei 2008 @ 09:11:
Bedankt voor alle reacties

[...]

Ik zie niets van 802.1q trunking in manual van de router (RV042). Ik dacht gewoon dat je de router poort op je switch in elke VLAN steekt ? Maar blijkbaar niet ?

>Euh, ja, maar dat wilt zeggen dat je die bepaalde ethernet-poort dus in 20 VLAN's hebt steken en >hoe ga je dan nog het onderscheid maken ? Juist, met een extra VLAN labeltje erop !
>Deze "trunk" bevat dus traffiek van alle VLAN's.

[...]

Een apparte pc is niet echt een oplossing. Aangezien eenmaal het draait er zo min mogelijk moet aan gewerkt worden. Dus crashende pc's zijn uit den boze. Wil het clean oplossen met echte netwerkhardware

En als mensen naar elkaar willen sturen (dus geen VLAN's dan) moet het toch niet allemaal naar die router ? Waarom bestaat er een SWITCH dan ?

>Als je geen VLAN's gebruik en gewoon een "flat" model dan heb je een pure L2 switch.
>"Intra-kot" traffiek als het ware komt dan niet tot op de router. Je werkt met 1 IP space (vb. elk kot >1 IP uit een 192.168.1.x range met 192.168.1.254 als "gateway" en "dns server")

>Van de moment dat je VLAN's gaat gebruiken zal de router "inter-vlan" moeten routen (tenzij je niet >wil dat dit mogelijk is en dan kunnen ze onderling gewoonweg niet naar elkaar)
>Die L2-switch dewelke dan in "partities" is geknipt gaat het niet voor je doen.

[...]

Dommel heeft zijn eigen DSLAM. dxADSL heeft een andere (scarlet). Dus de kans dat ze beiden platgaan is al lager. Het is ook geen zo'n probleem dat het er een uurtje uitligt ofzo. Maar in een ander gebouw is er nu E-Leven, ze zijn bijna falliet, internet ligt er soms 3 dagen uit etc ... Zo'n dingen wil ik vermijden.

>Op zicht geen slecht commentaar over die 1 x ADSL en 1 x kabelmodem om het risico te spreiden.
>Daar kan je mee doen wat je wilt.

[...]

Die linksys switch kan dit niet allemaal waarschijnlijk ? Welke switch zou je dan aanraden?

> Mischien dat je toch naar zo'n VIGOR ding moet uitkijken ??? Er is in het verleden al over >gesproken en die kan best wat !
>

Acties:

LauPro

Prof Mierenneuke®

TrailBlazer schreef op maandag 19 mei 2008 @ 19:10:
Dit is gewoon basic firewall gedrag en ook prima gedrag.

Het is absoluut niet goed te praten. Van een RV042/082 verwacht ik gewoon dat deze voor een zakelijke omgeving (bijv. tot 10 werkplekken) afgesteld is om alle sessies te tracen. Ze hadden hem dan meer meer geheugen moeten uitrusten.

Wie ben jij om te bepalen of een sessie afgesloten mag worden? Dat dit na 48 uur ofzo automatisch gaat heb ik geen probleem, en in het geval van een DDoS (teveel sessies) kan je altijd nog overwegen om de oudste inactieve openstaande sessies dicht te gooien.

Inkoopacties - HENK terug! - Megabit
It is a war here, so be a general!

maandag 19 mei 2008 19:45

Acties:

BHQ

Ik zie niets van 802.1q trunking in manual van de router (RV042). Ik dacht gewoon dat je de router poort op je switch in elke VLAN steekt ? Maar blijkbaar niet ?

Nee dus. Die fout ging ik ook ooit in, in de veronderstelling dat het op die manier simpelweg ging werken. Als je de uplink in elk VLAN erbij knalt, kunnen de machines alsnog met elkaar lullen _omdat_ elk poortje alsnog 'gekoppeld' wordt dmv. die uplink poort..

maandag 19 mei 2008 19:51

Acties:

maandag 19 mei 2008 19:59

Karnemelk FTW

Daar betaal je toch ook gewoon voor (lees weinig) . Wil je meer kunnen instellen dan dat je nu kan koop dan een echt professionele firewall waar je dit in kan stellen. Echter ook op de Checkpoints firewalls op mijn werk wordt elke inactieve TCP sessie eruit gegooid na een uur.
Meer geheugen kost meer geld, meer sessies voor 48 uur in de gaten houden kost meer cpu power dus een duurdere CPU nodig. You get what you pay for.
Bovendien is er prima mee te werken als je maar gewoon een SSH client gebruikt (putty) die keepalives kan sturen.

Acties:

Tomsworld

officieel ele fan :*

Misschien is dit een optie ?

http://www.zeroshell.net/eng/

Ondersteund qos, transparant proxy (Transparent Proxy Mode) eventueel met av, en je kan je gebruikers doen inloggen, volgens mij kan je dit vrij lang zetten 1 keer per pc ofzo, dan kan je ook ingeval van misbruik abuse de dader vinden.

Multiwan via een feature netbalancer (http://www.zeroshell.net/eng/forum/viewtopic.php?p=737#737)

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"

dinsdag 20 mei 2008 14:27

Acties:

dinsdag 20 mei 2008 14:45

Powa 2 Tha PPL :)

Topicstarter

Een Draytek Vigor 3300V kan alles wat ik nodig heb ?

Acties:

dinsdag 20 mei 2008 16:03

Yep, die VIGOR bijvoorbeeld kan alles wat jij wilt doen.

Acties:

dinsdag 20 mei 2008 17:50

Karnemelk FTW

hij ondersteunt volgens mij maar 4 ip ranges. Dus maximaal 4 vlans

[ Voor 18% gewijzigd door TrailBlazer op 20-05-2008 16:03 ]

Acties:

dinsdag 20 mei 2008 20:22

Indeed, tot 4 VLANs en dan is het feestje gedaan....niet bruikbaar dus ;-)

Acties:

dinsdag 20 mei 2008 20:28

Powa 2 Tha PPL :)

Topicstarter

Crap ...

Wordt dus toch een Cisco/Juniper

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 92% gewijzigd door Ruudjah op 01-12-2009 23:15 ]

dinsdag 20 mei 2008 20:36

Acties:

dinsdag 20 mei 2008 20:52

Powa 2 Tha PPL :)

Topicstarter

Ruudjah schreef op dinsdag 20 mei 2008 @ 20:28:
Mag ik vragen, puur uit interesse, waarom je graag een 'hardware' oplossing wil? Wat zijn voor jouw de belangrijkste beweegredenen?

Minder prusten (Hardware zoeken, installeren, software installen, linux-to-date houden etc)
Als je een router koopt heb je direct deftig werkend spul in handen. Zeker met Juniper/Cisco.
Veel meer software up-to-date houden.
Meer kans op hardware failures.

Server moet in een rack hangen, dus een rackserver ... Kost ook al iets. Die Juniper kost 1000eur ...

Acties:

dinsdag 20 mei 2008 21:01

Karnemelk FTW

Je roept wel vrolijk meer kans op hardware failures prima helemaal mee eens het grote voordeel van deze failures is wel dat je de benodigde componenten voor een habbekrats kan kopen bij de winkel op de hoek. Gaat je mooie juniper stuk dan duurt het in jouw geval denk ik al gauw 3 dagen voordat je een spare in huis hebt als dat je al lukt.

Nu komt een botte opmerking je bent dus gewaarschuwd.
Als ik je reacties zo lees en op basis daarvan je netwerk kennis inschat dan denk ik niet dat het je gaat lukken om die Juniper aan de praat te krijgen met alle features die je wil.
Michien heb ik het helemaal mis maar in ieder geval veel succes er mee

Acties:

dinsdag 20 mei 2008 21:15

Powa 2 Tha PPL :)

Topicstarter

TrailBlazer schreef op dinsdag 20 mei 2008 @ 20:52:
Je roept wel vrolijk meer kans op hardware failures prima helemaal mee eens het grote voordeel van deze failures is wel dat je de benodigde componenten voor een habbekrats kan kopen bij de winkel op de hoek. Gaat je mooie juniper stuk dan duurt het in jouw geval denk ik al gauw 3 dagen voordat je een spare in huis hebt als dat je al lukt.

Nu komt een botte opmerking je bent dus gewaarschuwd.
Als ik je reacties zo lees en op basis daarvan je netwerk kennis inschat dan denk ik niet dat het je gaat lukken om die Juniper aan de praat te krijgen met alle features die je wil.
Michien heb ik het helemaal mis maar in ieder geval veel succes er mee

Die Juniper web-config ziet er niet veel moeilijker uit dan bv de web config van een linux oplossing ...

Acties:

dinsdag 20 mei 2008 21:17

Karnemelk FTW

Ik verwacht alleen niet dat je met die webconfig alles in kan stellen wat jij wil.

Acties:

dinsdag 20 mei 2008 21:42

Powa 2 Tha PPL :)

Topicstarter

TrailBlazer schreef op dinsdag 20 mei 2008 @ 21:15:
Ik verwacht alleen niet dat je met die webconfig alles in kan stellen wat jij wil.

Met de Juniper webconfig kan je ALLES instellen wat je met de CLI ook kan ...

Acties:

HyperBart

Nu, TB kent er wel heel wat meer van als mij, maar dat je ALLES kan instellen wat je ook met de CLI kan instellen, dat geloof ik voor geen eeuwen, sorry, maar dat echt niet...

CLI kan alles, GUI niet, dat is imo bijna een vuistregel...

En verder heeft hij ook wel gelijk, zoals ik al toegaf, ik ken er niet veel van, maar wat uptime en die dingen betreft:

Goed, je hebt schrik voor de uptime van je linux-bak, ok... Moet je wel even denken dat de hoogste uptimes gehaald worden met linux-distro's
Updaten van die dingen? Ze zijn volop bezig met het mogelijk maken van updaten zonder rebooten, nog even geduld en je ziet het in linux...
Uptime is trouwens één, maar denk je er ook echt even aan dat enkele onderdelen in spare liggen wel heel handig is ?

[ Voor 53% gewijzigd door HyperBart op 20-05-2008 21:46 ]

dinsdag 20 mei 2008 21:45

Acties:

Verwijderd

Wellicht staat er nog wat in deze lijst:

Wikipedia: Load balancing (computing)

dinsdag 20 mei 2008 21:56

Acties:

dinsdag 20 mei 2008 22:02

Powa 2 Tha PPL :)

Topicstarter

Heb niet echt iets tegen die updates ofzo bij linux. Maar er is bv kans dat ik na 2 jaar daar weg ben, ik denk dat een router 'zelfstandiger' kan draaien dan een linux bak ? Niet ?

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 112% gewijzigd door Ruudjah op 01-12-2009 23:16 ]

dinsdag 20 mei 2008 23:20

Acties:

dinsdag 20 mei 2008 23:42

Powa 2 Tha PPL :)

Topicstarter

Ruudjah schreef op dinsdag 20 mei 2008 @ 22:02:
Het heeft allebei een webinterface. Na 2 jaar lijkt me juist dat de ondersteuning beter is voor een BSD/Linux bak, aangezien daar alleen maar meer info van op het internet komt. Juniper houdt alles gesloten, broncode, documentatie, etc. Ook bij fouten/updates lijkt me een BSD bak beter.

Voor bijvoorbeeld m0n0wall kan je je opgeven voor een mailinglist die alleen high alert security exploiits en patches meld. Hoef je dus alleen actie te ondernemen als het écht nodig is. Dat zalk bij een commerciele aanbieder niet anders zijn.

De kans lijkt me groter dat een eventuele naganger (!voorganger ) makkelijker in kan werken op een BSD/linux systeem dan een of ander proprietair Juniper systeem.

[...]

Vergeet niet dat je in een GUI vaak nog altijd een CLI opdracht kan uitvoeren. Dan moet je het opeens omdraaien: GUI kan alles wat een CLI kan, maar de meestgebruikte functies beter .

NAT & VLAN enzo moet toch makkelijk te configgen zijn in web interface? De rest moet niet DIRECT fixxed zijn, met wat manuals lezen moet het toch lukken ?

Acties:

dinsdag 20 mei 2008 23:47

>Het heeft allebei een webinterface. Na 2 jaar lijkt me juist dat de ondersteuning beter is voor een >BSD/Linux bak, aangezien daar alleen maar meer info van op het internet komt. Juniper houdt alles >gesloten, broncode, documentatie, etc. Ook bij fouten/updates lijkt me een BSD bak beter.

Euh ... JUNOS is gewoon gebaseerd op BSD hoor ;-)
Da's zo'n beetje een unix door met gesloten schil, alhoewel je perfect een in de "shell" kan komen ofzo.
Er is héél veel documentatie te vinden wat Juniper betreft.

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 95% gewijzigd door Ruudjah op 01-12-2009 23:16 ]

dinsdag 20 mei 2008 23:58

Acties:

woensdag 21 mei 2008 00:02

Inner workings ? Ja, er zijn voldoende documenten hoe de interne architectuur werkt, wat erg boeiend is.
En ja, de concurrentie leest mee dus super-geheimen zullen ze ook niet posten.
Ik vind er toch genoeg info rond performance van bepaalde producten, architectuur etc en packet-processing flows etc. Meer heeft een mens niet nodig ? WAT zoek je dan precies ?
Inner workings van wat ? JUNOS ?

Acties:

2022

Punt is gewoon dat alles van een BSD of linux systeem open is. Bij Juniper producten niet alles.

woensdag 21 mei 2008 00:16

Acties:

woensdag 21 mei 2008 01:26

Powa 2 Tha PPL :)

Topicstarter

Ruudjah schreef op woensdag 21 mei 2008 @ 00:02:
Punt is gewoon dat alles van een BSD of linux systeem open is. Bij Juniper producten niet alles.

Maakt toch geen ZAK uit ?

Acties:

2022

DIT BERICHT IS PREVENTIEF VERWIJDERD DOOR DE GEBRUIKER

[ Voor 101% gewijzigd door Ruudjah op 01-12-2009 23:16 ]

woensdag 21 mei 2008 01:37

Acties:

CyBeR

💩

Ruudjah schreef op dinsdag 20 mei 2008 @ 23:47:
[...]

Ook documentatie over de inner workings van het systeem? Uiteraard is er documentatie beschikbaar voor de users. No-no wat mij betreft. Ieder bedrijf heeft eindgebruikers documentatie op het internet staan. Maar tech documentatie over de inner workings maar heel weinig.

Even voor de duidelijkheid, je weet dat de gemiddelde grote ISP (denk aan XS4ALL, SURFnet) z'n tientallen gigabits/sec ook met Juniper route he?

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 21 mei 2008 15:23

Acties:

woensdag 21 mei 2008 15:45

CyBeR schreef op woensdag 21 mei 2008 @ 01:37:
[...]

Even voor de duidelijkheid, je weet dat de gemiddelde grote ISP (denk aan XS4ALL, SURFnet) z'n tientallen gigabits/sec ook met Juniper route he?

dat zijn dan nog TIER-2/3 bedrijven

wat veel interessanter is dat veel TIER-1 bedrijven voor hun core Juniper gebruiken.

mbt. die ondersteuning zit het dus wel goed, daarvoor hoef je dus niet persee een opensource product te gebruiken.

Vergeet ook niet dat die J-series ontwikkeld zijn specifiek voor setups zoals TS wil gaan bouwen (of het nou een studentenhuis is of een kantoor omgeving, dat maakt voor dat apparaat niet uit).

Acties:

lordgandalf

Ik heb niet heel het topic gevolgd maar wat mij opvalt is dat de TS praat over 100% uptime (of in iedergeval zoveel mogelijk) maar dat er in de netwerk tekening maar 1 router staat.
gaat deze op zun kont dan is het over met de pret.

Is het geen idee om gewoon twee router/gateways in een soort van failover te draaien als uptime zo belangrijk is.
En met betreking over het aftappen van verkeer dat is schending van de privacy en mag dus niet !! of je moet het de mensen erg duidelijk maken dat je het doen maar vrees dat je dan weinig klanten over houdt

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

woensdag 21 mei 2008 16:13

Acties:

Verwijderd

dupondje schreef op dinsdag 20 mei 2008 @ 23:20:
[...]

NAT & VLAN enzo moet toch makkelijk te configgen zijn in web interface? De rest moet niet DIRECT fixxed zijn, met wat manuals lezen moet het toch lukken ?

Ik zou ten eerste niet voor een J-series router gaan maar voor een SSG Firewall. Routeerd prima en je hebt veel security features.

NAT en VLAN is inderdaad redelijk simpel. Er zijn genoeg howto's op http://kb.juniper.net. Pas op dat je niet verdwaald in alle features, er zit echt heel veel in zo'n router/firewall. Je kunt ook heel goed je active/passive internet verbinding in zo'n ding inrichten, zijn genoeg opties voor. Aangezien je internet verbinding niet boven de 100mb uit zal komen is een SSG5 al voldoende. Mocht je je xDSL lijnen rechtstreeks op je firewall willen aansluiten (wel makkelijk, geen lastige modems die in bridge mode moeten) heb je de SSG20 nodig. Even snel, maar met mogelijkheid tot modules voor WAN. SNMP is ook geen probleem dus je MRTG kan ook nog.

Voor je switch heb je in ieder geval een managed switch nodig. Ik zou eens kijken naar de HP Procurve 1700 switches. Met twee van deze switches met 24 poorten elk ben je er al en het kost ook niet heel veel. Zijn web managed, dus niet console. Let hier wel op, je kunt dus wel iets minder.

100% uptime ga je niet kunnen garanderen, je hebt teveel single points of failure. Als je deze SPOF's zelfs wilt uitsluiten zul je twee firewall's moeten nemen in een cluster. Als je hiermee gaat beginnen kom je dus bij de advanced features uit en ik betwijfel of je dan met alleen de howto's en manuals eruit gaat komen.

[ Voor 15% gewijzigd door Verwijderd op 21-05-2008 16:20 ]

woensdag 21 mei 2008 16:25

Acties:

woensdag 21 mei 2008 16:28

Powa 2 Tha PPL :)

Topicstarter

100% uptime is nu ook niet echt verreist. Mag gewoon niet elke week een uur plat liggen ofzo. Als er keer hw crashed, en het ligt er 2 dagen uit ... Jah spijtig ... maar geen ramp. Het is maar een studentenkot hé

Acties:

woensdag 21 mei 2008 16:30

Powa 2 Tha PPL :)

Topicstarter

Bij welke winkel zou ik kunnen aankloppen voor die Juniper HW ? Daar gaan ze mij ook wel nog wat tips kunnen geven

Acties:

woensdag 21 mei 2008 16:33

https://www.juniper.net/h...mePage-Header-to-HowtoBuy

Acties:

Verwijderd

Bij die howtobuy link denk ik niet dat je op de juiste plaats bent voor 1 SSG5 Firewall

...

http://www.centralpoint.nl verkoopt Juniper en HP Procurve spul. Voor een echte winkel die het verkoopt zul je even moeten zoeken...sowieso denk ik niet dat een winkelbediende in een computerzaakje iets over de oplossingen weet die Juniper in zijn produkten heeft

. Mocht je meer willen weten, post maar in dit topic. De kennis is aanwezig

[ Voor 11% gewijzigd door Verwijderd op 21-05-2008 16:34 ]

woensdag 21 mei 2008 16:56

Acties:

woensdag 21 mei 2008 16:59

Powa 2 Tha PPL :)

Topicstarter

Ondersteunen die ADSL2+ PIM's ITU G.992.5 Annex M ? Dat is ADSL2+ met 3 mbit uploadspeed (Wikipedia: ITU G.992.5 Annex M)

Acties:

Verwijderd

dupondje schreef op woensdag 21 mei 2008 @ 16:56:
Ondersteunen die ADSL2+ PIM's ITU G.992.5 Annex M ? Dat is ADSL2+ met 3 mbit uploadspeed (Wikipedia: ITU G.992.5 Annex M)

Nee: http://www.juniper.net/products/jseries/dsheet/100133.pdf

Staat bij standards genoemd, maar niet de M variant. Misschien toch handiger om een ADSL modem ervoor te plakken wat je waarsch. van je provider krijgt en deze in bridging te zetten.

[ Voor 16% gewijzigd door Verwijderd op 21-05-2008 17:01 ]

woensdag 21 mei 2008 17:01

Acties:

woensdag 21 mei 2008 18:11

durf ik niet te zeggen, ik ben niet bekend met de ssg's, alleen met de JUNOS apparaten (de SSG's draaien screenos, wat steeds meer op JUNOS lijkt overigens)

ook weet ik niet hoe de licentie structuur van de SSG's is, naar aanleiding van dit topic ben ik wat gaan bladeren (http://www.juniper.net/pr...c_vpn/netscreen_5_series/) en (http://www.juniper.net/pr...c_vpn/netscreen_5_series/) daar kwam ik ook iets tegen over de hoeveelheid clients etc.

wellicht dat Dodo daar wat meer over kan vertellen.

Acties:

donderdag 22 mei 2008 17:04

Powa 2 Tha PPL :)

Topicstarter

ITU 992.5 (also known as ADSL2+), which supports data rates up to 1.2 Mbps
upstream and 24 Mbps downstream.

Wel jammer

Moet ik een domme modem kopen voor Annex M te ondersteunen

Acties:

Verwijderd

Doe je weinig aan...ik was zelf ook niet bekend met de annex M standaard, alleen met annex a en -b. Heb je zoveel upstream nodig dan?

Over clients begrijp ik het niet helemaal? Je hebt voor een SSG geen client licenties nodig, de enige licenties die er voor zijn zijn die voor deep inspection en antivirus en dat soort dingen, maar dat wil je sowieso niet doen op zo'n lichte uitvoering...

donderdag 22 mei 2008 17:16

Acties:

donderdag 22 mei 2008 23:41

Powa 2 Tha PPL :)

Topicstarter

Verwijderd schreef op donderdag 22 mei 2008 @ 17:04:
Doe je weinig aan...ik was zelf ook niet bekend met de annex M standaard, alleen met annex a en -b. Heb je zoveel upstream nodig dan?

De provider die ik ga nemen bied 24/3mbit ... (Dommel CityConnect). Is wel leuk dat je modem het dan ook aankan é ... hoe meer bw hoe beter

Acties:

alt-92

ye olde farte

JMW761 schreef op woensdag 21 mei 2008 @ 15:23:
mbt. die ondersteuning zit het dus wel goed, daarvoor hoef je dus niet persee een opensource product te gebruiken.

Alleen mag je daar wel een terugkerend support contract voor afsluiten als je na het eerste jaar nog steeds firmware/OS upgrades wil krijgen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 23 mei 2008 11:09

Acties:

Verwijderd

alt-92 schreef op donderdag 22 mei 2008 @ 23:41:
[...]

Alleen mag je daar wel een terugkerend support contract voor afsluiten als je na het eerste jaar nog steeds firmware/OS upgrades wil krijgen.

Dat is waar...Maar als je een werkende situatie hebt heb je die updates ook niet heel dringend nodig toch?

ScreenOS is niet zomaar een firewall OS dus daar moet ook voor betaald worden...als je gratis updates wilt moet je een goedkope firewall nemen, maar die heeft dan weer net niet de features die je wilt.

vrijdag 23 mei 2008 12:18

Acties: