Administrace komentářů

Trochu zeširoka: jak jste se sám přesvědčil, ve větší síti, kde není vyloučen výskyt všelijakých kutilů, přestože je chcete považovat za svou rodinu, je velice vhodné, mít možnost koukat, co se děje. Ještě než tasíte wireshark a opřete se do toho rameny, první krok by myslím měl být, že si pořídíte managed switch. Managed především v tom smyslu, že z něj můžete vyrazit tabulku naučených MAC adres, s vyznačením fyzických portů, odkud daná MAC adresa chodí.

V této souvislosti poznámka: starší switche D-Link (DGS-1216T apod.) byly ochotné ukázat tabulku MAC adres jenom per port. Což stojí za vyliž - protože když hledáte, odkud smrdí konkrétní MAC adresa, musíte zběsile proklikat všech 16 portů. = chcete switch, který ukáže všechny MAC adresy pěkně pohromadě v jedné tabulce, setříděné podle MAC adresy. Tuším i D-Link už přišel k rozumu (na svých aktuálních web-smart switchích) - ale jsou i jiné levné značky, než D-Link.

Bohužel levné managed/websmart switche nemají příkazový řádek, který může být pro další zpracování textu vhodnější než HTML. Také nemívají SNMP, pomocí kterého byste si mohl celou síť olíznout skriptem z nějakého unixu a grepnout MAC adresu jedním příkazem z celé sítě. Takže na levném switchi musíte přece jenom klikat.

Pokud chcete začít "zlehka", mohl by Vás zajímat třeba Zyxel GS1900-8. Webový management, osmiport, myslím za dost příjemnou cenu. Umí tabulku MAC adres zřejmě za všechny porty hezky v kostce (browser v tom bude schopen textově vyhledávat), umí VLANy včetně trunkových portů (tagged provoz), umí port mirroring... aspoň podle manuálu (odkaz výše). Možná někdo navrhne vhodnější boxík. Tenhle switch bych posadil na nějaké strategické místo - sám budete vědět nejlíp.

Pokud by nevyhovoval management od Zyxelu, ale máte rád Mikrotik (a máte po kapsách nějaký zbytečný routerboard), můžete použít Zyxe na "rozplet" portů: co port to VLAN, jenom jeden port Zyxe zapíchnout jako trunk do Mikrotiku, a až v Mikrotiku VLANy navzájem probridgovat (oops - doufám že to jde. Mělo by. Určitě jde bridgovat mezi VLAN subinterfejsy různých rozhraní, a taky třeba mezi ESSIDy. A bridguje to softwarově Linux inside.) Prostě router on a stick. Akorát že tady by to byl spíš soft-bridge on a stick Pozor: je to dobré snad jako dočasné komfortní řešení, pro hledání zdroje toho problému - routerboard mezi VLANami bridguje/routuje softwarově, takže rozhodně nezvládne bridgovat "rychlostí L2 portu", jako to zvládá hardwarově samotný Zyxel (nebo libovolný jiný prašivý switch, i bez managementu). Pokud máte v LANce fileserver nebo jinou takovou rychlou službu, byl by routerboard úzkým hrdlem.

Viděl jsem motherboardy, které měly z výroby MAC adresu "samé nuly". Ty se samozřejmě neměly rády pohromadě na LANce Jinak když useři vědí, jaký je lokální subnet, ti schopnější si třeba vyberou IPčko podle svého. Lama nabyde dojmu, že spoléhat na DHCP je známkou slabosti, nebo chce mít pevnou adresu na domácím media serveru a už nedomyslí, že i pevné adresy musí někdo správcovat/přidělovat - vy jako admin nestačíte zírat. Nebo Vám někdo strčí do sítě svoje vlastní APčko, nechá na něm zapnuté DHCP, a aby se to nepletlo, nastaví v něm stejný pool, jaký máte v LANce... atd atp. Pokud si někdo půjčil Vaši IP adresu a hrne hodně dat skrz router do internetu, tak není divu, Vy sám máte problém se na router přihlásit. A není to nutně vytížením CPU na routeru, je to tím, že se perete o IP adresu, a ten slon co Vám ji ukradl má díky velkému počtu paketů statisticky mnohem lepší šanci, že si router podrží v ARP tabulce mapování daného IPčka právě na *jeho* MAC adresu. V této souvislosti není špatné, mít pro management na routeru samostatný subnet = nejmíň sekundární subnet na sdíleném L2 médiu, o kterém užovky nevědí (lépe fyzický port nebo "managementovou VLANu"). Pokud tenhle blok adres zvolíte dostatečně obskurní (někde uprostřed jednoho z privátních bloků) a neukážete ho ostatním, nikdo Vás o IPčko pouhou nedbalostí nepřipraví.

Pozor pokud máte v LANce bridgujicího WiFi klienta v režimu s třemi adresami, budou se stroje za tímto "WiFi client bridgem" tvářit vůči nadřízené síti (skrz normální bridgující AP) všechny jako jedna jediná MAC adresa. Client bridge provádí kvůli 3adresnímu režimu "MAC maškarádu". Jediná MAC adresa a na ní fůra IP adres. Pokud tohle máte, zvažte 4-adresní režim (což tuším zas nejde moc dohromady s "normálními" koncovými WiFi klienty). Jsou kolem toho nějaké proprietární hybridní varianty konfigurace... nebudu to tady rozmazávat

Od určité velikosti sítě (Vy jste jí patrně právě dosáhl) přestane být únosné, nevidět co se děje. Svého času jsem nastoupil do malé firmy, kde byl Ethernet postavený na unmanaged switchích, a byly tam i jisté nedostatky v kabeláži. Nasazením levných managed switchů a výměnou/učesáním kabeláže se síť výrazně stabilizovala. Přestaly se vyskytovat problémy typu "někde něco hnije" a pokud někdo začne v síti páchat jakousi podvratnou činnost, dá se docela snadno dohledat, která bije. Nemusíte hned koupit Cisco a stavět striktní hvězdu po celém baráku. Pravda je, že ty levné managed switche bývají po záruce zralé na repasi elytů (a výměnou elytů za solid polymer získají nesmrtelnost. Takže pak máte v síti dokonale živé deset let staré krámy, pro které nikdy nevyšel update firmwaru, a port OpenWRT je v nedohlednu. Což mě u switche v LAN trápí naštěstí trochu míň, než by mě to trápilo u firewallu.)