Cellpipe 7130 - Grupowanie interfejsów i wirtualne porty LAN


(Osimaru) #1

Witam.
W małej firmie jako główny router to Cellpipe 7130 od Orange. Do jednego z jego portów (LAN#2) jest podłączony mały switch, a do niego kolejno 3 publiczne stanowiska PC.

Chciałbym je odseparować od sieci firmowej, w routerze znalazłem funkcje Grupowanie interfejsów i wirtualne porty LAN. Oto link do instrukcji ze screenshotami, strona 49:

Czy za pomocą tych funkcji będę w stanie to zrobić?


(roobal) #2

Trochę ta instrukcja jest niejasna, ale wygla na to, że jest taka możliwość. Ten mały switch jest zarządzalny?


(Osimaru) #3

Chyba tak, to ktoś przede mną ustawiał. W każdym razie mogę spróbować się do niego dostać.

W takim razie w jaki sposób mogę odizolować sieć z tego portu za pomocą tych ustawień?


(roobal) #4

Miałem do czynienia kila razy z tymi cellpipe, ale to było głównie ustawione bez separacji. W większości cellpipe służył tylko do wifi lub jako modem podpięty do Mikrotika. Takiego badziewia nigdy nie wstawiamy do żadnej firmy. Jeśli już to dziadostwo musi być, ustawiam to w tryb bridge i routing robię na Mikrotiku.

Według instrukcji musisz przypisać interfejsy do grupy. Wygląda na to, że możesz zrobić tylko dwie podsieci.


(Osimaru) #5

Czyli musiałbym wrzucić interfejs załóżmy eth.02 (jak mniemam to port lan#2) oraz wifi do nowo utworzonej grupy i ustawić jej inną adresację? Tylko pytanie czy to wystarczy aby sieć była odseparowana? Używałem też funkcji separacja portów bez wcześniejszej zabawy interfejsami, to na tym porcie po prostu przestał działać Internet…


(roobal) #6

Według instrukcji, musisz go zgrupować z pvc, czyli z tym pppoe. Separację robisz na firewallu.


(Osimaru) #7

Czyli tworze nową grupę, załóżmy “publiczne” i grupuje tam interfejs pppoe (czyli ten odpowiedzialny z Internetem jak mniemam?) z eth0.2 lub 0.3 (nie ma tam eth0.1 więc podejrzewam, że port WAN liczą jako jedynkę i jest przesunięcie)? Ustawiam osobną adresację dla drugiej grupy.

Mógłbym jeszcze prosić o naprowadzenie jak to odseparować w firewallu mniej więcej?


(roobal) #8

Wydaje mi się, że to wygląda tak:

  1. Wydzielasz porty do sieci LAN1;
  2. Wydzielasz porty do sieci LAN2, podajesz drugi adres LAN (tam była taka opcja);
  3. Grupujesz sieć LAN1 i sieć LAN2 z pppoe;
  4. Na firewallu blokujesz ruch między LAN1 i LAN2.

Nie znam tego firewalla, więc dokładnie Ci nie powiem. Przynajmniej tak to się robi na porządnych routerach.


(Osimaru) #9

Ok dzięki coś popróbuję. Generalnie wstawiłbym tam Mikrotika, ale nie wiem czy tam sieć się dalej nie posypie nawet jakbym dał taką samą adresację i przepisał przekierowania do nowego routera. Problem jest też taki, że Orange musi mi przestawić tego Cellpipe w tryb bridge. Samemu nie mam takiej możliwości.