Re: EDUROAM-os AP belső hálón (?)

[Horváth Péter]

2016.04.18. 21:42 keltezéssel, Szilárd Blum írta:
> Sziasztok!
>
> Kaptunk a fentiből hármat. Az a baj, hogy az iskolánk több épületből 
> áll, viszont, mint kiderült, ezeket közvetlenül a sulinetes routerre 
> kell kötni. Szeretnék legalább egyet egy másik épületben elhelyezni, 
> mint ahol a sulinetes router van.
>
> Az ötletem:
> Vannak használaton kívüli SOHO routereim (nem bírták a suli aggregált 
> forgalmát...). A WAN-portját rádugom az EDUROAM-AP (továbbiakban EAP) 
> helyére.
> MAC-klónozással, tehát az EAP MAC-címe látszik a router felől.
> A router LAN portja pedig az iskolai LAN-ra megy.
> DHCP a routeren kikapcsolva.
> Port forwardok az EAP-on nyitott portokra (ezt még nem néztem, 
> gondolom 80, de más is lehet (SNMP?))
> A belső IP-tartomány valami 192.168.x.x, ami az iskolaitól eltérő.
>
> Az EAP meg a másik épületben csatlakozik az iskolai LAN-ra (a power 
> injektor közbeiktatásával).
> Az iskolai DHCP szerveren létrehozok egy másik címtartományt 
> (hatókört), ami csak egy címből áll és az EAP MAC-címéhez van 
> hozzárendelve. Neki alapértelmezett átjáró a saját routere lenne . 
> (Ebben bizonytalan vagyok, hogy működik-e,  nem fog-e inkább a másik 
> tartományból IP-t kapni. )
>
> További kérdőjelek:
> A mi routerünk a WAN portján a EAP MAC-címével kikéri az EAP-nak 
> dedikált IP-címet, ezzel nincs gond. De mi van, ha weben vagy más 
> protokollon monitorozzák központilag az EAP-ot, az meg egy egész más 
> IP-t "vall be", mint amin neki lenni kellene?
>
> Ha valaki próbálta már és nem ment, vagy valami elvi hibát láttok a 
> gondolatmenetemben, akkor szóljatok....
>
> Üdv!: Szilárd
>
Ez annyira bonyolult, hogy nem is értem:) Azért a soho routerekkel 
vigyázni kell, mert azok kiszámíthatatlanul kezelik a nem ismert 
protokollokatés ethernet kereteket.
Lehet hogy átengednek olyan csomagokat amitől hurok alakulhat ki a 
hálózatban, ha nincs egy olyan switch amelyik letiltja a portját.
A legtöbb soho routernek csak egyetlen ethernet interface van, és a 
switc IC beállításával és VLAN-okkal operálnak hogy 2 ethernet 
adapternek látszódjon.

Én inkább azt javasolnám, ha van 1 okos swtch-ed hogy csinálj egy VLAN-t 
ennek az AP-nek. az untagged portot kösd rá a sulinet router megfelelő 
portjára,
a tagged VLAN-t pedig küld rá az egész hálózatra. Az AP előtt pedig kell 
egy másik okos switch, vagy egy openwrt-vel okosított router, ami a 
tagged kereteket visszalakítja
az AP számára.
Persze gond lehet az 1500 MTU -val, mert a tagged VLAN keretek nagyobb 
méretűek és ezért nem biztos hogy minden buta switchen átmennek. Ritkán 
előfordul, hogy csak 1496 max mtu
megy át. Ezt a problémát viszont ki lehet zárni a ping teszt 
segítségével. Amúgy pedig ez az AP csak az internet irányában 
kommunikál, ami max 1460 mtu-t jelent, nem zavarja az estleges 1496-os 
korlát.