Termékek:

Nincs találat

Összesen 0 találat

Kategóriák:

Cikkek:

Nincs találat

Összesen 0 találat

Videók:

Nincs találat

Összesen 0 találat

Oldalak:

Nincs találat

Összesen 0 találat

Főoldal
Cikkek
Router alatti router beállítása
Router alatti router beállítása

Router alatti router beállítása

2017. 04. 20. - IT eszközök

Az alhálózatok és a port forward használata

Videorendszerek telepítése során előfordul, hogy a megrendelő arra kéri a telepítőt, hogy a kamerák és a rögzítő hálózati forgalma ne keveredjen a vállalati hálózattal. Ennek megvalósítására több módszer is létezik, mint például a VLAN, de az a legegyszerűbb, ha a hálózatba egy routert integrálunk, és a videohálózatot a router alatt, egy úgynevezett alhálózatban építjük fel.
Az alábbi példákkal illusztráljuk a hálózat egyes elemeit és a szükséges beállítások lépéseit.

Mit jelent az alhálózat?

A számítógéphálózatba kapcsolt új elem általában egyenrangú félként vesz részt a hálózat munkájában. Ha azonban egyes számítógépeket csoportokba szervezünk, akkor nyilván azt szeretnénk, hogy csakis az egy csoporton belüli eszközök legyenek egyenrangúak, és a csoportok egymáshoz képest azonos, magasabb vagy alacsonyabb szinten helyezkedjenek el. A csoportok hálózathoz való kapcsolódásáért a router felelős. Ha az internetkapcsolathoz nem használnánk routert, akkor a számítógépünk egyenrangú lenne az internet összes PC-jével és szerverével, ami több hátránnyal is jár. Először is, az internetkapcsolat így csak egyetlen PC-re korlátozódik, másrészt az internetre kapcsolt összes idegen eszköz képes elérni a számítógépünket, amely felkészültség és professzionális védelmi programok híján valószínűleg igen hamar egy támadó program áldozatává válik.

Router_1_abraRouter használatával ezek a hátrányok eltűnnek. Kívülről csupán a router látszik, és minden támadás fennakad a router tűzfalán. Ráadásul a router belső oldalára egyszerre több PC is csatlakoztatható, és ezek mindegyike kilát az internetre. Az így létrejött belső hálózat minden tagja egyenrangú, kommunikálhatnak egymással minden megkötés nélkül, és ez a kommunikáció nem látszik az internet felől, és nem is jut ki oda. Az 1. ábra egy ilyen kapcsolatot ábrázol. A router alatti három PC egymással a routerbe integrált switch segítségével van összekötve, és ha nem igényelnének DHCP-n kiosztott IP-t és internetkapcsolatot, akkor magára a routerre valójában nem is lenne szükség. Egy switch egyedül is elláthatná a feladatot. A routerre azért van szükség, mert a három PC-ből álló csoportot annak a segítségével választjuk le az internet milliónyi készülékéről, és egy apró alhálózatot hozunk vele létre. Elnevezésben is megkülönböztetjük a router két oldalát: a LAN (Local Area Network) jelenti a belső hálózatot, míg a WAN (Wide Area Network) külső hálózat felé irányuló csalakozást jelenti.

Az alhálózat fontos jellemzője, hogy a tagjainak olyan IP-címe van, ami semmiképp sem keverhető össze az interneten fellelhető eszközök címével. Erről azok a nemzetközi megállapodásban lefoglalt IP-címtartományok gondoskodnak, amelyek egyedüli célja az alhálózatok gépeinek címzése. A teljesség igénye nélkül:

Router_2_abra

Tehát a belső hálózat címeit ezekből érdemes kialakítani. A leggyakrabban használt tartomány a 192.168.xxx.xxx. A gyakorlatban ez azt jelenti, hogy az otthoni vagy a kisebb vállalati hálózatokban található számítógépek, nyomtatók és egyéb eszközök IP-címe rendre 192.168-cal kezdődik. Bár az említett címtartománynak csak az első két bájtja meghatározott, mégis a legtöbbször három konstans számmal találkozunk, például 192.168.1.xxx. A kereskedelemben kapható routerek nagy része a 192.168.1.1-es IP-címmel indul el, és a hozzá csatlakozó PC-k is ebből a tartományból kapnak címet. Pontosabban egy szűkített – úgynevezett C osztályú – tartományt használ a router, amelynek az első három tagja fix értékű, és csak az utolsó (negyedik) szám változik eszközönként. Tehát a 192.168.1.xxx maga a tartományt, a 192.168.1.1 a routert azonosítja, és a csatlakozó eszközök IP-címe 192.168.1.2-től 192.168.1.254-ig, a 2 és 254 közötti számok valamelyike lehet. Ez összesen 254 darab készülék használatát teszi lehetővé a hálózatban, mivel a 0 és a 255 nem használható címzésre. A legtöbb esetben ez bőven elég, de ha nagyobb mennyiségű egyenrangú címre van szükségünk, használhatjuk akár a teljes B osztályt, ekkor több mint hatvanötezer címet kioszthatunk.

Router_3_abraA helyi IP-címekben az a legjobb, hogy többször is felhasználhatók, mindössze arra kell vigyázni, hogy az azonos címtartományok ne találkozzanak közvetlenül. Ezt valahogy úgy kell elképzelni, mint a vállalati telefonmellékeket. Több vállalatnak is lehet azonos felépítésű telefonmellék rendszere, ez nem zavar senkit. A 202-es mellék az egyik cégnél a titkárság, a másiknál a porta. Minden mellék eléri a cégen belüli többi melléket, és nem keveri össze senki a telefonhívást egy másik cég azonos számú mellékével. Nincs ez másként a helyi hálózatok IP-címeivel sem. Arra viszont figyelni kell, hogy egymás alatt lévő hálózatok nem lehetnek azonos tartományban! Így a mellékelt ábrán látható – első pillantásra talán bonyolult – hálózatban a piros és a zöld számítógépek nem lehetnek azonos csoportban, míg a kékek igen.

Készítsünk alhálózatot!

Tegyük fel, hogy a piros hálózat routere csatlakozik az internetre, és a hozzá kapcsolódó eszközök a 192.168.1.xxx címeken osztoznak, ahogy az a 4. ábrán látható. A példában lévő piros PC-k címét a piros router a 100 és 200 közötti címekből adja automatikusan. Eddig pont olyan, mint a legtöbb, átlagos hálózat. Ha viszont alhálózatot hozunk létre, akkor bekerül a rendszerbe a zöld router, ami a WAN oldalával csatlakozik a pirosakhoz, így neki is éppen olyan címe lesz, mint a többi piros készüléknek. Ha piros router IP-címe 192.168.1.1, akkor a zöld router WAN oldali címe legyen 192.168.1.2. Fontos tudni, hogy azonos típusú routerek esetében azzal is számolni kell, hogy mindkét routernek egyforma a gyári beállítása, és ugyanaz a belső – switch vagy LAN oldali – IP-címük is, valamint azonos hálózati tartományban osztanak IP-címet a csatlakozó PC-knek. Kézi beállítás nélkül a zöld router nem fog megfelelően működni, már csak azért sem, mert mind a WAN, mind LAN oldalon azonos IP tartomány lenne, ez pedig hibás hálózatot eredményez. Nézzünk erre egy példát: Ha a PC-k piros és a zöld hálózatban is az 1.101 és az 1.102-es IP-címet kapják, akkor a zöld 1.101-es PC hogyan magyarázza meg a routernek, hogy a zöld 1.102-vel vagy a piros 1.102-vel akar kapcsolatot teremteni. Ezért aztán az egymás alatti hálózatok nem lehetnek azonos szegmensben! A zöld routernek nem csak a WAN oldali IP-címét kell beállítani, hanem a LAN oldali teljes működési szegmensét is. A zöld router WAN címe tehát 192.168.1.2, és a LAN oldali címét át kell írni a gyári 1.1-ről 2.1-re. Így a LAN oldala a 192.168.2.xxx címeket fogja kezelni. A zöld routerre csatlakozó PC-k a 2.101 és 2.102-es címet kapják majd a zöld DHCP szerverétől. A zöld PC-k tudnak egymással kommunikálni, mert azonos hálózatban vannak, valamint megszólíthatják a piros PC-ket és az internetet, mert felfelé mindig nyitva a ajtó, hiszen a piros PC-k számára is elérhető az internet. A helyzetet tovább bonyolíthatjuk, ha a zöld router alá újabb hálózatot illesztünk egy kék router segítségével. Ekkor a kék router WAN oldali IP-címe legyen 192.168.2.2, és a LAN oldali címe legyen 192.168.3.1. A kék routerre csatlakozó PC-k IP-je így 3.101, 3.102 és 3.103 lesz. Ezek a PC-k kapcsolódhatnak egymáshoz, a zöldekhez és a pirosakhoz, valamint az internethez. Azért, hogy minden lehetőséget lefedjünk, a példában mindjárt két darab kék router és így két darab kék színű hálózat van. Ezek azonos szinten vannak, de nem látják egymást, mert a két kék háló olyan, mint két önálló telefonközpont, saját mellékekkel. A másodikként érkező kék routernek legyen a WAN oldali IP-címe 192.168.2.3, és a LAN oldali címe legyen 192.168.3.1. Ez a belső cím meg-egyezik a másik kék router belső IP-címével, de vegyük észre, hogy mindkét routernek más a WAN címe, és egy magasabb szintű hálózathoz csatlakoztatják az alhálózatukat, ami analóg azzal a helyzettel, mintha a zöld hálózat lenne az internet, és a kékek lennének a különböző szolgáltatási helyszínek.
Fontos észrevétel, hogy a piros és a zöld hálózat attól függően lesz WAN vagy LAN, hogy éppen honnan nézzük. A piros hálózat a piros router és a piros PC-k szempontjából LAN, míg a zöld PC-k felől WAN-nak számít.

Router_4_abra

Port forward – kapcsolat a hálózatok között

A szabályok adottak: Felfelé minden látható, lefelé semmi. Ezen segít a routerekben implementált port forward, vagy más néven virtual server funkció. A fentről (WAN oldalról) érkező kéréseket a kérés típusa (valójában a port) alapján a router akkor engedi be az alhálózat valamelyik IP-címére, ha a port forward táblázatában erre vonatkozó szabályt talál. A vállalati telefonközpont példájával élve ez olyan, mint amikor felhívja valaki a céget, és számlát kér. A kérés alapján a telefonközpontos kapcsolja a számlázási osztályt, és máris kész a kapcsolat a betelefonáló ügyfél és a számlaosztály ügyintézője között, miközben a betelefonálónak nem kell tudnia a számlázás mellékét, elég, ha a központi számot ismeri.

Tételezzük fel, hogy a négyes ábra jobb alsó sarkában lévő számítógép egy videorögzítő szerver, amit a 6036-os és a 80-as porton érhetünk el. Az alábbi táblázat azt mutatja be, hogy különböző szinteken lévő routereken milyen szabályokat kell beállítani ahhoz, hogy egy külső kérés eljusson egészen az NVR-ig.
Router_5_abra
Amikor egy port forward táblázatot hozunk létre, nem ronthatunk ajtóstul a házba, nem adhatjuk meg az első routernél a végcélt, mert az nincs abban a hálózatban! A szerver IP-címe 192.168.3.103, és ez a cím nem csak az internetről nézve láthatatlan, hanem a piros routerre csatlakozó PC-kről is. Ezért a piros routeren csak a legközelebbi pontot tudjuk megadni, ami jelen esetben az 1.2-es címen lévő zöld router. A zöld routeren további útbaigazítást adunk, így a jobb oldali kék router IP-címét írjuk a táblázatba. A jobb oldali kék routerbe érkező kérés az abban tárolt szabály szerint végül eljut a 3.103-as címre, ami a rögzítő tényleges IP-címe.

Milyen adatokat kell megadni a táblázatban, és miért?

A port forward táblázat néha több oszlopot tartalmaz, mint amit értelmesnek tartanánk, ezért érdemes átnézni, hogy mi, mire való.

Belső port

A belső port nem kérdéses, ez az a port, amit a belső eszköz használ, és ezt szeretnénk kívülről, a magasabb hálózati elemek felől elérhetővé tenni.

Belső IP-cím

A belső IP-cím szintén nem okoz gondot, mert egyszerűen ez az IP-címe a példánkban a rögzítőnek.

Külső port(ok)

A külső port alapesetben megegyezik a belső porttal, azaz, ha a 80-as portot kiengedjük, azt kívül is 80-asként fogjuk használni, ám egyes routerek megengedik a belső és külső portok megkülönböztetését. Ez azt jelenti, hogy külső portként írhatunk például 81-et, aminek az lesz az eredménye, hogy IP-címet és a 81-es portot kell használni a hozzáféréshez, de az irányítás során nem csak az IP változik routerről routerre, hanem a port is. Azaz a külső felhasználó a 81-es porton indít kapcsolatot, és talán nem is tudja, hogy az NVR a 80-as porton vár a kapcsolatra. A külső portot a táblázat alapján a router a kérés átengedése során tehát is meg is változtathatja. A külső port egyetlen szám helyett esetenként lehet egy tartomány, például 81 – 88. Ez annyit jelent, hogy kívülről a 81-től 88-ig terjedő portok bármelyike beengedhető, és mindből 80 lesz, ha a belső portnál így rendelkezünk.
A belső és a külső port eltérítését gondosan meg kell tervezni, mert hibát is okozhat. A rögzítőnél például az adatportot (ami a példánkban 6036) azért nem szabad úgy beállítani, hogy más legyen belül, mint kívül, mert a külső kapcsolat felépülése során a rögzítő a 80-as porton keresztül közli a böngészőben futó kliens-programmal, hogy ő bizony a 6036-os porton fog majd videót közvetíteni. Ha a router a táblázata alapján egy ettől eltérő porton várja a kapcsolatot, akkor hiába tenné át belül a 6036-ra, a kliens program nem tudja ezt, és a megbeszéltek alapján próbálkozik a kívülről elzárt porton. Így a kapcsolat nem épül fel.

Külső IP-cím

Ez az opció egy biztonsági korlátozás, ahol azt az IP-t vagy IP-részletet kell megadni, ahonnan elfogadjuk a külső kérést. Ha például ide 82.10.33.105-öt írunk, akkor csak az a hálózati eszköz jogosult elérni az NVR-t, amelynek címe megegyezik a leírt IP-címmel. Készüléktől függően a korlátozás a 0.0.0.0 címmel, vagy a 255.255.255.255-tel kapcsolható ki. Az IP-cím tartományokat is ekképp adhatjuk meg: 82.10.33.0 vagy 82.10.33.255. Ekkor azok az IP-címek engedélyezettek, amelyek kezdete 82.10.33.xxx.

Protokoll

Alapvetően két féle protokollt használnak az IP-címekkel azonosított eszközök. Ha nem tudjuk biztosan, hogy melyiket válasszuk, a legbiztosabb mindkettőt beírni a szabályok közé. Ez lehet, hogy plusz sorokkal oldható csak meg, de gyakran a TCP és UDP mellett található egy BOTH (mindkettő) választási lehetőség is.

Közlekedés a hálózatban

A végére tartogattam egy érdekes játékot. Vajon, a hálózatunk négyes számú ábráján, a bal alsó sarokban lévő 192.168.3.101 IP-című PC hány féle módon érheti el a jobb alsó sarkon lévő NVR-t? Aki maga szeretne rájönni a megoldásra, az még ne olvasson tovább, hanem próbálja előbb megoldani, és utóbb ellenőrizheti, hogy helyes volt-e az ötlete.

  1. Az első és egyben nyilvánvaló mód, a jobb oldali kék routeren át vezet, tehát: 192.168.2.3:80
  2. Mivel felfelé nyitva az ajtó, mehetünk a zöld routeren át is: 192.168.1.2:80
  3. És végül, ha ismerjük a piros router internetcímét, azzal is célt érünk: piros_router_külső_ip_címe:80.

Természetesen, ez utóbbi cím az internet összes eszközéről, és minden, az internetet elérő PC-ről vagy mobil készülékről hozzáférhető, így ennek segítségével a rögzítő is elérhető.
Annyit még érdemes tudni a buktatókról, hogy egyes routerek a belső hálózat elemeit nem engedik elérni belülről, ha azt a router WAN oldalának címével tesszük, azaz a második és a harmadik módszer nem minden router esetében lesz eredményes.

Boros György
CCTV – IT műszaki termékfelelős
Power Biztonságtechnika

Legfrissebb hírek

Összes
Teltonika Energy Elektromosautó-töltők a Powernél!
Teltonika Energy Elektromosautó-töltők a Powernél!
EV töltőt keresel? Megtaláltad! A Power Biztonságtechnikai polcain mostantól elérhetőek a Teltonika Energy elektromosautó-töltők! Kattints a cikkre, mert bemutatjuk az innovatív és megbízható TeltoCharge termékeket!
Tovább
2024. 11. 05.
Elindult a Techson hivatalos weboldala!
Elindult a Techson hivatalos weboldala!
Nagy örömmel tájékoztatunk Titeket, hogy a Techson hivatalos weboldala már elérhető!  Az új platformon naprakész és részletes információkat találhattok a legújabb technológiai fejlesztésekről, innovációkról, és a forgalmazott termékekről. Emellett számos hasznos cikk és videótár anyaga is elérhető. Eredményes böngészést kívánunk!
Tovább
2024. 08. 14.
A Techson EC5-ös IP-kameraszéria felnő a feladathoz!
A Techson EC5-ös IP-kameraszéria felnő a feladathoz!
A Techson EC5-ös IP-kameraszéria minden tulajdonságában meghaladja az elődjének számító EA5-öst! A vadonatúj funkciók némelyike annyira fejlett, hogy nem is értjük, hogyan fért bele egy belépő szintű kamerába. Mutatjuk, mi mindenre képes az új széria!
Tovább
2024. 05. 23.
Megérkezett az új Paradox MQTT ökoszisztéma
Megérkezett az új Paradox MQTT ökoszisztéma
Megérkezett az új Paradox MQTT kommunikációs ökoszisztéma, az IP180 Wi-Fi + ethernet kommunikátor és az IPC10 vevőegység. Tudj meg többet cikkünkből!
Tovább
2024. 05. 16.
Változás a Paradox applikációinak használatában!
Változás a Paradox applikációinak használatában!
A Paradox mobil applikációinak használatában, struktúrájában jelentős változás történt. A megszokott, Insite Gold alkalmazást lassan felváltja a BlueEye. A két applikáció eddig párhuzamosan üzemelt, így összegyűjtöttük a közöttük lévő lényeges különbségeket!
Tovább
2024. 02. 02.

Legfrissebb cikkek

Összes
Tedd okossá otthonodat a Ksenia Security-vel!
Tedd okossá otthonodat a Ksenia Security-vel!
A Ksenia Security-vel lakóterünket nemcsak biztonságosabbá tehetjük, hanem okosotthonná is alakíthatjuk, saját igényünknek megfelelően. Miért éri meg beruházni egy lakásautomatizálási rendszerre, és miért érdemes a Ksenia-t választani? Olvass tovább, és kiderül!
Tovább
2024. 11. 07.
Miért válaszd az új FAAC B614 automata sorompót?
Miért válaszd az új FAAC B614 automata sorompót?
Azt gondolod, hogy egy sorompóról nem tudunk újat mondani? Olvasd el cikkünket, és győzödj meg az FAAC B614 kiemelkedő tulajdonságairól! Elöljáróban ennyit mondunk: egyszerű telepítés, extra védelmi funkciók és modern dizájn jellemzi.
Tovább
2024. 10. 29.
Hikvision kétvezetékes HD kaputelefon — egyszerű és sokoldalú
Hikvision kétvezetékes HD kaputelefon — egyszerű és sokoldalú
Fedezd fel a Hikvision kétvezetékes moduláris kaputelefon-rendszerének előnyeit — egyszerű telepítés, Wi-Fi kompatibilitás és távoli vezérlés. Legyen szó korszerűsítésről vagy új rendszer kiépítéséről, az új funkciók használata szinte alapelvárás egy modern társasházban.
Tovább
2024. 10. 11.
Ismerd meg a Ksenia lares 4.0 előnyeit és jellemzőit!
Ismerd meg a Ksenia lares 4.0 előnyeit és jellemzőit!
Cikkünben megvizsgáljuk a Ksenia Security IoT platformjának, a lares 4.0-nak előnyeit és néhány olyan funkciót, amelyek egyedülálló megoldássá teszik a piacon.
Tovább
2024. 09. 18.
Paradox hírek és újdonságok
Paradox hírek és újdonságok
A Paradox új- és kivezetésre kerülő termékeiről, firmware frissítésekről, valamint a BabyWare programozó szoftverről tájékozódhatsz cikkünkben. Olvasd el rövid összefoglalónkat, és legyél naprakész!
Tovább
2024. 08. 28.
Copyright © 1984-2024 POWER Biztonságtechnika Kft. Minden jog fenntartva.

×
Tovább a kosárhoz
×