2017年11月23日 星期四

如何在套房/宿舍網路管理與頻寬限制?使用普萊德乙太網路交換器篇

目前可以做到頻寬管理限制的裝置有兩種
1. 網路路由器(Router)
*優點: 頻寬管理限制靈活度較高
*缺點: 全部都是靠CPU下去做運算,極度消耗硬體資源

2. 乙太網路交換機/乙太網路交換器(Ethernet Switch)
*優點: 靠硬體的功能來限制速度,可與網路路由器各進其職,網路交換器做頻寬管理,網路路由器就認真做網路封包路由
*缺點: 頻寬管理限制靈活度較低

本篇以普萊德PLANET乙太網路交換器做頻寬限制實作與規劃
適用機種:
* GSD-1002M: 8個1000M的RJ45 + 2個1000M SFP
* GS-4210-16T2S: 16個1000M的RJ45 + 2個1000M SFP
* GS-4210-24T2S: 24個1000M的RJ45 + 2個1000M SFP
* WGSW-28040: 24個1000M的RJ45 + 4個1000M RJ45/SFP Combo共用
*GS-4210-24P4C/GS-4210-24PL4C/GS-4210-48T4S

Q: 我有300M/100M的中華電信網路,共有24個房間,網路頻寬該如何分配?
A: 有兩種方式如下,一般來說大家都採取寬鬆頻寬限制管理。
1. 嚴謹頻寬限制管理,最安全也是最公平的分法

300M下載/24房間 = 約12M,所以給每個房間的網路孔應設定下載限速12M
100M上傳/24房間 = 約4M,所以給每個房間的網路孔應設定上傳限速4M

2. 寬鬆頻寬限制管理
如果我們採取嚴謹頻寬限制管理,可以發現其實網路並沒有隨時隨地的被使用到300M/100M,因此我們按照用戶素質和總頻寬的使用量來多給1~3倍不等的超量頻寬

300M下載/24房間 = 約12M,所以給每個房間的網路孔應設定下載限速12M 乘2~4 = 24M~48M的範圍
100M上傳/24房間 = 約4M,所以給每個房間的網路孔應設定上傳限速4M 乘2~4 = 8M~16M的範圍
===================================================
開始實作
1. 將你的電腦設定IP位置192.168.0.10,子網路遮罩255.255.255.0


2. 開啟瀏覽器輸入192.168.0.100,並輸入帳號 admin 與密碼 admin 登入普萊德PLANET網路交換器


3. 到 QoS >> General >> QoS Properties 將 QoS Mode設定為Basic並按Apply存檔,開啟QoS的功能


4. 到 QoS >> Rate Limit >> Ingress Bandwidth Control ,設定上傳頻寬4Mbps = 4000Kbps 。

*Port的部分是選給各個房間的網路孔,請注意接路由器的網路孔勿做任何設定歐
*State選Enable
*Rate(Kbps)這個單位為Kbps,我們要設定4Mbps給每一個房間的網路孔,所以這裡要填入4000(公式: 1Mbps = 1000Kbps)
*並按Apply存檔


5. 到 QoS >> Rate Limit >> Egress Bandwidth Control ,設定下載頻寬12Mbps = 12000Kbps 。

*Port的部分是選給各個房間的網路孔,請注意接路由器的網路孔勿做任何設定歐
*State選Enable
*Rate(Kbps)這個單位為Kbps,我們要設定12Mbps給每一個房間的網路孔,所以這裡要填入12000(公式: 1Mbps = 1000Kbps)
*並按Apply存檔

6. 測試是否有達到下載12M與上傳4M的功能

========================================================

以下範例為如何防止套房/宿舍網路間的電腦互相攻擊、簡單手攻擊、勒索病毒WannaCry攻擊

1. 到Port Management >> Protected Port 設定防止各電腦間互相存取

Unprotected Port說明: 預設所有Port都是Unprotected模式,可與Protected Port互通,接往網路路由器的網路孔請選擇這個模式

Protected Port說明: 只能與Unprotected Port互相存取,無法與同樣為Protected Port的網路孔互通,切記不能接往網路路由器的網路孔設定為Protected Port,不然網路會不通

*Port List請選你要的Port
*Port Type請選你要的Port模式
*並按Apply存檔


========================================================

最後做完WebUI的設定變動後,務必存檔,否則重開機後設定會被清除。

至左上角點選Save>>Save Configuration to FLASH

點選Apply 存檔即完畢。


2017年11月17日 星期五

DrayTek 居易科技 各種VPN傳輸效能比較(VPN performance comparison)

居易科技(DrayTek)支援常用VPN類型有L2TP、PPTP、IPSec(IKEv1)、IPSec(IKEv2)、SSL VPN、L2TP over IPSec

居易科技(DrayTek)機器分為兩種類型
1. Vigor Router(OS: DrayOS): Vigor 2120/2912/2925/2926/2952/3220
2. Vigor Linux Router(OS: Linux): Vigor 2960/3900
=========================================================

最佳VPN傳輸效能(The Best of VPN Performance/Throughput)

*Vigor Router(OS: DrayOS)
L2TP > IPSec(IKEv1) > IPSec(IKEv2) > L2TP over IPSec > PPTP > SSL VPN

*Vigor Linux Router(OS: Linux)
IPSec(IKEv1) > IPSec(IKEv2) > SSL VPN > PPTP > L2TP > L2TP over IPSec

=========================================================

業界常用的VPN型式(The Popular of VPN type in the company/telecom)

IPSec(IKEv2) > IPSec(IKEv1) > SSL VPN > L2TP over IPSec > L2TP > PPTP

=========================================================

最容易被一般使用者接受的VPN型式(Easier to set the VPN type up for the end clients)

SSL VPN > PPTP > L2TP  > L2TP over IPSec > IPSec(IKEv2) > IPSec(IKEv1)

=========================================================

安全性最高的VPN型式(The Best Security Strength of VPN type)

SSL VPN = L2TP over IPSec > IPSec(IKEv2) >= IPSec(IKEv1) >> PPTP >> L2TP

=========================================================

2017年11月13日 星期一

802.1Q Tag VLAN設定範例教學-適用普萊德L2/L2+網管型網路交換器

802.1Q Tag VLAN是一種常被使用切割不同群組、簡單來說像是各個部們可以互相切割可以不讓互相存取、無線網路多SSID也是透過Tag VLAN的功能來區隔讓各SSID獨立運作,舉例來說員工走SSID 1(802.1Q Tag VLAN 10),來賓走SSID 2(802.1Q Tag VLAN 20),兩個群組可以被區分流量開來也有安全性保障

================================================================
普萊德L2+網管型網路交換器IEEE 802.1Q Tag VLAN設定範例教學

適用機種: PLANET WGSW-24040/WGSW-24040R/WGSW-24040HP/WGSW-24040HP/GS-5220-16S8CR/GS-5220-16T4S2XR/GS-5220-24P4X/GS-5220-24PL4X/GS-5220-8P2T2S

EX: 我們想做到以下的事情

Port 1~3歸類在VLAN 2並解掉VLAN 2的Tag
Port 4~6歸類在VLAN 3並解掉VLAN 3的Tag
Port 7為Trunk port 裡面跑VLAN 2(Tagged)和VLAN 3(Tagged)





















在這之前我們先介紹VLAN有三種模式
1. Access: 通常這個模式會配合PVID,也就是大部分給untag VLAN的一般電腦用的
2. Trunk: 這模式通常只會跑有Tag的封包在上面,通常是兩台乙太網路交換器互相接在一起
3. Hybrid : 這模式通常可以跑有Tag和Untag的封包在上面,通常是兩台乙太網路交換器互相接在一起

A. 接下來登入普萊德 PLANET 網路交換機WebUI

B. 到VLAN>>VLAN Port Configuration

B-1: 先建立VLAN 1, VLAN 2, VLAN 3的存在

B-2:
Port 1~3設定Access模式,PVID(Port VLAN)設為2,Forbidden VLAN設1
Port 4~6設定Access模式,PVID(Port VLAN)設為3,Forbidden VLAN設1

B-3:
Port 7設定Trunk模式,PVID(Port VLAN)設為1,Egress Tagging設Tag All,Allowed VLAN設1~3

C: 存檔,就完成了
















*做完WebUI的設定變動後,務必存檔,否則重開機後設定會被清除。
至左方工具列點選System>>Save Startup Config,並點選Save Configuration 存檔即完畢。










=====================================================================
普萊德L2網管型網路交換器IEEE 802.1Q Tag VLAN設定範例教學

適用機種: PLANET GS-4210-8P2T2S/GS-4210-16P4C/GS-4210-24P4C/GS-4210-24PL4C/GS-4210-48T4S/WGSW-28040/GS-4210-24T2S/GSD-1002M

EX: 我們想做到以下的事情

Port 1~3歸類在VLAN 2並解掉VLAN 2的Tag
Port 4~6歸類在VLAN 3並解掉VLAN 3的Tag
Port 7為Trunk port 裡面跑VLAN 2(Tagged)和VLAN 3(Tagged)





















在這之前我們先介紹VLAN有三種模式
1. Access: 通常這個模式會配合PVID,也就是大部分給untag VLAN的一般電腦用的
2. Trunk: 這模式通常只會跑有Tag的封包在上面,通常是兩台乙太網路交換器互相接在一起
3. Hybrid : 這模式通常可以跑有Tag和Untag的封包在上面,通常是兩台乙太網路交換器互相接在一起

A. 接下來登入普萊德 PLANET 網路交換機WebUI

B. 到VLAN>>Create VLAN建立VLAN 2和3,並儲存







在這之前我們先介紹VLAN有三種模式
1. Access: 通常這個模式會配合PVID,也就是大部分給untag VLAN的一般電腦用的
2. Trunk: 這模式通常只會跑有Tag的封包在上面,通常是兩台乙太網路交換器互相接在一起
3. Hybrid : 這模式通常可以跑有Tag和Untag的封包在上面,通常是兩台乙太網路交換器互相接在一起

C. 到VLAN>>Interface Settings設定各個Port的VLAN模式

C-1: 我們選GE1, GE2, GE3的port把它綁定Access模式,並儲存










C-2: 我們選GE4, GE5, GE6的port把它綁定Access模式,並儲存









C-3: 我們選GE7的port把它綁定Trunk或Hybrid模式,並設定PVID為1,並儲存








D. 到VLAN>>Port to VLAN設定哪些VLAN在port到底要帶tag或是跑untag

D-1: 到VLAN ID 2設定GE1~3為Untagged,GE7為Tagged,並儲存



















D-2: 到VLAN ID 3設定GE4~6為Untagged,GE7為Tagged,並儲存
















E. 完成設定VLAN了

*做完WebUI的設定變動後,務必存檔,否則重開機後設定會被清除。
1. 至左上角點選Save>>Save Configuration to FLASH
2. 點選Apply 存檔即完畢。

PLANET GS-5220 網路交換器系列-中文快速入門使用手冊

中文快速入門使用手冊

A. 系統預設值
IP address: 192.168.0.100/24
Console: 115200(baud rate), 8(data bits), none(parity, flow control), 1(stop bits)
帳號 / 密碼: admin / admin
開機時間: 1~3分鐘

B. 如何變更admin使用者密碼?
1. 登入交換機WebUI
2. System>>User Configuration變更密碼並點選admin












3.輸入新的密碼,並Apply




C. 如何變更IP address?
1. 登入交換機WebUI
2. System>>IP Configuration變更IP address

範例: VLAN 1 IP: 192.168.0.100/24, Gateway: 192.168.0.254




D. 如何設定SFP slots為固定速率模式?
*SFP slots有分為自動速率、固定速率模式,本系列預設為自動模式,某些網路交換機無自動速率模式,並要求雙方都使用固定速率模式
1. 登入交換機WebUI
2. Port Management>>Port Configuration並勾取對應的fiber port
3. Speed>>Configured的部分可以按造光纖模組速率選擇10G/1G/100M模式

4. 點選Save套用選項



E. 如何儲存使用設定檔?
*做完WebUI的設定變動後,務必存檔,否則重開機後設定會被清除。
1. 登入交換機WebUI

2. 至左方工具列點選System>>Save Startup Config,並點選Save Configuration 存檔即完畢。









F. 如何還原預設值?
*使用迴紋針於面板處的Reset按鍵連續戳壓10秒鐘,即可還原預設值

G. PoE受電設備安裝訣竅 (8 port以上PoE交換機系列適用)
*將受電設備於固定間隔平均安裝,可避免PoE網路交換機的PoE IC一直於高附載狀態,並可增加使用壽命。

範例目前有12IP camera受電設備,安裝於24 port PoE交換機上,最佳安裝方法為受電設備裝於PoE交換機port 1, 3, 5, 7, 9, 11, 13, 15, 17, 19, 21, 23



使用手冊下載

1.  點選以下網址下載


2. 於下拉選單選取機器型號,並下載PDF

2017年10月26日 星期四

為何要使用管理型的乙太網路網路交換器呢?

乙太網路交換器(Ethernet Switch)簡單來說就是讓1個網路孔變成更多的網路孔,如果沒有特殊用途就使用無管理型的就好,今天要來告訴各位管理型的網路交換器和無管理型有什麼差別。

管理型網路交換機有以下的功能:

1. DHCP snooping
說明: 一定有遇過有人會亂帶分享器到公司或宿舍亂接,接對了沒事情,但接錯了就會導致整個網路無法使用,原因就是亂用網路這個人的分享器的LAN接到整個網路,這時候就需要用DHCP snooping把大家隔開

2. Loop迴圈保護
說明: 當有人私接網路在自己的交換器,然後又不小心把交換器串回本身的網路,這時候又會導致整個網路掛掉

3. IGMP/MLD snooping
說明: 當我們接了一台無管理型的網路交換器然後在接一台中華電信MOD,這時候MOD在動,其他人的網路也會收到MOD的訊號,讓大家的網路變慢,這時候就需要IGMP snooping了

4. VLAN
說明: 可以區分出群組讓各群組隔離並無法互相通訊,通常是為了安全管理才做的

5. STP/RSTP/MSTP/E.R.P.S
說明: 使用這功能可以將各台網路交換器串成一個環狀,也就是我們說的環狀網路,通常用於中大型網路可以避免一台網路交換器壞掉導致整個網路癱瘓

6. QoS 頻寬優先權管理
說明: 這功能是決定誰可以有優先上網的權利,在比較小型的應用通常拿來限制各Port的上傳和下載頻寬,更好的應用是搭配網路路由器一起使用,在中大型的應用就會用到ToS/CoS/DSCP。

7. LACP/Static Trunk
說明: 可以聚和頻寬,讓可傳頻寬更多,但因為演算法的關係,當你內部電腦不多的時候,效果並不好

8. 網路風暴管理
說明: 有時候使用者的電腦中毒會一直發出Broadcast / Multicast / Unicast / Unknown-unicast的封包,並導致整個網路掛掉,這時候就要網路風暴管理

2017年10月23日 星期一

FSD-604HP 商用4個10/100M PoE+加2個100M RJ45 乙太網路供電交換器 無管理型

FSD-604HP中文快速入門使用手冊

規格:   4個10/100M PoE+(IEEE802.3af/IEEE802.3at)加2個10/100M RJ45 

本機器適合有4台IP camera與1台NVR/NAS和1台路由器連遠端上網看的應用、並搭配2台IEEE 802.3at PoE+(30W)或4台 IEEE 802.3af PoE (15W)的 100M AP/IP camera/VoIP Phone(PoE最大負載量: 60W)需求的消費群使用,注意: 本機器不支援巨大訊框(Jumbo Frame大小超過1536byte),該台交換機定義為L2 無管理等級

A. 網路交換機功能模式選擇
兩種網路交換機功能可供選擇: 預設模式(Standard)PoE延伸模式(Extended)


預設模式(Standard)
網路交換機預設模式
------------------------------------------------------------------------------------------------------------------------
PoE延伸模式(Extended)
當啟動PoE延伸模式(Extended PoE Mode)後,可以打破原先網路線材只能達到100公尺的限制,最長可延伸至250公尺,但速率只有10BASE-T。啟動PoE延伸模式(Extended PoE Mode)後所有PoEPort皆不可互相存取,以保護資料不被別人竊取。























------------------------------------------------------------------------------------------------------------------------
使用方法:
1. 將網路交換機關機
2. 選取模式
3. 將網路交換機開機啟動
------------------------------------------------------------------------------------------------------------------------
B. 注意事項
1. 本機器不支援巨大訊框(Jumbo Frame大小超過1536 byte)

安橋聖科技有限公司
技術客服信箱: service@enchose.com
網址: http://www.enchose.com/

GS-2240-24T4X/GS-2240-48T4X 4個10G SFP+ 網路交換器 中文快速入門使用手冊

中文快速入門使用手冊

GS-2240-24T4X:   24x1000BASE-T + 4x1/10G SFP+ 10G乙太網路交換器

GS-2240-48T4X:   48x1000BASE-T + 4x1/10G SFP+ 10G乙太網路交換器


A. 系統預設值
IP address: 192.168.0.100/24
Console: 115200(baud rate), 8(data bits), none(parity, flow control), 1(stop bits)
帳號 / 密碼: admin / admin

B. 如何變更密碼?
1. 登入交換機WebUI
2. System>>User Configuration變更密碼











C. 如何變更IP address?
1. 登入交換機WebUI

2. System>>IP Configuration變更IP address(格式範例: 192.168.1.10/24)







D. 如何設定SFP+/SFP slots為固定速率模式?
*SFP+ slots有分為自動速率、固定速率模式,GS-2240系列預設為自動模式,某些網路交換機無自動速率模式,並要求雙方都使用固定速率模式
1. 登入交換機WebUI
2. Port Management>>Port Configuration並勾取對應的port
3. Speed的部分可以按造光纖模組速率選擇10G/Full1G/Full模式

4. 點選Apply套用選項

E. 如何儲存使用設定檔?
*做完WebUI的設定變動後,務必存檔,否則重開機後設定會被清除。
1. 登入交換機WebUI
2. Maintenance>>Backup/Upgrade Manager找到Save configuration點選Save




F. 如何還原預設值?
*使用迴紋針於前面板處的Reset按鍵連續戳壓10秒鐘,即可還原預設值

GS-2240-24T4X











GS-2240-48T4X










使用手冊下載

1.  點選以下網址下載


2. 於下拉選單選取機器型號,並下載PDF

2017年10月20日 星期五

GT-805A 長距離乙太網路延伸器/光電轉換器讓光纖SFP轉RJ56

GT-805A適合有長距離Gigabit乙太網路延伸需求者、可搭配光纖的技術透過1G SFP模組延伸網路將訊號轉成1G/100M/10M RJ45、並有連結故障傳遞(LFPT)的功能,該台機器定義為無管理等級。


DIP switch模式切換介紹

請注意: 切換DIP模式時務必關閉電源,以防止功能無法正確執行。

LFP: 連結故障傳遞設定模式為ON(開啟)OFF(關閉)。啟用LFPT後,當電腦斷線時,GT-805A會立刻將連網光纖網路交換器的線路斷線,這時候光纖網路交換機端的工程師,就能立即知道電腦斷線了





















注意事項
1. 機器的一年有限保固不包含雷擊以及天災。

2. SFP只支援1000BASE-X SFP (不支援100Mbps SFP)

2017年10月18日 星期三

多點VPN連線部屬與各端點封包互相路由方法

我們常遇到多地點VPN要互相建立起來,且因為安全性必須將所有的設備都只能透過VPN LAN的方式傳送資料,一般來說我們會使用IPsec VPN協定來建立VPN連線,因為好一點VPN路由器是有VPN硬體加解密功能(例如: DrayTek, Mikrotik(RouterOS)......等),使用硬體加解密可以降低CPU的負擔使傳輸效能更好,以下有兩種方法可以達到目的

第一種: VPN Mesh Network

說明: 有A, B, C, D, E點VPN端點,各端點互相建立VPN

優點: 去中心化,當其中一點掛掉後,不影響到其他點間的運作

缺點: 當需要擴充到更大VPN網路的時候,需要更多VPN節點的設定,擴充不易

=========================================================
第二種: VPN 流量路由中央統一分配

說明: 有A, B, C, D, E點VPN端點,B, C, D, E只和A點建立VPN,並由A點統一分配各節點的路由。

優點: 可以A點統一管理,分配路由/頻寬/防火牆規則,其他各點只需建立一條VPN到A點就可以

缺點: 假設B到C互相路由,則流量就會集中到A點路由後再轉換,也就是說各點流量都會全回到A點,讓A點的路由封包處理壓力變大,這時候就要將A點VPN路由器的機型要挑高級一點




2017年7月27日 星期四

VDSL延伸器 VC-231 電話線延伸乙太網路 中文快速入門使用手冊

中文快速入門使用手冊

VC-231: 1個RJ11電話孔 + 1個10/100M RJ45網路孔

最大特點: 300公尺的電話線,可達雙向100M/100M


A. DIP switch模式切換介紹

請注意: 切換DIP模式時務必關閉電源,以防止功能無法正確執行。


DIP-1: 設定模式為CO(局端)CPE(客戶端)CPE要與CO連線後才能讓網路連線成功。
DIP-2: 設定頻道為InterleaveFastInterleave會比Fast更有抗干擾能力,但延遲最高會達到10ms,建議使用Interleave模式。
DIP-3: 設定VDSL profile17a30a17a適合較長距離但VDSL速率較慢,30a適合較短距離但VDSL速率較快。
DIP-4: 設定SNR6dB9dB,建議選擇6dB,如有發生VDSL無法sync上在選擇9dB

B. 注意事項
1. 機器的有限保固不包含雷擊以及天災。

2. VC-231RJ11電話孔建議自行購買安裝RJ11防雷擊保護裝置(RJ11 Telephone Surge Protection),以避免雷擊而失去保固,使用者可於露天搜尋" RJ11 防雷 "並購買安裝。

3. 防雷器的輸出(Out)端都是連接被保護設備(VC-231),勿接相反以免無效,務必確認有完成接地。

4. VDSL 訊號容易受到線圈(馬達、高電壓變壓器)干擾,佈線施工時應並避開該區域或使用RJ11 遮蔽線(STP)來避免干擾。

VC-231 RJ11 VDSL距離速度參數表
• 17a profile 
 300公尺 -> 86/65Mbps (CO -> CPE/CPE ->CO)
 400公尺 -> 86/52Mbps (CO -> CPE/CPE ->CO)
 600公尺 -> 81/36Mbps (CO -> CPE/CPE ->CO)
 800公尺 -> 72/19Mbps  (CO -> CPE/CPE ->CO)
 1000公尺 -> 60/9Mbps (CO -> CPE/CPE ->CO)
 1200公尺 -> 59/6Mbps  (CO -> CPE/CPE ->CO)
 1400公尺 -> 50/2Mbps  (CO -> CPE/CPE ->CO)

• 30a profile 
 300公尺 -> 100/100Mbps (CO -> CPE/CPE ->CO)
 400公尺 -> 90/90Mbps (CO -> CPE/CPE ->CO)
 600公尺 -> 61/40Mbps (CO -> CPE/CPE ->CO)
 800公尺 -> 54/8Mbps (CO -> CPE/CPE ->CO)

註: 實際測試數據會因線材與環境而不同,以上數據為實驗室測試資料,RJ11 線材建議使用24AWG或更佳線路,建議傳輸最大距離為1.4公里