Sunday, 21 December 2008
Juletip 21: hvordan sikrer man julefreden og leger med nørdeprojekter
« Juletip 20: indbrud i juletiden | Main | Juletip 22: julemanden - den ultimative road warrior »Vi kender det allesammen - kæresten, konen, børnene, medarbejderne, chefen - de vil allesamen gerne opdatere deres facesbook profil og surfe efter alt muligt ligegyldigt - mens du gerne vil afprøve den nye Spiffy SuperX Turbo firewall software på dit netværk eller rode med DHCP options så dine maskiner kan netboote og installere dit favoritsystem automatisk på mindre end 15 min!
Hvad gør man så?
Her snakker vi produktion versus test og det er noget som mange ikke tænker på. Jeg gør, men jeg er også "uddannet" og opfostret hos IBM i 1990'erne og det giver en hvis respekt for produktion når man skal aflevere et stykke papir før man kan få flyttet et mainframe job fra test til produktion, fordi man glemte et komma :-)
Hjemme hos mig er der derfor STOR forskel på produktion - der hvor tingene sjældent ændrer sig og alle fejl gerne må rapporteres. Det er faktisk noget børnene har lært, så da internet her den anden dag forsvandt kom min hustrus datter straks ind. Havde hun nu været vant til at det gik op og ned i tide og utide ville hun nok bare prøve igen senere.
Det er således et positivt tegn når brugerne er med til at rapportere fejl, for de skal forvente at alle fejl reelt ER fejl, medmindre der er annonceret nedetid.
Ligeså vil det nok ikke være populært at lege med firewall og internet i juledagene, HVIS nu de to drenge fik WoW Wrath of the lich king ;-)
Så dagens tip lyder måske simpelt - du skal skelne mellem produktion og test - og husk det gælder egentlig både hjemme, arbejde eller andre steder hvor du kommer. Forøvrigt er det helt sikkert også noget du selv får glæde af, når du under testen gerne vil søge efter en løsning på et pludseligt opstået problem.
Opdel netværket med Soekris
Det første du kan gøre er at konfigurere TO zoner i dit netværk. Prod og test, evt. kan du vælge at installere en Soekris eller tilsvarende et andet sted i netværket:
Kris er produktion og ændres sjældent - virker bare! Undtagen da jeg lige den anden dag forsøgte at genoplive køleskabet fra døden med en power reset og derfor kom til at slukke for firewall, switche, hele møget :-( PS Vi HAR nu idag købt et nyt køleskab som nu er sat delvist i produktion, der mangler lidt vandtilslutning.
Luffe derimod er testudstyr (og kunne godt være andet end en Soekris) og puha, den kan der testes med! Det er nemt at konfigurere denne til at have internetforbindelse, den router bare alle pakkerne til den sædvanlige firewall - et interface er med DHCP. De resterende interfaces er til gengæld konfigureret "som vinden blæser". Det betyder at alt hvad jeg laver på Luffe ikke har indflydelse på hverken Arto, WoW, Facebook, IRC eller andet :-)
Det koster selvfølgelig noget ekstra udstyr, men har du ikke en gammel laptop må du ønske dig en Soekris. Soekris har samtidig den bedste WAF af mange andre stykker hardware og giver mulighed for tonsvis af projekter. :-)
Glæden ved et sådant setup kan ikke undervurderes! Bemærk ligeledes at jeg også lige har smidt et AP på testnettet, så er det nemt for min laptop Bigfoot at hoppe mellem test og prod setup :-)
Opdel netværket med VLAN
En anden løsning som kan bruges er selvfølgelig at bruge VLANs og det er faktisk ikke så dyrt idag. Selv med relativt få penge kan man købe en switch med management og 802.1q - du skal bare huske lige at se efter det. Personligt har jeg været meget glad for Linksys SRW2008, som eneste fejl har de dog at man skal bruge en Internet Exploder til at konfigurere den med.
Det setup ville så spare en maskine og være nogenlunde som vist på tegningen:
Afhængigt af de projekter du vil lave kan det være en god løsning. Faktisk har jeg brugt det til diverse setups, både hjemme og på TheCamp, se eksempelvis blogindlægget Turning IPv4 off, et eksperiment .
Det vigtigste her er at switchen understøtter 802.1q og dit operativsystem understøtter samme, men de gør de fleste :-)
På mine OpenBSD maskiner er det så nemt som følger:
hlk@luffe:etc$ cat hostname.vr0
inet 10.0.45.2 255.255.255.0 NONE
inet6 2001:7b8:3e4:0045::2
hlk@luffe:etc$ cat hostname.vlan2
inet 10.0.72.2 255.255.255.0 NONE vlan 2 vlandev vr0
inet6 2001:7b8:3e4:0072::2hlk@luffe:etc$ cat hostname.vlan3
inet 10.0.73.2 255.255.255.0 NONE vlan 3 vlandev vr0
inet6 2001:7b8:3e4:0073::2
Dette setup brugte altså IEEE 802.1q VLAN med IDs som følger:
- ID1 default, management VLAN
- ID2 WLAN VLAN (prøv lige at sige det ti gange ;-) til adskillelse af LAN og WLAN!
- ID3 SERVER VLAN adskilt fra LAN
og man kunne nemt tilføje ID4 VLAN4 test af diverse projekter :-)
Logning og overvågning
Når du så har opdelt netværket og fundet en god switch vil det være nærliggende at smide noget mere logning og overvågning ind :-)
Jeg bruger selv - ligesom mange andre:
- Smokeping
- Nagios
- Prelude IDS
- osv. :-)
Håber I kunne bruge dette tip også - det er vigtigt at brugere får den service de forventer, så forstyrrer de mindre og så når du mere :-)
Posted by at CET 16:12 21/12/2008 in Toolbox entries
[Trackback URL for this entry]
