![[ : ə i g e n s y s t e m s : ]](https://eigensystems.pl/wp-content/uploads/thegem-logos/logo_dd02169f372b0137e410bb3c0d1adec5_1x.png){kind=logo}
![[ : ə i g e n s y s t e m s : ]](https://eigensystems.pl/wp-content/uploads/thegem-logos/logo_b4aad2aea1a2017288baa4ec4b480558_1x.png){kind=logo}
Zdarzają się niestety takie sytuacje, których na etapie budowy nie przewidzimy, pożałujemy kilku złotych lub zwyczajnie zapomnimy, chodź mieliśmy to i owo w planach – nie zawsze można pruć tynki, estetyka korytek kablowych nie każdemu się podoba i w cale nie musi pasować do wystroju każdego wnętrza, a Wi-Fi w starciu z barierą w postaci foli aluminiowej jest zwyczajnie nieskuteczne. Co wtedy zrobić ?! …
Jeśli mamy dociągnięty przynajmniej jeden przewód typu skrętka (UTP/FTP/S(S)TP) to z pomocą przyjdą nam VLANy, czyli wirtualne sieci lokalne/prywatne. Naturalnie przy pomocy dodatkowych akcesoriów typu konwerter standardów (ang. media converter) łatwo możemy rozszerzyć to zagadnienie na inne nośniki/przewody poza skrętkę wieloparową:
- komunikacja po przewodzie energetycznym (np. HomePlug, KNX)
- komunikacja po jednej parze miedzianej (np. VDSL2 )
- komunikacja po przewodzie koncentrycznym (np. EoC)
ale poza tym, że koszty nam wzrosną problem pozostanie ten sam – czyli mamy fizycznie jeden nośnik/przewód, a potrzebujemy wcisnąć w niego 3 różne sieci, a więc jedynym sensownym rozwiązaniem nadal pozostaną VLANy.
Na grafice widocznej z prawej strony lub poniżej tekstu widzimy problem rozrysowany w warstwie pierwszej modelu ISO/OSI, czyli fizyczne połączenia urządzeń (PHY) z wyraźnie zaznaczonymi granicami pomieszczenia (strychu) oddzielonego folią aluminiową (graniczna warstwa ocieplenia). Kolorem szarym zaznaczone są połączenia realizowane przy pomocy foliowanej skrętki 4-parowej (FTP Cat.5e) w standardzie Ethernet 1000Base-T lub 100BASE-TX.
Z uwagi na to, że w letnie miesiące temperatury na strychu nierzadko przekraczają 40°C jest to miejsce wyjątkowo niesprzyjające umieszczaniu tam większości elektroniki – szczególnie dyski twarde HDD i akumulatory zasilaczy UPS nie lubią takich temperatur – a dodatkowym utrudnieniem jest konieczność samego “wchodzenia” na strych w razie nawet niewielkiej awarii. Między innymi z tych powodów zdecydowałem się na umieszczenie niewielkiej szafeczki rack 19″ z panelem krosowniczym, głównym przełącznikiem (switch) i podtrzymaniem zasilania na poziomie parterowym budynku od strony północnej. Dodatkowym atutem była bliskość wejścia i ulicy, z której (w założeniu) miały być w przyszłości dociągnięte wszystkie media. Niestety tak się nie stało, a do jednego urządzenia na strychu, które początkowo zaopatrywało dom w internet radiowy (3G/LTE), niebawem dołączyło kolejne: Orange LiveBox (który później zamienił się w FunBox).
Miałem więc 2 niezależne połączenia z internetem (WAN) – radiowe (3G/LTE) oraz kablowe (VDSL2) – i oba dociągnięte (niestety) na strych. Z braku laku, zaraz po instalacji upragnionej neostrady, LiveBox został podłączony do gniazda WAN routera 3G/LTE (Amit/Zalip) i neostrada pełniła rolę połączenia głównego (primary), które w razie awarii było automatycznie przełączane na łącze dodatkowe (secondary), czyli 3G/LTE – działające w tej konfiguracji tylko jako failover, a więc podczas “normalnego” działania, nie było wykorzystywane. Z racji tego, że “wegetuję” w Warszawie w strefie cyfrowego wykluczenia, a VDSL2 osiąga tutaj “zawrotne” prędkości na granicy synchronizacji (czyli jakieś 28Mbit/s), było to czystym marnotrawstwem. Jasne było, że jak najszybciej należało uruchomić symultaniczne wykorzystanie obu połączeń internetowych WAN, aby uzyskiwać sensowne przepustowości i aby nie przeszkadzać sobie wzajemnie w korzystaniu z dobrodziejstw XXI wieku.
Kolejnym utrudnieniem, które chciałem zlikwidować, był brak sieci Wi-Fi na użytkowym poddaszu (powyżej parteru, ale poniżej strychu). Początkowo realizowane to było przez antenę wyciągniętą na kablu/przedłużaczu RF, a podłączoną do routera 3G/LTE. Naturalnie w takiej konfiguracji świadczyła ona połączenie z internetem również tylko w jednej technologii na zmianę – przeważnie przez neostradę/VDSL2, a w razie awarii przez 3G/LTE (co miało miejsce praktycznie po każdej burzy).
Nie chciałem kupować na strych kolejnego urządzenia, typu “tani router” bo miałem już tam 2 routery, które niestety współpracowały ze sobą średnio, a dostępne na rynku rozwiązania w segmencie SOHO nie wzbudzały mojego zaufania (było wysoce prawdopodobne, iż będą działały podobnie do tego Amita/Zalipa), a na droższe eksperymenty w segmencie SMB (np. DrayTek) do domowego zacisza zwyczajnie budżet nie pozwalał. Inaczej sprawy by się miały, gdybym budował sieć od zera – wtedy jak najbardziej wybrałbym jedno porządne urządzenie typu “wszystko w jednym” i ew. wspierał je dodatkowymi punktami dostępowymi (AP) … tylko nigdy nie przypuszczałem, że wyląduję ze wszystkim na strychu, a internet 3G miał być tylko “na jakiś czas”.
Szybko zrozumiałem, że muszę wziąć sprawy w swoje ręce i że żaden tani sprzętowy router nie zapewni mi takiej elastyczności i takich możliwości, jakie oferuje mi zwykły, poczciwy Linux. Dodatkowym autem komputera z linuxem pełniącego rolę routera była możliwość wykorzystania go jako archiwum rodzinnych zdjęć i filmów (serwer NAS) oraz komputera pełniącego rolę domowego, ogólnodostępnego, multimedialnego centrum rozrywki. Problem jednak był ten sam co ze strychem – w gabinecie, gdzie stoi serwer przewidziałem tylko 2 gniazda RJ45/8P8C, z tego jedno sam zająłem ze swoim stanowiskiem do pracy (preferuję połączenie przewodowe), a więc pozostało tylko jedno.
Szczęśliwie, na etapie wyposażania infrastruktury sieciowej w domu, wybrałem bardziej “inteligentny” przełącznik z dostępnymi niektórymi funkcjami zarządzania w warstwie 2-giej modelu ISO/OSI (tzw. “smart”): D-Link DGS-1100-24 z dostępem przez interfejs webowy (WUI). Nie jest to może cud techniki i czasem wymaga restartu żeby się do niego dostać przez www, ale jest bezgłośny, ma blokadę pętli (nie jest to pełne STP, ale do domu wystarczy) i co najważniejsze obsługuje VLANy ! Naprawdę, kupując switch/przełącznik do biura lub większego domu warto dorzucić te parę złotych i zainwestować w urządzenie posiadające przynajmniej jakieś niewielkie możliwości konfiguracyjne/zarządcze w warstwie 2-giej (np. VLANy), żeby nie pozostać później w przysłowiowej “ciemnej dupie”, bo wszystkiego zwyczajnie na etapie budowy przewidzieć się nie da. Dodatkowym atutem tego typu urządzeń jest z reguły też ciut lepsza ogólna jakość wykonania i (często) rozszerzona gwarancja (np. 36/60 m-cy lub nawet Lifetime).
Na grafice powyżej widoczne są połączenia w warstwie 2-giej modelu ISO/OSI – nie są to już fizyczne połączenia, a widoczne na niej urządzenia sieciowe uległy cudownemu rozmnożeniu. Nie jest to może najszczęśliwszy rysunek, ale chciałem pokazać jak zachowują się przełączniki przy obsłudze VLAN – separują ruch bazując na tagowanych ramkach ethernetowych – czyli działają tak, jakby każdy VLAN był przełączany osobno, tworząc osobną domenę rozgłoszeniową. W takiej konfiguracji uzyskujemy całkowitą separację w warstwie 2, a więc wszystkie 3 sieci/vlany są w drugiej warstwie dla siebie wzajemnie niewidoczne – urządzenia podłączone do vlan1 (LAN) nie widzą bezpośrednio urządzeń w vlan101 (WAN1) i vlan102 (WAN2) oraz v-ce versa. Nie mogą także nawiązać ze sobą komunikacji bez udziału urządzeń i protokołów (wyższej) warstwy 3-ciej, czyli sieciowej (IP) oraz routera.
Dzięki głównemu przełącznikowi (24-portowy D-Link) z obsługą VLANów, dało się ogarnąć temat upchnięcia 3 osobnych sieci na jednym przewodzie w kierunku do serwera. Po stronie komputera z linuxem żadne dodatkowe urządzenie nie było potrzebne, gdyż obsługę VLANów można zrealizować poprzez odpowiednią konfigurację interfejsu sieciowego bezpośrednio w systemie operacyjnym i przełączyć go w tzw. trunk.
W kierunku z szafki na strych też w zasadzie nie było problemu, bo trunking 3 sieci/vlanów po jednym przewodzie realizował główny przełącznik (D-Link). Pozostawał jedynie problem rozdzielenia z powrotem tych 3 sieci/vlanów na osobne gniazdka 8P8C/RJ45 na samym strychu – dla “głupich” routerów (często dostarczanych razem z usługą), które VLANów nie obsługują lub ich konfiguracja byłaby zwyczajnie trudna, zbyt czasochłonna i w efekcie nieopłacalna.
Do rozwiązania tej niedogodności udało mi się znaleźć GENIALNE wręcz urządzenie, które z czystym sumieniem mogę polecić każdemu – przełącznik Netgear GS105E-200PES (ProSAFE Plus). To właśnie ten “PLUS” robi różnicę i powoduje, że ten biurkowy przełącznik jest o 100zł droższy od swojego “głupiego” braciszka (bez “plusa”). Czy 100zł przy cenie poniżej 150zł (brutto) to dużo? … niewątpliwie tak, ale … w tej cenie otrzymujemy dodatkowo: obsługę VLANów, limitowanie burzy broadcastowej (broadcast storm control), blokadę pętli, zarządzanie przepustowością portów, dostęp przez WWW i gwarancję lifetime !
Nie każdy też pewnie pamięta te czasy, ale kiedyś w tej cenie ciężko było o jakiś sensowny (pod względem jakościowym) “głupi” przełącznik (bez żadnych wodotrysków i zarządzania), z kilkoma portami o przepustowości 100Mbit/s (100Base-TX) … tylko wybrańcy mieli internet o przepustowości rzędu kilku Mbit/s (down-link), a komórki służyły do rozmawiania 😉
W warstwie 3-ciej (sieć/IP) wszystko zaczyna już wyglądać tak, jak powinno i tak, jak docelowo miało funkcjonować od samego początku – są dwa łącza internetowe, każde ze swoją podsiecią, a serwer z linuxem robi za ostateczny router zapewniający dostęp do sieci i równoważący rozkład obciążenia (load-balance). Widać także, że większość urządzeń sieciowych ma swoje interfejsy do zarządzania w sieci lokalnej LAN, dostępnej tylko z wewnątrz.
Rzut oka na “wielki” mały przełącznik Netgear GS105E-200PES (z serii ProSAFE Plus), który pozwolił zaoszczędzić mi trochę czasu i pieniędzy oraz pod którego wrażeniem funkcjonalności i stabilności nadal jestem.
Powyżej przełącznika widoczne jest zabezpieczenie (poziom 1) przed przepięciami ze strony FunBoxa od neostrady (miedziana linia napowietrzna) – niestety moi ulubieni technicy Orange nie pozwalali mi zakładać żadnych ochronników na linię VDSL2, bo traciłem synchronizację (cudowna usługa – masz wybór: albo pali Ci router przy każdej burzy, albo nie masz internetu). Natomiast poniżej przełącznika widoczny jest dodatkowy ochronnik dla wszystkich pozostałych urządzeń połączonych przewodami sieciowymi (poziom 2).
Z prawej strony lub poniżej tekstu widoczna jest grafika ze schematem połączeń ochrony przed przepięciami – coś czego (nie tylko w domu elektryka) zabraknąć nie powinno. LSW/LSU to lokalna szyna wyrównawcza/uziemiająca przymocowana do metalowej szafki teletechnicznej na strychu, a GSW/GSU to główna szyna wyrównawcza/uziemiająca znajdująca się na dole przy/w rozdzielnicy głównej budynku. Dodatkowe połączenia wyrównawcze urządzeń i przewodzących elementów instalacji budynku (ogrzewanie, woda, zbrojenie, gaz, itd.) wykonujemy przewodami minimum 2,5 mm2 Cu (lub 4 mm2 Cu gdy nie są chronione przed uszkodzeniami). Do połączeń wyrównawczych dużych urządzeń, maszyn, całych pomieszczeń i szaf teletechnicznych/rack (oraz LSW/LSU z GSW/GSU) najlepiej stosować giętkie przewody (linka) o powierzchni przekroju 16 mm2 Cu lub większej.
Na potwierdzenie skuteczności zastosowanego rozwiązania dodam, że router 3G/LTE (Zalip/Amit) nigdy nie uległ uszkodzeniu, a chodzi non-stop odkąd się wprowadziliśmy, czyli od 2011 roku (i nie jest wyłączany w czasie burzy). Podobnie przełącznik nie uległ żadnym uszkodzeniom od czasu dociągnięcia przewodu 16 mm2 Cu z GSW/GSU, zamontowania na szafce LSW/LSU oraz ochronników 1 i 2 poziomu dla przewodów UTP/FTP, a więc już przynajmniej 3 lata chodzi non-stop na strychu i nic mu się nie dzieje. Jeśli zaś chodzi o funbox’a to częstotliwość jego uszkodzeń również spadła, chodź należy tutaj wyraźnie zaznaczyć, że urządzenie to (z uwagi na zalecenia techników Orange) nie ma absolutnie żadnej ochrony od strony linii napowietrznej VDSL2, ale przynajmniej dzięki zastosowanym zabezpieczeniom, prawdopodobieństwo uszkodzenia reszty mojego sprzętu jest niewielkie.
Jeśli komuś nie zależy na jednoczesnym trzymaniu zdjęć/filmów lub dokumentów na swoim własnym linuxowym serwerze plików (NAS), to rozwiązanie podobne, czyli linux router-on-a-stick można zrealizować na relatywnie małym i tanim komputerze typu Raspberry Pi do którego są nawet dedykowane rozwiązania filtrujące reklamy w warstwie sieci – polecam np. Pi Hole. Jedyne, na co trzeba uważać to fakt, że (przynajmniej) rPI ma interfejs sieciowy podpięty do HUBa USB 2.0, a więc jego teoretyczna przepustowość nigdy nie przekroczy 480Mbit/s w jedną stronę (usb 2.0 działa w trybie half-duplex), czyli efektywnie interfejs sieciowy, mimo, że jest gigabitowy (1000Base-T), to nigdy nie będzie miał przepustowości większej niż 200Mbit/s (full-duplex), ale … i tak to jest mniej-więcej 20MB/s więc w większości zastosowań domowych i biurowych w zupełności wystarczy (1B bajt = 8b bitów + zazwyczaj jakiś narzut na komunikację/protokół, np. bit startu + bit stopu).
