Blokada ruchu między vlanami Temat rozwiązany
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Blokada ruchu między vlanami
Pytanie: aby zablokować ruch (aby kompy między vlanami się nie widziały) między vlanami to tylko access-list ?
Zrobiłem tak: ACL blokada między vlan10 (192.168.10.0) a vlan 11 (192.168.11.0) ale niestety nadal się pingują
Switch(config)# access-list 102 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
Switch(config)#interface vlAN 10
Switch(config-subif)#ip access-group 102 in
Switch(config-subif)#ip access-group 102 out
ALBO w Debianie - blokada forwardu między vlanami 10 a 5
#blokada między vlanami
$IPTABLES -I FORWARD -i $INTDEV10 -o $INTDEV5 -j REJECT
Co proponujecie ?
Zrobiłem tak: ACL blokada między vlan10 (192.168.10.0) a vlan 11 (192.168.11.0) ale niestety nadal się pingują
Switch(config)# access-list 102 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
Switch(config)#interface vlAN 10
Switch(config-subif)#ip access-group 102 in
Switch(config-subif)#ip access-group 102 out
ALBO w Debianie - blokada forwardu między vlanami 10 a 5
#blokada między vlanami
$IPTABLES -I FORWARD -i $INTDEV10 -o $INTDEV5 -j REJECT
Co proponujecie ?
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Blokada ruchu między vlanami
Trochę dziwna sytuacja, bo tak, jak to napisałeś, to faktycznie nie powinien ping przechodzić. A co to jest za switch, w sensie jaki model, bo jakiś dziwny masz prompt systemowy, po wejściu w SVI (config-subif? dziwne). Pokaż też następujące konfiguracje:
sh run int vlan 10
sh run int vlan 20
sh access-list
sh ip ro
Oczywiście komputery mają prawidłowo bramy ustawione na adresy interfejsów vlanów na tym switchu, tak?
A jeśli chodzi o Debiana, to nie mam pojęcia.
Pozdrawiam!
JD
sh run int vlan 10
sh run int vlan 20
sh access-list
sh ip ro
Oczywiście komputery mają prawidłowo bramy ustawione na adresy interfejsów vlanów na tym switchu, tak?
A jeśli chodzi o Debiana, to nie mam pojęcia.
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Blokada ruchu między vlanami
To jest podobna sytuacja, co opisałem w tym wątku: viewtopic.php?f=43&t=26046
Prosty model z Router on a stick - Debian a w nim na eth1, vlany:
vlan 5 to podsieć (192.168.5.0/24) gw 192.168.5.254
vlan 10 to podsieć (192.168.11.0/24) gw 192.168.10.254
vlan 11 to podsieć (192.168.12.0/24) gw 192.168.11.254
Dalej Swich Cisco:
WS-C2924M-XL
interface FastEthernet0/1
description Trunk_To_Linux_Router
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,5,10-12,1002-1005
switchport mode trunk
interface FastEthernet0/5
switchport access vlan 5
interface FastEthernet0/10
switchport access vlan 10
interface FastEthernet0/11
switchport access vlan 11
sh vlan
5 VLAN005 active Fa0/5
10 VLAN0010 active Fa0/10
11 VLAN0011 active Fa0/11
Switch#sh run int vlan 10
Current configuration:
!
interface VLAN10
ip access-group 102 in
ip access-group 102 out
no ip directed-broadcast
no ip route-cache
shutdown
end
Switch#sh run int vlan 11
^
% Invalid input detected at '^' marker.
Switch#sh access-list
Extended IP access list 102
deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
sh ip ro
^
% Invalid input detected at '^' marker.
Prosty model z Router on a stick - Debian a w nim na eth1, vlany:
vlan 5 to podsieć (192.168.5.0/24) gw 192.168.5.254
vlan 10 to podsieć (192.168.11.0/24) gw 192.168.10.254
vlan 11 to podsieć (192.168.12.0/24) gw 192.168.11.254
Dalej Swich Cisco:
WS-C2924M-XL
interface FastEthernet0/1
description Trunk_To_Linux_Router
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,5,10-12,1002-1005
switchport mode trunk
interface FastEthernet0/5
switchport access vlan 5
interface FastEthernet0/10
switchport access vlan 10
interface FastEthernet0/11
switchport access vlan 11
sh vlan
5 VLAN005 active Fa0/5
10 VLAN0010 active Fa0/10
11 VLAN0011 active Fa0/11
Switch#sh run int vlan 10
Current configuration:
!
interface VLAN10
ip access-group 102 in
ip access-group 102 out
no ip directed-broadcast
no ip route-cache
shutdown
end
Switch#sh run int vlan 11
^
% Invalid input detected at '^' marker.
Switch#sh access-list
Extended IP access list 102
deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
sh ip ro
^
% Invalid input detected at '^' marker.
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Blokada ruchu między vlanami
OK, rozumiem. W takiej sytuacji nie masz co zakładać ACL na switchu. Cała konfiguracja access-listy 102 i cała konfiguracja interface vlan 10 jest niepotrzebna. Zakładam, że komputery mają bramę ustawioną na adresy skonfigurowane na tym routerze na patyku, czyli debianie, bo tak powinny mieć, musisz więc założyć jakieś psiejsko czarodziejskie ACL'ki na tym debianie, ale tu już niestety nie pomogę. W każdym razie to jest switch L2, więc tutaj nie masz co kombinować z ACL, czy interfejsami vlanów - to niczego nie zmieni w Twojej sytuacji.
Pozdrawiam!
JD
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Blokada ruchu między vlanami
Witam.
Dzięki. Tak ten dziadek WS-C2924M-XL jest tylko L2 i nie ma routingu między vlanami - myślałem, że chociaż ACL uda się na nim robić.
Na Debianie mam to zrobione o tak i działa:
#blokada między vlanami
$IPTABLES -I FORWARD -i $INTDEV10 -o $INTDEV5 -j REJECT
PS. zapytam przy okazji... Na razie bawię się z tymi dziadkami i Router na patyku. Ale wiadomo, wszystko i tak przechodzi przez tego Debiana.
Czy inaczej, aby to rozwiązać dla mojej sieci, w której ma dostęp ok. 200-300 różnych urządzeń i klientów (w tymi WIFI) i mam wiele vlanów - można to zrobić inaczej niż Router na patyku, np. dokupić jakieś proste routery Cisco i "odkorkować" trochę sieć? Mam jeszcze 2szt. SG-300, a one są L3.
Dzięki. Tak ten dziadek WS-C2924M-XL jest tylko L2 i nie ma routingu między vlanami - myślałem, że chociaż ACL uda się na nim robić.
Na Debianie mam to zrobione o tak i działa:
#blokada między vlanami
$IPTABLES -I FORWARD -i $INTDEV10 -o $INTDEV5 -j REJECT
PS. zapytam przy okazji... Na razie bawię się z tymi dziadkami i Router na patyku. Ale wiadomo, wszystko i tak przechodzi przez tego Debiana.
Czy inaczej, aby to rozwiązać dla mojej sieci, w której ma dostęp ok. 200-300 różnych urządzeń i klientów (w tymi WIFI) i mam wiele vlanów - można to zrobić inaczej niż Router na patyku, np. dokupić jakieś proste routery Cisco i "odkorkować" trochę sieć? Mam jeszcze 2szt. SG-300, a one są L3.
-
- wannabe
- Posty: 321
- Rejestracja: 15 kwie 2009, 18:31
Re: Blokada ruchu między vlanami
Potrzebny Ci bardziej przełącznik warstwy 3, niż router sensu stricte (wydajność i cena przemawiają zdecydowanie za przełącznikiem L3). Poszukaj czegoś typu Catalyst 3560/3560G/3560G lub 3750/3750G/3750E (jeśli mówimy o sprzęcie z drugiej ręki).
Przełącznik L3 wykona routing i zrobi to z dużo wyższą wydajnością niż dedykowany router (np. ISR), który poza routingiem ma dużo innych funkcji, prawdopodobnie zbędnych z Twojego punktu widzenia.
Przełącznik L3 wykona routing i zrobi to z dużo wyższą wydajnością niż dedykowany router (np. ISR), który poza routingiem ma dużo innych funkcji, prawdopodobnie zbędnych z Twojego punktu widzenia.
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Blokada ruchu między vlanami
Dokładnie tak, jak kolega napisał - switch L3 również znakomicie uprości topologię i zarządzanie - na nim będziesz miał bramę każdej sieci (na interfejsie vlanu), a nie na tym debianie. Najtaniej Ci pewnie wyjdzie 3560 - zależy też ile i jakich interfejsów będziesz potrzebował. Oczywiście da się to też zrobić na tych SG-300, ale to są switche SMB i obsługa ich jest mocno udziwniona w stosunku do "normalnego" cisco (jak np. Catalyst 3560), więc na nich na pewno będzie trudniej, chociaż jeśli Ty nie jesteś jeszcze zmanierowany obsługą IOS i jego filozofią, to może będzie Ci łatwiej - ja pamiętam jak kiedyś w bólach robiłem vlany i trunki na SG-300 i nie chciałbym do tego wracać. Znalazłem na szybko jakieś dwa linki opisujące konfigurację inter-vlan routingu na SG-300, możesz od tego zacząć:
https://community.cisco.com/t5/small-bu ... -p/1988452
https://community.cisco.com/t5/small-bu ... -p/2896665
No i oczywiście musisz pamiętać o absoultnej podstawie, czyli jak już będziesz miał aktywne IP'ki w każdym vlanie na switchu L3, to te adresy muszą zostać wpisane na urządzeniach jako brama domyślna - komputery muszą wiedzieć, że jak chcą wysłać pakiet poza swoją sieć, to muszą go skierować do odpowiedniego urządzenia, które będzie potrafiło ten pakiet przeroutować - w nowej topologii tę rolę będzie pełnił switch L3.
Pozdrawiam!
JD
https://community.cisco.com/t5/small-bu ... -p/1988452
https://community.cisco.com/t5/small-bu ... -p/2896665
No i oczywiście musisz pamiętać o absoultnej podstawie, czyli jak już będziesz miał aktywne IP'ki w każdym vlanie na switchu L3, to te adresy muszą zostać wpisane na urządzeniach jako brama domyślna - komputery muszą wiedzieć, że jak chcą wysłać pakiet poza swoją sieć, to muszą go skierować do odpowiedniego urządzenia, które będzie potrafiło ten pakiet przeroutować - w nowej topologii tę rolę będzie pełnił switch L3.
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Blokada ruchu między vlanami
Dziękuję. Każda podpowiedź jest cenna.
Znalazłem coś takiego: WS-C3560-48PS-S refabrykowane ( pytam bo chciałbym uporządkować swoją sieć) - czy takie coś Waszym zdaniem może być ?
Switch Cisco Catalyst 3560 48 10/100 PoE + 4 SFP IP Base software feature set (IPB)
albo WS-C3560-24PS-S
Znalazłem coś takiego: WS-C3560-48PS-S refabrykowane ( pytam bo chciałbym uporządkować swoją sieć) - czy takie coś Waszym zdaniem może być ?
Switch Cisco Catalyst 3560 48 10/100 PoE + 4 SFP IP Base software feature set (IPB)
albo WS-C3560-24PS-S
Ostatnio zmieniony 04 sty 2019, 23:38 przez roberto100, łącznie zmieniany 1 raz.
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Blokada ruchu między vlanami
Jeśli 100Mbit'owe porty Ci wystarczą, to funkcjonalnie ten switch może być. Jako switch mający być Core, to pewnie lepiej by było wziąć taki z portami gigowymi, np.: WS-C3560G-48TS-S, chyba że faktycznie potrzebujesz PoE, to wtedy PS-S. Te switche zawierają podstawowy system operacyjny IPBase, gdzie w kwestii routingu masz tylko trasy statyczne oraz protokół RIP. Jeśli myślisz o OSFP, to musi być soft IPServices, czyli model TS-E lub PS-E (z poe).
Pozdrawiam!
JD
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Blokada ruchu między vlanami
Poe nie; raczej bym wolał gigabitowe a i osfp też się przyda; znalazłem coś takiego, jak poniżej co o tym sądzicie?
WS-C3560G-24TS-E
Switch Cisco Catalyst 3560 24 10/100/1000T + 4 SFP + IPS Image
WS-C3560G-48TS-E
Switch Cisco Catalyst 3560 48 10/100/1000T + 4 SFP + IPS Image
WS-C3560G-24TS-E
Switch Cisco Catalyst 3560 24 10/100/1000T + 4 SFP + IPS Image
WS-C3560G-48TS-E
Switch Cisco Catalyst 3560 48 10/100/1000T + 4 SFP + IPS Image
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: Blokada ruchu między vlanami
Wskazane przez Ciebie switche oba umożliwią zrealizowanie zadania, które przedstawiłeś. Mogą być core'm dla Twojej sieci lokalnej i bramą dla wszystkich vlanów. Będą też działać na nich ACL'ki zbudowane w sposób jaki przedstawiłeś na początku.
Pozdrawiam!
JD
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
-
- wannabe
- Posty: 107
- Rejestracja: 30 gru 2014, 13:55
- Lokalizacja: Pomorskie
Re: Blokada ruchu między vlanami
OK. Dziękuję za pomoc pewnie będę jeszcze pytał....
Re: Blokada ruchu między vlanami
Jeżeli chcesz koniecznie filtrować to na switchu, to masz do dyspozycji jeszcze vlan acl. Jeżeli switch to obsługuje, to zrobisz dokładnie to co chcesz na switchu L2.
https://www.cisco.com/c/en/us/td/docs/r ... /vacl.html
https://www.cisco.com/c/en/us/td/docs/r ... /vacl.html