Blokada ruchu między vlanami Temat rozwiązany

Problemy związane ze switchingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
roberto100
wannabe
wannabe
Posty: 81
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Blokada ruchu między vlanami

#1

#1 Post autor: roberto100 » 02 sty 2019, 10:43

Pytanie: aby zablokować ruch (aby kompy między vlanami się nie widziały) między vlanami to tylko access-list ?

Zrobiłem tak: ACL blokada między vlan10 (192.168.10.0) a vlan 11 (192.168.11.0) ale niestety nadal się pingują

Switch(config)# access-list 102 deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
Switch(config)#interface vlAN 10
Switch(config-subif)#ip access-group 102 in
Switch(config-subif)#ip access-group 102 out


ALBO w Debianie - blokada forwardu między vlanami 10 a 5
#blokada między vlanami
$IPTABLES -I FORWARD -i $INTDEV10 -o $INTDEV5 -j REJECT


Co proponujecie ?

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 166
Rejestracja: 02 sie 2009, 15:23

Re: Blokada ruchu między vlanami

#2

#2 Post autor: judge dredd » 02 sty 2019, 12:07

Trochę dziwna sytuacja, bo tak, jak to napisałeś, to faktycznie nie powinien ping przechodzić. A co to jest za switch, w sensie jaki model, bo jakiś dziwny masz prompt systemowy, po wejściu w SVI (config-subif? dziwne). Pokaż też następujące konfiguracje:

sh run int vlan 10
sh run int vlan 20
sh access-list
sh ip ro

Oczywiście komputery mają prawidłowo bramy ustawione na adresy interfejsów vlanów na tym switchu, tak?

A jeśli chodzi o Debiana, to nie mam pojęcia.

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

roberto100
wannabe
wannabe
Posty: 81
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Blokada ruchu między vlanami

#3

#3 Post autor: roberto100 » 02 sty 2019, 12:32

To jest podobna sytuacja, co opisałem w tym wątku: viewtopic.php?f=43&t=26046

Prosty model z Router on a stick - Debian a w nim na eth1, vlany:
vlan 5 to podsieć (192.168.5.0/24) gw 192.168.5.254
vlan 10 to podsieć (192.168.11.0/24) gw 192.168.10.254
vlan 11 to podsieć (192.168.12.0/24) gw 192.168.11.254

Dalej Swich Cisco:
WS-C2924M-XL

interface FastEthernet0/1
description Trunk_To_Linux_Router
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,5,10-12,1002-1005
switchport mode trunk

interface FastEthernet0/5
switchport access vlan 5

interface FastEthernet0/10
switchport access vlan 10

interface FastEthernet0/11
switchport access vlan 11


sh vlan

5 VLAN005 active Fa0/5
10 VLAN0010 active Fa0/10
11 VLAN0011 active Fa0/11



Switch#sh run int vlan 10
Current configuration:
!
interface VLAN10
ip access-group 102 in
ip access-group 102 out
no ip directed-broadcast
no ip route-cache
shutdown
end


Switch#sh run int vlan 11
^
% Invalid input detected at '^' marker.



Switch#sh access-list

Extended IP access list 102
deny ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

sh ip ro
^

% Invalid input detected at '^' marker.

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 166
Rejestracja: 02 sie 2009, 15:23

Re: Blokada ruchu między vlanami

#4

#4 Post autor: judge dredd » 02 sty 2019, 12:37

OK, rozumiem. W takiej sytuacji nie masz co zakładać ACL na switchu. Cała konfiguracja access-listy 102 i cała konfiguracja interface vlan 10 jest niepotrzebna. Zakładam, że komputery mają bramę ustawioną na adresy skonfigurowane na tym routerze na patyku, czyli debianie, bo tak powinny mieć, musisz więc założyć jakieś psiejsko czarodziejskie ACL'ki na tym debianie, ale tu już niestety nie pomogę. W każdym razie to jest switch L2, więc tutaj nie masz co kombinować z ACL, czy interfejsami vlanów - to niczego nie zmieni w Twojej sytuacji.

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

roberto100
wannabe
wannabe
Posty: 81
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Blokada ruchu między vlanami

#5

#5 Post autor: roberto100 » 02 sty 2019, 12:44

Witam.
Dzięki. Tak ten dziadek WS-C2924M-XL jest tylko L2 i nie ma routingu między vlanami - myślałem, że chociaż ACL uda się na nim robić.
Na Debianie mam to zrobione o tak i działa:

#blokada między vlanami
$IPTABLES -I FORWARD -i $INTDEV10 -o $INTDEV5 -j REJECT


PS. zapytam przy okazji... Na razie bawię się z tymi dziadkami i Router na patyku. Ale wiadomo, wszystko i tak przechodzi przez tego Debiana.
Czy inaczej, aby to rozwiązać dla mojej sieci, w której ma dostęp ok. 200-300 różnych urządzeń i klientów (w tymi WIFI) i mam wiele vlanów - można to zrobić inaczej niż Router na patyku, np. dokupić jakieś proste routery Cisco i "odkorkować" trochę sieć? Mam jeszcze 2szt. SG-300, a one są L3.

double.decode
wannabe
wannabe
Posty: 286
Rejestracja: 15 kwie 2009, 18:31

Re: Blokada ruchu między vlanami

#6

#6 Post autor: double.decode » 03 sty 2019, 10:26

Potrzebny Ci bardziej przełącznik warstwy 3, niż router sensu stricte (wydajność i cena przemawiają zdecydowanie za przełącznikiem L3). Poszukaj czegoś typu Catalyst 3560/3560G/3560G lub 3750/3750G/3750E (jeśli mówimy o sprzęcie z drugiej ręki).
Przełącznik L3 wykona routing i zrobi to z dużo wyższą wydajnością niż dedykowany router (np. ISR), który poza routingiem ma dużo innych funkcji, prawdopodobnie zbędnych z Twojego punktu widzenia.

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 166
Rejestracja: 02 sie 2009, 15:23

Re: Blokada ruchu między vlanami

#7

#7 Post autor: judge dredd » 03 sty 2019, 11:37

Dokładnie tak, jak kolega napisał - switch L3 również znakomicie uprości topologię i zarządzanie - na nim będziesz miał bramę każdej sieci (na interfejsie vlanu), a nie na tym debianie. Najtaniej Ci pewnie wyjdzie 3560 - zależy też ile i jakich interfejsów będziesz potrzebował. Oczywiście da się to też zrobić na tych SG-300, ale to są switche SMB i obsługa ich jest mocno udziwniona w stosunku do "normalnego" cisco (jak np. Catalyst 3560), więc na nich na pewno będzie trudniej, chociaż jeśli Ty nie jesteś jeszcze zmanierowany obsługą IOS i jego filozofią, to może będzie Ci łatwiej - ja pamiętam jak kiedyś w bólach robiłem vlany i trunki na SG-300 i nie chciałbym do tego wracać. Znalazłem na szybko jakieś dwa linki opisujące konfigurację inter-vlan routingu na SG-300, możesz od tego zacząć:

https://community.cisco.com/t5/small-bu ... -p/1988452
https://community.cisco.com/t5/small-bu ... -p/2896665

No i oczywiście musisz pamiętać o absoultnej podstawie, czyli jak już będziesz miał aktywne IP'ki w każdym vlanie na switchu L3, to te adresy muszą zostać wpisane na urządzeniach jako brama domyślna - komputery muszą wiedzieć, że jak chcą wysłać pakiet poza swoją sieć, to muszą go skierować do odpowiedniego urządzenia, które będzie potrafiło ten pakiet przeroutować - w nowej topologii tę rolę będzie pełnił switch L3.

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

roberto100
wannabe
wannabe
Posty: 81
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Blokada ruchu między vlanami

#8

#8 Post autor: roberto100 » 03 sty 2019, 11:47

Dziękuję. Każda podpowiedź jest cenna.
Znalazłem coś takiego: WS-C3560-48PS-S refabrykowane ( pytam bo chciałbym uporządkować swoją sieć) - czy takie coś Waszym zdaniem może być ?

Switch Cisco Catalyst 3560 48 10/100 PoE + 4 SFP IP Base software feature set (IPB)

albo WS-C3560-24PS-S
Ostatnio zmieniony 04 sty 2019, 23:38 przez roberto100, łącznie zmieniany 1 raz.

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 166
Rejestracja: 02 sie 2009, 15:23

Re: Blokada ruchu między vlanami

#9

#9 Post autor: judge dredd » 03 sty 2019, 13:18

Jeśli 100Mbit'owe porty Ci wystarczą, to funkcjonalnie ten switch może być. Jako switch mający być Core, to pewnie lepiej by było wziąć taki z portami gigowymi, np.: WS-C3560G-48TS-S, chyba że faktycznie potrzebujesz PoE, to wtedy PS-S. Te switche zawierają podstawowy system operacyjny IPBase, gdzie w kwestii routingu masz tylko trasy statyczne oraz protokół RIP. Jeśli myślisz o OSFP, to musi być soft IPServices, czyli model TS-E lub PS-E (z poe).

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

roberto100
wannabe
wannabe
Posty: 81
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Blokada ruchu między vlanami

#10

#10 Post autor: roberto100 » 04 sty 2019, 07:49

Poe nie; raczej bym wolał gigabitowe a i osfp też się przyda; znalazłem coś takiego, jak poniżej co o tym sądzicie?

WS-C3560G-24TS-E
Switch Cisco Catalyst 3560 24 10/100/1000T + 4 SFP + IPS Image

WS-C3560G-48TS-E
Switch Cisco Catalyst 3560 48 10/100/1000T + 4 SFP + IPS Image

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 166
Rejestracja: 02 sie 2009, 15:23

Re: Blokada ruchu między vlanami  Temat rozwiązany

#11

#11 Post autor: judge dredd » 04 sty 2019, 10:16

Wskazane przez Ciebie switche oba umożliwią zrealizowanie zadania, które przedstawiłeś. Mogą być core'm dla Twojej sieci lokalnej i bramą dla wszystkich vlanów. Będą też działać na nich ACL'ki zbudowane w sposób jaki przedstawiłeś na początku.

Pozdrawiam!

JD
Zapraszam na kursy CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Więcej informacji: Akademia Sieci LANPulse (www.lanpulse.pl).

roberto100
wannabe
wannabe
Posty: 81
Rejestracja: 30 gru 2014, 13:55
Lokalizacja: Pomorskie

Re: Blokada ruchu między vlanami

#12

#12 Post autor: roberto100 » 04 sty 2019, 10:59

OK. Dziękuję za pomoc :) pewnie będę jeszcze pytał.... ;)

felix
wannabe
wannabe
Posty: 105
Rejestracja: 13 lis 2014, 21:46

Re: Blokada ruchu między vlanami

#13

#13 Post autor: felix » 26 sty 2019, 15:19

Jeżeli chcesz koniecznie filtrować to na switchu, to masz do dyspozycji jeszcze vlan acl. Jeżeli switch to obsługuje, to zrobisz dokładnie to co chcesz na switchu L2.

https://www.cisco.com/c/en/us/td/docs/r ... /vacl.html

ODPOWIEDZ