ACL on VLAN

[Гость]

Добрый день.
Есть локалка основана на базе Cisco-3550.
Сеть состоит из 2 виланов (вилан1 и вилан2).
Из 10 компьютеров моей локалки, 4 компьютера входят в вилан1, другие 4 - в вилан2, а остальные 2 должны иметь доступ и в вилан1 и в вилан2 (но при этом при одной сетевой карты на каждый комп).
Решил настроить access-list'ы на циске и чтоб она дальше разруливала доступ к виланов основываясь на ип адрес компьютера.
Начал искать в гугыл VACL - Vlan Access Lists.
Правильной дорогой пошел?
Кто то настраивал что то подобное?
Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

несовсем понятно что имелось ввиду, но из того что я понял можно сделать так:

- на тех машинах которые должны ходить в оба влана настраивается два влана и выдаются соответствующие адреса
- на той девайсине, которая роутит сети от этих вланов повесить обычные ip access-list-ы

[vintovkin]

Добрый день.
Есть локалка основана на базе Cisco-3550.
Сеть состоит из 2 виланов (вилан1 и вилан2).
Из 10 компьютеров моей локалки, 4 компьютера входят в вилан1, другие 4 - в вилан2, а остальные 2 должны иметь доступ и в вилан1 и в вилан2 (но при этом при одной сетевой карты на каждый комп).
Решил настроить access-list'ы на циске и чтоб она дальше разруливала доступ к виланов основываясь на ип адрес компьютера.
Начал искать в гугыл VACL - Vlan Access Lists.
Правильной дорогой пошел?
Кто то настраивал что то подобное?
Спасибо.

hi Guest
ВЛАНЫ - это броадкаст домены ...
для форвардинга пакетов в другие посети нужен роутер ...
у вашей циски эти посети будут как connected (AD 0)... значит роутинг будет уже автоматически (его не надо будет прописывать)
у меня вопрос - в какой влан будут входить 2 компа???

p.s.
vlan - это 2L , ACL там работать не будут, так как это 3L OSI ...
как вы будете фильтровать трафик по макам???
читать до полного просветления - http://xgu.ru/wiki/vlan

[Гость]

читать до полного просветления - http://xgu.ru/wiki/vlan

Спасибо за классный линк

у меня вопрос - в какой влан будут входить 2 компа???

В влан локальной сети и в влан менеджмента

vlan - это 2L , ACL там работать не будут, так как это 3L OSI

Но у меня же Switch Layer 3 (Cisco-3550)

[vintovkin]

В влан локальной сети и в влан менеджмента

друг мой,
так не бывает;
нескольким вланам могут принадлежать только транки,
рабочие станциии , сервера, принтеры (хосты) только 1 влану!

какая у вас задача?
что вы хотите реализовать??

[lap]

рабочие станциии , сервера, принтеры (хосты) только 1 влану!

что мешает на сервере/рабочей станции нарисовать несколько вланов и воткнуть в транковый порт?

насчет роутинга между вланами - на 3550 приземление в l3 присходит на "intrface vlan X", и из-за этого часто пытаются называть это "маршрутизацией вланов", хотя всеравно маршрутизируются IP пакеты.

и помоему уже чтото похожее тут уже обсуждалось...

[vintovkin]

что мешает на сервере/рабочей станции нарисовать несколько вланов и воткнуть в транковый порт?

примеры можно?
я видел только на солярке агрегирование 2 интерфейсов в транк ...

[Гость]

В влан локальной сети и в влан менеджмента

друг мой,
так не бывает;
нескольким вланам могут принадлежать только транки,
рабочие станциии , сервера, принтеры (хосты) только 1 влану!

какая у вас задача?
что вы хотите реализовать??

Есть компьютеры которые должны работать и в сеть менеджмента и в локальную сеть.
Реализовать не трудно:
На нужные компьютеры ставиться 2 сетевые карты и настраиваются должные ип адреса.
После чего на свитче настраивается нужный влан.
Таким образом один и тот же компьютер будет иметь доступ в локальную сеть по одному сетевому интерфейсу, а в сеть менеджмента по другому интерфейсу.
Так делалось до не давнего времени.
Сейчас хочется достичь то же самое: доступ и в сеть менеджмента и в локальную сеть но при наличии одной ли сетевой карты.
Логика такая:
Компьютер 192.168.1.2 обращается к серверу 10.0.0.4 (в сеть менеджмента)
На основе адреса назначение, свитч на базе access-list'ов делает вывод что если компьютер обращается к подсети 10.0.0.0/8 значит пакеты с данного компьютера (192.168.1.2) должны перенаправляться в влан менеджмента.
А если компьютер обращается к файл серверу из локалки (192.168.1.10) то на основе назначение (подсеть 192.168.1.0/24) свитч перенаправляються в влан локалки.
То есть свитч сам должен решать на базе того куда надо обратиться.
Цель такого подхода: использовать лишь одну сетевуху.
Надеюсь мое изложение понятное, если есть какие то вопросы рад ответить.
Иду листать в гугыл, если что то найду, обязательно отпишусь

[vintovkin]

hi Guest,
аксес листами давай доступ и всё,
я попозже примеры напишу, есть опыт работы с ACL?

[lap]

что мешает на сервере/рабочей станции нарисовать несколько вланов и воткнуть в транковый порт?

примеры можно?
я видел только на солярке агрегирование 2 интерфейсов в транк ...

както так:

Код: Выделить всё

eth2      Link encap:Ethernet  HWaddr 00:02:A5:4C:2A:EE
          inet6 addr: fe80::202:a5ff:fe4c:2aee/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6050811 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17521 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:454423677 (433.3 MiB)  TX bytes:1671448 (1.5 MiB)

eth2.34   Link encap:Ethernet  HWaddr 00:02:A5:4C:2A:EE
          inet addr:10.100.0.55  Bcast:10.100.0.255  Mask:255.255.255.0
          inet6 addr: fe80::202:a5ff:fe4c:2aee/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:25 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:3925 (3.8 KiB)

eth2.99   Link encap:Ethernet  HWaddr 00:02:A5:4C:2A:EE
          inet addr:10.32.250.12  Bcast:10.32.255.255  Mask:255.255.248.0
          inet6 addr: fe80::202:a5ff:fe4c:2aee/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6050788 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17489 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:369710458 (352.5 MiB)  TX bytes:1666945 (1.5 MiB)

ну и свич соответствеено:

Код: Выделить всё

#sh run int Fa0/8
Building configuration...

Current configuration : 310 bytes
!
interface FastEthernet0/8
 description to_fc_server_mgmt
 switchport trunk allowed vlan 34,99
 switchport mode trunk
 switchport nonegotiate
 logging event trunk-status
 logging event spanning-tree
 load-interval 30
 duplex full
 spanning-tree bpdufilter enable
 hold-queue 1024 in
 hold-queue 1024 out
end

писюк самый обыкновенный. стоит федора 9-я.

[lap]

Компьютер 192.168.1.2 обращается к серверу 10.0.0.4 (в сеть менеджмента)
На основе адреса назначение, свитч на базе access-list'ов делает вывод что если компьютер обращается к подсети 10.0.0.0/8 значит пакеты с данного компьютера (192.168.1.2) должны перенаправляться в влан менеджмента.
А если компьютер обращается к файл серверу из локалки (192.168.1.10) то на основе назначение (подсеть 192.168.1.0/24) свитч перенаправляються в влан локалки.
То есть свитч сам должен решать на базе того куда надо обратиться.
Цель такого подхода: использовать лишь одну сетевуху.
Надеюсь мое изложение понятное, если есть какие то вопросы рад ответить.
Иду листать в гугыл, если что то найду, обязательно отпишусь

у тебя наверняка на каждой машине прописан маршрут по умолчанию. для каждой подсети естественно свой. адреса которые указаны в качестве гейтвея у тебя где прописаны?

[vintovkin]

lap,
senks))
я понял тя, на линухах subinterfeces подняты ...
а на линухе 2 DGW поднято?это возможно??
на хостах возможен только 1 DGW ...

[lap]

lap,
senks))
я понял тя, на линухах subinterfeces подняты ...
а на линухе 2 DGW поднято?это возможно??
на хостах возможен только 1 DGW ...

дефаулт прописан один. а в нужные стороны прописаны еще пара статиков. Такуюже схему можно и на финде сделать.

[vintovkin]

lap,
senks))
я понял тя, на линухах subinterfeces подняты ...
а на линухе 2 DGW поднято?это возможно??
на хостах возможен только 1 DGW ...

дефаулт прописан один. а в нужные стороны прописаны еще пара статиков. Такуюже схему можно и на финде сделать.

кстати это решение можно предложить для ТС

[Гость]

По ходу можно обойтись и без VACL, достаточно ip access-list'ы и уже поставить их на интерфейс, или на влан интерфейс.

[lap]

Дык яж это еще в самом начале предлагал... вторым пунктом =\

[Гость]

Дык яж это еще в самом начале предлагал... вторым пунктом =\

Дальше хочу составить access-list.
VLAN1 (Local Network) - 192.168.1.0/24
VLAN10(Management) - 10.0.0.0/24

Код: Выделить всё

sw(config)#access-list 150 permit ip 192.168.1.10 0.0.0.0 10.0.0.0  0.0.0.254 
sw(config)#int fa0/2
sw(config-if)#ip access-group 150 in 

Я, имея ипишник 192.168.1.10 должен иметь доступ по идее уже и в подсеть 10.0.0.0/24 (VLAN10-Management)
Надеюсь lap я Вас правильно понял
Заранее благодарен.

[lap]

Чтобы разрешить один хост, лучше пейсать permit ip host <IP> <куда пермит>
насколько кошерно работают екстендед листы на свичпорту - я хз, не вникал. Если машина с адресом X переползет в другой порт придется и лист перевешивать - следовательно геморой лишний. проще нарисовать один лист и повесить его на int vlan

10.0.0.0/24 - 10.0.0.0 0.0.0.255

лист лучше делать не циферками а с какимнибудь осмысленным названием

олжно получиться чтото типа этого:

Код: Выделить всё

ip access-list mgmt-out
permit ip host 192.168.1.10  10.0.0.0 0.0.0.255 
permit ip host 192.168.1.100 10.0.0.0 0.0.0.255 
int vlan X
descr mgmt
ip address 10.0.0.1 255.255.255.0
ip access-group mgmt-out out

также если за int vlan X живет только 10.0.0.0/24, то в листе вместо 10.0.0.0 0.0.0.255 можно написать "any"

[Гость]

Большое спасибо.
Завтра уже на работе по пробую и отпишусь как получилось
Удачи