Страница 1 из 1
ACL on VLAN
Добавлено: 2011-06-14 13:58:43
Гость
Добрый день.
Есть локалка основана на базе Cisco-3550.
Сеть состоит из 2 виланов (вилан1 и вилан2).
Из 10 компьютеров моей локалки, 4 компьютера входят в вилан1, другие 4 - в вилан2, а остальные 2 должны иметь доступ и в вилан1 и в вилан2 (но при этом при одной сетевой карты на каждый комп).
Решил настроить access-list'ы на циске и чтоб она дальше разруливала доступ к виланов основываясь на ип адрес компьютера.
Начал искать в гугыл VACL - Vlan Access Lists.
Правильной дорогой пошел?
Кто то настраивал что то подобное?
Спасибо.
Re: ACL on VLAN
Добавлено: 2011-06-14 16:38:11
lap
несовсем понятно что имелось ввиду, но из того что я понял можно сделать так:
- на тех машинах которые должны ходить в оба влана настраивается два влана и выдаются соответствующие адреса
- на той девайсине, которая роутит сети от этих вланов повесить обычные ip access-list-ы
Re: ACL on VLAN
Добавлено: 2011-06-15 1:22:14
vintovkin
Guest писал(а):Добрый день.
Есть локалка основана на базе Cisco-3550.
Сеть состоит из 2 виланов (вилан1 и вилан2).
Из 10 компьютеров моей локалки, 4 компьютера входят в вилан1, другие 4 - в вилан2, а остальные 2 должны иметь доступ и в вилан1 и в вилан2 (но при этом при одной сетевой карты на каждый комп).
Решил настроить access-list'ы на циске и чтоб она дальше разруливала доступ к виланов основываясь на ип адрес компьютера.
Начал искать в гугыл VACL - Vlan Access Lists.
Правильной дорогой пошел?
Кто то настраивал что то подобное?
Спасибо.
hi Guest
ВЛАНЫ - это броадкаст домены ...
для форвардинга пакетов в другие посети нужен роутер ...
у вашей циски эти посети будут как connected (AD 0)... значит роутинг будет уже автоматически (его не надо будет прописывать)
у меня вопрос - в какой влан будут входить 2 компа???
p.s.
vlan - это 2L , ACL там работать не будут, так как это 3L OSI ...
как вы будете фильтровать трафик по макам???
читать до полного просветления -
http://xgu.ru/wiki/vlan
Re: ACL on VLAN
Добавлено: 2011-06-15 8:49:25
Гость
Спасибо за классный линк
vintovkin писал(а):у меня вопрос - в какой влан будут входить 2 компа???
В влан локальной сети и в влан менеджмента
vintovkin писал(а):vlan - это 2L , ACL там работать не будут, так как это 3L OSI
Но у меня же Switch Layer 3 (Cisco-3550)
Re: ACL on VLAN
Добавлено: 2011-06-15 9:03:00
vintovkin
В влан локальной сети и в влан менеджмента
друг мой,
так не бывает;
нескольким вланам могут принадлежать только транки,
рабочие станциии , сервера, принтеры (хосты) только 1 влану!
какая у вас задача?
что вы хотите реализовать??
Re: ACL on VLAN
Добавлено: 2011-06-15 9:37:24
lap
vintovkin писал(а):
рабочие станциии , сервера, принтеры (хосты) только 1 влану!
что мешает на сервере/рабочей станции нарисовать несколько вланов и воткнуть в транковый порт?
насчет роутинга между вланами - на 3550 приземление в l3 присходит на "intrface vlan X", и из-за этого часто пытаются называть это "маршрутизацией вланов", хотя всеравно маршрутизируются IP пакеты.
и помоему уже чтото похожее тут уже обсуждалось...
Re: ACL on VLAN
Добавлено: 2011-06-15 9:52:26
vintovkin
что мешает на сервере/рабочей станции нарисовать несколько вланов и воткнуть в транковый порт?
примеры можно?
я видел только на солярке агрегирование 2 интерфейсов в транк ...
Re: ACL on VLAN
Добавлено: 2011-06-15 10:39:04
Гость
vintovkin писал(а):В влан локальной сети и в влан менеджмента
друг мой,
так не бывает;
нескольким вланам могут принадлежать только транки,
рабочие станциии , сервера, принтеры (хосты) только 1 влану!
какая у вас задача?
что вы хотите реализовать??
Есть компьютеры которые должны работать и в сеть менеджмента и в локальную сеть.
Реализовать не трудно:
На нужные компьютеры ставиться 2 сетевые карты и настраиваются должные ип адреса.
После чего на свитче настраивается нужный влан.
Таким образом один и тот же компьютер будет иметь доступ в локальную сеть по одному сетевому интерфейсу, а в сеть менеджмента по другому интерфейсу.
Так делалось до не давнего времени.
Сейчас хочется достичь то же самое: доступ и в сеть менеджмента и в локальную сеть но при наличии одной ли сетевой карты.
Логика такая:
Компьютер 192.168.1.2 обращается к серверу 10.0.0.4 (в сеть менеджмента)
На основе адреса назначение, свитч на базе access-list'ов делает вывод что если компьютер обращается к подсети 10.0.0.0/8 значит пакеты с данного компьютера (192.168.1.2) должны перенаправляться в влан менеджмента.
А если компьютер обращается к файл серверу из локалки (192.168.1.10) то на основе назначение (подсеть 192.168.1.0/24) свитч перенаправляються в влан локалки.
То есть свитч сам должен решать на базе того куда надо обратиться.
Цель такого подхода: использовать лишь одну сетевуху.
Надеюсь мое изложение понятное, если есть какие то вопросы рад ответить.
Иду листать в гугыл, если что то найду, обязательно отпишусь
Re: ACL on VLAN
Добавлено: 2011-06-15 11:05:44
vintovkin
hi Guest,
аксес листами давай доступ и всё,
я попозже примеры напишу, есть опыт работы с ACL?
Re: ACL on VLAN
Добавлено: 2011-06-15 11:29:13
lap
vintovkin писал(а):что мешает на сервере/рабочей станции нарисовать несколько вланов и воткнуть в транковый порт?
примеры можно?
я видел только на солярке агрегирование 2 интерфейсов в транк ...
както так:
Код: Выделить всё
eth2 Link encap:Ethernet HWaddr 00:02:A5:4C:2A:EE
inet6 addr: fe80::202:a5ff:fe4c:2aee/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6050811 errors:0 dropped:0 overruns:0 frame:0
TX packets:17521 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:454423677 (433.3 MiB) TX bytes:1671448 (1.5 MiB)
eth2.34 Link encap:Ethernet HWaddr 00:02:A5:4C:2A:EE
inet addr:10.100.0.55 Bcast:10.100.0.255 Mask:255.255.255.0
inet6 addr: fe80::202:a5ff:fe4c:2aee/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:25 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 b) TX bytes:3925 (3.8 KiB)
eth2.99 Link encap:Ethernet HWaddr 00:02:A5:4C:2A:EE
inet addr:10.32.250.12 Bcast:10.32.255.255 Mask:255.255.248.0
inet6 addr: fe80::202:a5ff:fe4c:2aee/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6050788 errors:0 dropped:0 overruns:0 frame:0
TX packets:17489 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:369710458 (352.5 MiB) TX bytes:1666945 (1.5 MiB)
ну и свич соответствеено:
Код: Выделить всё
#sh run int Fa0/8
Building configuration...
Current configuration : 310 bytes
!
interface FastEthernet0/8
description to_fc_server_mgmt
switchport trunk allowed vlan 34,99
switchport mode trunk
switchport nonegotiate
logging event trunk-status
logging event spanning-tree
load-interval 30
duplex full
spanning-tree bpdufilter enable
hold-queue 1024 in
hold-queue 1024 out
end
писюк самый обыкновенный. стоит федора 9-я.
Re: ACL on VLAN
Добавлено: 2011-06-15 11:31:33
lap
Гость писал(а):
Компьютер 192.168.1.2 обращается к серверу 10.0.0.4 (в сеть менеджмента)
На основе адреса назначение, свитч на базе access-list'ов делает вывод что если компьютер обращается к подсети 10.0.0.0/8 значит пакеты с данного компьютера (192.168.1.2) должны перенаправляться в влан менеджмента.
А если компьютер обращается к файл серверу из локалки (192.168.1.10) то на основе назначение (подсеть 192.168.1.0/24) свитч перенаправляються в влан локалки.
То есть свитч сам должен решать на базе того куда надо обратиться.
Цель такого подхода: использовать лишь одну сетевуху.
Надеюсь мое изложение понятное, если есть какие то вопросы рад ответить.
Иду листать в гугыл, если что то найду, обязательно отпишусь
у тебя наверняка на каждой машине прописан маршрут по умолчанию. для каждой подсети естественно свой. адреса которые указаны в качестве гейтвея у тебя где прописаны?
Re: ACL on VLAN
Добавлено: 2011-06-15 12:17:50
vintovkin
lap,
senks))
я понял тя, на линухах subinterfeces подняты ...
а на линухе 2 DGW поднято?это возможно??
на хостах возможен только 1 DGW ...
Re: ACL on VLAN
Добавлено: 2011-06-15 12:52:10
lap
vintovkin писал(а):lap,
senks))
я понял тя, на линухах subinterfeces подняты ...
а на линухе 2 DGW поднято?это возможно??
на хостах возможен только 1 DGW ...
дефаулт прописан один. а в нужные стороны прописаны еще пара статиков. Такуюже схему можно и на финде сделать.
Re: ACL on VLAN
Добавлено: 2011-06-15 13:00:26
vintovkin
lap писал(а):vintovkin писал(а):lap,
senks))
я понял тя, на линухах subinterfeces подняты ...
а на линухе 2 DGW поднято?это возможно??
на хостах возможен только 1 DGW ...
дефаулт прописан один. а в нужные стороны прописаны еще пара статиков. Такуюже схему можно и на финде сделать.
кстати это решение можно предложить для ТС
Re: ACL on VLAN
Добавлено: 2011-06-16 9:00:41
Гость
По ходу можно обойтись и без VACL, достаточно ip access-list'ы и уже поставить их на интерфейс, или на влан интерфейс.
Re: ACL on VLAN
Добавлено: 2011-06-16 9:14:08
lap
Дык яж это еще в самом начале предлагал... вторым пунктом =\
Re: ACL on VLAN
Добавлено: 2011-06-16 14:06:33
Гость
lap писал(а):Дык яж это еще в самом начале предлагал... вторым пунктом =\
Дальше хочу составить access-list.
VLAN1 (Local Network) - 192.168.1.0/24
VLAN10(Management) - 10.0.0.0/24
Код: Выделить всё
sw(config)#access-list 150 permit ip 192.168.1.10 0.0.0.0 10.0.0.0 0.0.0.254
sw(config)#int fa0/2
sw(config-if)#ip access-group 150 in
Я, имея ипишник 192.168.1.10 должен иметь доступ по идее уже и в подсеть 10.0.0.0/24 (VLAN10-Management)
Надеюсь
lap я Вас правильно понял
Заранее благодарен.
Re: ACL on VLAN
Добавлено: 2011-06-16 15:56:21
lap
Чтобы разрешить один хост, лучше пейсать permit ip host <IP> <куда пермит>
насколько кошерно работают екстендед листы на свичпорту - я хз, не вникал. Если машина с адресом X переползет в другой порт придется и лист перевешивать - следовательно геморой лишний. проще нарисовать один лист и повесить его на int vlan
10.0.0.0/24 - 10.0.0.0 0.0.0.255
лист лучше делать не циферками а с какимнибудь осмысленным названием
олжно получиться чтото типа этого:
Код: Выделить всё
ip access-list mgmt-out
permit ip host 192.168.1.10 10.0.0.0 0.0.0.255
permit ip host 192.168.1.100 10.0.0.0 0.0.0.255
int vlan X
descr mgmt
ip address 10.0.0.1 255.255.255.0
ip access-group mgmt-out out
также если за int vlan X живет только 10.0.0.0/24, то в листе вместо 10.0.0.0 0.0.0.255 можно написать "any"
Re: ACL on VLAN
Добавлено: 2011-06-16 16:53:13
Гость
Большое спасибо.
Завтра уже на работе по пробую и отпишусь как получилось
Удачи