Isolamento do dispositivo usando um switch gerenciável com capacidade de VLAN

Question

Isolamento do dispositivo usando um switch gerenciável com capacidade de VLAN

#1 resposta do (2 votos)
#2 resposta do (0 votos)
#3 resposta do (0 votos)

1

Adquiri (US $ 60) um switch "vintage" Dell PowerConnect 5324 para uso doméstico. Eu tenho vários servidores (DHCP, NAT, NAS, host de VM) e quero compartilhar alguns entre várias VLANs internas. Eu tenho um administrador, um kids, um convidado WiFi e um interno Wi-Fi segmentos que atualmente são visíveis uns aos outros, incluindo todos os servidores. Eu tenho lutado com como configurar as portas e as VLANs no switch. Exemplo - Eu quero que as crianças VLAN acessem somente DHCP e NAT, não VM e NAS, mas quero que a VLAN de administrador acesse todas (etc.)
Como eu configuraria as portas para os servidores, para permitir o acesso apenas de algumas VLANs, mas negar outras? 99% dos meus dispositivos NÃO são compatíveis com VLAN, portanto, as portas 5324 precisarão ser configuradas para aceitar quadros não marcados e marcá-los, mas somente internamente - as tags precisarão ser removidas antes de saírem das portas.

Até agora eu tentei configurar as portas como "Geral" e fazer, digamos, a porta DHCPd um membro U (Untagged) das VLANs de crianças e de administração, mas algo sempre quebra.
Para tornar isso um verdadeiro desafio, eu tenho dois switches com capacidade para VLAN - um no porão, um no andar de cima e quer trancar todas as VLANs entre eles, já que alguns dos meus dispositivos "infantis" estão lá em cima e embaixo, assim como o meu " admin "também conhecido como segmentos adultos.

tl; dr:
(1) Preciso configurar VLANs correspondentes em ambos os switches, por exemplo, o Admin_101, o Kids_133 etc. precisam ser conhecidos pelos dois switches?
(2) Em que modo eu coloco uma porta de switch que está conectada a um dispositivo "admin": General / GVID 101, e defino todas as outras portas como 101 membros / desmarcadas?
(3) Em que modo eu coloco uma porta de switch que está conectada a um dispositivo "kids": General / GVID 123, e defino somente portas que eu quero que elas acessem para membro do 123 / untagged?

Desculpe pela pergunta prolixa. Eu pesquisei e experimentei por dias, com freqüentes viagens para o porão para redefinir o interruptor para carregar uma configuração anterior, porque eu me isolei de ser capaz de alcançá-lo via http / ssh ...

Qualquer href pertinente seria muito apreciado.

TIA!

switch vlan

por Mike Rysanek 28.08.2016 / 05:18

3 respostas

Tags switch vlan

O que é o layout de teclado 'internacional internacional' para localectl Arquivo em lote para loop incluindo muitos arquivos

score 2 · Answer 1

Nenhuma das portas dos seus endpoints precisa ser marcada. Todas as portas do terminal devem ser configuradas como portas de acesso.
Você precisa configurar a porta do switch que se vincula ao seu outro switch como uma porta de tronco. Da mesma forma, a porta no outro switch que se conecta ao switch Dell precisa ser configurada como uma porta de tronco.
Você precisará de um roteador para rotear o tráfego entre as VLANs.
Você precisará configurar cada conjunto de terminais com endereços IP de acordo. Os pontos de extremidade na mesma VLAN precisarão de um endereço IP na mesma rede IP. Os terminais em cada VLAN não devem usar endereços IP na mesma rede IP que aqueles em uma VLAN diferente. Por exemplo; todos os dispositivos na VLAN 1 podem ser configurados com um endereço IP na rede IP 192.168.1.0/24. Todos os dispositivos na VLAN 2 podem ser configurados com um endereço IP na rede IP 192.168.2.0/24.
Sim, você precisa configurar as VLANs "correspondentes" em ambos os switches. Você também precisa ter certeza de que as portas de tronco estão configuradas para transportar tráfego para as VLANs que você configura.
Você pode usar as ACLs no roteador para controlar (permitir ou restringir) o tráfego entre as VLANs.

score 0 · Answer 2

Se seus dispositivos NÃO tiverem reconhecimento de VLAN (e suas interfaces estiverem conectadas em VLANs diferentes), a comunicação entre elas só poderá ser obtida na Camada 3. Configurar um roteador e rotear ou bloquear o tráfego de acordo com suas necessidades.

score 0 · Answer 3

Descobri isso. Desde que eu realmente não queria adicionar um roteador.

Eu testei com 4 hosts: 2 "clientes" e 2 "servidores", nenhum VLAN-aware.
Os clientes estão conectados às portas 3 e 4.
Os servidores estão conectados às portas 19 e 20.
Fiz todas as quatro portas "Geral", criei uma VLAN para cada porta (já que estou simulando 4 redes lógicas) segmentos, 151 e 152 para os portos 3 e 4 resp., 153 e 154 para as portas 19 e 20 dos "servidores".
Tornou a porta 3 membro da VLAN 153 e 154 desmarcada, o membro da porta 4 da VLAN 154 apenas não marcado.

O resultado é que o cliente 1 pode ver os dois servidores (nas portas 19 e 20 nas VLANs 153/154) e o cliente 2 só pode ver o servidor 2 na porta 20.

Config abaixo:

console# show running-config
port jumbo-frame
interface range ethernet g(3-4,19-20)
switchport mode general
exit
vlan database
vlan 151-154
exit
interface ethernet g3
switchport general pvid 151
exit
interface ethernet g4
switchport general pvid 152
exit
interface ethernet g19
switchport general pvid 153
exit
interface ethernet g20
switchport general pvid 154
exit
interface range ethernet g(3,19-20)
switchport general allowed vlan add 151 untagged
exit
interface range ethernet g(4,20)
switchport general allowed vlan add 152 untagged
exit
interface range ethernet g(3-4,19)
switchport general allowed vlan add 153 untagged
exit
interface range ethernet g(3-4,20)
switchport general allowed vlan add 154 untagged
exit
interface vlan 151
name Client151
exit
interface vlan 152
name Client152
exit
interface vlan 153
name Server153
exit
interface vlan 154
name Server154
exit
interface vlan 1
ip address 192.168.1.5 255.255.255.0
exit
ip default-gateway 192.168.1.1
ip name-server  8.8.8.8 8.8.4.4

Acho que foi apenas uma questão de limitar minhas variáveis e usar um ambiente de teste. Obrigado a todos pelas respostas! Em seguida, testando o tronco.