Estou tendo problemas com hosts sendo capazes de executar ping em outros hosts com os quais eles não devem se comunicar.
Rede bastante simples - hardware relevante:
Eu simplesmente quero realizar dois objetivos: usar o switch HP para atender às sub-redes Trust e DMZ (usando VLANs) e executar um tronco 802.1Q VLAN no switch Netgear para que suas portas possam ter acesso a mais de uma VLAN no resto da rede.
Eu costumava fazer isso com um comutador HP idêntico (que falhava e foi substituído) e, antes disso, um comutador HP Procurve 2400M.
Eu tenho 3 VLANs configuradas:
Eu atribuí dois grupos separados de portas no comutador HP como portas VLAN não marcadas para VLANs 2 e 3. Eu atribuí duas portas de "tronco" como portas VLAN marcadas para VLAN 2 e 3. As duas portas de tronco conectam-se a um porta no comutador Netgear e uma porta no comutador HP antigo. (Principalmente para testes) O Netgear e o HP antigo são configurados de forma semelhante ao novo HP em relação a VLANs, portas não tripuladas e de tronco.
O firewall tem suas interfaces DMZ e Trust conectadas a cada um dos grupos apropriados de portas VLAN não marcadas no novo switch HP. O firewall está configurado para bloquear quase todo o tráfego, por padrão, de / para as redes DMZ e Trust, com exceção de itens muito limitados. O ICMP, com certeza, está bloqueado.
Tenho conectividade de / para a Internet nos grupos de portas Trust e DMZ em todos os switches. O problema é que eu também posso pingar portas DMZ de portas / hosts de confiança, em qualquer qualquer dos switches. Mas eu não posso pingar de hosts DMZ para hosts confiáveis.
Escusado será dizer que isto significa que os segmentos têm firewalls um do outro.
Eu tentei alterar a VLAN padrão de 1 para 3, tentei desconectar os comutadores não essenciais, tentei desconectar quaisquer dispositivos que tenham várias interfaces, por exemplo, onde um se conecta à VLAN 2 e o outro se conecta à VLAN 3. Nenhuma dessas coisas muda o fato de que eu posso pingar de hosts no grupo de portas VLAN 3 para o grupo de portas VLAN 2.
Estou fazendo algo estúpido aqui?
Eu tinha uma regra de diretiva de firewall que estava causando a pingabilidade, a permissão de eco ICMP oculta em uma lista de serviços de grupo e restrita a determinados hosts, e eu não a via. : -0 Também teve um problema ao obter a conectividade VLAN 2 para uma porta no Netgear que está marcada com esse ID de VLAN, mas isso pareceu resolver com uma reinicialização desse dispositivo. (O que não ficou claro na interface do usuário para essa configuração) Tudo bem agora.
Tags security hp vlan hp-procurve netscreen