VLAN ACLs e quando ir para a camada 3

3

Eu quero:

a) segmentar vários departamentos em VLANs com a esperança de restringir o acesso entre eles completamente (Vendas nunca precisam falar com estações de trabalho ou impressoras do Suporte e vice-versa) ou b) determinados endereços IP e portas TCP / UDP em VLANs - isto é, permitindo que a Sales VLAN acesse o servidor Web CRM na VLAN do servidor apenas na porta 443.

Em termos portuários, precisarei de um switch de 48 portas e outro switch de 24 portas para usar os dois switches existentes de 24 portas da Camada 2 (Linksys); Eu estou olhando para ir com D-Links ou HP Procurves como a Cisco está fora da nossa faixa de preço.

Pergunta 1:

Pelo que entendi (e, por favor, corrija-me se estiver errado), se os Servidores (VLAN10) e Vendas (VLAN20) estiverem todos no mesmo comutador de 48 portas (ou dois comutadores de 24 portas empilhados), afaik , o switch "sabe" a que VLANs e portas cada dispositivo pertence e alternará os pacotes entre eles; Eu também posso aplicar ACLs para restringir o acesso entre VLANs neste momento. Está correto?

Pergunta # 2:

Agora vamos dizer que o suporte (VLAN30) está em um switch diferente (um dos Linksys).

Estou assumindo que precisarei rotear as VLANs do switch # 2 do tronco (tag) para o switch # 1, portanto, o switch # 1 vê a VLAN30 do switch # 2 (e vice-versa). Uma vez que o switch nº 1 possa "ver" a VLAN30, estou assumindo que posso aplicar as ACLs conforme indicado na pergunta nº 1. Está correto?

Pergunta 3:

Uma vez que o switch nº 1 possa ver todas as VLANs, posso obter a filtragem de ACL "Layer 3" da restrição de acesso à VLAN do servidor em apenas determinadas portas TCP / UDP e endereços IP (digamos, permitindo apenas 3389 ao Terminal Server , 192.168.10.4/32). Digo "aparentemente" porque alguns dos switches da Camada 2 mencionam a capacidade de restringir portas e endereços IP por meio das ACLs; Eu (talvez erroneamente) pensei que, para ter ACLs de Camada 3 (filtragem de pacotes), eu precisaria ter pelo menos um switch de Camada 3 atuando como um roteador de núcleo.

Se minhas suposições estiverem incorretas, em que ponto você precisa de um switch de Camada 3 para roteamento inter-VLAN vs. comutação entre VLANs? Em geral, é apenas quando você precisa de uma capacidade de filtragem de pacotes de nível superior entre seus departamentos?

    
por WuckaChucka 15.06.2010 / 16:39

1 resposta

2

Tenha em mente que, fundamentalmente, se dois hosts são configurados com endereços IP em sub-redes diferentes, esses hosts precisarão se comunicar através de um ou mais roteadores com interfaces em suas respectivas sub-redes para se comunicarem. Um "switch de camada 3" não é mais do que um roteador com a capacidade de criar interfaces virtuais expostas ao meio de transmissão de uma VLAN.

re: # 1 - Para conceituar VLANs, imagine que as portas em cada VLAN são um switch fisicamente disperso. Em uma implementação de VLAN livre de falhas (onde o tráfego não pode "vazar" entre VLANs) esse é o comportamento efetivo - cada VLAN atua como um switch separado. As ACLs aplicadas na camada 2 nomearão apenas MACs (e, se o comutador suportar ACLs de camada quase 1, portas). Quaisquer ACLs que nomeiem endereços IP, portas TCP, etc, não são ACLs da camada 2. (Pode haver switches que tenham a funcionalidade "camada 2.5", por meio da qual eles examinam as cargas úteis dos pacotes IP sem realmente serem capazes de rotear os pacotes, mas eu ficaria desconfiado de tais coisas.)

re: # 2 - As tags de VLAN permitem que o tráfego de várias VLANs seja transportado em uma única porta, normalmente chamada de "tronco". Você pode conceitualizá-los como virtualmente subdividindo uma conexão entre dois dispositivos em "portas" menores, cada uma transportando o tráfego para uma única VLAN. Não há nada que você possa fazer com "entroncamento" que não seja possível usando várias portas não troncalizadas, mas o uso de portas de tronco e pacotes de marcação permite transportar o tráfego de várias VLANs entre switches fisicamente dispersos sem usar um grande número de portas físicas para links entre switches.

re: # 3 - O IP de roteamento entre diferentes sub-redes (independentemente de VLANs - é tipicamente conveniente ter um relacionamento 1: 1 entre VLANs e sub-redes, mas não é obrigatório) requer um recurso de roteamento. Se você precisar rotear o IP entre diferentes sub-redes, precisará de um roteador. Poderia ser uma entidade de camada 3 incorporada em um switch, ou poderia ser um "roteador no palito". Qualquer coisa que possa rotear IP entre diferentes sub-redes é um roteador. re: ACLs - Como eu disse no # 1-- Eu ficaria desconfiado de um dispositivo que fez "quase camada 3" funções. Ou é um roteador ou não é.

Algumas questões básicas:

por 15.06.2010 / 18:40