HP ProCurve Vlan Isolation

Question

HP ProCurve Vlan Isolation

#1 resposta do (5 votos)

1

Ok, temos um HP ProCurve Switch 2824, um roteador Zyxel e vários servidores 2012 R2. Atualmente, temos 3 VLANs em nossa rede: 10 (pública), 20 (privada) e 30 (gerenciamento), mas gostaríamos de ter mais isolamento nessas VLANs. Eu tenho procurado na internet por algumas semanas para uma maneira de isolar hosts na mesma VLAN, mas eu só encontrei isolamento de porta e que só funciona para portas e não VLANs.

Todas as 24 portas do switch estão marcadas para VLANs 10,20 e 30.

O que eu estou perguntando é que é possível impedir que hosts na mesma VLAN conversem entre si e forcem todo o tráfego através do roteador que temos ou algo parecido? Por razões de segurança, não posso permitir que as VMs conversem entre si sem um firewall entre elas.

Eu aprecio cada pequena pista que você possa ter.

EDITAR: A Cisco tem algo que acredito que atenda às minhas necessidades, mas infelizmente o equipamento que tenho é HP (alguém antes de mim escolheu o equipamento e estou preso a ele). link

security isolated-network vlan hp-procurve pvlan

por Niklas Lindgren 30.01.2015 / 00:58

1 resposta

Tags security isolated-network vlan hp-procurve pvlan

iptables intervalo de portas do bloco com exceção de porta única Um switch L3 deve sempre ter um endereço IP?

score 5 · Accepted Answer

A única maneira de forçar o tráfego através de um roteador é fazer um grupo de / 30 sub-redes (geralmente com cada uma em sua própria vlan) e colocar um único PC e uma única interface de roteador em cada um.

Você também pode usar o 802.1QinQ, mas normalmente é usado para redes de área metropolitana e vem com seu próprio conjunto de complexidades, e então ainda é necessário configurar / 30s com interfaces de roteador. Mas pelo menos você ainda teria apenas três VLANs de "nível superior".

Caso contrário, você precisaria ter regras de firewall muito rigorosamente aplicadas em cada host - você pode controlá-lo de maneira central e ampla com GPOs - que negam todo o tráfego de entrada e saída, exceto para onde você deseja que eles conversem. Exceto que, basicamente, você está basicamente cortando-os e fazendo uma alteração de firewall por GPO não é exatamente instantânea.