Compartilhamento de VLANs cruzados e descoberta automática de recursos seletivos

Navegue suas respostas
1

Eu tenho uma rede com várias VLANs, cada uma contendo recursos ou clientes com diferentes direitos de acesso.

Por simplicidade, digamos que eu tenha 3 VLANs:

  1. ID 10 : Contém clientes privilegiados e recursos privados acessíveis apenas a esses clientes privilegiados
  2. ID 20 : contém clientes convidados que só têm acesso a recursos públicos
  3. ID 30 : contém recursos públicos que podem ser acessados por clientes privilegiados e convidados

Nesta configuração, gostaria de fazer a descoberta automática e acessar o gerenciamento correto para que os clientes na VLAN 10 possam descobrir e acessar recursos nas VLANs 10 e 30, e os clientes na VLAN 20 possam descobrir e acessar recursos nas VLANs 20 e 30. Os recursos que eu preciso para descobrir automaticamente são de tipos diferentes (compartilhamentos de rede do Windows, impressoras, câmeras de segurança, dispositivos Apple, etc.), por isso existem vários mecanismos diferentes no trabalho, a maioria dos quais eu não tenho nenhum conhecimento acabou.

É possível fazer essa configuração funcionar genericamente, para que os dispositivos na VLAN 10 vejam uma única rede que consista nas duas VLANs 10 e 30 e se comporte como se todos estivessem conectados ao mesmo switch e dispositivos na VLAN 20 ver uma rede que consiste em todos os dispositivos nas VLANs 20 e 30?

Eu precisaria criar uma ponte entre as VLANs 10 e 30 e uma segunda ponte entre as VLANs 20 e 30? Isso também implicitamente conectaria as VLANs 10 e 20 (não aceitável)? Em caso afirmativo, posso simplesmente proibir essa ponte implícita com regras de firewall (como descartar todos os pacotes da VLAN 10 para a VLAN 20 e vice-versa)?

Qual seria a melhor maneira de criar uma sub-rede desse layout e como eu poderia configurar o DHCP para realizá-lo? Meus pensamentos atuais são algo como o seguinte:

  • 192.168. 10 .x para VLAN 10 , 192.168. 20 .x para VLAN 20 e 192.168. 30 .x para VLAN 30
  • Sub-rede 255.255. 0 .0 para todos (para que os dispositivos enviem transmissões pelas VLANs)

É possível fazer com que essa configuração funcione em um roteador baseado em Vyatta-Linux, especialmente na parte DHCP? Parece determinar quais interfaces ouvir com base na sub-rede que eu forneço. Então, para que ele escute em eth0.10 (VLAN 10), eu precisaria dar a subnet 192.168.10.0/24, mas gostaria que os clientes DHCP fossem informados que a sub-rede é 255.255.0.0, não 255.255. 255.0.

Quais outros serviços / encaminhamento eu precisaria configurar (por exemplo, proxy ARP) para ter certeza de que todos os mecanismos comuns de detecção automática deveriam funcionar?

Qualquer ajuda seria muito apreciada.

    
por Markus A. 18.01.2014 / 03:06

1 resposta

3

Você e @joeqwerty tiveram uma discussão animada nos comentários para a pergunta e eu vou repetir algumas coisas.

Vamos começar de uma forma simples: existem vários protocolos padrão e vastos de protocolos proprietários de "autodescoberta" - isto é, protocolos pelos quais os hosts ou programas de cliente e servidor se localizam. Falar de "auto-descoberta" como se fosse uma entidade monolítica está contornando toda a questão. Tenha isso em mente por todo o tempo.

Você segmentou sua rede em várias LANs virtuais. As transmissões não serão comunicadas entre essas LANs virtuais. Muitos (a maioria?) Protocolos de detecção automática são baseados em broadcast, então eles não conseguirão localizar hosts em outras VLANs.

Conectar as redes juntas não irá ajudá-lo porque, na verdade, você fará todas as redes em uma grande LAN novamente. Todos os outros motivos que você tem para segmentar em várias VLANs estão fora da janela.

Encaminhar seletivamente protocolos entre VLANs é onde as coisas ficarão interessantes.

Protocolos padrão de descoberta automática baseados em IP, como NetBIOS "browsing", mDNS (conhecido como "ZeroConf" ou "Bonjour", e outros podem ser encaminhados entre sub-redes IP (que são tipicamente mapeadas de 1 para 1 para VLANs) por subinterfaces lógicas em roteadores) com software adequado de gateway de camada de aplicação.Existem vários produtos de vários fornecedores que podem fazer isso (use seu mecanismo de busca favorito e procure por "avanço rápido entre sub-redes" e você encontrará muitas coisas , por exemplo.

Protocolos proprietários de detecção automática serão mais problemáticos. Você terá que esperar que o software tenha sido escrito por alguém para encaminhá-los através de VLANs ou sub-redes. Os protocolos que funcionam apenas na camada 2 serão ainda mais problemáticos, pois, para lidar com as tabelas de adjacência, seus switches mantêm a contabilidade da VLAN com a qual um endereço MAC está associado. Qualquer software de gateway entre VLANs terá que ter algum tipo de funcionalidade proxy-MAC.

O que você está procurando não é impossível, mas terá que ser tratado em uma base de protocolo individual. Não há uma solução de "varinha mágica" que você possa aplicar para alcançar o resultado que está procurando.

    
por 18.01.2014 / 06:22

Tags

Controlador de domínio DNS integrado ao Active Directory exim na Amazon AMI via yum