Route Subnet para acessar apenas 1 endereço IP em diferentes VLANs HP Procurve

Navegue suas respostas
1

Estou tentando rotear a VLAN 300, que tem uma sub-rede 192.168.100.0/26, para acessar apenas 10.220.1.10 na VLAN 220, mas lutando com a configuração. A documentação da HP a partir do que eu posso dizer apenas quer que eu habilite o IP RIP, mas que dê acesso a toda a 220 VLAN quando tudo o que eu estou tentando fazer é dar acesso a 10.220.1.10 na VLAN 220

Isto é para as armas de RF que se conectam a um servidor AS400 e estamos tentando isolar o tráfego de todo o resto. Então as armas de RF vivem na VLAN 300 em 192.168.100.0/26 e o AS400 vive na VLAN 220 com 10.220.1.10 como seu IP

    
por Matt Weick 17.12.2014 / 03:15

3 respostas

0

Se você estiver tentando acessar um único sistema em uma sub-rede que tenha mais de um sistema ...

Eu colocaria uma rota estática nos sistemas finais especificados para alcançar o sistema 10.220.1.10 que você precisa percorrer pelo roteador HP. Em seguida, usaria uma lista de acesso no roteador para garantir que seja apenas o tráfego de roteamento desejado.

Você não pode usar o roteamento para (facilmente) fazer o que quiser, porque um roteador pensa em termos de sub-redes. Ele pensa em quais sub-redes ele tem acesso com base no endereço de rede e na máscara. Se ele tiver uma interface na mesma rede que 10.220.1.10, ele se considerará um candidato viável para rotear o tráfego para qualquer host dessa sub-rede. E isso não é o que você quer, você só quer um host.

Outra coisa a ter em mente é que os roteadores não sabem o que são as VLANs. Os roteadores são da camada 3. Os roteadores só se importam com endereços IP. Eles farão referência à sua VLAN por meio de uma interface IP ou de uma subinterface se você estiver lidando com um tronco da VLAN.

EDITAR

Se o roteador HP também for o gateway padrão, você não precisa se preocupar com rotas estáticas. Basta colocar uma ACL na interface que leva a 10.220.1.10.

    
por 17.12.2014 / 03:41
2

Depois de algumas tentativas e erros, cheguei à solução abaixo e ela funciona como planejada. Obrigado a todos que ajudaram. 

ip access-list extended "100"
     10 permit ip 192.168.100.0 0.0.0.63 10.220.1.10 0.0.0.0
     20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

Vlan 300
     ip access-group 100 in

algo estranho notei que eu posso pingar fonte 192.168.100.1 xxxxxxxxxxxxx (meu vlan endereço IP para VLAN 300) e recebo respostas bem sucedidas de outros clientes que 10.220.1.10, mas eu só recebo respostas de 10.220.1.10 ao trabalhar com real clientes na faixa VLAN 300. Estou recebendo essas respostas ping para 10.220.1.xxx dispositivos de 192.168.100.1 (vlan IP da VLAN 300) apenas porque é o switch VLAN IP e não as regras de lista de acesso não se aplicam a VLAN IP, mas eles fazem para os clientes?

    
por 17.12.2014 / 07:19
0

Você habilita o RIP e depois do ACL. Como ilustrado lá um pouco para o ACL,

Ficaria assim na configuração .. (mas eu não sou o melhor no switch HP ..) 

ip access-list extended "220"
      10 permit ip 192.168.100.0 255.255.255.192 10.220.1.10 255.255.255.255

...

vlan 220
    name "..."
    untagged 2
    tagged A1
    ip address 10.220.1.1 255.255.255.0
    exit
    
por 17.12.2014 / 05:20

Tags

Nginx proxy_pass solicitação inteira para o servidor remoto Quando o iptables é iniciado, não há acesso ftp por causa do tempo limite