Как изолировать 2 сегмента с помощью VLAN на оборудовании Cisco, чтобы они оба имели выход в третий?

Question

[FroggerLogger]

Прошу прощения за возможно глупый вопрос. Сам в сетях относительно новичок в плане настройки сети, имеется простенькая топология


Нужно сделать так, чтобы PC0 и PC1 не имели доступа друг другу (само собой на реальном примере узлов больше, но суть думаю понятна). При этом нужно, чтобы они свободно ходили к PC2, а он к ним обоим.

Я поднял VLAN 101 на fa0/1 (к нему подключен PC0) и VLAN 102 на fa0/2 (к нему подключен PC1). На обоих интерфейсах прописал switchport mode access и switchport access vlan 101 и 102 соответственно. Теперь испытываю затруднения, что прописывать на fa0/3. Возможно везде вообще транки нужны...

Я только разбираюсь с темой VLAN, но что-то видимо с логикой у меня не то.

Comments

[FroggerLogger]

Akina, спасибо! Вот и думаю, что-то здесь не то. Тогда можете подсказать, я уже до этого допер после того, как создал вопрос. Нарастил сеть до расширенной звезды, скажем так.



На SW0 fa0/1 в режиме access с VLAN 101. Интерфейс fa0/2 транковый с разрешенным VLAN 101.
На SW1 fa0/1 в режиме access с VLAN 102. Интерфейс fa0/2 транковый с разрешенным VLAN 102.
На SW_MAIN fa0/1 транковый с разрешенным VLAN 101, fa0/2 транковый с разрешенным VLAN 102. Интерфейс VLAN fa0/3 транковый с разрешенными VLAN 101 и 102.
На SW2 fa0/1 транковый с разрешенными VLAN 101 и 102. По интерфейсу fa0/2 этого коммутатора опять вопрос. Условно, если он access с VLAN 101, то на него пойдет пинг с PC0, если 102, то пинг пойдет с PC1. То есть в целом судя по всему ошибок в транковых портах нет. Или я что-то намудрил? В общем, удовлетворительный результат - это когда с PC0 и PC1 идет пинг на PC2, с PC2 на них обоих, но между PC0 и PC1 пинга быть не должно.

[Akina]

FroggerLogger, я не вижу на картинке SW0, SW1 и пр. И VLAN тоже не вижу. Синхронизируйте как-то текст и картинку, что ли... ВСЁ, на что ссылается текст, должно быть на картинке, причём без непоняток и двузначностей.

В общем, удовлетворительный результат - это когда с PC0 и PC1 идет пинг на PC2, с PC2 на них обоих, но между PC0 и PC1 пинга быть не должно.

Достаточно включить и настроить Traffic Segmentation на Switch2. И убрать нахрен все VLAN.

[FroggerLogger]

Akina, я прикрепил уже исправленную версию. Видимо не обновилось. На всякий случай внёс ещё больше ясности в схему, надеюсь понятнее стало.



У меня нет цели выполнить эту задачу любыми способами. Мне нужно понять как конкретно при помощи VLAN эту штуку сделать и возможно ли такое вообще. Спасибо!

[Akina]

FroggerLogger,

Мне нужно понять как конкретно при помощи VLAN эту штуку сделать и возможно ли такое вообще.

Возможно? да.

При помощи VLAN? нет.

PS. Насчёт VLAN. Есть исключение - если узел РС2 умеет работать одновременно с 2 тегованными VLAN. Что вряд ли.. но даже если умеет, возникнут проблемы, связанные с тем, что все три узла лежат в одной подсети. В том числе возникнут и проблемы на РС0/РС1 - ведь они будут получать от РС2 анонсы о существовании РС1/РС0 через NetBIOS.. причём анонсы будут и неполные, и несогласованные, а к заявленному узлу доступа не будет вообще. В общем, изоляция портов на порядок проще.

[FroggerLogger]

Akina, спасибо, сердечно благодарю! Странно конечно. Форвардинг меня в целом устраивает, но в реальности я работаю на другой железке и что-то мне подсказывает, там этой шикардятины нет.

[Akina]

FroggerLogger,

в реальности я работаю на другой железке

И её модель - военная тайна? Да и вроде технология-то старая, чё б ей не быть-то...

[FroggerLogger]

Akina, аппаратный МЭ, не знаю могу ли называть модель, но думаю поймёте, если скажу, что даже у проженных пеплом серьезных дядек он вызывает страх и панику. Я не могу изолировать в требуемой сети так, как нужно по уму, используя правила фильтрации МЭ. Поэтому подход будет более грубый, но его функционал и в целом веб-морда меня пугает. Ну о консоли я вообще не говорю, она там просто... ну есть

[Akina]

У межсетевого экрана просто обязаны быть средства расширенной фильтрации! уж изолирование интерфейсов-то там стопудово есть, это для него чуть ли не базовый функционал. Если в доках оно явно не прописано, то просто свяжись с их техподдержкой да спроси. Я общался с 3 или 4 (не помню точно) производителями этой программно-аппаратной фигни - и везде люди вменяемые и достаточно оперативно реагирующие.

[FroggerLogger]

Akina, там меня сослали на почту, по времени ответа сориентировали "до конца года" - прямая цитата. Но, в целом, им по 100 таких же, как и я звонят на дню. А так да, функционал может и есть, найти бы)) Ну это уже моя боль. Вообще, там эта штука возможно реализована по цветам интерфейсов, скажем так.

Answer 1

[Akina]

VLAN тут не помощник.

В условиях, когда все три узла подключены к одному коммутатору, спасти может только запрет форвардинга с порта Fa0/1 на Fa0/2 и обратно - если такая возможность в коммутаторе вообще есть. По-русски это обзывается "Изолированный режим". Не знаю как он обзывается у Циски - а, например, в D-Link это называется Traffic Segmentation. И выглядит вот так:



UPDATE.

Вроде у сиськи он обзывается так же. См. https://www.cisco.com/c/en/us/products/security/wh...

То есть просто находишь сию настройку, включаешь сегментацию, и разрешаешь Fa0/1 форвардить только на Fa0/3, то же для Fa0/2, а вот Fa0/3 разрешаешь форвардинг и на Fa0/1, и на Fa0/2.

Само собой все три порта должны быть в одном VLAN.

Answer 2

[Strabbo]

В Cisco это делается легко с помощью Private Vlan