Buchachalo
@Buchachalo

Cisco SG300. Как решить проблему с access и trunk портов и маршрутизации между vlan?

Стандартный конфиг:
config-file-header
v1.3.7.18 / R750_NIK_1_35_647_358
CLI v1.0
set system mode router
file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
!
exit
vlan database
vlan 1,101,102
exit
ip dhcp relay address 192.168.0.2
ip dhcp relay enable
bonjour interface range vlan 1
ip ssh server
!
interface vlan 1
 name Server
 ip address 192.168.0.1 255.255.255.0
!
interface vlan 101
 name User
 ip address 192.168.1.1 255.255.255.0
 ip dhcp relay enable
!
interface vlan 102
 name Guest
 ip address 192.168.2.1 255.255.255.0
 ip dhcp relay enable
!
interface gigabitethernet1
 description Server
 switchport access vlan 1
!
interface gigabitethernet2
 description User
 switchport access vlan 101
!
interface gigabitethernet3
 description User-Guest
 switchport trunk allowed vlan add 101,102
!
exit


GE1: DHCP-сервер
GE2: Обычный компьютер напрямую по меди подключённый к свичу.
GE3: Гипервизор с виртуалками или Wi-Fi AP с двумя SSID с разными vlan id.

Вооружаемся Advanced IP Scanner/Nmap, пробуем сканировать сеть (range 192.168.0.1-192.168.3.255) сначала с компьютера, подключённого к access порту. Видим только себя, свичь, бродкаст и компьютеры которые есть на GE3 с метками vlan101.

Пробуем то же самое повторить с компьютера vlan101, но который стоит за транковым портом. Видим все компьютеры всех vlan'ов (1,101,102). Та же история, если мы будем сканировать с компьютера 102 влана за транковым портом. Видно всех. Причем не только видно, но и можно пощупать =) Зайти в по SSH, попасть на шару в другом влане. В общем, все!

Пробовал повесить на vlan102 ACL вида:
ip access-list extended "vlan102"
permit ip 192.168.2.0 0.0.0.255 any
deny ip any any
Это не помогло.

Собственно, вопрос. Как можно изолировать vlan друг от друга? При это сохранив возможность dhcp relay и проброс некоторых портов из vlan в vlan.
  • Вопрос задан
  • 5965 просмотров
Пригласить эксперта
Ответы на вопрос 1
@throughtheether
human after all
Я с оборудованием Linksys не работал, но мысли такие:

1) доступ между вланами наблюдается, потому что, предположительно, SG300 маршрутизирует трафик между вланами. Проверить можно при помощи (команда Cisco IOS CLI, в Linksys синтаксис может отличаться):
show ip route Почему при подключении к Gi2 (если я правильно понял) не были доступны хосты в других вланах - надо разбираться отдельно (вероятно, некорректный адрес шлюза по умолчанию на хосте, подключаемом к этому порту)

2) Если хотите заблокировать весь трафик влана 102 от проникания в другие вланы, попробуйте (опять же, предполагая синтаксис Cisco IOS CLI):
ip access-list extended vlan102-in
ip access-list extended vlan102-out
interface vlan 102
 ip access-group vlan102-in in
 ip access-group vlan102-out out
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы