Стандартный конфиг:
config-file-header
v1.3.7.18 / R750_NIK_1_35_647_358
CLI v1.0
set system mode router
file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
!
exit
vlan database
vlan 1,101,102
exit
ip dhcp relay address 192.168.0.2
ip dhcp relay enable
bonjour interface range vlan 1
ip ssh server
!
interface vlan 1
name Server
ip address 192.168.0.1 255.255.255.0
!
interface vlan 101
name User
ip address 192.168.1.1 255.255.255.0
ip dhcp relay enable
!
interface vlan 102
name Guest
ip address 192.168.2.1 255.255.255.0
ip dhcp relay enable
!
interface gigabitethernet1
description Server
switchport access vlan 1
!
interface gigabitethernet2
description User
switchport access vlan 101
!
interface gigabitethernet3
description User-Guest
switchport trunk allowed vlan add 101,102
!
exit
GE1: DHCP-сервер
GE2: Обычный компьютер напрямую по меди подключённый к свичу.
GE3: Гипервизор с виртуалками или Wi-Fi AP с двумя SSID с разными vlan id.
Вооружаемся Advanced IP Scanner/Nmap, пробуем сканировать сеть (range 192.168.0.1-192.168.3.255) сначала с компьютера, подключённого к access порту. Видим только себя, свичь, бродкаст и компьютеры которые есть на GE3 с метками vlan101.
Пробуем то же самое повторить с компьютера vlan101, но который стоит за транковым портом. Видим все компьютеры всех vlan'ов (1,101,102). Та же история, если мы будем сканировать с компьютера 102 влана за транковым портом. Видно всех. Причем не только видно, но и можно пощупать =) Зайти в по SSH, попасть на шару в другом влане. В общем, все!
Пробовал повесить на vlan102 ACL вида:
ip access-list extended "vlan102"
permit ip 192.168.2.0 0.0.0.255 any
deny ip any any
Это не помогло.
Собственно, вопрос. Как можно изолировать vlan друг от друга? При это сохранив возможность dhcp relay и проброс некоторых портов из vlan в vlan.
Средний