INTER VLAN + ACL

@whoiam447 · Регистрация: 13.11.2019

Author24 — интернет-сервис помощи студентам

Всем добрый день. Такой вопрос есть локальная сеть разделенная на VLAN (VLAN10, 20, 30 и т.д.) стоит L3 Switch который маршрутизирует трафик (Ip routing), следовательно все VLAN'ы друг друга видят. Как ограничить доступ ACL-ми между VLAN-ми.

Допустим в VLAN 10 (192.168.100.0/24) подняты сервера, необходимо чтоб VLAN20 видел VLAN 10, но не видел VLAN30 и наоборот VLAN30 видит VLAN10, но не видит VLAN20. Если можно пример команд. Спасибо.

@insect_87 · 13.11.2019, 17:20

https://linkmeup.ru/blog/16.html

Код

ip access-list extended block_vlan20_to_vlan30
 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
 permit ip any any

ip access-list extended block_vlan30_to_vlan20
 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
 permit ip any any

Interface vlan 20
 ip access-group block_vlan20_to_vlan30 in

Interface vlan 30
 ip access-group block_vlan30_to_vlan20 in

В принципе тут и одного бы листа хватило, например первого в примере, но тогда пакет из 30 vlan в 20 vlan дошел бы, но не вернулся обратно.

@whoiam447 · 13.11.2019, 17:51 **[ТС]**

а это вообще нормальная практика? Выглядит как-то костыльно. Если Vlanов много, то вообще ерунда получится.
может подскажите бест практикс по организации vlanов и маршрутизации между ними?

@insect_87 · 13.11.2019, 18:17

Решение, которое я предоставил, вполне удовлетворяет требованиям ващей задачи и это не костыльно.
В данном случае реализован пакетный stateless filter, который не ориентируется на состояние соединения.
Иначе обстоит дело в Stateful inspection filter, по этой теме читайте Reflexive-acl
Дополнительно time-based acl - acl, в которых используется время
+dynamic acl
https://m.habr.com/ru/post/154879/

Если Vlanов много, то вообще ерунда получится.

А вы как по-другому себе это представляете?

Касаемо маршрутизации можно еще изучить route-map и pbr, динамические протоколы маршрутизации

@whoiam447 · 14.11.2019, 09:18 **[ТС]**

Пока я не представляю, поэтому и спрашиваю) Выглядит это примерно так... Необходимо чтоб все VLAN'ы видели VLAN100 (сервера), а между собой друг друга не видели. Локальную маршрутизацию выполняет L3 коммутатор.

@insect_87 · 14.11.2019, 12:13

Я же вам написал как сделать.
Можете писать листы наоборот - запрещено все, кроме разрешенного, например для одного из vlan, vlan 200.

Код

ip access-list extended for_vlan200
 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
 deny ip any any

Interface vlan 200
 ip access-group for_vlan200 in

И тд на каждый интерфейс

Вы мат часть почитайте - будет все понятно

@whoiam447 · 14.11.2019, 12:49 **[ТС]**

Спасибо за ответ, будем работать.

@whoiam447 0 / 0 / 0 Регистрация: 13.11.2019 Сообщений: 6
		1
	INTER VLAN + ACL 13.11.2019, 16:56. Показов 2735. Ответов 6 Метки нет (Все метки) Всем добрый день. Такой вопрос есть локальная сеть разделенная на VLAN (VLAN10, 20, 30 и т.д.) стоит L3 Switch который маршрутизирует трафик (Ip routing), следовательно все VLAN'ы друг друга видят. Как ограничить доступ ACL-ми между VLAN-ми. Допустим в VLAN 10 (192.168.100.0/24) подняты сервера, необходимо чтоб VLAN20 видел VLAN 10, но не видел VLAN30 и наоборот VLAN30 видит VLAN10, но не видит VLAN20. Если можно пример команд. Спасибо. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	13.11.2019, 17:20	2
	https://linkmeup.ru/blog/16.html Код ip access-list extended block_vlan20_to_vlan30 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 permit ip any any ip access-list extended block_vlan30_to_vlan20 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any Interface vlan 20 ip access-group block_vlan20_to_vlan30 in Interface vlan 30 ip access-group block_vlan30_to_vlan20 in В принципе тут и одного бы листа хватило, например первого в примере, но тогда пакет из 30 vlan в 20 vlan дошел бы, но не вернулся обратно. 0

@whoiam447 0 / 0 / 0 Регистрация: 13.11.2019 Сообщений: 6
	13.11.2019, 17:51 [ТС]	3
	а это вообще нормальная практика? Выглядит как-то костыльно. Если Vlanов много, то вообще ерунда получится. может подскажите бест практикс по организации vlanов и маршрутизации между ними? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	13.11.2019, 18:17	4
	Решение, которое я предоставил, вполне удовлетворяет требованиям ващей задачи и это не костыльно. В данном случае реализован пакетный stateless filter, который не ориентируется на состояние соединения. Иначе обстоит дело в Stateful inspection filter, по этой теме читайте Reflexive-acl Дополнительно time-based acl - acl, в которых используется время +dynamic acl https://m.habr.com/ru/post/154879/ Если Vlanов много, то вообще ерунда получится. А вы как по-другому себе это представляете? Касаемо маршрутизации можно еще изучить route-map и pbr, динамические протоколы маршрутизации 0

@whoiam447 0 / 0 / 0 Регистрация: 13.11.2019 Сообщений: 6
	14.11.2019, 09:18 [ТС]	5
	Пока я не представляю, поэтому и спрашиваю) Выглядит это примерно так... Необходимо чтоб все VLAN'ы видели VLAN100 (сервера), а между собой друг друга не видели. Локальную маршрутизацию выполняет L3 коммутатор. Миниатюры 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	14.11.2019, 12:13	6
	Я же вам написал как сделать. Можете писать листы наоборот - запрещено все, кроме разрешенного, например для одного из vlan, vlan 200. Код ip access-list extended for_vlan200 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 deny ip any any Interface vlan 200 ip access-group for_vlan200 in И тд на каждый интерфейс Вы мат часть почитайте - будет все понятно 1

@whoiam447 0 / 0 / 0 Регистрация: 13.11.2019 Сообщений: 6
	14.11.2019, 12:49 [ТС]	7
	Спасибо за ответ, будем работать. 0