Esta postagem tem mais de 5 anos
6 Mensagens
1
5240
Configurar Vlan Restrita no switch 6248
Boa tarde,
Estou com uma duvida para configura um vlan restrita.
Tenho as configurações de vlan configuradas.
Esta postagem tem mais de 5 anos
6 Mensagens
1
5240
Boa tarde,
Estou com uma duvida para configura um vlan restrita.
Tenho as configurações de vlan configuradas.
Top
DELL-Antonio M.
196 Mensagens
0
1 de julho de 2016 08:00
Olá, Suportebcw!
Obrigado pela dúvida interessante, mas normalmente as pessoas perguntam exatamente o contrário! hehehehe! :emotion-15:
Mas muito legal, tem utilidade não rotear uma VLAN.
Seguem algumas maneiras de fazer isso:
Abaixo temos um trecho de configuração onde vemos as VLANs 10,30,60,90 e 4093. Sendo que a 4093 não é roteável.
vlan database
vlan 10,30,60,90,4093
vlan routing 1 1
vlan routing 30 2
vlan routing 60 3
exit
Ou seja, digamos que você não quer mais que a VLAN 60 seja roteável, então teremos que configurar:
configure
vlan database
no vlan routing 60
exit
Além disso, você também pode fazer o seguinte:
Temos abaixo o exemplo o mesmo switch acima que usei no nosso lab. Aqui, as VLANs 30 e 60, por exemplo, possui um endereço associado e faz roteamento:
i nterface vlan 30
routing
ip address 30.30.30.1 255.0.0.0
exit
interface vlan 60
routing
ip address 60.60.60.1 255.0.0.0
exit
Então, o que você precisa fazer é "negar" o routing assim:
configure
interface vlan 60
no routing
exit
E você pode ainda, Suportebcw, retirar o endereço ip da interface VLAN 60. Dessa forma, algum firewall ou appliance fará o papel de default gateway das estações de trabalho daquela VLAN.
Em casos mais extremos, Suportebcw, você pode aplicar uma ACL - access control list (lista de controle de acesso) na entrada da interface VLAN 60. Esta ACL, pode impedir que as estações dentro da VLAN 60 sejam roteadas apenas para algumas faixas de IP e não outras.
Exemplo:
Ainda usando o caso do switch acima, digamos que você não quer que as estações da VLAN 30 sejam alcançável para quem veio da VLAN 60. Então você poderia fazer:
configure
access-list ROUTING-VLAN60 deny ip any 30.0.0.0 255.0.0.0
access-list ROUTING-VLAN60 permit ip any any
interface vlan 60
ip access-group ROUTING-VLAN60 in
exit
Mas isso é muito melhor de fazer no firewall mesmo.
Espero ter coberto todas possibilidades e sanado sua dúvida, Suportbcw. Não esqueça de indicar que a solução funcionou!
unisec
4 Mensagens
1
29 de janeiro de 2017 04:00
Olá,
Obrigado pelas informações, mas estou tendo dificuldades em aplicar as ACLs/exemplos, nos testes que realizei acaba bloqueando mais coisas que deveria, basicamente gostaria de bloquear que as portas de determinada VLAN pudessem se comunicar diretamente, permitindo apenas que a VLAN XXX possa enviar pacotes somente para o LAG XX.
Tem algumas dicas/sugestões sobre ACLs?
DELL-Antonio M.
196 Mensagens
0
31 de janeiro de 2017 04:00
Olá, Unisec!
Como vai? Tudo bem?
Muito bom ver que o tópico está se aprofundando e indo para além as dúvidas tradicionais.
O que você está precisando, Unisec, é de implantar a funcionalidade da Private VLAN.
Este é uma feature muito legal que faz exatamente o que você descreveu.
Uma breve explicação por ser vista aqui. Apesar de ser um passo-a-passo escrito para outro modelo, a teoria é a mesma.
E para o caso específico do 62xx, esta dúvida já foi respondida no aqui no fórum em inglês.
Mais ainda: na página 324 do User guide tem mais informações.
Espero ter ajudado. Por favor, não esqueça de postar aqui se você conseguiu implantar.
Até mais! :emotion-15:
unisec
4 Mensagens
1
31 de janeiro de 2017 08:00
Olá, Antonio!
Exatamente isso, muito obrigado. Nos testes iniciais consegui fazer funcionar como desejado exceto nas portas que promíscuas que neste caso deveria usar o LAG(Po1), porém esse LAG atua como trunk, com diversas TAGs e quando executo
switchport mode private-vlan promiscuous
switchport private-vlan mapping 100 101-102
Muda para ACCESS e as demais VLANs param.
Se puder ajudar em como aplico o modo promiscuo em um LAG.
Até!
DELL-Antonio M.
196 Mensagens
0
31 de janeiro de 2017 09:00
Olá, Unisec!
No caso dos modelox 62xx, a sintaxe em linha de comando é diferente.
Abaixo segue um exemplo:
!
configure
vlan database
vlan 1000
vlan routing 1000 1
exit
!
switchport protected 0 name "PRIVATE"
!
interface ethernet 1/g1
switchport access vlan 1000
switchport protected 0
exit
O guia do usuário só mostra via interface web de gerenciamento. Mas é assim como mostrei acima. O detalhe é que assim as portas de trunk (uplink) são sempre promíscuas e as portas da private vlan são sempre Isolated na implementação dos 62xx. O lado bom é que não precisa configurar nada nos uplink trunks.
Espero ter ajudado!
Uma curiosidade, Unisec: qual é a versão de firmware do seu 6248? Pergunto por que ele nem sequer deveria ter aceitado os outros comandos. :emotion-18:
unisec
4 Mensagens
0
1 de fevereiro de 2017 09:00
Boa tarde! :)
Mais uma vez obrigado pelo auxilio.
Realmente a maioria da sintaxe não é igual, mas com pouco tempo e tentativas fui adaptando, após sua dica, pesquisei Private Vlan encontrei maiores referencias na DELL.
Em relação a opção routing realmente não apliquei, não usamos a VLAN 1 mas deveria utilizar routing em outra VLAN?
Meu problema esta em definir portas promíscuas, nas portas definidas como community tudo certo entre elas, mas por ser um LAG, quando seleciono a interface(ou seria grupo?), não consigo me comunicar com o roteador conectado neste LAG e as VLANs, ele perde as TAGs ou algo assim.
console# configure
console(config)# interface port-channel 1
console(config-if-Po1)# switchport mode private-vlan promiscuous
console(config-if-Po1)#switchport private-vlan mapping 100 101
Não devo definir as portas do LAG como promiscuas? deixo trunk com tags?
Quando executo os comandos acima, muda o tipo de porta do LAG e perco acesso, no caso as portas do LAG não se comunicam/respondem, embora o LAG esteja na VLAN primária, parece estar em modo ACCESS ao invés de Trunk/TAG, ou deveria ser DVLAN?
Basicamente, utilizei os comandos/opções
console# configure
console(config-vlan-100)# private-vlan primary
console(config-vlan-100)# exit
console(config)# vlan 101
console(config-vlan-101)# private-vlan isolated
console(config-vlan-101)# exit
console(config)# vlan 100
console(config-vlan-100)# private-vlan association 101
console(config-vlan-100)# exit
Em seguida selecionei as portas das vlans isoladas
console(config)#interface gi1/0/1
console(config-if-Gi1/0/1)#switchport mode private-vlan host
console(config-if-Gi1/0/1)#switchport private-vlan host-association 100 101
No meu ambiente tenho um stack com 3 unidades, o servidor que deve ter as interfaces promiscua e possuir as TAGs das VLANs primárias, tem 3 placas ethernet conectadas uma em cada switch através de um LAG(definido como 1, Po1), este LAG esta definido como trunk(embora possua a opção de DVLAN) e com todas as vlans primárias marcadas(T).
DELL-Antonio M.
196 Mensagens
0
1 de fevereiro de 2017 10:00
Boa tarde, Unisec! :emotion-15:
Ficamos satisfeitos em ver que você está progredindo apesar do problema com a porta em LAG.
Creio que isto seja um problema com a implementação desta feature na versão de firmware que você possui.
Eu até tentei reproduzir o que você fez em laboratório e não consegui pois nem aceita essa sintaxe.
Eu usei a última versão de firmware para os 62xx.
Nesta última versão, o exemplo que passei funciona corretamente e a porta promíscua não precisa ser configurada como tal. Você não precisa configurar nada no LAG. Pode deixar o trunk como era do comando "switchport mode private-vlan promiscuous" no Po1.
Ah, sim! E a opção de routing é para que o switch possa fazer roteamento entre as VLANs. Mas no seu caso não influencia em nada tendo essa opção ou não. No nosso lab fizemos assim para poder testar mas não faz difereça.
Você pode nos enviar o resultado do comando "show version" por favor, Unisec?
Obrigado e até mais!
unisec
4 Mensagens
1
1 de fevereiro de 2017 11:00
Fechou Antonio!! Muito bom!
Bem oq precisava, após atualizar o firmware com a versão do link que você enviou e também "não" definir ou alterar o LAG, deixando ele como trunk, funcionou como desejado, portas isoladas com sucesso
Agora vou fazer o mesmo(ou semelhante) em outro stack com o modelo N1548, mesmo cenário, LAG + Private-VLAN.
Obrigado pelo auxilio.
DELL-Antonio M.
196 Mensagens
0
2 de fevereiro de 2017 07:00
Blz, Unisec!
Ficamos bem satisfeitos em saber que funcionou bem agora.
Tenho certeza que você não vai ter dificuldades com os N Series pois a sintaxe é a mesma.
Para outras pessoas que estiverem nos lendo, recomendo a leitura do guia do usuário dos N Series. Na página 865 tem um exemplo de protected port (private vlan).
FeShow então, Unisec!