Сбой изоляции VLAN с помощью HP Procurve, Juniper Netscreen

Question

Сбой изоляции VLAN с помощью HP Procurve, Juniper Netscreen

У меня проблемы с тем, что хосты могут пинговать другие хосты, с которыми они не должны общаться.

Довольно простая сеть - соответствующее оборудование:

Коммутатор HP Procurve 2810-24G
Межсетевой экран Juniper Netscreen 208
Переключатель Netgear GS-108PE

Я просто хочу выполнить 2 задачи: использовать коммутатор HP для обслуживания подсетей Trust и DMZ (используя VLAN) и запустить магистральную сеть VLAN 802.1Q к коммутатору Netgear, чтобы его порты могли иметь доступ к нескольким VLAN в остальных сети.

Раньше я делал это с идентичным коммутатором HP (который вышел из строя и был заменен) и до этого коммутатором HP Procurve 2400M.

У меня настроено 3 VLAN:

ID: 1 (DEFAULT_VLAN - невозможно удалить)
ID: 2 (ДМЗ)
ID: 3 (Доверие)

Я назначил 2 отдельные группы портов на коммутаторе HP в качестве портов VLAN без тегов для VLAN 2 и 3. Я назначил 2 "магистральных" порта в качестве портов VLAN с тегами для VLAN 2 и 3. 2 магистральных порта подключаются к порту на Коммутатор Netgear и порт на старом коммутаторе HP. (В основном для тестирования) Netgear и старый HP настроены аналогично новому HP в отношении VLAN, нетегированных и магистральных портов.

Брандмауэр имеет свои интерфейсы DMZ и Trust, подключенные к каждой из соответствующих групп портов VLAN без тегов на новом коммутаторе HP. Брандмауэр по умолчанию блокирует практически весь трафик в / из DMZ и трастовых сетей друг за другом, за исключением очень ограниченных возможностей. ICMP наверняка заблокирован.

У меня есть возможность подключения к Интернету и из него в группах портов Trust и DMZ на всех коммутаторах. Проблема в том, что я также могу пропинговать DMZ-порты от Trust портов / хостов на любом из коммутаторов. Но я не могу пропинговать от хостов DMZ до доверенных хостов.

Излишне говорить, что такого рода выстрелы сводятся к тому, что сегменты огненно ограждают друг от друга.

Я попытался изменить VLAN по умолчанию с 1 на 3, я попытался отключить неосновные коммутаторы, я попытался отключить любые устройства, которые имеют несколько интерфейсов, например, где одно подключается к VLAN 2, а другое - к VLAN 3. Ни один из этих все меняет тот факт, что я могу пинговать с хостов из группы портов VLAN 3 в группу портов VLAN 2.

Я делаю что-то глупое здесь?

3

security hp vlan hp-procurve netscreen

Источник

Phil K 19 апр '15 в 07:17

1 ответ

Другие вопросы по тегам security hp vlan hp-procurve netscreen

Phil K 19 апр '15 в 10:22 2015-04-19 10:22 · Answer 1 · 2015-04-19 10:22

У меня было правило политики брандмауэра, которое вызывало возможность проверки связи, эхо-разрешение ICMP, скрытое в списке групповых услуг и ограниченное для определенных хостов, и я его не видел.:-0 Также возникла проблема с подключением VLAN 2 к порту на Netgear, который помечен этим идентификатором VLAN, но, по-видимому, разрешился при перезапуске этого устройства. (Что не было понятно в пользовательском интерфейсе для этого параметра) Теперь все хорошо.