Мост между вланами
У нас есть несколько экзотических настроек. Некоторые устройства, подключенные к коммутатору cisco, должны администрироваться третьей стороной, и мы не хотим предоставлять этой третьей стороне полный доступ к нашей сети. Там устройства не имеют собственной маршрутизируемой подсети, они являются частью подсети, в которой находится коммутатор. К сожалению, это нельзя изменить.
Мы придумали следующее решение (которое не работает):
- Мы поместили порты этих устройств в отдельный vlan.
- Мы подключили устройство коммутатора с двумя интерфейсами к коммутатору, один из которых подключен к основному vlan, а другой - к новому vlan для устройств.
- Мы пытаемся настроить мост (в сочетании с брандмауэром, чтобы были возможны только входящие соединения) на маршрутизаторе, чтобы устройства были доступны.
Мы не можем заставить это решение работать, маршрутизатор передает пакеты от одного интерфейса к другому, где ceisco отклоняет его из-за неправильного vlantag.
Мы попытались настроить vlantagging на доске маршрутизатора (используя это как ссылку: http://blog.butchevans.com/2010/02/to-tag-or-not-to-tag-that-is-the-question/), но кажется, что трафик не попадает в роутерборд.
Можем ли мы изменить настройки Cisco, чтобы принимать или игнорировать неправильные теги VLAN, или как мы должны настроить роутерборд?
Заранее спасибо!
3 ответа
Я знаю, что уже поздно (мягко говоря), но это может пригодиться в качестве указателя для кого-то в будущем.
Практически на любом достаточно современном коммутаторе Cisco существует версия VLAN (PVLAN). Идея PVLAN состоит в том, чтобы не дать хостам в пределах данной VLAN возможности общаться друг с другом, если это явно не разрешено. В PVLAN есть три типа портов:
1.) Случайный - порт, настроенный как случайный, может отправлять и получать на любой порт в VLAN. Порт вашего маршрутизатора, скорее всего, будет беспорядочным.
2.) Изолированный - может отправлять трафик только на случайные порты.
3.) Сообщество - может отправлять трафик на другие порты того же сообщества и на случайные порты.
В вашем сценарии у вас будут все хосты, упомянутые в одной VLAN. Ящики с внешним управлением будут устанавливаться как изолированные, а остальные - в общем сообществе. Ваш маршрутизатор / шлюз будет случайным портом.
Реальная реализация этого будет зависеть от того, какую платформу коммутатора вы используете, но принципы остаются теми же...
Вы упомянули роутер и брандмауэр. Можно ли просто настроить переадресацию портов на брандмауэре? Таким образом, новый администратор может перейти по http://firewall:8080/, и это будет сопоставлено с your.internal.device:80? Вероятно, это было бы более простым решением, чем объединение сетей VLAN. Было бы полезно узнать больше о возможностях устройства, доступных для решения проблемы, так как кажется, что вы можете сделать это, не добавляя больше устройств в вашу сеть.
"мост между вланами" - это своего рода оксюморон, не так ли? Мостовые / объединенные VLAN - это просто еще одна отдельная VLAN. Какой был смысл разделить VLAN на пару и затем спросить, соединяет ли он (таким образом, объединяет) его снова?:-) Решение проблемы с верхним уровнем (сетевым взаимодействием) на L2 довольно не по сезону.)
должен администрироваться третьей стороной
Настройте binat для них, таким образом, они получат доступ к некоторым дополнительным IP-адресам, которые ваш маршрутизатор переведет на внутренние. Вы могли бы контролировать это, не так ли?