The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Блокировка трафика между VLANами"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Блокировка трафика между VLANами"  +/
Сообщение от zornig (ok) on 14-Ноя-13, 22:34 
Switch с 2 VLANами соединён транком с Cisco Router.

Cisco Router имеет 2 VLAN Сабинтерфейса:

interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 192.168.10.0 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 192.168.20.0 255.255.255.0

Оба VLANа имеют доступ к интернету через cisco router.

Цель: полная блокировка трафика между VLANами 10 и 20 в целях безопасности.
VLAN 10 - бугалтерия
VLAN 20 - программисты

С extended ACL можно блокировать только определённые протоколы (IP, ICMP, TCP, IP,...)

Если заблокирую толкьо известные протоколы(IP, ICMP), то это ведь не гарантирует  100% изоляции этих VLANов друг от друга? Поэтому хотелось бы заблокировать между этими VLANами все возможные протоколы.


Как можно это реализовать, чтобы при этом на интерфейсах не применять стандартные ACL? Причина почему стандартный ACL не желанный: Вдруг прийдётся открыть определённые порты для доступа с интеренета к VLANам, а при стандартных ACL это не возможно.

Или достаточно заблокировать IP, ICMP протоколы для изоляции VLAN 10 от VLAN 20?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блокировка трафика между VLANами"  +/
Сообщение от zornig (ok) on 14-Ноя-13, 22:38 
UPDATE.
Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от друга изолированы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блокировка трафика между VLANами"  +/
Сообщение от Merridius (ok) on 14-Ноя-13, 23:34 
> UPDATE.
> Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от
> друга изолированы?

access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 100 permit ip any any
access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 200 permit ip any any

int fa0/0.1
ip access-group 100 in
int fa0/0.2
ip access-group 200 in

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Блокировка трафика между VLANами"  +/
Сообщение от zornig (ok) on 15-Ноя-13, 00:34 
>[оверквотинг удален]
>> Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от
>> друга изолированы?
> access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
> access-list 100 permit ip any any
> access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
> access-list 200 permit ip any any
> int fa0/0.1
>  ip access-group 100 in
> int fa0/0.2
>  ip access-group 200 in

Спасибо за помощь.
Вы заблокировали только IP протокол и все его ответвления.
Но если сеть VLAN 10 взломают, есть ли риск, что хакер с VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка IP протокола достаточна для бьезопасности и изолирования VLANов?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Блокировка трафика между VLANами"  +/
Сообщение от klincman (ok) on 15-Ноя-13, 03:21 
> Спасибо за помощь.
> Вы заблокировали только IP протокол и все его ответвления.
> Но если сеть VLAN 10 взломают, есть ли риск, что хакер с
> VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка
> IP протокола достаточна для бьезопасности и изолирования VLANов?

Что использовать не-IP протокол этот протокол должен поддерживаться маршрутизатором, а также включена маршрутизация этого протокола и настроен интерфейс на работу с этим протоколом. В вашем случае используется только IP.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Блокировка трафика между VLANами"  +/
Сообщение от Алексей (??) on 15-Ноя-13, 08:23 
> ip address 192.168.10.0 255.255.255.0

Что за IP такой ???

Я бы так сделал (поменять цифры для разных VLAN):

access-list 110 remark FILTER  VLAN 10 (описание , а то забудете вдруг)
access-list 110 permit ip 192.168.10.0 0.0.0.255 host 192.168.10.1 (разрешаем с подсетки vlan 10 доступ к router-у)
access-list 110 deny   ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255 (блочим все серые меж собой класса С)
access-list 110 permit ip any any (и так понятно)

> Вы заблокировали только IP протокол и все его ответвления.

Что за ответвления?)
"...гарсон значит мальчик.." (Криминальное чтиво)
IP означает "все" протоколы стека.
Все что не IP должно поддерживаться IOS-ом и быть включенным админом.

PS Соглашусь, что главная угроза от vlan 10, т. е. бухгалтерии)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Блокировка трафика между VLANами"  +/
Сообщение от Алексей (??) on 15-Ноя-13, 09:57 
man ebtables
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру