Switch с 2 VLANами соединён транком с Cisco Router.Cisco Router имеет 2 VLAN Сабинтерфейса:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip address 192.168.10.0 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip address 192.168.20.0 255.255.255.0Оба VLANа имеют доступ к интернету через cisco router.
Цель: полная блокировка трафика между VLANами 10 и 20 в целях безопасности.
VLAN 10 - бугалтерия
VLAN 20 - программистыС extended ACL можно блокировать только определённые протоколы (IP, ICMP, TCP, IP,...)
Если заблокирую толкьо известные протоколы(IP, ICMP), то это ведь не гарантирует 100% изоляции этих VLANов друг от друга? Поэтому хотелось бы заблокировать между этими VLANами все возможные протоколы.
Как можно это реализовать, чтобы при этом на интерфейсах не применять стандартные ACL? Причина почему стандартный ACL не желанный: Вдруг прийдётся открыть определённые порты для доступа с интеренета к VLANам, а при стандартных ACL это не возможно.Или достаточно заблокировать IP, ICMP протоколы для изоляции VLAN 10 от VLAN 20?
UPDATE.
Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от друга изолированы?
> UPDATE.
> Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от
> друга изолированы?access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 100 permit ip any any
access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 200 permit ip any anyint fa0/0.1
ip access-group 100 in
int fa0/0.2
ip access-group 200 in
>[оверквотинг удален]
>> Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от
>> друга изолированы?
> access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
> access-list 100 permit ip any any
> access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
> access-list 200 permit ip any any
> int fa0/0.1
> ip access-group 100 in
> int fa0/0.2
> ip access-group 200 inСпасибо за помощь.
Вы заблокировали только IP протокол и все его ответвления.
Но если сеть VLAN 10 взломают, есть ли риск, что хакер с VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка IP протокола достаточна для бьезопасности и изолирования VLANов?
> Спасибо за помощь.
> Вы заблокировали только IP протокол и все его ответвления.
> Но если сеть VLAN 10 взломают, есть ли риск, что хакер с
> VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка
> IP протокола достаточна для бьезопасности и изолирования VLANов?Что использовать не-IP протокол этот протокол должен поддерживаться маршрутизатором, а также включена маршрутизация этого протокола и настроен интерфейс на работу с этим протоколом. В вашем случае используется только IP.
> ip address 192.168.10.0 255.255.255.0Что за IP такой ???
Я бы так сделал (поменять цифры для разных VLAN):
access-list 110 remark FILTER VLAN 10 (описание , а то забудете вдруг)
access-list 110 permit ip 192.168.10.0 0.0.0.255 host 192.168.10.1 (разрешаем с подсетки vlan 10 доступ к router-у)
access-list 110 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255 (блочим все серые меж собой класса С)
access-list 110 permit ip any any (и так понятно)> Вы заблокировали только IP протокол и все его ответвления.
Что за ответвления?)
"...гарсон значит мальчик.." (Криминальное чтиво)
IP означает "все" протоколы стека.
Все что не IP должно поддерживаться IOS-ом и быть включенным админом.PS Соглашусь, что главная угроза от vlan 10, т. е. бухгалтерии)
man ebtables