Построить мост между двумя trunk-портами на 6500Доброго времени суток всем!
Тему создал не в разделе "Безопасность", т.к. она скорее относится к тонкой настройке multilayer-свитча.Собственно мой вопрос я уже задал здесь:
https://supportforums.cisco.com/message/3884411#3884411Дано:
Catalyst 6500 (1 шт.)
IPS 4510 (1 шт.)
К 6500 подключены серверные VLAN-ы (много) и пользовательские (ещё больше).
6500 в настоящий момент осуществляет intel-vlan routing.Задача:
Трафик, идущий из пользовательских VLAN-ов в серверные VLAN-ы, завернуть через IPS.
При этом обеспечить режим fail-open (если IPS падает, траффик должен ходить дальше).Некоторые свойства IPS сенсора:
- работает как мост (L2)
- может воспринимать 802.1q тэги, но не менять их. Какой тэг получил на первый интерфейс в паре - такой же и отправил на другой интерфейс.
- есть функция hardware-bypass между спаренными интерфейсами. Если сенсор падает/выключается - происходит физическое замыкание спаренных портов.В случае, когда на IPS нужно "завернуть" один VLAN, всё понятно:
Для этого в VLAN-е, который необходимо пропускать через IPS, удаляется SVI. В другом VLANе создаётся SVI с таким же адресом (этот адрес является дефолт-гейтвеем для подсети из исходного VLAN-а).http://cs410516.vk.me/v410516541/44dc/2kkx5CCazvE.jpg
Применительно к схеме:
(Допустим в VLAN10 используется сеть 10.0.10.0/24 с дефолт-гейтвеем 10.0.10.1)
#Switch config:
!
ip routing
!
interface Ge1/1
switchport access vlan 10
switchport mode access
!
interface Ge1/0
switchport access vlan 110
switchport mode access
!
no interface Vlan10
!
interface Vlan110
ip address 10.0.10.1 255.255.255.0В этом сценарии трафик входящий/исходящий в/из VLAN10 к/от другим VLAN-ам будет проходить через IPS.
Здесь IPS подключен к аксесс портам 6500. Т.е. фактически строит мост между двумя VLAN-ами.
При этом в случае падения сенсора всё будет хорошо (hardware-bypass обеспечит по сути физическое подключение между VLAN10 и VLAN110).Однако, если нужно будет завернуть на IPS ещё один VLAN - для этого потрубется использовать ещё одну пару интерфейсов на IPS.
А их не так много (6 штук, т.е. 3 пары). А серверных VLAN-ов сильно больше :)Собственно вот и вопрос - как можно сделать мост между двумя trunk-портами одного коммутатора, да так, чтобы мост этот соединял разные VLAN-ы. Мост (IPS) при этом теги в кадрах менять не может. А в случае падения IPS всё должно продолжать работать :)
http://cs410516.vk.me/v410516541/44c5/XxerpOab1vA.jpgИли тут нужно использовать что-то отличное, от "Вынести SVI в другой VLAN"?
Может какие-нибудь policy-routing, VRF, private VLAN?Есть идеи? Буду очень признателен. Второй день голову себе взырваю (не так много опыта общения с multilayer свитчами у меня, как хотелось бы)...
>[оверквотинг удален]
> VLAN-ов сильно больше :)
> Собственно вот и вопрос - как можно сделать мост между двумя trunk-портами
> одного коммутатора, да так, чтобы мост этот соединял разные VLAN-ы. Мост
> (IPS) при этом теги в кадрах менять не может. А в
> случае падения IPS всё должно продолжать работать :)
> http://cs410516.vk.me/v410516541/44c5/XxerpOab1vA.jpg
> Или тут нужно использовать что-то отличное, от "Вынести SVI в другой VLAN"?
> Может какие-нибудь policy-routing, VRF, private VLAN?
> Есть идеи? Буду очень признателен. Второй день голову себе взырваю (не так
> много опыта общения с multilayer свитчами у меня, как хотелось бы)...Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки между коммутатором и IPS?
> Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки
> между коммутатором и IPS?То, что транк от коммутатора, проходя через IPS будет иметь те же VLAN-ID, что и до него.
Т.е. VLAN менятся не будет - а значит трафик через IPS и не пойдёт вовсе...В этом вся и хитрость. Когда мы цепляем IPS к 6500 через access порты, эти порты смотрят в два разных VLAN-а. В одном из них - как раз и живёт SVI, являющийся гейтвеем для подсети (т.е. мы пилим одну подсеть на два VLAN-а).
А если на вход в IPS подать транк - то с другой стороны выйдет тот же самый транк...
>[оверквотинг удален]
> То, что транк от коммутатора, проходя через IPS будет иметь те же
> VLAN-ID, что и до него.
> Т.е. VLAN менятся не будет - а значит трафик через IPS и
> не пойдёт вовсе...
> В этом вся и хитрость. Когда мы цепляем IPS к 6500 через
> access порты, эти порты смотрят в два разных VLAN-а. В одном
> из них - как раз и живёт SVI, являющийся гейтвеем для
> подсети (т.е. мы пилим одну подсеть на два VLAN-а).
> А если на вход в IPS подать транк - то с другой
> стороны выйдет тот же самый транк...а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача интересная)
> а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача
> интересная)Да - в этом то и сложность... Шеститонник всё сам маршрутизирует внутри. И разбивать один широковещательный домен на два VLANа - это единственный хоть как-то описанный способ заставить его "выплюнуть" трафик наружу :)
Возможно (даже наверняка) есть ещё какие-нибудь способы.
Может быть есть технология, позволяющая заменять 802.1q-теги в поступающих на порт кадрах? В принципе решило бы задачу._________________________
UPDATE: на запрос "изменить vlan id" гугл выдал vlan mapping. По идее то, что может решить задачу. Буду в эту сторону думать. Хотя всяческие другие идеи (в том числе "вы делаете всё не так, вот как надо...") - люто-бешенно приветствуются.
Думаю вот так это должно работать:http://cs307703.vk.me/v307703541/84d6/tATS3l77qPY.jpg
Конфиг 6k должен быть примерно такой:
ip routing
!
interface Ge1/0
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10-12,110-112
switchport mode trunk
switchport nonegotiate
switchport vlan mapping enable
switchport vlan mapping 110 10
switchport vlan mapping 111 11
switchport vlan mapping 112 12
!
interface Ge1/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10-12
switchport mode trunk
switchport nonegotiate
!
interface vlan 2
ip address 10.0.2.1 255.255.255.0
!
interface vlan 3
ip address 10.0.3.1 255.255.255.0
!
interface Vlan4
ip address 10.0.4.1 255.255.255.0
!
interface Vlan110
ip address 10.0.10.1 255.255.255.0
!
interface Vlan111
ip address 10.0.11.1 255.255.255.0
!
interface Vlan112
ip address 10.0.12.1 255.255.255.0
!
no interface Vlan10
no interface Vlan11
no interface Vlan12IPS соответсвенно переводится в режим VLAN Group inline. Ну а там уже на вкус и цвет - можно все VLAN-ы запихать на один виртуальный сенсор, а можно по разным.
Думаю должно работать (сэмулировать Cat6к возможности нет - так что остаётся проверить только в живую).
Что думаете?
А обязательно ли vlan-ы гонять?пользовательские vlan-ы - в vrf 1, серверные в vrf 2, затем (6500)gig1/1 <-> IPS <-> (6500)gig1/2
gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 в vrf 2, поднастроить маршрутизацию и понеслась...Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 на (6500)gig1/2 через IPS...
> А обязательно ли vlan-ы гонять?Нет :) Это просто дальнейшие развитие вот этого сценария:
https://supportforums.cisco.com/docs/DOC-12206
> пользовательские vlan-ы - в vrf 1, серверные в vrf 2, затем
> (6500)gig1/1 <-> IPS <-> (6500)gig1/2
> gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3
> в vrf 2, поднастроить маршрутизацию и понеслась...
> Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1
> на (6500)gig1/2 через IPS...Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это ляжет на текущую EGIRP маршрутизацию в 6к...
VRF слабо знаю - руками сам не конфигурил никогда (
L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована не на VRF ?
>[оверквотинг удален]
>> (6500)gig1/1 <-> IPS <-> (6500)gig1/2
>> gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3
>> в vrf 2, поднастроить маршрутизацию и понеслась...
>> Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1
>> на (6500)gig1/2 через IPS...
> Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это
> ляжет на текущую EGIRP маршрутизацию в 6к...
> VRF слабо знаю - руками сам не конфигурил никогда (
> L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована
> не на VRF ?Исессно, вам даже на сам vrf, а vrf light нужен, т.к. о vrf-ах знать будет исключительно 65-й.
фактически vrf позволяет "распилить" маршрутизатор на несколько виртуальных маршрутизаторов, у каждого из которых своя назависимая таблица маршрутизации,
прохождение пакета будет выглядеть так:client-> vrf_router1-> (IPS) -> vrf_router2 -> server
но при этом vrf_router1 и vrf_router2 физически одна и та же железка 65-й каталист.
взаимодействие получиться как между 2-мя роутерами.