- Организация VLAN на Alcatel Lucent 6850, fantom, 15:26 , 10-Янв-13 (1)
> Имеется в наличии железка Alcatel Lucent 6850-40. > Есть три подсети 10.0.80.0(VID1), 10.0.81.0(VID2) и 10.0.127.0(VID3) > Имеется шлюз с файрволом на фряхе 10.0.80.253 > Пока на интерфейсах вланов включен forward все работает, инет раздается. Но вланы > видят друг друга и толку от них никакого. > Как только его выключаем естественно связь обрывается. > Не понимаю как и где настраивается таблица маршрутизации? > Нужно ли для этого создавать правила в policy rule или все придется > на файерволе прописывать? > Подскажите в каком направлении копать, мануалы есть, но не совсем понимаю логику. Начните с теории... В простейшем варианте - файрволом запретите трафик между нужными интерфейсами.
- Организация VLAN на Alcatel Lucent 6850, Рихард, 15:35 , 10-Янв-13 (2)
> Начните с теории... > В простейшем варианте - файрволом запретите трафик между нужными интерфейсами.А что нужно прописать, чтобы мои вланы ходили через вышеуказанный шлюз? Или тоже надо прописывать правило для файервола?
- Организация VLAN на Alcatel Lucent 6850, fantom, 15:39 , 10-Янв-13 (3)
>> Начните с теории... >> В простейшем варианте - файрволом запретите трафик между нужными интерфейсами. > А что нужно прописать, чтобы мои вланы ходили через вышеуказанный шлюз? > Или тоже надо прописывать правило для файервола?Вы так и не описали, чего хотите добиться.
- Организация VLAN на Alcatel Lucent 6850, Рихард, 15:51 , 10-Янв-13 (4)
> Вы так и не описали, чего хотите добиться.1. Необходимо выпустить вланы в интернет через указанный шлюз. когда включен форвардинг в инет все ходят, только вот и к друг другу тоже, что собственно логично. Если я форвард на интерфейсе отключаю, связь влана с миром пропадает. Я так понимаю что нужно ему явно указать куда и через что ходить. Как мне это сделать?
- Организация VLAN на Alcatel Lucent 6850, fantom, 16:15 , 10-Янв-13 (5)
>> Вы так и не описали, чего хотите добиться. > 1. Необходимо выпустить вланы в интернет через указанный шлюз. когда включен форвардинг > в инет все ходят, только вот и к друг другу тоже, > что собственно логично. Если я форвард на интерфейсе отключаю, связь влана > с миром пропадает. Я так понимаю что нужно ему явно указать > куда и через что ходить. Как мне это сделать?если используется ipfw то например правилом вроде ipfw add 00102 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via <int_vlan2> ipfw add 00103 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via <int_vlan3>
- Организация VLAN на Alcatel Lucent 6850, Рихард, 16:41 , 10-Янв-13 (6)
> ipfw add 00102 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via > <int_vlan2> > ipfw add 00103 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via > <int_vlan3> Так если я форвардинг отключу, то и файервол не увижу. Надо же сказать влану куда и через что ходить. Я понимаю это настраивается непосредственно на маршрутизаторе.
- Организация VLAN на Alcatel Lucent 6850, fantom, 17:53 , 10-Янв-13 (7)
>> ipfw add 00102 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via >> <int_vlan2> >> ipfw add 00103 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via >> <int_vlan3> > Так если я форвардинг отключу, то и файервол не увижу. Надо же > сказать влану куда и через что ходить. Я понимаю это настраивается > непосредственно на маршрутизаторе."шлюз" и "маршрутизатор" это у вас одно и то же или нет?
- Организация VLAN на Alcatel Lucent 6850, Рихард, 18:15 , 10-Янв-13 (8)
> "шлюз" и "маршрутизатор" это у вас одно и то же или нет? шлюз это физическая машина из подсети 10.0.80.0(тобишь VID1). На нем настроен виртуальный интерфейс с вланами. Маршрутизатор это и есть мой Alcatel. На нем уже физические вланы. Эта конфигурация до меня была. То есть каждому интерфейсу на Alcatele соответствует виртуальный интерфейс на шлюзе через которые вланы в интернет смотрят. Я вот чего не могу понять, мне маршруты между вланами прописывать и открывать закрывать доступ на фряхе надо через файервол или можно как то физически это реализовать. И режим интерфейса forward на алкателе для чего нужен вообще? Если я его активирую все работает во все стороны, в какие только можно: все вланы между собой общаются. Как мне их изолировать?
- Организация VLAN на Alcatel Lucent 6850, fantom, 10:53 , 11-Янв-13 (9)
>[оверквотинг удален] > интерфейс с вланами. > Маршрутизатор это и есть мой Alcatel. На нем уже физические вланы. > Эта конфигурация до меня была. То есть каждому интерфейсу на Alcatele соответствует > виртуальный интерфейс на шлюзе через которые вланы в интернет смотрят. Я > вот чего не могу понять, мне маршруты между вланами прописывать и > открывать закрывать доступ на фряхе надо через файервол или можно как > то физически это реализовать. И режим интерфейса forward на алкателе для > чего нужен вообще? Если я его активирую все работает во все > стороны, в какие только можно: все вланы между собой общаются. Как > мне их изолировать?1. разбритесь с терминологией! То что вы упорно называете коммутатор маршрутизатором говорит о весьма поверхностном представлении о задачах как первого, так и второго (или же вы чего-то не договариваете). 2. приведенные выше правила какраз блокируют доступ из vlan1 в vkan-ы 2 и 3, по аналогии можно составить правила для блокировки трафика между остальными интерфейсами.
- Организация VLAN на Alcatel Lucent 6850, Рихард, 12:57 , 11-Янв-13 (10)
> 1. разбритесь с терминологией! То что вы упорно называете коммутатор маршрутизатором говорит > о весьма поверхностном представлении о задачах как первого, так и второго > (или же вы чего-то не договариваете). > 2. приведенные выше правила какраз блокируют доступ из vlan1 в vkan-ы 2 > и 3, по аналогии можно составить правила для блокировки трафика между > остальными интерфейсами.В общем я не понимаю зачем при такой железке использовать программный маршрутизатор. На данный момент на фряхе три интерфейса: два провайдера и один внутренний. Она же и почтовик и шлюз и файервол. Я хочу, чтобы она выполняла функции только файервола, а маршрутизация осуществлялась посредством Alcatel. Соответственно возникает вопрос, как мне прописать в алкателе правила для вланов.
- Организация VLAN на Alcatel Lucent 6850, Рихард, 13:08 , 11-Янв-13 (11)
Я ошибочно полагал что сей девайс является маршрутизатором, в связи с чем и возникло сие недоразумение. Придется доделывать существующую схему
- Организация VLAN на Alcatel Lucent 6850, fantom, 14:26 , 11-Янв-13 (12)
> Я ошибочно полагал что сей девайс является маршрутизатором, в связи с чем > и возникло сие недоразумение. Придется доделывать существующую схему Опишите полную схему! Куда интерфейсы с VLAN-ами "прикручены" (на какой железке)??? Если Алькатель у вас L3 коммутатор и на нем "приземлены" VLAN-ы - то там и надо ACL-ы настраивать, а если он чисто L2 функцию выполняет - то ACL надо на фре крутить, но если вам надо запретить трафик между подсетями внутренними - то нет смысла вообще за3действовать L3 функционал алькателя, т.к. весь трафик все равно уйдет на шлюз... Так или иначе точка отказа у вас все равно одна (фря) и зачем городить в таком случае лишний уровень в виде L3 свича с ACL-ами не совсем понятно, но не невозможно Как-то так получается. - Организация VLAN на Alcatel Lucent 6850, Рихард, 16:18 , 11-Янв-13 (13)
>[оверквотинг удален] > Если Алькатель у вас L3 коммутатор и на нем "приземлены" VLAN-ы - > то там и надо ACL-ы настраивать, а если он чисто L2 > функцию выполняет - то ACL надо на фре крутить, но если > вам надо запретить трафик между подсетями внутренними - то нет смысла > вообще за3действовать L3 функционал алькателя, т.к. весь трафик все равно уйдет > на шлюз... > Так или иначе точка отказа у вас все равно одна (фря) и > зачем городить в таком случае лишний уровень в виде L3 свича > с ACL-ами не совсем понятно, но не невозможно > Как-то так получается.VLAN-ы созданы на Alcatel-е и созданы на фряхе. На Alcatele на интерфейсах надо forward отключать?
- Организация VLAN на Alcatel Lucent 6850, Рихард, 21:46 , 13-Янв-13 (14)
> VLAN-ы созданы на Alcatel-е и созданы на фряхе. На Alcatele на интерфейсах > надо forward отключать?Параметр "forward" полностью запрещает доступ к интерфейсу(на Alcatel-e) на аппаратном уровне? Тогда логично установить его в "on" и далее управлять доступом средствами файервола шлюза(в данном случае фряхи). Я правильно рассуждаю? Ответа в документации я не нашел. Там только написано что он явно открывает или закрывает форвардинг на данном интерфейсе. А что именно это значит в данном случае я не понял! Может кто работал с таким оборудованием. Могу процитировать доку если надо, может я что не так понял.
- Организация VLAN на Alcatel Lucent 6850, Hohol, 16:16 , 29-Авг-13 (15)
Помогите пожалуйста с проблемой. Есть ли возможность присвоить VLAN определенной подсети? Например, чтобы все пакеты с адресом назначения из подсети 192.168.0.0/24 присваивались VLAN 101. Все для того, чтобы в одном коммутаторе связать подразделения работающие по L2 и по L3. - Организация VLAN на Alcatel Lucent 6850, Рихард, 14:35 , 30-Авг-13 (16)
> Помогите пожалуйста с проблемой. > Есть ли возможность присвоить VLAN определенной подсети? Например, чтобы все пакеты с > адресом назначения из подсети 192.168.0.0/24 присваивались VLAN 101.Что значит присваивались? У VLAN-а уже есть свой адрес(интерфейс), который ты назначили при его создании. Все остальные манипуляции с подсетями это маршрутизация. Или я не правильно понял суть вопроса?
|