D-Link • Просмотр темы - Насторйка маршрутизации (OSPF) на DGS-36xx между VLAN-ами

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Насторйка маршрутизации (OSPF) на DGS-36xx между VLAN-ами

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 5 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

frayhard

Заголовок сообщения: Насторйка маршрутизации (OSPF) на DGS-36xx между VLAN-ами

Добавлено: Ср июн 03, 2009 14:13

Зарегистрирован: Вт апр 07, 2009 15:41
Сообщений: 9

Имеется узловая циска (свитч L3), к ней подключено N-ое количество DGS-36xx(12 или 27), к ним в свою очередь подключены DES-3526 и им подобные по классу коммутаторы (к ним уже подключены клиенты).
Первоначально была выбрана общая сеть 10.10.0.0/16 для всех клиентов, подключенных к DES-ам, и выделена VLAN 2 для клиентов и VLAN 100 для управления (подсеть 10.100.0.0/16).
Но получился очень большой бродкастовый домен. Поэтому для клиентов территориально близко расположенных друг к другу были выделены VLAN 3, VLAN 4 и т.д., а клиентская подсеть 10.10.0.0/16 поделена на мелкие подсети 10.10.0.0/24, 10.10.1.0/24 и т.д.
После этого была настроена динамическая маршрутизация (на базе OSPF), чтобы клиенты в разных VLAN-ах могли контактировать друг с другом. Был выделен отдельный VLAN 500 для OSPF и была выделена подсеть 192.168.0.0/24 для назначения на vlan интерфейсы. Клиенты из разных VLAN смогли общаться друг с другом, но была выяснена одна неприятная вещь, что клиентам так же стал доступен управляющий VLAN 100. Главный вопрос - как ограничить доступ абонентов к управляющему Vlan и соответственно управляющей подсети наиболее оптимально (не нагрушать CPU DGS-ов и т.п.)?

Вернуться наверх

golt

Заголовок сообщения:

Добавлено: Ср июн 03, 2009 14:20

Зарегистрирован: Пн окт 13, 2008 10:26
Сообщений: 5

Видиться два варианта решения -
1. Сделать аксесс листы которые запретят продвижение трафика с одной подсети в другую, но тогда надо будет писать правила для каждой подсети, плюс повторная обработка пакетов пакетным фильтром
2. создать фиктивный маршрут который будет отсылать пакеты из абонентских подсетей адресованные в управляющую подсеть на несуществующий адрес (либо на dev null)

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Ср июн 03, 2009 15:01

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

ну почему же. создать на DGS ACL, которая запретит с 10.10.0.0/16 на 10.100.0.0/16. И никаких свистоплясок

P.S. советую настроить на всех свитчах trusted hosts.

_________________
LiveComm

Вернуться наверх

golt

Заголовок сообщения:

Добавлено: Ср июн 03, 2009 15:23

Зарегистрирован: Пн окт 13, 2008 10:26
Сообщений: 5

настройка trusted hosts не решает проблему в принципе, так как лишь ограничивает доступ пользователей к конкретному свичу по айпишникам, что ничем не мешает составить например список хостов в сетке например nmap-ом, или заваливать хосты левыми пакетами,например организовать spoofing

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Ср июн 03, 2009 15:32

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

golt писал(а):

ACL + trusted hosts в добавок я имел ввиду

_________________
LiveComm

Вернуться наверх

Страница 1 из 1

[ Сообщений: 5 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 29

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения