Beiträge in diesem Abschnitt

Reyee - Layer 3 Switch - VLAN-Einrichtung

Avatar
SAT Norte Europa
  • Aktualisiert
Folgen

Einrichtung:

Reyee Router : EG105G-V2

Reyee Layer 3 Switch : CS83-48GT4XS-P

  • Router mit Standard-VLAN; IP 192.168.110.1
  • Switch mit 4 VLANs
    • VLAN 50 -> 10.10.50.1
    • VLAN 60 -> 10.10.60.1
    • VLAN 70 -> 10.10.70.1
    • VLAN 80 -> 10.10.80.1
  • Es sollte Inter-VLAN-Zugriff auf dem Router geben, aber VLAN 70 werden wir so einrichten, dass Inter-VLAN-Verkehr mit ACL-Regeln blockiert wird und nur Verkehr innerhalb des VLAN 70 sowie ausgehender Internetverkehr erlaubt wird

Router - Standard-VLAN-Einrichtung Router

Richten Sie das VLAN ein, in diesem Fall richten wir die IP 192.168.110.1 mit einem DHCP-Pool von 192.168.110.1 bis 192.168.110.99 ein, da ich 192.168.110.100 als Schnittstellenadresse für den Switch verwenden werde.

SWITCH - VLAN-Einrichtung

Gehen Sie zur Weboberfläche des Switches, wählen Sie das Gerät aus der Cloud aus und klicken Sie auf eWeb.

Gehen Sie zu Netzwerk->Port-Konfiguration->Port-Management

Fügen Sie die VLANs hinzu, indem Sie auf + SVI-Schnittstelle hinzufügen klicken, fügen Sie sie einzeln hinzu, um 4 VLANs zu erstellen

Wählen Sie dann + Ports konfigurieren

Wählen Sie die Ports aus, die Sie VLAN 50 zuweisen möchten, Sie können mehrere Ports gleichzeitig auswählen, klicken Sie sie einzeln an oder ziehen Sie mit der Maus) und konfigurieren Sie mit Portmodus: Access Port, Access VLAN: 50

Wiederholen Sie die Schritte, um Ports für VLAN 60, 70 und 80 zuzuweisen

Konfigurieren Sie abschließend am Switch den Uplink-Port als Layer-3-Schnittstellenport mit der IP-Adresse 192.168.110.100.

Im Beispiel haben wir Port 47 am Switch verwendet:

Sie können DHCP bei Bedarf einrichten, gehen Sie dazu zu Netzwerk->Erweiterte Konfiguration->DHCP-Dienst

Im Beispiel haben wir DHCP für jedes VLAN für die Adressen 1 bis 99 eingerichtet und die restlichen für statische IP-Adressen freigelassen:

SWITCH - Routing-Einrichtung

Um den Geräten, die mit dem Switch verbunden sind, Internetzugang zu ermöglichen, müssen wir eine Standardroute zur IP-Adresse des Routers einrichten.

Gehen Sie zu Netzwerk->Routenkonfiguration->Statische Route

Und wählen Sie Standardroute hinzufügen, für die Administrative Distance, da dies eine statische Route ist, verwenden Sie und tragen Sie die IP-Adresse des Routers als nächsten Hop ein, 192.168.110.1

So weiß der Switch, dass er allen Verkehr, den er intern nicht routen kann, über den Uplink an den verbundenen Router senden soll.

Sie werden diese Route hinzugefügt sehen:

Router - Routing-Einrichtung

Da die VLANs 50, 60, 70 und 80 nur im Switch existieren, müssen wir auch im Router Routing hinzufügen, damit der Internetverkehr zu den Geräten am Switch zurückkehren kann.

Dafür können Sie dies direkt in der Cloud machen

Gehen Sie zu Geräte, wählen Sie den Router, gehen Sie zu Konfiguration->Routing und fügen Sie 4 statische Routen hinzu, eine für jedes VLAN, um den Verkehr zurück zum Switch zu routen (IP-Adresse 192.168.110.100)

SWITCH - ACL zum Blockieren von Inter-VLAN-Verkehr für VLAN 70

Wir können ACL-Regeln vom Switch verwenden, um z.B. den Verkehr von VLAN 70 zu jedem anderen VLAN auf dem Switch zu beschränken, aber Internetverkehr zuzulassen.

Gehen Sie zu Sicherheit->ACL->ACL->ACL-Liste

Wählen Sie ACL hinzufügen und erstellen Sie eine neue mit Typ Erweiterte ACL (flussbasierte Steuerung) und benennen Sie die ACL

Jetzt fügen wir die Regeln für diese ACL hinzu:

Fügen Sie diese 5 Regeln hinzu:

  1. Blockiere 70 zu 50, Protokoll IP, von Quell-IP/Wildcard 10.10.70.0/0.0.0.255 zu Ziel-IP/Wildcard 10.10.50.0/0.0.0.255, verweigern -> um Verkehr von VLAN 70 zu VLAN 50 zu blockieren
  2. Blockiere 70 zu 60, Protokoll IP, von Quell-IP/Wildcard 10.10.70.0/0.0.0.255 zu Ziel-IP/Wildcard 10.10.60.0/0.0.0.255, verweigern -> um Verkehr von VLAN 70 zu VLAN 60 zu blockieren
  3. Blockiere 70 zu 80, Protokoll IP, von Quell-IP/Wildcard 10.10.70.0/0.0.0.255 zu Ziel-IP/Wildcard 10.10.80.0/0.0.0.255, verweigern -> um Verkehr von VLAN 70 zu VLAN 80 zu blockieren
  4. Erlaube Verkehr zum Router, Protokoll IP, von Quell-IP/Wildcard Beliebig zu Ziel-IP/Wildcard 192.168.110.1/0.0.0.0, erlauben -> um Verkehr von VLAN 70 zum Internet zu erlauben
  5. Catch all, Protokoll IP, von Quell-IP/Wildcard Beliebig zu Ziel-IP/Wildcard Beliebig, erlauben -> endgültiges implizites „permit all“

Es wird so aussehen:

Und wir müssen diese ACL-Regel auf VLAN 70 anwenden

Sicherheit->ACL->ACL->ACL-Anwendung

Klicken Sie auf Port hinzufügen

Wählen Sie Ihre ACL aus der Liste aus

Richtung: Eingehend

Und wählen Sie das VLAN in der Layer-3-Liste aus:

Beachten Sie, dass diese speziellen ACL-Regeln unidirektional sind (Quelle = VLAN 70).
Bedeutet:

VLAN 70 → VLAN 50/60/80 = blockiert
VLAN 50/60/80 → VLAN 70 = ERLAUBT, sofern nicht anderswo blockiert

Wenn Sie vollständige Isolierung benötigen, müssen Sie auch die umgekehrte Richtung in den ACLs dieser VLANs blockieren.

Verwandte Beiträge