Reyee - Layer 3 switch - VLAN-configuratie

• Configuratie:
• Router - Standaard VLAN-configuratie router
• SWITCH - VLAN-configuratie
• SWITCH - routeringsconfiguratie
• Router - routeringsconfiguratie
• SWITCH - ACL om inter-VLAN-verkeer voor VLAN 70 te blokkeren

Configuratie:

Reyee router : EG105G-V2

Reyee layer 3 switch : CS83-48GT4XS-P

• Router met standaard VLAN; ip 192.168.110.1
• Switch met 4 VLAN's
  • VLAN 50 -> 10.10.50.1
  • VLAN 60 -> 10.10.60.1
  • VLAN 70 -> 10.10.70.1
  • VLAN 80 -> 10.10.80.1
• Er moet inter-VLAN-toegang zijn op de router, maar VLAN 70 zullen we instellen om inter-VLAN-verkeer te blokkeren met ACL-regels en alleen verkeer binnen VLAN 70 en uitgaand internetverkeer toestaan

Router - Standaard VLAN-configuratie router

Stel VLAN in, in dit geval stellen we ip 192.168.110.1 in, met DHCP-pool van 192.168.110.1 tot 192.168.110.99, aangezien we 192.168.110.100 zullen gebruiken als interface-adres voor de switch.

SWITCH - VLAN-configuratie

Ga naar de webinterface van de switch, selecteer het apparaat vanuit de cloud en klik op eWeb.

Ga naar Netwerk->Poortconfiguratie->Poortbeheer

Voeg de VLANs toe door te klikken op + SVI-interface toevoegen, voeg ze één voor één toe om 4 VLANs te creëren

Selecteer vervolgens + Configureer poorten

Selecteer de poorten die je wilt toewijzen aan VLAN 50, je kunt meerdere poorten tegelijk selecteren, klik ze één voor één aan of sleep met de muis) en configureer met Poortmodus : Access Port, Access VLAN : 50

Herhaal de stappen om poorten toe te wijzen voor VLAN 60, 70 en 80

Configureer tenslotte op de switch de uplink-poort als layer 3 interfacepoort met ip-adres 192.168.110.100.

In het voorbeeld gebruikten we poort 47 op de switch:

Je kunt DHCP instellen indien nodig, ga hiervoor naar Netwerk->Geavanceerde configuratie->DHCP-service

In het voorbeeld hebben we de DHCP ingesteld voor elk VLAN voor het adres 1 tot 99 en laten we de overige adressen voor statische IP-adressen :

SWITCH - routeringsconfiguratie

Om internettoegang toe te staan vanaf apparaten die op de switch zijn aangesloten, moeten we een standaardroute instellen naar het IP-adres van de router.

Ga naar Netwerk->Routeconfiguratie->Statische route

En selecteer Standaardroute toevoegen, voor de Administrative Distance aangezien dit een statische route is, gebruik 1  en vul het ip-adres van de router in als next hop, 192.168.110.1

Zo weet de switch dat al het verkeer dat hij niet intern kan routeren naar de aangesloten router via de uplink gestuurd moet worden.

Je ziet deze routing toegevoegd:

Router - routeringsconfiguratie

Aangezien de VLANs 50, 60, 70 en 80 alleen op de switch bestaan, moeten we ook routing toevoegen in de router om internetverkeer terug te laten gaan naar de apparaten op de switch.

Dit kun je direct in de cloud doen

Ga naar Apparaten, selecteer de router, ga naar Configuratie->Routing en voeg 4 statische routes toe, 1 voor elk VLAN om verkeer terug te routeren naar de switch (ip-adres 192.168.110.100)

SWITCH - ACL om inter-VLAN-verkeer voor VLAN 70 te blokkeren

We kunnen ACL-regels van de switch gebruiken om bijvoorbeeld verkeer van VLAN 70 naar een ander VLAN op de switch te beperken, maar internetverkeer toe te staan.

ga naar Beveiliging->ACL->ACL->ACL-lijst

Selecteer ACL toevoegen en maak een nieuwe met type Extended ACL (flow-based control) en geef de ACL een naam

Nu voegen we de regels toe voor deze ACL:

Voeg deze 5 regels toe:

1. block 70 to 50 , protocol ip, van Src IP/Wildcard 10.10.70.0/0.0.0.255 naar Dest IP/Wildcard 10.10.50.0/0.0.0.255 , deny -> om verkeer van vlan 70 naar vlan 50 te blokkeren
2. block 70 to 60 , protocol ip, van Src IP/Wildcard 10.10.70.0/0.0.0.255 naar Dest IP/Wildcard 10.10.60.0/0.0.0.255 , deny -> om verkeer van vlan 70 naar vlan 60 te blokkeren
3. block 70 to 80 , protocol ip, van Src IP/Wildcard 10.10.70.0/0.0.0.255 naar Dest IP/Wildcard 10.10.80.0/0.0.0.255 , deny -> om verkeer van vlan 70 naar vlan 80 te blokkeren
4. allow traffic to router , protocol ip, van Src IP/Wildcard Any naar Dest IP/Wildcard 192.168.110.1/0.0.0.0 , permit -> om verkeer van vlan 70 naar internet toe te staan
5. catch all, protocol ip, van Src IP/Wildcard Any naar Dest IP/Wildcard Any , permit -> uiteindelijke impliciete “permit all”

Het zal er zo uitzien:

En we moeten deze ACL-regel toepassen op vlan 70

Beveiliging->ACL->ACL->ACL-toepassing

klik op Poort toevoegen

Selecteer je ACL uit de lijst

Richting : inbound

En selecteer het VLAN in de layer 3-lijst:

Houd er rekening mee dat deze specifieke ACL-regels eenrichtingsverkeer zijn (bron = VLAN 70).
Betekenis:

VLAN 70 → VLAN 50/60/80 = geblokkeerd
VLAN 50/60/80 → VLAN 70 = TOEGESTAAN, tenzij elders geblokkeerd

Als je volledige isolatie nodig hebt, moet je ook de omgekeerde richting blokkeren op de ACLs van die VLANs.