Configurar Vlan Restrita no switch 6248

Servidores, Storage & Networking

Servidores, Storage & Networking
Procurando por soluções de negócio mais eficientes? Encontre aqui dicas, tutoriais e respostas para suas dúvidas sobre Servidores, Storage e Redes.

Configurar Vlan Restrita no switch 6248

Esta pergunta foi respondida DELL-Antonio M

Boa tarde,

Estou com uma duvida para configura um vlan restrita.

Tenho as configurações de vlan configuradas.

Resposta verificada

  • Olá, Suportebcw!

    Obrigado pela dúvida interessante, mas normalmente as pessoas perguntam exatamente o contrário! hehehehe! Geeked

    Mas muito legal, tem utilidade não rotear uma VLAN.

    Seguem algumas maneiras de fazer isso:

    Abaixo temos um trecho de configuração onde vemos as VLANs 10,30,60,90 e 4093. Sendo que a 4093 não é roteável.
    <snip>

    vlan database
    vlan 10,30,60,90,4093
    vlan routing 1 1
    vlan routing 30 2
    vlan routing 60 3
    exit

    <snip>

    Ou seja, digamos que você não quer mais que a VLAN 60 seja roteável, então teremos que configurar:

    configure
    vlan database
    no vlan routing 60
    exit

    Além disso, você também pode fazer o seguinte:

    Temos abaixo o exemplo o mesmo switch acima que usei no nosso lab. Aqui, as VLANs 30 e 60, por exemplo, possui um endereço associado e faz roteamento:

    <snip>

    interface vlan 30
    routing
    ip address 30.30.30.1 255.0.0.0
    exit
    interface vlan 60
    routing
    ip address 60.60.60.1 255.0.0.0
    exit

    <snip>

    Então, o que você precisa fazer é "negar" o routing assim:

    configure
    interface vlan 60
    no routing
    exit

    E você pode ainda, Suportebcw, retirar o endereço ip da interface VLAN 60. Dessa forma, algum firewall ou appliance fará o papel de default gateway das estações de trabalho daquela VLAN.

    Em casos mais extremos, Suportebcw, você pode aplicar uma ACL - access control list (lista de controle de acesso) na entrada da interface VLAN 60. Esta ACL, pode impedir que as estações dentro da VLAN 60  sejam roteadas apenas para algumas faixas de IP e não outras.

    Exemplo:

    Ainda usando o caso do switch acima, digamos que você não quer que as estações da VLAN 30 sejam alcançável para quem veio da VLAN 60. Então você poderia fazer:

    configure
    access-list ROUTING-VLAN60 deny ip any 30.0.0.0 255.0.0.0
    access-list ROUTING-VLAN60 permit ip any any
    interface vlan 60
    ip access-group ROUTING-VLAN60 in
    exit

    Mas isso é muito melhor de fazer no firewall mesmo.

    Espero ter coberto todas possibilidades e sanado sua dúvida, Suportbcw. Não esqueça de indicar que a solução funcionou!

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

Todas as respostas

  • Olá, Suportebcw!

    Obrigado pela dúvida interessante, mas normalmente as pessoas perguntam exatamente o contrário! hehehehe! Geeked

    Mas muito legal, tem utilidade não rotear uma VLAN.

    Seguem algumas maneiras de fazer isso:

    Abaixo temos um trecho de configuração onde vemos as VLANs 10,30,60,90 e 4093. Sendo que a 4093 não é roteável.
    <snip>

    vlan database
    vlan 10,30,60,90,4093
    vlan routing 1 1
    vlan routing 30 2
    vlan routing 60 3
    exit

    <snip>

    Ou seja, digamos que você não quer mais que a VLAN 60 seja roteável, então teremos que configurar:

    configure
    vlan database
    no vlan routing 60
    exit

    Além disso, você também pode fazer o seguinte:

    Temos abaixo o exemplo o mesmo switch acima que usei no nosso lab. Aqui, as VLANs 30 e 60, por exemplo, possui um endereço associado e faz roteamento:

    <snip>

    interface vlan 30
    routing
    ip address 30.30.30.1 255.0.0.0
    exit
    interface vlan 60
    routing
    ip address 60.60.60.1 255.0.0.0
    exit

    <snip>

    Então, o que você precisa fazer é "negar" o routing assim:

    configure
    interface vlan 60
    no routing
    exit

    E você pode ainda, Suportebcw, retirar o endereço ip da interface VLAN 60. Dessa forma, algum firewall ou appliance fará o papel de default gateway das estações de trabalho daquela VLAN.

    Em casos mais extremos, Suportebcw, você pode aplicar uma ACL - access control list (lista de controle de acesso) na entrada da interface VLAN 60. Esta ACL, pode impedir que as estações dentro da VLAN 60  sejam roteadas apenas para algumas faixas de IP e não outras.

    Exemplo:

    Ainda usando o caso do switch acima, digamos que você não quer que as estações da VLAN 30 sejam alcançável para quem veio da VLAN 60. Então você poderia fazer:

    configure
    access-list ROUTING-VLAN60 deny ip any 30.0.0.0 255.0.0.0
    access-list ROUTING-VLAN60 permit ip any any
    interface vlan 60
    ip access-group ROUTING-VLAN60 in
    exit

    Mas isso é muito melhor de fazer no firewall mesmo.

    Espero ter coberto todas possibilidades e sanado sua dúvida, Suportbcw. Não esqueça de indicar que a solução funcionou!

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Olá,

    Obrigado pelas informações, mas estou tendo dificuldades em aplicar as ACLs/exemplos, nos testes que realizei acaba bloqueando mais coisas que deveria, basicamente gostaria de bloquear que as portas de determinada VLAN pudessem se comunicar diretamente, permitindo apenas que a VLAN XXX possa enviar pacotes somente para o LAG XX.

    Tem algumas dicas/sugestões sobre ACLs?

  • Olá, Unisec!

    Como vai? Tudo bem?

    Muito bom ver que o tópico está se aprofundando e indo para além as dúvidas tradicionais.

    O que você está precisando, Unisec, é de implantar a funcionalidade da Private VLAN.

    Este é uma feature muito legal que faz exatamente o que você descreveu.

    Uma breve explicação por ser vista aqui. Apesar de ser um passo-a-passo escrito para outro modelo, a teoria é a mesma.

    E para o caso específico do 62xx, esta dúvida já foi respondida no aqui no fórum em inglês.

    Mais ainda: na página 324 do User guide tem mais informações.

    Espero ter ajudado. Por favor, não esqueça de postar aqui se você conseguiu implantar.

    Até mais! YesGeeked

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Olá, Antonio!

    Exatamente isso, muito obrigado. Nos testes iniciais consegui fazer funcionar como desejado exceto nas portas que promíscuas que neste caso deveria usar o LAG(Po1), porém esse LAG atua como trunk, com diversas TAGs e quando executo

    switchport mode private-vlan promiscuous

    switchport private-vlan mapping 100 101-102

    Muda para ACCESS e as demais VLANs param.

    Se puder ajudar em como aplico o modo promiscuo em um LAG.

    Até!

  • Olá, Unisec!

    No caso dos modelox 62xx, a sintaxe em linha de comando é diferente.

    Abaixo segue um exemplo:

    !
    configure
    vlan database
    vlan 1000
    vlan routing 1000 1
    exit
    !
    switchport protected 0 name "PRIVATE"
    !
    interface ethernet 1/g1
    switchport access vlan 1000
    switchport protected 0
    exit

    O guia do usuário só mostra via interface web de gerenciamento. Mas é assim como mostrei acima. O detalhe é que assim as portas de trunk (uplink) são sempre promíscuas e as portas da private vlan são sempre Isolated na implementação dos 62xx. O lado bom é que não precisa configurar nada nos uplink trunks.

    Espero ter ajudado!

    Uma curiosidade, Unisec: qual é a versão de firmware do seu 6248? Pergunto por que ele nem sequer deveria ter aceitado os outros comandos. Huh?

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Boa tarde! :)

    Mais uma vez obrigado pelo auxilio.

    Realmente a maioria da sintaxe não é igual, mas com pouco tempo e tentativas fui adaptando, após sua dica, pesquisei Private Vlan  encontrei maiores referencias na DELL.

    Em relação a opção routing realmente não apliquei, não usamos a VLAN 1 mas deveria utilizar routing em outra VLAN? 

    Meu problema esta em definir portas promíscuas, nas portas definidas como community tudo certo entre elas, mas por ser um LAG, quando seleciono a interface(ou seria grupo?), não consigo me comunicar com o roteador conectado neste LAG e as VLANs, ele perde as TAGs ou algo assim.

    console# configure

    console(config)# interface port-channel 1

    console(config-if-Po1)# switchport mode private-vlan promiscuous

    console(config-if-Po1)#switchport private-vlan mapping 100 101

    Não devo definir as portas do LAG como promiscuas? deixo trunk com tags?

    Quando executo os comandos acima,  muda o tipo de porta do LAG e perco acesso, no caso as portas do LAG não se comunicam/respondem, embora o LAG esteja na VLAN primária, parece estar em modo ACCESS ao invés de Trunk/TAG, ou deveria ser DVLAN?

    Basicamente, utilizei os comandos/opções

    console# configure
    console(config-vlan-100)# private-vlan primary

    console(config-vlan-100)# exit

    console(config)# vlan 101

    console(config-vlan-101)# private-vlan isolated

    console(config-vlan-101)# exit

    console(config)# vlan 100
    console(config-vlan-100)# private-vlan association 101

    console(config-vlan-100)# exit

    Em seguida selecionei as portas das vlans isoladas

    console(config)#interface gi1/0/1
    console(config-if-Gi1/0/1)#switchport mode private-vlan host

    console(config-if-Gi1/0/1)#switchport private-vlan host-association 100 101

    No meu ambiente tenho um stack com 3 unidades, o servidor que deve ter as interfaces promiscua e possuir as TAGs das VLANs primárias,  tem 3 placas ethernet conectadas uma em cada switch através de um LAG(definido como 1, Po1), este LAG esta definido como trunk(embora possua a opção de DVLAN) e com todas as vlans primárias marcadas(T).

  • Boa tarde, Unisec! Geeked

    Ficamos satisfeitos em ver que você está progredindo apesar do problema com a porta em LAG.

    Creio que isto seja um problema com a implementação desta feature na versão de firmware que você possui.

    Eu até tentei reproduzir o que você fez em laboratório e não consegui pois nem aceita essa sintaxe.

    Eu usei a última versão de firmware para os 62xx.

    Nesta última versão, o exemplo que passei funciona corretamente e a porta promíscua não precisa ser configurada como tal. Você não precisa configurar nada no LAG. Pode deixar o trunk como era do comando "switchport mode private-vlan promiscuous" no Po1.

    Ah, sim! E a opção de routing é para que o switch possa fazer roteamento entre as VLANs. Mas no seu caso não influencia em nada tendo essa opção ou não. No nosso lab fizemos assim para poder testar mas não faz difereça.

    Você pode nos enviar o resultado do comando "show version" por favor, Unisec?

    Obrigado e até mais! Yes

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.

     

  • Fechou Antonio!! Muito bom!

    Bem oq precisava, após atualizar o firmware com a versão do link que você enviou e também "não" definir ou alterar o LAG, deixando ele como trunk, funcionou como desejado, portas isoladas com sucesso Cool

    Agora vou fazer o mesmo(ou semelhante) em outro stack com o modelo N1548, mesmo cenário, LAG + Private-VLAN.

    Obrigado pelo auxilio.

  • Blz, Unisec!

    Ficamos bem satisfeitos em saber que funcionou bem agora.

    Tenho certeza que você não vai ter dificuldades com os N Series pois a sintaxe é a mesma.

    Para outras pessoas que estiverem nos lendo, recomendo a leitura do guia do usuário dos N Series. Na página 865 tem um exemplo de protected port (private vlan).

    FeShow então, Unisec! YesCool

      Antonio Moraes
     Fórum Moderator
     Enterprise ProSupport

    Chat | Twitter | Facebook | 0800 970 3355

    Clique em   aqui em baixo caso esta postagem tenha respondido à sua pergunta.