вторник, 11 марта 2014 г.

Подключение роутера в симметричный 802.1q VLAN с доступом только к серверу

Дано: управляемый свич 2-го уровня HP Procurve 2530, роутер D-Link DSR-1000, сервер Ubuntu с одной сетевой картой.
Нужно: через удаленный доступ, организованный роутером D-Link, попадать только на сервер Ubuntu (остальная сеть не доступна), при этом из локальной сети сервер должен оставаться доступным.
Решение с симметричным VLAN 802.1q: На свиче создадим VLAN 10 для роутера и сервера. Роутер будет видеть только этот VLAN 10, сервер должен быть доступен для всей локальной сети VLAN 1 и виден в VLAN 10

Чтобы роутер видел только VLAN 10, порт куда он подключен должен принадлежать VLAN 10, режим untagged и не принадлежать VLAN 1.

Чтобы сервер видел и VLAN 1 и VLAN 10, порт куда он подключен должен принадлежать VLAN 1, режим untagged (таким образом все не маркированный пакеты с интерфейса eth0 будут попадать в VLAN 1) и в то же время принадлежать VLAN 10, режим tagged (таким образом все маркированный пакеты с интерфейса eth0.10 будут попадать в VLAN 10).
На сервере  надо включить и настроить VLAN.

Чтобы не заводить новый IP на сервере и не маркировать пакеты на сетевой карте, нужно использовать схему с асимметричным VLAN-ом.

На сервере Ubuntu настройка /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.0.10
        netmask 255.255.255.0
        gateway 192.168.0.1
        network 192.168.0.0      
        dns-nameservers 8.8.8.8 8.8.4.4

auto eth0.10
iface eth0.10 inet static
         address 192.168.150.1
         netmask 255.255.255.0
         network 192.168.150.0
         vlan-raw-device eth0

На роутере LAN: 192.168.150.2

На свиче HP Procurve 2530 производим настройку.
Подключаемся по ssh к свичу, ssh manager@192.168.0.5

Создаем vlan10, называем test, добавляем порты в нужных режимах:
HP Switch# configure
HP Switch(config)# vlan 10
HP Switch(vlan-10)# name test
HP Switch(vlan-10)# untagged 20
HP Switch(vlan-10)# tagged 21
HP Switch(vlan-10)# exit

В vlan1 добавляем и выставляем режим для 21 порта:
HP Switch(config)# vlan 1
HP Switch(vlan-1)# untagged 21
HP Switch(vlan-1)# exit
HP Switch(config) # write memory

Посмотреть настройку для порта:
HP Switch(config)# show vlan port 21 detail
Status and Counters - VLAN Information - for ports 21

VLAN ID Name             | Status       Voice Jumbo Mode
-------------------------------------------------------------------------------
1    DEFAULT_VLAN | Port-based|    No   |     No    Untagged
10  test                            | Port-based|    No   |     No    | Tagged

Если надо удалить порт из vlan, то команда 
HP Switch(vlan-10)# no tagged 21
Автор: на
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)