Основное различие между базовым стандартом 802.1q VLAN или симметричными VLAN и асимметричными VLAN заключается в том, как выполняется отображение адресов.
Симметричные VLAN используют отдельные адресные таблицы, и таким образом не существует пересечения адресов между VLAN-ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Асимметричные VLAN по умолчанию отключены. На использование асимметричных VLAN существуют следующие ограничения:
- Каждый порт в схеме асимметричного VLAN должен быть немаркированным (untagged).
- IGMP Snooping не поддерживаются.
Возвращаемся к нашей задаче.
Дано: управляемый свич 2-го уровня D-Link (свич придуман для примера на 21 порт), роутер D-Link DSR-1000, сервер Ubuntu с одной сетевой картой.
Нужно: через удаленный доступ, организованный роутером D-Link, попадать только на сервер Ubuntu (остальная сеть не доступна), при этом из локальной сети сервер должен оставаться доступным.
Решение с асимметричным VLAN без дополнительного сетевого интерфейса: В асимметричном VLAN PVID=1 по-умолчанию для всех интерфейсов.
Схема для D-Link взята отсюда.
Порты 1-19 - LAN, 20 - router 192.168.0.5, 21 - server 192.168.0.10
Таким образом у нас адресация локальной сети
На свиче производим настройку.
enable asymmetric_vlan
# default vlan is created by default
create vlan v2 tag 2
config vlan default delete 20
config vlan v2 add untagged 1-19,21
config gvrp 1-19,21 pvid 1
config gvrp 20 pvid 2
save
Но изначально задача ставилась для свича HP, а для него подобной схемы не нашел. То есть gvrp есть, но по такой схеме как для D-Link не работает. Как задать PVID я не нашел.
Но для HP Procurve 2530 есть другие способы разделить порты. А именно:
1) ссылка
[no] protected-ports <port-list>
Prevents the selected ports from communicating with each other. You must configure two or more ports.
no protected-ports all
Clears the protection from all ports; all ports can now communicate with each other.
Дано: управляемый свич 2-го уровня D-Link (свич придуман для примера на 21 порт), роутер D-Link DSR-1000, сервер Ubuntu с одной сетевой картой.
Нужно: через удаленный доступ, организованный роутером D-Link, попадать только на сервер Ubuntu (остальная сеть не доступна), при этом из локальной сети сервер должен оставаться доступным.
Решение с асимметричным VLAN без дополнительного сетевого интерфейса: В асимметричном VLAN PVID=1 по-умолчанию для всех интерфейсов.
Схема для D-Link взята отсюда.
Порты 1-19 - LAN, 20 - router 192.168.0.5, 21 - server 192.168.0.10
Таким образом у нас адресация локальной сети
| Ports | 1-19 | 20 | 21 |
|---|---|---|---|
| PVID | 1 | 2 | 1 |
| VLAN 1 | U | U | |
| VLAN 2 | U | U |
На свиче производим настройку.
enable asymmetric_vlan
# default vlan is created by default
create vlan v2 tag 2
config vlan default delete 20
config vlan v2 add untagged 1-19,21
config gvrp 1-19,21 pvid 1
config gvrp 20 pvid 2
save
Но изначально задача ставилась для свича HP, а для него подобной схемы не нашел. То есть gvrp есть, но по такой схеме как для D-Link не работает. Как задать PVID я не нашел.
Но для HP Procurve 2530 есть другие способы разделить порты. А именно:
1) ссылка
[no] protected-ports <port-list>
Prevents the selected ports from communicating with each other. You must configure two or more ports.
no protected-ports all
Clears the protection from all ports; all ports can now communicate with each other.
2)
filter source-port
Я использовал этот вариант.
Я использовал этот вариант.
# show filter source-port
Traffic/Security Filters
Filter Name | Port List | Action
----------------------- + -------------------- + --------------------------
no-incoming-web | 20 | drop 1-19,22-48
HP-2530-48G(config)# filter source-port named-filter no-incoming-web drop 1-19,22-48
HP-2530-48G(config)# filter source-port 20 named-filter no-incoming-web
HP-2530-48G(config)# write memory
Удаляется как обычно через no
Комментариев нет:
Отправить комментарий