Witam,
czy posiadając switch (L2) z obsługa VLAN będę mógł w iptables bądź w jakiś inny sposób zarządzać pakietami z danego VLAN? Chodzi mi generalnie o to czy otagowane ramki dochodzą w ogóle do routera?
iptables VLAN
Chcę odseparować kilka działów od siebie. VLAN załatwia sprawę idealnie (ale będą komputery które powinny mieć dostęp do innych VLAN). Dodatkowo w sieci znajduję się kilka AP (2 SSID, dla pracowników oraz dla gości), dla każdego SSID mogę ustawić inny VLAN. Na serwerze chcę odpowiednio zarządzać routingiem na podstawie VLAN ID.
Dzień dobry.
Routingiem nie zarządza się na podstawie VLAN ID tylko na podstawie adresów IP. Robisz tak : tworzysz sobie interfejsy VLAN za pomocą polecenia vconfig, dzięki temu tworzą ci się osobne interfejsy sieciowe np eth0.111 dla vlan nr. 111, następnie interfejsy podnosisz i przypisujesz in odpowiednie IP z różnych klas, definiujesz sobie routing jak potrzeba i na koniec używasz iptables żeby zdefiniować które sieci mają się między sobą komunikować.
Pozdrawiam.
Routingiem nie zarządza się na podstawie VLAN ID tylko na podstawie adresów IP. Robisz tak : tworzysz sobie interfejsy VLAN za pomocą polecenia vconfig, dzięki temu tworzą ci się osobne interfejsy sieciowe np eth0.111 dla vlan nr. 111, następnie interfejsy podnosisz i przypisujesz in odpowiednie IP z różnych klas, definiujesz sobie routing jak potrzeba i na koniec używasz iptables żeby zdefiniować które sieci mają się między sobą komunikować.
Pozdrawiam.
Jeżeli chcesz switchem zarządzać (nie przez serial console) to tak. Jeżeli nie to nie ma to najmniejszego znaczenia.
Jedyne co potrzebujesz to serwer/urządzenie gdzie obywać się będzie routing, <jak wnioskuje serwer z debianem>, musisz wpiąć w port TRUNKowy.
I później jeżeli będziesz miał routing między VLANami, w iptabsach w tablicy FORWARD (bodajże), możesz dopisać swoje reguły.
Jedyne co potrzebujesz to serwer/urządzenie gdzie obywać się będzie routing, <jak wnioskuje serwer z debianem>, musisz wpiąć w port TRUNKowy.
I później jeżeli będziesz miał routing między VLANami, w iptabsach w tablicy FORWARD (bodajże), możesz dopisać swoje reguły.
EDIT:
razz87 pisze:(...) czy muszę na switchu przypisać również adres IP/maskę czy wystarczy zwykły zarządzalny przełączniki warstwy 2?
Trochę się pospieszyłem z odpowiedzią. Chodziło mi o to czy muszę przypisać adres IP/maskę dla każdego VLAN (ale na switchu).f1.micro pisze:Jeżeli chcesz switchem zarządzać (nie przez serial console) to tak. Jeżeli nie to nie ma to najmniejszego znaczenia. (...)
Nie
Good Practice:
Zrób osobny VLAN dla zarządzania. W tym vlanie zaadresuj switcha (dla cisco w defaulcie adresujesz w natywnym VLANie 1 - możesz zmieniać jak chcesz).
Następnie zrób regułę, dzięki której dostęp (ssh/telnet) jest osiągalny z VLANu w którym Ty pracujesz, lub (hardering) jedynie z twojego IP.
Nie wiem jak u innych producentów, ale na cisco tworzysz interface vlan # i adresujesz. W tym samym subnecie musisz mieć też interface na routerze, żeby mieć routing.
Good Practice:
Zrób osobny VLAN dla zarządzania. W tym vlanie zaadresuj switcha (dla cisco w defaulcie adresujesz w natywnym VLANie 1 - możesz zmieniać jak chcesz).
Następnie zrób regułę, dzięki której dostęp (ssh/telnet) jest osiągalny z VLANu w którym Ty pracujesz, lub (hardering) jedynie z twojego IP.
Nie wiem jak u innych producentów, ale na cisco tworzysz interface vlan # i adresujesz. W tym samym subnecie musisz mieć też interface na routerze, żeby mieć routing.