Poison Nuke 10 Geschrieben 10. November 2009 Melden Teilen Geschrieben 10. November 2009 Hallo, irgendwie ist das Zeug ein Krampf. Eigentlich brauch ich nur eins: völlige Unterbindung der L2 Kommunikation. -> mehrere VLANs, jedes entspricht einem IP Subnets - diese sind querbeet auf den Switchen (2960) verteilt, welche per Trunk an einem 6509 angeschlossen sind - Switche haben protected Ports -> innerhalb des Switches keine Kommunikation möglich (genau das gesuchte) - wenn ein VLAN auf zwei Switchen liegt können die angeschlossenen Rechner über den 6509 miteinander auf L2 Ebene kommunizieren genau das soll verhindert werden. nur der 6509 kennt keine "protected" Ports, sonst wäre das Thema einfach. er kennt nur die normale private VLAN konfig. Nur ich hab ich mich schon halb wund gesucht, ich finde keine Methode um die Trunkports dazu zu bringen das sie nicht "miteinander" den Datenverkehr austauschen sondern immer nur auf L3 Ebene verbunden werden. hab ich vllt was übersehen wie ich den 6509 überzeugen kann, die Switchports als protected zu konfigurgieren? Achja, für jeden angeschlossenen Rechner ein eigenes pVLAN .... soviele VLAN Nummern sind gar nicht möglich, mal ganz zu schweigen von dem exorbitanten schwachsinn den es darstellen würde. Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 10. November 2009 Melden Teilen Geschrieben 10. November 2009 Hi, sorry, verstehe ich nicht ganz: Du hast ein und dasselbe Subnetz über mehrere Access Switches verteilt, schreibst aber, dass du an der Distribution Area, nur via L3 verbinden willst? Irgendwie passt das nicht zusammen :D Wie gesagt, vielleicht habe ich es auch nur falsch verstanden. Vielleicht ist ja eine Lösung, dass ein Subnetz nur auf einem Access-Switch existiert. An der Distribution-Area dann ACLs auf das L3 SVI Interface setzen und fertig. Die inter-Client Kommunikation innerhalb eines Switches wird mit den protected Ports unterbunden. Hier noch ein Auszug aus CCO: Private Vlan Edge (protected ports) - Cisco Systems The PVLAN edge (protected port) is a feature that has only local significance to the switch (unlike Private Vlans), and there is no isolation provided between two protected ports located on different switches. A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port in the same switch. Traffic cannot be forwarded between protected ports at L2, all traffic passing between protected ports must be forwarded through a Layer 3 (L3) device. Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 10. November 2009 Autor Melden Teilen Geschrieben 10. November 2009 genau um den Punkt geht es mir: "there is no isolation provided between two protected ports located on different switches" das die Subnetze auf versch. Access Switche verteilt sind ist ja normal...ist ja der Kerngedanke von VLANs. Es soll nur halt unmöglich sein innerhalb der VLANs auf L2 ebene zu kommunizieren. Mehr nicht. also eigentlich würde es reichen, wenn man die Ports am distribution switch ebenfalls auf protected setzen könnte, aber das macht der 6509 halt eben nicht. und bei PVLANs finde ich keine sinnvolle KOnfig mit der man sowas machen könnte. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 10. November 2009 Melden Teilen Geschrieben 10. November 2009 ich glaube fast, das geht überhaupt nicht in so einem Szenario, da müssten policies ala enterasys direkt am interface sitzen und alles müsste direkt am access-switch geregelt werden Zitieren Link zu diesem Kommentar
Nightwalker_z 10 Geschrieben 10. November 2009 Melden Teilen Geschrieben 10. November 2009 Wie gesagt: 1 Access VLAN per Switch und dann auf der L3 Distribution mit ACLs arbeiten. Darf ich fragen, was die Anforderung ist, bzw. was der Grund für deine Anforderung ist? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 10. November 2009 Melden Teilen Geschrieben 10. November 2009 wenn er das so umsetzen würde, dann wären wohl aufwändige Umadressierungen notwendig. Und damit wohl auch etliche Freischaltungen. Evtl ne Art "segmentierte" DMZ, so kann man zwar eien Maschine kompromitieren, von da aus aber keien weitere in diesem Segment. Zitieren Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 10. November 2009 Autor Melden Teilen Geschrieben 10. November 2009 Wie gesagt: 1 Access VLAN per Switch und dann auf der L3 Distribution mit ACLs arbeiten. Darf ich fragen, was die Anforderung ist, bzw. was der Grund für deine Anforderung ist? nein eher nicht. Aber die Kernaussage sollte ja reichen, es darf keine L2 Kommunkikation innerhalb der VLANs mehr geben, welche ja auf versch. Switche verteilt sind, sonst bräuchte ich gar keine VLANs sondern würde einfach jedem Port des 6509 eine IP geben und dann die 2960 direkt anschließen, das wäre an sich die sauberste Lösung aber rein von der IP Verteilung und der usability usw usw undenkbar. :( Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.