Jump to content

management vlan

kuru
 Share

Recommended Posts

kuru

kuru

Posted
Posted

Сечайс все живет в native vlan (vlan1). Думаю сделать разнос по VLAN-ам.

 

Все оборудование в management vlan (vlan2), юзеров в несколько виланов (vlan 3-10), native vlan (vlan1) disabled. Между свичам транки, vtp domain.

 

Смысл, чтобы юзеры ничего не пропихнули из нейтив вилана, сегментирование, защита оборудования.

 

Появится некий гимор с конфигурированием - порт сначало нужно будет сконфигруть, перед тем как что-то воткнуть.

 

Какие еще проблемы/минусы данного решения?

KuZia095

KuZia095

Posted
Posted

Никаких "минусов" и проблемы.

Что понимается под "native vlan" в данн.контекст.?

 

"trunk" - есть "trunk".

access/native есть ни что иное, как native/access. :)

 

Я так понимаю схема прибл. следующая:

                   ||                  коммутатор                            ||

[int::USER]---untag---[accessPORT#5::dot1q/vlan5]

......................[accessPORT#6::dot1q/vlan6]

......................[accessPORT#10::dot1q/vlan10]---[trunkPORT#26::vlan2-10]----TAGGED[2-10]-----["campusCORE"]

В чем проблемы-то?

kuru

kuru

Posted
  • Author
Posted

Собираемся еще купить пару Cisco AP 123X. Он подключается транком, юзеры попадают в отделный vlan. Но у него, насколько помню, management vlan должен быть native (через него пихается radius, dhcp, etc), оно не может быть тегированным.

 

?

 

Где еще засады могут вылезти?

kuru

kuru

Posted
  • Author
Posted

>Никаких "минусов" и проблемы.

>Что понимается под "native vlan" в данн.контекст.?

 

В какой месте? Приведи цитату - тогда станет понятно.

 

Не теггированного трафика в сети нету вообще, только на юзерских портах.

native (default) vlan 1 disabled.

KuZia095

KuZia095

Posted
Posted

Согласен. Для AP оставить 1й vlan; каждой wifi - группе/пользователю, естественно, свой ssid == bridge-gr-p == vlan.

 

2Kuro: не сразу понял о чем речь.

А "Не теггированного трафика в сети нету вообще" !== "Сечайс все живет в native vlan (vlan1)".

Nailer

Nailer

Posted
Posted

Несколько маленьких хинтов.

 

В качетстве native vlan используйте вланы из дипазона выше 1000, желательно на каждом транке разные.

 

По первому влану идут management траффик а-ля VTP, STP и иже с ними, поэтому первый влан должен присутствовать, но он должен быть тегированным.

kuru

kuru

Posted
  • Author
Posted

В security доках рекомендуют native vlan делать disabled, юзеры в access vlans, между свичами транки. Не теггированного трафика нету (нельзя например воткнуться в транковый порт и чего-то послать), юзеры не могут пропихнуть fake tagged vlan.

 

Немного появляется гимор c конфигурированием. Но у меня нет проблем

с падающими линками. Все свичи всегда доступны.

 

To Nailer: а смысл разных native vlan? Для чего?

 

Это не совсем homelan, я небольшой корпоративщик :)

Nailer

Nailer

Posted
Posted
В security доках рекомендуют native vlan делать disabled, юзеры в access vlans, между свичами транки. Не теггированного трафика нету (нельзя например воткнуться в транковый порт и чего-то послать), юзеры не могут пропихнуть fake tagged vlan.

 

Немного появляется гимор c конфигурированием. Но у меня нет проблем

с падающими линками. Все свичи всегда доступны.

 

To Nailer: а смысл разных native vlan? Для чего?

 

Это не совсем homelan, я небольшой корпоративщик :)

 

В секурити доках описываются также механизмы атак, при которых траффик попадает в native vlan. Кроме того, native vlan не всегда получается отключить, например на оборудовании cisco.

 

Разные native вланы делаются для того, чтобы ненароком не построить сквозной туннель в native vlan-е через все рутеры-файровллы.

Maris

Maris

Posted
Posted

A tak delatj mozna ?

Defalt vlan1, ponemu begajet vso chto do etovo begala.

vlan 555 managmen

vlan 2,3-50 izpolzuetsa po neobhodimosti.

 

jesle vdrug chto sluchitsa i pridotsa L2 swich zaminitj na milnicu, vso budet rabotatj dalshe za izkluchenije, klientov kotorije bile na zamenajemom swiche kak untaged, iz grupi vlan 2,3-50.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.