Фильтрация трафика HP 2626 и ZyXEL ES-4042A. Объясните, в конец запутался...

[amper]

Задача нетривиальная: сеть разделена на 15 VLAN'ов (через L2 свичи), в центральной точке (куда преполагается установить новый свич) нужно подключить 15 VLAN'ов в транковый порт и создать 1 серверный VLAN в который доступ будут иметь все, НО! и оставить возможность роутинга между несколькими клиентскими VLAN'ами по IP.

 

Как я думал, для этих целей подходят Zyxel ES-4042A и HP ProCurve 2626, но чтение их мануалов окончательно меня запутало...

 

1) HP Pro Curve 2626

Скачал мануалы, по сути многотомные книги :) в специальном мануале: Access security guide в основном описывается, как все здорово с точки зрения фильтрации по физическим портам. С 1 порта на 20 нельзя, с 20 на 21 нельзя, короче куда примеров, и так и вот так, и в конце всего этого написано:

 

Applying a Source Port Filter in a Multinetted VLAN.

If you have multiple IP addresses configured on the same VLAN (multinetting), and routing is enabled on the switch, then a single port or trunk can be both the source and destination of packets moving between subnets in that same VLAN. In this case, you can prevent the traffic of one subnet from being routed to another subnet on the same port by configuring the port or trunk as both the source and destination for traffic to drop.

И все!!! Больше ни слова, ни одного примера как это делается! В общем я так и не понял, как именно он позволяет фильтровать IP трафик внутри транкового порта, может ли он фильтровать IP трафик по протоколам и портам - загадка!? Объясните, кто ни будь!

 

2) ZyXEL ES-4042A

После HP мануал какой-то невнятный, все сведено к использованию WEB интерфейса (хотя, если аналогия с ADSL роутерами тут уместна, CLI на них всегда представляет больше возможностей, чем WEB).

 

В разделе Classifier имеем скриншот WEB интерфейса в котором красиво можно указать все параметры отлова трафика! Однако, потом, созданные Classifiers вставляются в меню Filtering, а Filtering судя по мануалу может только "discard (or drop) traffic flow", и опять же не указано, сколько Classifiers может быть в одном Filter или сколько их может быть всего (активных)... Но самое главное, непонятно, как разрешить только конкретные соединения?

 

Допустим:

Source IP: 192.168.1.1/30 Dest IP: 192.168.10.1/24 - Allow,

Source IP: 0.0.0.0 (т.е. ANY) Dest IP: 192.168.10.1/24 - Deny.

 

Такое возможно? Возвращаясь к ADSL роутерам, через CLI там настройки правил в фильтрах преполагают не только Discard, но и Forward. А может ли такое ES-4042A я, исходя из мануала, понять не могу!

 

Объясните, если кто пользовался данной железкой.

[vIv]

Если 15 виланов приходят в порт, допустим, 5, а сервера живут в других портах, то достаточно просто дропать пакеты из порта 5 в порт 5 ;-)

 

ProCurve(config)# filter source-port 5 drop 5

[SergeiK]

HP2626 не умеет ACL-и L3-L4. По крайне мере я не нашел об этом упоминания в доках, и в интерфейсе нету.

На толстых HP - интерфейс сходен с Cisco, хотя беднее. В том числе и по ACL заметно ограничен, но осоновные функции выполняет.

[amper]

vIv

Гм, теоретически да, но практически тогда не сможем делать исключения?

 

Как я понял в случае с Zyxel'ем, более адекватные настройки в плане фильтрации имеет модель 4124, но на нашем рынке пока недоступна :(

 

А 4024 может только запрещать, без исключений... а это ж целый головняк прописывать все запрещенные адреса, вместо пары разрешенных :(

[vIv]

vIv

Гм, теоретически да, но практически тогда не сможем делать исключения?

Именно так.

 

Вообще он как-бы для уровня доступа позиционируется, а не как "хитрый маршрутизатор". За эти деньги лучше хороший надёжный PC-роутер.

 

Или готовиться к бОльшей цене

[amper]

Вот жеж... т.е. девайс с таким функционалом дешевле 800$ не найти? :(

 

Может какие ни будь cisco б\у посмотреть?