2
Routing zwischen VLANs teilweiße blockieren - Procurve 2626
Routing nur zum Uplink-VLAN und nicht zu allen
Hallo zusammen,
ich bastel gerade an einer Anbindung an eine Standleitung für 3 eigentlich getrennte Netze in einem Hotel. Die Benutzergruppen/VLANs sind:
- Gäste (über WLAN-AccessPoints)
- Hotelverwaltung
- Personal
Die Drei Gruppen sollen über VLANs getrennt werden und gemeinsam über die Standleitung ins Internet.
Meine bisheriger Stand int folgender:
Die oben genannten VLANs sind auf einem HP Procurve 2626 eingerichtet. Ein 4. VLAN für den Uplink ist auch konfiguriert. Das Routing auf dem Switch ist aktiviert, wodurch sich User aus verschiedenen VLAN erreichen können. An dem Uplink-VLAN hängt ein Linksys WRT54gl, der mit NAT die Anfragen an den Company-Connect-Router der Telekom weiterreicht. Auf dem Procurve ist die Default-Route zu dem Linksys eingetragen und auf dem Linksys die Rückrouten jeweils in die VLAN zurück. Hier mal die Konfig des Procurve:
hostname "VerteilerWB"
ip default-gateway 192.168.0.1 -> IP des Linksys
ip routing
vlan 1
name "Uplink"
untagged 25-26
ip address 192.168.0.3 255.255.255.0
no untagged 1-24
exit
vlan 2
name "Gaeste"
untagged 1-8
ip address 192.168.2.1 255.255.255.0
exit
vlan 3
name "Verwaltung"
untagged 9-16
ip address 10.0.10.1 255.255.255.0
exit
vlan 4
name "Personal"
untagged 17-24
ip address 192.168.1.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.168.0.1
Bis hier funktioniert alles wunderbar. Das Problem liegt nun darin, dass die 3 Benutzergruppen sich so jetzt noch erreichen, weil der Procurve die Direktangeschlossenen Netze immer routet. Mein Ansatz war über ACLs die IP-Bereiche gegenseitig zu sperren, musste dann aber feststellen, dass der 2626 keine ACLs kann. Ich habe die Source-Port Filter ausprobiert, mit denen man die Verbindungen zwischen einzelnen Ports sperren kann. Offensichtlich funktioniert das aber aber nicht bei eingeschaltetem Routing. Steht irgendwie so auch zimlich undeutlich in den Manuals.
==> Wie unterbinde ich, dass sich die 3 Benutzergruppen erreichen?
Ein 2. Problem wäre die Bandbreite des Anschlusses zur Standleitung zu beschränken. An der Standleitung hängt noch ne Firma dran, denen ich nicht die gesamte Bandbreite klauen darf. Soll heißen, ich sollte irgendwo (ProCurve oder Linksys) die Bandbreite auf z.B. 400kbit/s beschränken.
Viel Dank
shitcake
ich bastel gerade an einer Anbindung an eine Standleitung für 3 eigentlich getrennte Netze in einem Hotel. Die Benutzergruppen/VLANs sind:
- Gäste (über WLAN-AccessPoints)
- Hotelverwaltung
- Personal
Die Drei Gruppen sollen über VLANs getrennt werden und gemeinsam über die Standleitung ins Internet.
Meine bisheriger Stand int folgender:
Die oben genannten VLANs sind auf einem HP Procurve 2626 eingerichtet. Ein 4. VLAN für den Uplink ist auch konfiguriert. Das Routing auf dem Switch ist aktiviert, wodurch sich User aus verschiedenen VLAN erreichen können. An dem Uplink-VLAN hängt ein Linksys WRT54gl, der mit NAT die Anfragen an den Company-Connect-Router der Telekom weiterreicht. Auf dem Procurve ist die Default-Route zu dem Linksys eingetragen und auf dem Linksys die Rückrouten jeweils in die VLAN zurück. Hier mal die Konfig des Procurve:
hostname "VerteilerWB"
ip default-gateway 192.168.0.1 -> IP des Linksys
ip routing
vlan 1
name "Uplink"
untagged 25-26
ip address 192.168.0.3 255.255.255.0
no untagged 1-24
exit
vlan 2
name "Gaeste"
untagged 1-8
ip address 192.168.2.1 255.255.255.0
exit
vlan 3
name "Verwaltung"
untagged 9-16
ip address 10.0.10.1 255.255.255.0
exit
vlan 4
name "Personal"
untagged 17-24
ip address 192.168.1.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.168.0.1
Bis hier funktioniert alles wunderbar. Das Problem liegt nun darin, dass die 3 Benutzergruppen sich so jetzt noch erreichen, weil der Procurve die Direktangeschlossenen Netze immer routet. Mein Ansatz war über ACLs die IP-Bereiche gegenseitig zu sperren, musste dann aber feststellen, dass der 2626 keine ACLs kann. Ich habe die Source-Port Filter ausprobiert, mit denen man die Verbindungen zwischen einzelnen Ports sperren kann. Offensichtlich funktioniert das aber aber nicht bei eingeschaltetem Routing. Steht irgendwie so auch zimlich undeutlich in den Manuals.
==> Wie unterbinde ich, dass sich die 3 Benutzergruppen erreichen?
Ein 2. Problem wäre die Bandbreite des Anschlusses zur Standleitung zu beschränken. An der Standleitung hängt noch ne Firma dran, denen ich nicht die gesamte Bandbreite klauen darf. Soll heißen, ich sollte irgendwo (ProCurve oder Linksys) die Bandbreite auf z.B. 400kbit/s beschränken.
Viel Dank
shitcake
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71959
Url: https://administrator.de/contentid/71959
Printed on: April 19, 2024 at 10:04 o'clock
2 Comments
Latest comment
Source Port Filter funktionieren NUR auf Layer 2 nicht für Layer 3 Traffic, helfen dir also leider nicht bei deinem Problem.
Schade, ein sehr gutes Konzept mit dem richtigen Ansatz und Konfiguration aber leider dem Reiz des Billigen erlegen bei der Switchhardware oder vor dem Kauf vergessen zu fragen...
Andere Switchhersteller am Markt supporten problemlos Accesslisten auf den IP Interfaces die dann eine detailierte Steuerung des Zugriffs zwischen den VPLANs kinderleicht zulassen.
Mit dem HP Switch hast du technisch keine Chance das zu realisieren...leider !
Was du machen kannst ist die IP Adressen entfernen und über eine externe Firewall wie z.B. IPCop oder M0n0wall die Zugriffssteuerung erledigen.
Dann hätte aber ein noch billigerer Layer2 VLAN Switch ohne L3 Option gereicht so das das Geld was man in den 2626 mit L3 gesteckt hat für die Katz ist...
Schade, ein sehr gutes Konzept mit dem richtigen Ansatz und Konfiguration aber leider dem Reiz des Billigen erlegen bei der Switchhardware oder vor dem Kauf vergessen zu fragen...
Andere Switchhersteller am Markt supporten problemlos Accesslisten auf den IP Interfaces die dann eine detailierte Steuerung des Zugriffs zwischen den VPLANs kinderleicht zulassen.
Mit dem HP Switch hast du technisch keine Chance das zu realisieren...leider !
Was du machen kannst ist die IP Adressen entfernen und über eine externe Firewall wie z.B. IPCop oder M0n0wall die Zugriffssteuerung erledigen.
Dann hätte aber ein noch billigerer Layer2 VLAN Switch ohne L3 Option gereicht so das das Geld was man in den 2626 mit L3 gesteckt hat für die Katz ist...
Hallo,
jo, so hab ich das befürchtet. In dem Fall, vielen Dank für die Bestätigung, is zwar nicht schön, aber jetzt weiß ich es wenigstens sicher.
Mittlerweile ist mein Ansatz auch dein oben beschriebener. Ich will den Linksys WRT54GL mit DD-WRT frisieren und dann die VLANs über nen Trunk auf den Linksys schicken, dort routen und filtern. Hat damit jemand Erfahrung?
Schöne Grüße und vielen Dank
Shitcake
jo, so hab ich das befürchtet. In dem Fall, vielen Dank für die Bestätigung, is zwar nicht schön, aber jetzt weiß ich es wenigstens sicher.
Mittlerweile ist mein Ansatz auch dein oben beschriebener. Ich will den Linksys WRT54GL mit DD-WRT frisieren und dann die VLANs über nen Trunk auf den Linksys schicken, dort routen und filtern. Hat damit jemand Erfahrung?
Schöne Grüße und vielen Dank
Shitcake
