Раз возникла у меня задача. В общей сети нужно было задать два узла (на разных коммутаторах), которые могли бы обмениваться данными между собой, но используя общую сеть. Так, чтобы никто другой не мог получить к ним доступ. И они при всём желании не могли бы никаким образом взаимодействовать с узлами в моей сети. Одним словом, выделить их в отдельную подсеть и запереть там навсегда.
Для начала я выбрал в качестве решения сеть с VLAN-ами, по стандарту IEEE 802.1Q, когда можно маркировать пакеты определённым тегом и пакет может быть доступен только на портах, отмеченных нужным тегом.
Решено было промаркировать два порта на соответствующих свичах VLAN-ом, например с номером «10», и выделить им отдельные адреса. Даже если бы они взяли адреса из моей сети – то всё равно не могли бы получить доступ к общим ресурсам, так как на порту жестко привязан VLAN.
Смотрим схему:
Зелёными областями я выделил свою сеть, которая является основной на предприятии. Желтыми областями – два узла, которые нужно соединить, красным – ноутбук потенциального нарушителя, взявшего себе адрес из «выделенной» подсети и пытающегося получить доступ к этим узлам.
Так же тут имеются три коммутатора 3-его уровня (Cisco 3560), которые соединены кроссовер-кабелем. Номера портов тут подписаны, так что разобраться будет не сложно.
Первым делом настраиваем коммутаторы. Нужно соединить их транк-портами. Напомню, что trunk – пропускает трафик без учёта VLAN-ов, то есть тегированный и нетегированный.
SW1(config)#int gi0/1
SW1(config-if)#switchport trunk encapsulation dot1q
SW1(config-if)#switchport mode trunk
То же самое делаем со всеми портами, соединяющими коммутаторы. С обеих сторон.
Кстати, переходим в режим симуляции и пропингуем желтым хостом желтый сервер (для простоты буду давать цвета).
Выставили фильтры в режими симуляции (это переключатель справа [1]), выбираем фильтрами протокол ICMP [2], [3] и посылаем ping-запрос. Вот, что находится в отловленном пакете (конверт):
Обращаем внимание на 2-ой уровень (Ethernet-фрейм). Обычный кадр, ничем не примечателен. А теперь пометим соответствующие желтым хостам порты нужным нам VLAN-ом (10-ым, если вы помните).
SW1(config)#int fa0/1
SW1(config-if)#switchport mode access
SW1(config-if)#switchport access vlan 10
SW3(config)#int fa0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 10
Повторим пинг. Увидим уже в отловленном пакете признаки инкапсуляции в 802.1q фрейм:
И наш номер VLAN-а в поле TCI:0xa (hex:0xA =10). Вот трафик и помечен. Через транковые порты он проходит без проблем. А вот на всех остальных он отбрасывается, если не задан mode access с нужным VLAN-ом.
Даже если злоумышленник сменит IP, выбраться за пределы 10-го VLAN-а ему не светит. А раз доступа к настойке коммутаторов у него потенциально нет, то, можно сказать, что задача решена!
P.S. Для того, чтобы сохранять состояние коммутаторов (потому что частенько спрашивают) нужно:
Сохранить содержимое текущей конфигурации (running-config) на диск (кнопка [1]), а при загрузке CPT заново – просто загрузить его как стартовую конфигурацию ([2]). Всё! Конфиги сохранены.
Comments: