Forum
Merhaba ;
5 adet VLAN'a sahibim.15,16,18,20,21 .SVI oluşturarak Omurgada tanımlamalar yaptım.2 adet de Distributed Switch (DS) var.
1 tane distributed switch VLAN 20 ye ulaşmayacak .1 tanesi de VLAN 21 'e ulaşmayacak.
Bunun için de ACL yazdım Omurga tarafında ama DS 1 Switchten bütün VLAN Interfacelere ping atılabiliyor
DS 2 Sw'den de bütün Vlanlara erişiyor.
Amacım Şu :
DS1 SW VLAN 20 'ye ulaşmayacak .DS 2 Sw ise VLAN 21 'e ulaşmayacak. Her 2 DS switch Omurgaya bağlı basit bir yapı var.
Her ne yaptımsa DS switchlerden ping atılabiliniyor bütün SVI interfacelere ..Nasıl engellemem gerekiyor? DS switchlerden
Sanırım bütün vlanlar VLAN 1 üzerinden konuşuyor .Bunu engellemem gerekli.
VLAN 1 :172.17.X:X
DS 1 VLAN 1 Interface IP : 172.17.10.X --> DS 1 default GW 'i Omurga üzerindeki VLAN 1 Interface IP'si
DS 2 VLAN 2 Interface IP : 172.17.10.X --> DS 2 default GW 'i Omurga üzerindeki VLAN 1 Interface IP'si
VLAN 20 : 172.20.X.X
VLAN 21 : 172.21.X.X
Omurgada Yazdığım ACL ;
Interface VLAN 1 'in altında bu ACL var Interface VLAN 20 ve 21 'in altında da mevcut.
deny ip 172.17.X.X 0.0.0.255 172.20.X.X 0.0.0.255 (Omurga)
deny ip 172.20.X.X 0.0.0.255 172.21.X.X 0.0.0.255 (Omurga)
deny ip 172.21.X.X 0.0.0.255 172.20.X.X 0.0.0.255(Omurga)
Bunlara ragmen hala DS switchlerden Omurga üzerindeki Interface VLAN 20 ve 21 'e ping atabiliyorum. Yardımcı olursanız çok sevinirim.
Omurga Cisco : Nexus 3172
DS 1 ve 2 : Cisco 2960 X serisi Uplinkler SFP fiber ile bağlılar.
Şimdiden Teşekkürler
Merhaba ;
5 adet VLAN'a sahibim.15,16,18,20,21 .SVI oluşturarak Omurgada tanımlamalar yaptım.2 adet de Distributed Switch (DS) var.
1 tane distributed switch VLAN 20 ye ulaşmayacak .1 tanesi de VLAN 21 'e ulaşmayacak.
Bunun için de ACL yazdım Omurga tarafında ama DS 1 Switchten bütün VLAN Interfacelere ping atılabiliyor
DS 2 Sw'den de bütün Vlanlara erişiyor.
Amacım Şu :
DS1 SW VLAN 20 'ye ulaşmayacak .DS 2 Sw ise VLAN 21 'e ulaşmayacak. Her 2 DS switch Omurgaya bağlı basit bir yapı var.
Her ne yaptımsa DS switchlerden ping atılabiliniyor bütün SVI interfacelere ..Nasıl engellemem gerekiyor? DS switchlerden
Sanırım bütün vlanlar VLAN 1 üzerinden konuşuyor .Bunu engellemem gerekli.
VLAN 1 :172.17.X:X
DS 1 VLAN 1 Interface IP : 172.17.10.X --> DS 1 default GW 'i Omurga üzerindeki VLAN 1 Interface IP'si
DS 2 VLAN 2 Interface IP : 172.17.10.X --> DS 2 default GW 'i Omurga üzerindeki VLAN 1 Interface IP'si
VLAN 20 : 172.20.X.X
VLAN 21 : 172.21.X.X
Omurgada Yazdığım ACL ;
Interface VLAN 1 'in altında bu ACL var Interface VLAN 20 ve 21 'in altında da mevcut.
deny ip 172.17.X.X 0.0.0.255 172.20.X.X 0.0.0.255 (Omurga)
deny ip 172.20.X.X 0.0.0.255 172.21.X.X 0.0.0.255 (Omurga)
deny ip 172.21.X.X 0.0.0.255 172.20.X.X 0.0.0.255(Omurga)
Bunlara ragmen hala DS switchlerden Omurga üzerindeki Interface VLAN 20 ve 21 'e ping atabiliyorum. Yardımcı olursanız çok sevinirim.
Omurga Cisco : Nexus 3172
DS 1 ve 2 : Cisco 2960 X serisi Uplinkler SFP fiber ile bağlılar.
Şimdiden Teşekkürler
Merhaba,
DS switch'den kastınız, Hypervisor üzerindeki Network DS dimi ? VMware Network. Eğer öyleyse, sizin SVI'lar zaten Omurga switch üzerinde dönüyor ve yazdığınız ACL'ler Cisco IoS üzerinde konuştuğu için, VMware network'den gelen Layer 2 VLAN ve Layer 3 IP katmanı için aksiyon almaz.
VMware Network DownLink ve Uplink portlarına ACL yazmak için bu katman da çalışan ürüne ihtiyacınız var. örnek Vmware NSX ürünü gibi bir ürün olmalı. Veya DS switch ayarlarında bunu yapılandırmalısınız.
Vmware/ Vsphere Network - dvPort Group /Edit Settings / VLAN veya Traffic Filtering and Marking altında, Ingress veya Egreess rule yazmanız lazım.
Ancak bunu yaparken ekstra dikkatli olur, Hypervisor üzerindeki network dizaynından emin olmadan yapmayın. Hypervisor dizaynı /IP network-Geleneksel network dizaynı gibi davranmaz.