1 votes

SyntaxGoonoo avatar

Acheminer un sous-réseau pour n'accéder qu'à une seule adresse IP sur un VLAN différent HP Procurve

Demandé el 17 de Décembre, 2014
Quand la question a-t-elle été
3513 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je essaie de router le VLAN 300 qui a un sous-réseau 192.168.100.0/26 pour n'accéder qu'à 10.220.1.10 sur le VLAN 220 mais j'ai du mal avec la configuration. La documentation de HP, d'après ce que je peux voir, veut simplement que j'active IP RIP mais cela donne accès à l'ensemble du VLAN 220 alors que tout ce que j'essaie de faire est de donner accès à 10.220.1.10 sur le VLAN 220

Ceci est pour des RF Guns se connectant à un serveur AS400 et nous essayons d'isoler le trafic de tout le reste. Ainsi, les RF Guns se trouvent sur le VLAN 300 en 192.168.100.0/26 et l'AS400 est sur le VLAN 220 avec 10.220.1.10 comme IP

Demandé el 17 de Décembre, 2014 par SyntaxGoonoo

Réponses

Trop de publicités?

2voto

SyntaxGoonoo avatar
SyntaxGoonoo Points 141

Après quelques essais et erreurs, je suis arrivé à la solution ci-dessous et ça fonctionne comme prévu. Merci à tous ceux qui ont aidé.

ip access-list extended "100"
     10 permit ip 192.168.100.0 0.0.0.63 10.220.1.10 0.0.0.0
     20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

Vlan 300
     ip access-group 100 in

quelque chose d'étrange que j'ai remarqué c'est que je peux faire un ping de la source 192.168.100.1 xxxxxxxxxxxxx (mon adresse IP de vlan pour le VLAN 300) et obtenir des réponses réussies d'autres clients que 10.220.1.10 mais je ne reçois des réponses que de 10.220.1.10 lorsque je travaille avec les clients réels dans la plage VLAN 300. Est-ce que je reçois ces réponses de ping aux appareils 10.220.1.xxx à partir de 192.168.100.1 (l'IP de vlan du VLAN 300) uniquement parce que c'est l'IP du switch VLAN et que les règles de la liste d'accès ne s'appliquent pas à l'IP de VLAN mais elles s'appliquent aux clients?

Répondu el 17 de Décembre, 2014 par SyntaxGoonoo (141 Points )

0voto

fmh40 avatar
fmh40 Points 21

Si vous essayez d'accéder à un seul système sur un sous-réseau qui a plus d'un système dessus...

Je mettrais une route statique sur les systèmes de fin qui précisait que pour atteindre le système 10.220.1.10, vous devez passer par le routeur HP. Ensuite, j'utiliserais une liste d'accès sur le routeur pour m'assurer qu'il ne route que le trafic que vous avez l'intention.

Vous ne pouvez pas utiliser le routage pour faire ce que vous voulez (facilement) car un routeur pense en termes de sous-réseaux. Il réfléchit aux sous-réseaux auxquels il a accès en fonction de l'adresse réseau et du masque. S'il a une interface sur le même réseau que 10.220.1.10, il va se considérer comme un candidat viable pour router le trafic vers n'importe quel hôte sur ce sous-réseau. Et ce n'est pas ce que vous voulez, vous voulez juste l'hôte.

Une autre chose à garder à l'esprit est que les routeurs ne savent pas ce que sont les VLAN. Les routeurs sont au niveau 3. Les routeurs se préoccupent uniquement des adresses IP. Ils feront référence à votre VLAN via une interface IP, ou une sous-interface si vous traitez avec un Tronçon de VLAN.

EDIT

Si le routeur HP est également la passerelle par défaut, vous n'avez pas besoin de vous soucier des routes statiques. Il suffit de mettre une ACL sur l'interface menant à 10.220.1.10.

Répondu el 17 de Décembre, 2014 par fmh40 (21 Points )

0voto

yagmoth555 avatar
yagmoth555 Points 15629

Vous activez RIP et ensuite vous configurez une ACL. Comme illustré un peu pour l'ACL, http://vmfocus.com/2012/10/14/how-to-configure-access-lists-route-between-vlans-on-hp-v1910-24g/

Cela ressemblerait à ceci dans la configuration.. (mais je ne suis pas le meilleur en commutateur HP..)

liste d'accès IP étendue "220"
      10 autoriser ip 192.168.100.0 255.255.255.192 10.220.1.10 255.255.255.255

...

vlan 220
    nom "..."
    non marqué 2
    étiqueté A1
    ip address 10.220.1.1 255.255.255.0
    exit
Répondu el 17 de Décembre, 2014 par yagmoth555 (15629 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X