VLAN selektives routing und IP aufteilung

[honky-tonk]

Hallo,
ich habe hier einen Arista 7150 L3 switch. Diesen möchte ich wie folgt in Bereiche konfigurieren.



Das Problem hierbei ist, dass die untrusted ip adressen mitten in dem Bereich drin liegen.


Was ich mir schon überlegt habe sind secondary VLANs: sprich den 10.1.1.0/24 als ein vlan trusted zu machen und dann ein secondary vlan für untrusted dort drin anzulegen. Dann kommt man aber immer noch von untrusted zu trusted...bzw. kenne keine Möglichkeit den verkehr aus dem untrusted Bereich in den primary trusted Bereich komplett zu blocken und im untrusted einfach die Firewall anzuschließen.

Eine weitere Idee wäre 4Vlans anzulegen 2 für jeden ip Bereich und dort jeweils eines für den trusted und untrusted Bereich. Jetzt stehe ich allerdings vor der Frage wie ich routing zwischenden trusted Bereichen erlaube und für untrusted nicht, da wenn ich ip routing auf dem switch konfiguriere er immer zwischen allen VLANs routed.

Hat vll jemand eine andere Idee oder Vorschläge zur Realisierung meiner Ideen??

Bin für jede Hilfe dankbar!

vvvvvvvvvv Bitte diesen Anhang nicht beachten... falsch gezeichnet :-( vvvvvvvvvvv

 

[HighTech-Freak]

Imho vermischt Du da Layer 2 und Layer 3 zu sehr.
Wenn trusted und untrusted den gleichen IP-Bereich haben sollen wird es gellinde gesagt "problematisch", da in dem Fall Layer3-Routing -zumindest bei alleiniger Verwendung- versagt. Daher kannst Du mMn fast nur auf Layer2 Routing setzen, sprich Port-basiert:

• fw1_vlan1:trusted
• fw1_vlan2:untrusted
• fw1_link: VPN-Verbindung zur Firewall2
• fw1_uplinkhysischer uplink
• fw2_vlan1:trusted
• fw2_vlan2:untrusted
• fw2_link: VPN-Verbindung zur Firewall1
• fw2_uplinkhysischer uplink

Dank der VPN-Verbindung kannst Du den Traffic zwischen den Firewall port-basiert kontrollieren und musst nicht über die IPs gehen.

Jetzt kannst Du ganz einfach die Firewall-Regeln setzen:
Traffic von den untrusted Netzen darf nur über den normalen uplink raus.
Traffic von den trusted Netzen darf übers VPN geleitet werden und kann daher auch ins andere IP-Netz geroutet werden.

PS: Das Netzwerkdiagramm ist zu lückenhaft. Ich bin mal davon ausgegangen, dass Du 2 Standorte hast. Außerdem ist das Konzept mit dem überschneidenden IP-Adressbereich beschissen. Du brauchst eventuell sehr komplexe Firewall-Regeln um den gleichen DHCP-Server für beide VLANs zu verwenden, bzw. einen Drucker in beiden VLANs zur Verfügung zu stellen... Insofern würde ich das Grundkonzept überdenken; zB die Verwendung verschiedener Subnetze.

 

[honky-tonk]

Hi Hightech-freak,
danke schon mal für die Antwort!

Wenn ich dich richtig verstehe sagst du dass man die entsprechenden VLANs einfach kreieren soll und dann in jedes VLAN eine Verbindung zur Firewall hängen soll, und hierüber alles routen!?

mein Problem mit diesem Vorschlag...wenn ich ihn denn richtig verstehe wäre, dass man ja Geschwindigkeit verschenkt wenn man über die FW statt dierekt über den switch zu gehen. Da könnte die firewall der flaschenhalts werden!?

Gruß!

 

[HighTech-Freak]

Das is korrekt! Das Problem ist, dass Du bei dem Switch aber -so wie ich das verstanden habe- Layer3-Routing nicht auf ein VLAN (=Layer2) begrenzen kannst... Somit muss das Routing ein Gerät durchführen, dass für Layer3-Routing zwischen VLAN1 und VLAN2 unterscheiden kann. Vernünftige Firewalls können das normalerweise. Firewall 1 und 2 kannst Du natürlich genausogut über ein 3tes VLAN verbinden statt einem echten VPN, sofern sich beide im gleichen LAN befinden. Mit der Lösung halten sich die Firewall-Regeln theoretisch in Grenzen, d.h. die Performance sollte recht hoch sein. (Annahme: x86-Firewall)

 

[honky-tonk]

so ich habe es jetzt gefunden ACL ist das Zauberwort...Access control list