Toon posts:

Router laat communicatie naar andere vlan onbedoeld door

Pagina: 1
Acties:

Onderwerpen

Netwerk

Vraag

donderdag 24 november 2016 23:24

Acties:
  • 0 Henk 'm!

Anoniem: 843785

Topicstarter
Hallo,

In Cisco packet tracer heb ik een pc met ipadres 202.67.45.3 met subnetmask 255.255.255.0 met gateway 202.67.45.1 op een Cisco 2950 T switch op poort 2 aangesloten waarop vlan 2 is ingesteld.
Op poort 9 van de switch waar ook vlan 2 op is ingesteld is een Cisco 2911 router aangesloten vanaf poort 0/0 met ipadres 202.67.45.1 met uiteraard ook 255.255.255.0 als subnet. Poort 0/1 van de router is ingesteld met ipadres 192.168.1.1 met subnet 255.255.255.0 die weer op de switch is aangesloten op poort 9 van de switch waaraan vlan 3 is toegewezen. Op poort 10 zit vlan 3 waarop een server is aangesloten met ipadres 192.168.1.3 met subnet 255.255.255.0 en gateway 192.168.1.1.

Het zou toch zo moeten zijn dat vlan 2 geen contact kan maken met vlan 3?
Als ik ping van de pc naar de server krijg ik antwoord terug.
Daar zorgt de router voor.
Hoe kan ik dat oplossen?

Alle reacties

donderdag 24 november 2016 23:41

Acties:
  • 0 Henk 'm!
  • r2bit
  • Registratie: September 2012
  • Laatst online: 23-05 18:23

r2bit

Dit zou je redelijk eenvoudig op kunnen lossen met een access-list. Je blokkeert dan in die lijst al het verkeer tussen de VLAN's maar niet het verkeer naar de router zelf toe. Je zou eventueel ook nog (door middel van een trunk) beide VLAN's over de zelfde poort kunnen laten lopen. Dan spaar je weer 1 poort op je router uit.

vrijdag 25 november 2016 00:28

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Dat is precies waar een router voor is. Als je dat niet wilt moet je een firewall gebruiken. Veel routers hebben daar basale capaciteiten voor aan boord middels access lists.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 25 november 2016 09:35

Acties:
  • 0 Henk 'm!
  • MrTre
  • Registratie: Januari 2011
  • Laatst online: 26-05 13:24

MrTre

Op je router doe je zoiets als dit:
!
interface vlan1
ip access-group XX in
!
ip access-list extended XX
deny ip any 10.0.0.0 0.255.255.255
permit ip any any
!

---
Je begint met de dingen die niet mogen, en daarna de dingen die wel mogen.
Als je deny any any doet kan je dus ook niet internetten en is het een geïsoleerd vlan.

vrijdag 25 november 2016 10:01

Acties:
  • 0 Henk 'm!
  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 06-06 09:05

mindwarper

code:
1

deny ip any any
is in een ACL overbodig... ;)
want in een ACL is er altijd sprake van een implicit deny dus een
code:
1

ip permit any any
is inderdaad op zijn plaats...

waarom?
een ACL wordt regel voor regel afgewerkt en als er een match is dan stopt het daar en wordt rest niet meer afgewerkt...
logisch ook ;)

code:
1
2
3
4
5
6
7

!
interface vlan1
ip access-group XX in
!
ip access-list extended XX
deny ip any 10.0.0.0 0.255.255.255
permit ip any any

dus in dit voorbeeld als het 10.0.0.0 /8 netwerk iets wil, dan wordt dat gematched met de deny regel...

andere netwerken voldoen niet aan die regel, dus volgende regel ==>
code:
1

permit ip any any

is nu de regel die getest gaat worden ;) dus dan is daar de match en stopt het daar ;)
dus implicit deny is dan niet meer van toepassing

[ Voor 11% gewijzigd door mindwarper op 25-11-2016 10:07 . Reden: layout fixes ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

vrijdag 25 november 2016 10:15

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 07-06 21:12

Paul

Als je niet wil dat twee subnetten met elkaar communiceren, waarom zet je er dan een router tussen? Dat is namelijk _exact_ de functie van een router: zorgen dat twee (of meer) subnetten met elkaar kunnen communiceren :)

Welk doel probeer je te verwezenlijken met die router?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 25 november 2016 13:08

Acties:
  • 0 Henk 'm!

Anoniem: 843785

Topicstarter
Ik probeer het principe te begrijpen. Nadat ik op het goede spoor werd gezet door met acces lists aan de slag te gaan heb ik me eerst maar weer eens in de theorie verdiept maar nu ik al toewijzingen van vlan's aan een acces group langs zie komen moet ik nóg wat dieper erin duiken.
Het plaatje zoals ik die geschetst heb is niet helemaal compleet.
Aan de switch zit op poort f0/16 een kabel naar poort f0/16 van een andere 2e switch die met vlan 2, 3 en 4 is geconfigureerd.De trunk laat alleen vlan 2 en 3 door.
Poort f0/1 van de 2e switch is voor vlan 2 waarop ik een pc wil aansluiten met ipadres 202.67.45.4.
Alleen apparaten die tussen de 202.67.45.3 en 202.67.45.4 zitten en deze ipadressen zelf moeten zijn te pingen binnen vlan 2 en geen verbinding hebben met een andere vlan.
Op f0/2 van de 2e switch zit een server op vlan 3 en op f0/3 en f0/9 van de switch een router op resp. f0/1 en f0/0 van de router. De f0/1 zit op vlan 3 met ipadres 192.168.2.1 en de f0/0 op lan 4 met ipadres 192.168.1.4. Op poort f0/10 zit vlan 4 met een pc daarop aangesloten met ipadres 192.168.2.3
Lastig te omschrijven als je niet eenvoudig een plaatje kunt uploaden.
Voor degene die het geduld ervoor heeft zou dit kunnen uittekenen.
Ik ben al ff met acces lists bezig geweest door in de (eerste) router het volgende in te geven:

access-list 1 deny 202.67.45.0 0.0.0.255
interface f0/0
ip acces group 1 in

maar dan wordt ook de ping naar de router tegengehouden vanaf de eerst genoemde pc.

Uiteindelijk wil ik dat de pc met ipadres 202.67.45.4 alleen kan praten met de pc met ipadres 202.67.45.3 en dat alle apparaten in de vlans alleen elkaar kunnen pingen.
Voordat ik de vlans in de swithes heb gezet heb ik in beide routers ip routes gezet die het mogelijk maken elk apparaat in het net werk te kunnen pingen.

Ik hoop dat het een beetje duidelijk is. :?

vrijdag 25 november 2016 13:24

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 07-06 21:12

Paul

Anoniem: 843785 schreef op vrijdag 25 november 2016 @ 13:08:
Ik hoop dat het een beetje duidelijk is. :?
Het is redelijk duidelijk, blijft alleen de vraag waarom je routes aan hebt gemaakt tussen netwerken als je wil dat die netwerken niet met elkaar kunnen communiceren :)

Je wil dat VLAN 2 enkel en alleen met VLAN 2 kan communiceren, en je wil dat VLAN 3 enkel en alleen met VLAN 3 kan communiceren. Dan is de oplossing simpel, haal de router weg en je hebt wat je wil :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 25 november 2016 20:14

Acties:
  • 0 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Laatst online: 05-06 12:08

kosz

of je laat je router voor wat het is, en je geeft het vlan daar geen ip-adres en je houdt het laag 2 ipv 3.
Anderzijds, als het is om er wat van te leren ga je klooien met ACL's en het daarmee oplossen.

Wil je vanaf A naar B willen pingen, of ook vice versa tussen de vlans ?
Als A een ping verstuurd naar B dan is dat een icmp echo
B zal dat antwoorden met een icmp echo-reply

Dus dat zal je moeten verwerken in je acl.

access-list 1 deny 202.67.45.0 0.0.0.255
access-list 1 permit icmp any any echo
access-list 1 permit icmp any any echo-reply
interface f0/0
ip acces group 1 in
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 • Hosting door TrueFullstaq