Un switch puede filtrar los paquetes utilizando la tabla TCAM, antes de llegar a multilayer switch.
para ello creamos VLAN access-list VACLsque afectaran a como los paquetes son tratados dentro de la Vlan.
para la configuracion:
Switch(config)# vlan access-map map-name [sequence-number]
Switch(config-access-map)# match {ip address {acl-number | acl-name}} | {ipx address
{acl-number | acl-name}} | {mac address acl-name}
Switch(config-access-map)# action {drop | forward [capture] | redirect interface type mod/num}
finalmente lo aplicamos a una VLAN interface :
Switch(config)# vlan filter map-name vlan-list vlan-list
por ejemplo:
Switch(config)# ip access-list extended local-17
Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0 0.0.0.255
Swtich(config-acl)# exit
Switch(config)# vlan access-map block-17 10
Switch(config-access-map)# match ip address local-17
Switch(config-access-map)# action drop
Switch(config-access-map)# vlan access-map block-17 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter block-17 vlan-list 99
notamos que se esta aplicando a la VLAN 99
Private VLANS
dentro de una Vlan nos da la posibilidad de segmentar tráfico.
Un normal o primary Vlan puede ser lógicamente asociado con un especial unidireccional o secndary Vlan. Host asociados con un secondary Vlan pueden comunicarse con ports en el primary Vlan (un router por ejemplo) pero no con otro secondary vlan.
un secondary Vlan puede ser de los siguientes tipos:
Isolated: el puerto del switch puede alcanzar a la Vlan principal pero no a otro secondary Vlan. Adicionalmente los host asociados al mismo isolated Vlan no se pueden alcanzar entre si.
Community: Los host asociados se verán entre si y a la Vlan principal, pero no a otra vlan community.
Esto nos provee la forma de crear segmentos que no se verán entre sí.
se debe definir el port con uno de los modos:
Promiscuous: El puerto se conecta aun comun gateway router, switch, etc
Host: Los host se comunican con puertos promiscuos o de la misma comunidad.
Configuracion Private VLANs
comenzaremos definiendo la secundaria Vlan:
Switch(config)# vlan vlan-id
Switch(config-vlan)# private-vlan {isolated | community}
luego
Switch(config)# vlan vlan-id
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}
asociamos los puertos del switch con private VLANs
Switch(config-if)# switchport mode private-vlan {host | promiscuous}
Switch(config-if)# switchport private-vlan host-association primary-vlan-id secondary-vlan-id
Use the following interface configuration command to map promiscuous mode ports to primary and
secondary VLANs:
Switch(config-if)# switchport private-vlan mapping {primary-vlan-id} {secondary-vlan-list} | {add secondary-vlan-list} | {remove secondary-vlan-list}
ejemplo:
Switch(config)# vlan 10
Switch(config-vlan)# private-vlan community
Switch(config)# vlan 20
Switch(config-vlan)# private-vlan community
Switch(config)# vlan 30
Switch(config-vlan)# private-vlan isolated
Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 10,20,30
Switch(config-vlan)# exit
Switch(config)# interface range fastethernet 1/1 – 1/2
Switch(config-if)# switchport private-vlan host-association 100 10
Switch(config)# interface range fastethernet 1/4 – 1/5
Switch(config-if)# switchport private-vlan host-association 100 20
Switch(config)# interface fastethernet 1/3
Switch(config-if)# switchport private-vlan host-association 100 30
Switch(config)# interface fastethernet 2/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 10,20,30
Remote SPAN
El source y destination pueden estar en diferentes swicth.
iniciamos la configuración de RSPAN con la definicion del proposito especial.
Si se configura en el vtp server, se propagara a otro switch, de no usarse vtp asegurarse de crear la vlan de RSPAN en todos los switch,
Switch(config)# vlan vlan-id
Switch(config-vlan)# remote-span
Switch(config)# monitor session session source {interface type mod/num | vlan vlan-id} [rx | tx | bo th ]
Switch(config)# monitor session session destination remote vlan rspan-vlan-id
en el switch destino:
Switch(config)# monitor session session source remote vlan rspan-vlan-id
Switch(config)# monitor session session destination {interface type | vlan vlan-id}
ejemplo:
Catalyst A
vlan 999
remote-span
monitor session 1 source interface fastethernet 1/1 both
monitor session 1 destination remote vlan 999
Catalyst B
vlan 999
remote-span
Catalyst C
vlan 999
remote-span
monitor session 1 source remote vlan 999
monitor session 1 destination interface fastethernet 4/48
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario