{{tag>alcatel}}
====== Subnetting mit dem Alcatel 6450 ======
{{ :anwenderwiki:server:subnetting:alcatel:os6450:alcatelos6450-24.jpg?500 |}}
Den Alcatel 6450 gibt es in zahlreichen Varianten, 24Port, 48Port, mit PoE ohne PoE. Die Geräte sind stackable, es können also mehrere Switches zu einer administrativen Einheit zusammengefasst werden. Besonders interessant ist er für keine Netze mit viel Glasfaserinfrastruktur, da zu moderatem Preis eine Ausführung mit 24 SFP Steckplätzen((http://www.jacob-computer.de/alcatel-lucent-alcatel-omniswitch-6450-u24-os6450-u24-eu-artnr-1289162.html)) erhältlich ist. Für große Netze ist der Switch als Core-Switch wohl nicht geeignet, da er nut 1024 Plätze in der MAC Tabelle hat.
Diese Seite befindet sich in der Entstehungsphase. Andere Menschen mit Alcatel Switchen dürfen Ihre Erkenntnisse gerne einbringen.
===== Schritt 1: IP-basierte VLans anlegen und DHCP Relaying ermöglichen =====
Wenn man auf dem Switch Ip-basierte VLans angelegt hat und den linuxmuster.net-Server auf Subnetting umgestellt hat, funktioniert der Switch als zentraler Router im Netzwerk. Eine Trennung der Netze ist dadurch zunächst noch nicht umgesetzt, da das Gerät in alle Subnetze routet.
==== Alle gewünschten VLans anlegen ====
Die Vlans werden mit der gewünschten ID angelegt. Portzuweisung der VLans nach Bedarf, im folgenden Beispiel ohne Tagging. FIXME Werden über entsprechende Uplinks weitere Switches angebunden, müssen diese mit entsprechendem Tagging angebunden werden, Doku folgt.
vlan 1 enable name "VLAN 1"
vlan 11 enable name "server"
vlan 11 port default 1/23
vlan 50 enable name "lehrer"
vlan 50 port default 1/1
vlan 107 enable name "raum107"
vlan 107 port default 1/2
vlan 110 enable name "raum110"
vlan 110 port default 1/3
==== Gateway IPs für die VLans festlegen ====
Beachten: Im Servernetz muss die IP des VLans 10.32.1.253 sein, das hier die IP-Adresse 10.32.1.254 von der Firewall verwendet wird.
ip interface "servervlan" address 10.32.1.253 mask 255.255.255.0 vlan 11
ip interface "lehrervlan" address 10.32.50.254 mask 255.255.255.0 vlan 50
ip interface "r107vlan" address 10.32.107.254 mask 255.255.255.0 vlan 107
ip interface "r110vlan" address 10.32.110.254 mask 255.255.255.0 vlan 107
Jetzt können sich Rechner, die im einem VLan Segment sind und als GW die GW-IP ihres Vlans haben, gegenseitig sehen, auch wenn sie sich in verschiedenen Netzsegmenten befinden. Der Swicth routet den Traffic zwischen allen VLans.
==== DHCP Relaying anschalten ====
ip service udp-relay
ip helper per-vlan only
ip helper address 10.32.1.1 vlan 50
ip helper address 10.32.1.1 vlan 107
ip helper address 10.32.1.1 vlan 110
Wenn auf den Server Subnetting angeschaltet ist, sollte ein aufgenommer Client jetzt die korrekte IP bekommen.
==== Default Gateway für den Switch ====
Damit die Clients auch auf IP-Adresse zugreifen können, die sich nicht im lokalen Netz befinden, muss man auf den Switch eine Defaultroute auf den IPFire setzen.
ip static-route 0.0.0.0 mask 0.0.0.0 gateway 10.32.1.254
===== Schritt 2: Subnetze mit ACLs isolieren =====
Zunächst legt man Netzwerkgruppen, Bedingungen und Aktionen fest. Diese kann man anschließend verwenden, um Regeln für den Traffic zu definieren.
==== Netzwerkgruppen anlegen ====
Zuerst definiert man **Netzwerkgruppen** für die zu trennenden Bereiche:
policy network group lehrernetz 10.32.50.0 mask 255.255.255.0
policy network group raum107 10.32.107.0 mask 255.255.255.0
policy network group servernetz 10.32.1.0 mask 255.255.255.0
Mit dem Befehl ''show policy network group'' kann man sich das Ergebnis der Bemühungen ansehen.
-> show policy network group
Group Name From Entries
Switch blt 10.32.1.253
10.32.50.254
10.32.107.254
10.32.110.254
lehrernetz cli 10.32.50.0 mask 255.255.255.0
raum107 cli 10.32.107.0 mask 255.255.255.0
servernetz cli 10.32.1.0 mask 255.255.255.0
==== Bedingungen festlegen ====
Dann legt man **Bedingungen** fest, auf die man später Regeln anwenden kann:
policy condition raum107-servernetz source network group raum107 destination network group servernetz
policy condition lehrernetz-servernetz source network group lehrernetz destination network group servernetz
policy condition "raum107-lehrernetz" source network group raum107 destination network group lehrernetz
-> show policy condition
Condition Name From Src -> Dest
lehrernetz-servernetz cli
*IPGrp : lehrernetz -> servernetz
+raum107-lehrernetz cli
*IPGrp : raum107 -> lehrernetz
raum107-servernetz cli
*IPGrp : raum107 -> servernetz
==== Actions definieren ====
Man benötigt wohl mindestens die beiden Aktionen //"erlauben"// und //"verbieten"//.
Anlegen:
policy action Deny disposition deny
policy action Permit
Anzeigen:
-> show policy action
Bandwidth Max BurstSize
Action Name From Disp Pri Share Min Max CIR PIR Depth Bufs CBS PBS To
---------------------------+-----------+-----+---+------+-----+-----+----+----+-----+-----+-----+-----+---
Deny cli deny No
Permit cli accept No
Löschen:
no policy action Deny
==== Regeln erstellen ====
nun erlaubt man den Verkehr zwischen den einzelnen VLans und dem Servernetz und verbietet den Verkehr zwischen alle VLans und dem Lehrernetz. Damit sind die Netze vom Lehrernetz isoliert. Will man die Netze untereinander ebenfalls isolieren, muss man paarweise deny-Regeln anlegen.
policy rule "permit lehrernetz-servernetz" precedence 1000 condition "lehrernetz-servernetz" action Permit
policy rule "permit raum107-servernetz" precedence 1000 condition "raum107-servernetz" action Permit
policy rule "deny raum107-lehrernetz" precedence 1000 condition "raum107-lehrernetz" action Deny
FIXME Wie kann man das clever machen, so dass man geschickte conditionswählt um mit weniger Regeln hinzukommen?
Anzeigen:
-> show policy rule
Policy From Prec Enab Act Refl Log Trap Save Def Acc
permit lehrernetz-servernetz cli 1000 Yes Yes No No Yes Yes Yes No
(L2/3): lehrernetz-servernetz -> Permit
permit raum107-servernetz cli 1000 Yes Yes No No Yes Yes Yes No
(L2/3): raum107-servernetz -> Permit
deny raum107-lehrernetz cli 1000 Yes Yes No No Yes Yes Yes No
(L2/3): raum107-lehrernetz -> Deny
Löschen:
no policy rule
===== Konfiguration anwenden =====
qos apply
===== Wake On Lan Relaying =====
Damit Wake On Lan(UDP- Broadcast auf Port 9 und L2)) über die Netzsegmente hinweg wieder funktioniert, muss man dem routenden Switch für jedes VLAN eine UDP Relay Regel mitgeben:
ip udp relay 9
ip udp relay 9 vlan 20
ip udp relay 9 vlan 21
ip udp relay 9 vlan ...
* https://www.manualslib.com/manual/354045/Alcatel-Lucent-Omniswitch-6850-48.html?page=666#manual
* Unklar: Brauch man das noch? https://www.manualslib.com/manual/529767/Alcatel-Omniswitch-Aos-Release-7.html?page=251
===== ToDo =====
* Eleganteres Regelwerk - so braucht man bei vielen Subnetzen sehr viele Regeln