{{tag>alcatel}}

====== Subnetting mit dem Alcatel 6450  ======

{{ :anwenderwiki:server:subnetting:alcatel:os6450:alcatelos6450-24.jpg?500 |}}

Den Alcatel 6450 gibt es in zahlreichen Varianten, 24Port, 48Port, mit PoE ohne PoE. Die Geräte sind stackable, es können also mehrere Switches zu einer administrativen Einheit zusammengefasst werden. Besonders interessant ist er für keine Netze mit viel Glasfaserinfrastruktur, da zu moderatem Preis eine Ausführung mit 24 SFP Steckplätzen((http://www.jacob-computer.de/alcatel-lucent-alcatel-omniswitch-6450-u24-os6450-u24-eu-artnr-1289162.html)) erhältlich ist. Für große Netze ist der Switch als Core-Switch wohl nicht geeignet, da er nut 1024 Plätze in der MAC Tabelle hat.


<note important>Diese Seite befindet sich in der Entstehungsphase. Andere Menschen mit Alcatel Switchen dürfen Ihre Erkenntnisse gerne einbringen.</note>

===== Schritt 1: IP-basierte VLans anlegen und DHCP Relaying ermöglichen =====

Wenn man auf dem Switch Ip-basierte VLans angelegt hat und den linuxmuster.net-Server auf Subnetting umgestellt hat, funktioniert der Switch als zentraler Router im Netzwerk. Eine Trennung der Netze ist dadurch zunächst noch nicht umgesetzt, da das Gerät in alle Subnetze routet.

 
==== Alle gewünschten VLans anlegen ====

Die Vlans werden mit der gewünschten ID angelegt. Portzuweisung der VLans nach Bedarf, im folgenden Beispiel ohne Tagging. FIXME Werden über entsprechende Uplinks weitere Switches angebunden, müssen diese mit entsprechendem Tagging angebunden werden, Doku folgt.

    vlan 1 enable name "VLAN 1"
    vlan 11 enable name "server"
    vlan 11 port default 1/23
    vlan 50 enable name "lehrer"
    vlan 50 port default 1/1
    vlan 107 enable name "raum107"
    vlan 107 port default 1/2
    vlan 110 enable name "raum110"
    vlan 110 port default 1/3
  
==== Gateway IPs für die VLans festlegen ====

Beachten: Im Servernetz muss die IP des VLans 10.32.1.253 sein, das hier die IP-Adresse 10.32.1.254 von der Firewall verwendet wird.

    ip interface "servervlan" address 10.32.1.253 mask 255.255.255.0 vlan 11 
    ip interface "lehrervlan" address 10.32.50.254 mask 255.255.255.0 vlan 50 
    ip interface "r107vlan" address 10.32.107.254 mask 255.255.255.0 vlan 107 
    ip interface "r110vlan" address 10.32.110.254 mask 255.255.255.0 vlan 107 

Jetzt können sich Rechner, die im einem VLan Segment sind und als GW die GW-IP ihres Vlans haben, gegenseitig sehen, auch wenn sie sich in verschiedenen Netzsegmenten befinden. Der Swicth routet den Traffic zwischen allen VLans.

==== DHCP Relaying anschalten ====

  ip service udp-relay
  ip helper per-vlan only
  ip helper address 10.32.1.1 vlan 50
  ip helper address 10.32.1.1 vlan 107
  ip helper address 10.32.1.1 vlan 110

Wenn auf den Server Subnetting angeschaltet ist, sollte ein aufgenommer Client jetzt die korrekte IP bekommen.

==== Default Gateway für den Switch ====

Damit die Clients auch auf IP-Adresse zugreifen können, die sich nicht im lokalen Netz befinden, muss man auf den Switch eine Defaultroute auf den IPFire setzen.

  ip static-route 0.0.0.0 mask 0.0.0.0 gateway 10.32.1.254


===== Schritt 2: Subnetze mit ACLs isolieren =====

Zunächst legt man Netzwerkgruppen, Bedingungen und Aktionen fest. Diese kann man anschließend verwenden, um Regeln für den Traffic zu definieren.
==== Netzwerkgruppen anlegen ====

Zuerst definiert man **Netzwerkgruppen** für die zu trennenden Bereiche:

  policy network group lehrernetz 10.32.50.0 mask 255.255.255.0
  policy network group raum107 10.32.107.0 mask 255.255.255.0
  policy network group servernetz 10.32.1.0 mask 255.255.255.0
  
Mit dem Befehl ''show policy network group'' kann man sich das Ergebnis der Bemühungen ansehen.
  
  
     -> show policy network group                                                                            
     Group Name                       From  Entries
     Switch                            blt  10.32.1.253
                                            10.32.50.254
                                            10.32.107.254
                                            10.32.110.254
  
     lehrernetz                        cli  10.32.50.0 mask 255.255.255.0
  
     raum107                           cli  10.32.107.0 mask 255.255.255.0
  
     servernetz                        cli  10.32.1.0 mask 255.255.255.0

==== Bedingungen festlegen ====

Dann legt man **Bedingungen** fest, auf die man später Regeln anwenden kann:


  policy condition raum107-servernetz source network group raum107 destination network group servernetz 
  policy condition lehrernetz-servernetz source network group lehrernetz destination network group servernetz
  policy condition "raum107-lehrernetz" source network group raum107 destination network group lehrernetz

  
   -> show policy condition
  Condition Name                   From          Src -> Dest
  lehrernetz-servernetz             cli
  *IPGrp  :                               lehrernetz -> servernetz
  
  +raum107-lehrernetz                cli
  *IPGrp  :                                  raum107 -> lehrernetz
  
  raum107-servernetz                cli
  *IPGrp  :                                  raum107 -> servernetz




 
==== Actions definieren ====

Man benötigt wohl mindestens die beiden Aktionen //"erlauben"// und //"verbieten"//.

Anlegen:

   policy action Deny disposition deny 
   policy action Permit

Anzeigen:
  
  -> show policy action                                                                                 
                                                          Bandwidth            Max          BurstSize
           Action Name            From   Disp Pri Share   Min   Max  CIR   PIR Depth Bufs   CBS   PBS   To
  ---------------------------+-----------+-----+---+------+-----+-----+----+----+-----+-----+-----+-----+---
  Deny                              cli   deny        No                                            
  
  Permit                            cli accept        No                                            

Löschen:
  no policy action Deny

==== Regeln erstellen ====

nun erlaubt man den Verkehr zwischen den einzelnen VLans und dem Servernetz und verbietet den Verkehr zwischen alle VLans und dem Lehrernetz. Damit sind die Netze vom Lehrernetz isoliert. Will man die Netze untereinander ebenfalls isolieren, muss man paarweise deny-Regeln anlegen.


  policy rule "permit lehrernetz-servernetz" precedence 1000 condition "lehrernetz-servernetz" action Permit
  policy rule "permit raum107-servernetz" precedence 1000 condition "raum107-servernetz" action Permit
  policy rule "deny raum107-lehrernetz" precedence 1000 condition "raum107-lehrernetz" action Deny


FIXME Wie kann man das clever machen, so dass man geschickte conditionswählt um mit weniger Regeln hinzukommen?

Anzeigen:
  
  -> show policy rule
             Policy               From  Prec Enab  Act Refl Log Trap Save Def Acc
  permit lehrernetz-servernetz      cli  1000  Yes  Yes   No  No  Yes  Yes Yes  No 
   (L2/3):            lehrernetz-servernetz -> Permit                          
  
  permit raum107-servernetz         cli  1000  Yes  Yes   No  No  Yes  Yes Yes  No 
   (L2/3):               raum107-servernetz -> Permit                          
  
  deny raum107-lehrernetz           cli  1000  Yes  Yes   No  No  Yes  Yes Yes  No 
   (L2/3):               raum107-lehrernetz -> Deny       
   
Löschen:

  no policy rule <name>
===== Konfiguration anwenden =====


  qos apply
===== Wake On Lan Relaying =====

Damit Wake On Lan(UDP- Broadcast auf Port 9 und L2)) über die Netzsegmente hinweg wieder funktioniert, muss man dem routenden Switch für jedes VLAN eine UDP Relay Regel mitgeben:

  ip udp relay 9
  ip udp relay 9 vlan 20
  ip udp relay 9 vlan 21
  ip udp relay 9 vlan ...


  * https://www.manualslib.com/manual/354045/Alcatel-Lucent-Omniswitch-6850-48.html?page=666#manual
  * Unklar: Brauch man das noch? https://www.manualslib.com/manual/529767/Alcatel-Omniswitch-Aos-Release-7.html?page=251
===== ToDo =====
 
  * Eleganteres Regelwerk - so braucht man bei vielen Subnetzen sehr viele Regeln