Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[anwenderwiki:server:subnetting:alcatel:os6450:start]] 

Subnetting mit dem Alcatel 6450

Den Alcatel 6450 gibt es in zahlreichen Varianten, 24Port, 48Port, mit PoE ohne PoE. Die Geräte sind stackable, es können also mehrere Switches zu einer administrativen Einheit zusammengefasst werden. Besonders interessant ist er für keine Netze mit viel Glasfaserinfrastruktur, da zu moderatem Preis eine Ausführung mit 24 SFP Steckplätzen1) erhältlich ist. Für große Netze ist der Switch als Core-Switch wohl nicht geeignet, da er nut 1024 Plätze in der MAC Tabelle hat.

Diese Seite befindet sich in der Entstehungsphase. Andere Menschen mit Alcatel Switchen dürfen Ihre Erkenntnisse gerne einbringen.

Schritt 1: IP-basierte VLans anlegen und DHCP Relaying ermöglichen

Wenn man auf dem Switch Ip-basierte VLans angelegt hat und den linuxmuster.net-Server auf Subnetting umgestellt hat, funktioniert der Switch als zentraler Router im Netzwerk. Eine Trennung der Netze ist dadurch zunächst noch nicht umgesetzt, da das Gerät in alle Subnetze routet.

Alle gewünschten VLans anlegen

Die Vlans werden mit der gewünschten ID angelegt. Portzuweisung der VLans nach Bedarf, im folgenden Beispiel ohne Tagging. FIXME Werden über entsprechende Uplinks weitere Switches angebunden, müssen diese mit entsprechendem Tagging angebunden werden, Doku folgt.

  vlan 1 enable name "VLAN 1"
  vlan 11 enable name "server"
  vlan 11 port default 1/23
  vlan 50 enable name "lehrer"
  vlan 50 port default 1/1
  vlan 107 enable name "raum107"
  vlan 107 port default 1/2
  vlan 110 enable name "raum110"
  vlan 110 port default 1/3

Gateway IPs für die VLans festlegen

Beachten: Im Servernetz muss die IP des VLans 10.32.1.253 sein, das hier die IP-Adresse 10.32.1.254 von der Firewall verwendet wird.

  ip interface "servervlan" address 10.32.1.253 mask 255.255.255.0 vlan 11 
  ip interface "lehrervlan" address 10.32.50.254 mask 255.255.255.0 vlan 50 
  ip interface "r107vlan" address 10.32.107.254 mask 255.255.255.0 vlan 107 
  ip interface "r110vlan" address 10.32.110.254 mask 255.255.255.0 vlan 107 

Jetzt können sich Rechner, die im einem VLan Segment sind und als GW die GW-IP ihres Vlans haben, gegenseitig sehen, auch wenn sie sich in verschiedenen Netzsegmenten befinden. Der Swicth routet den Traffic zwischen allen VLans.

DHCP Relaying anschalten

ip service udp-relay
ip helper per-vlan only
ip helper address 10.32.1.1 vlan 50
ip helper address 10.32.1.1 vlan 107
ip helper address 10.32.1.1 vlan 110

Wenn auf den Server Subnetting angeschaltet ist, sollte ein aufgenommer Client jetzt die korrekte IP bekommen.

Default Gateway für den Switch

Damit die Clients auch auf IP-Adresse zugreifen können, die sich nicht im lokalen Netz befinden, muss man auf den Switch eine Defaultroute auf den IPFire setzen.

ip static-route 0.0.0.0 mask 0.0.0.0 gateway 10.32.1.254

Schritt 2: Subnetze mit ACLs isolieren

Zunächst legt man Netzwerkgruppen, Bedingungen und Aktionen fest. Diese kann man anschließend verwenden, um Regeln für den Traffic zu definieren.

Netzwerkgruppen anlegen

Zuerst definiert man Netzwerkgruppen für die zu trennenden Bereiche:

policy network group lehrernetz 10.32.50.0 mask 255.255.255.0
policy network group raum107 10.32.107.0 mask 255.255.255.0
policy network group servernetz 10.32.1.0 mask 255.255.255.0

Mit dem Befehl show policy network group kann man sich das Ergebnis der Bemühungen ansehen.

   -> show policy network group                                                                            
   Group Name                       From  Entries
   Switch                            blt  10.32.1.253
                                          10.32.50.254
                                          10.32.107.254
                                          10.32.110.254

   lehrernetz                        cli  10.32.50.0 mask 255.255.255.0

   raum107                           cli  10.32.107.0 mask 255.255.255.0

   servernetz                        cli  10.32.1.0 mask 255.255.255.0

Bedingungen festlegen

Dann legt man Bedingungen fest, auf die man später Regeln anwenden kann:

policy condition raum107-servernetz source network group raum107 destination network group servernetz 
policy condition lehrernetz-servernetz source network group lehrernetz destination network group servernetz
policy condition "raum107-lehrernetz" source network group raum107 destination network group lehrernetz
 -> show policy condition
Condition Name                   From          Src -> Dest
lehrernetz-servernetz             cli
*IPGrp  :                               lehrernetz -> servernetz

+raum107-lehrernetz                cli
*IPGrp  :                                  raum107 -> lehrernetz

raum107-servernetz                cli
*IPGrp  :                                  raum107 -> servernetz

Actions definieren

Man benötigt wohl mindestens die beiden Aktionen „erlauben“ und „verbieten“.

Anlegen:

 policy action Deny disposition deny 
 policy action Permit

Anzeigen:

-> show policy action                                                                                 
                                                        Bandwidth            Max          BurstSize
         Action Name            From   Disp Pri Share   Min   Max  CIR   PIR Depth Bufs   CBS   PBS   To
---------------------------+-----------+-----+---+------+-----+-----+----+----+-----+-----+-----+-----+---
Deny                              cli   deny        No                                            

Permit                            cli accept        No                                            

Löschen:

no policy action Deny

Regeln erstellen

nun erlaubt man den Verkehr zwischen den einzelnen VLans und dem Servernetz und verbietet den Verkehr zwischen alle VLans und dem Lehrernetz. Damit sind die Netze vom Lehrernetz isoliert. Will man die Netze untereinander ebenfalls isolieren, muss man paarweise deny-Regeln anlegen.

policy rule "permit lehrernetz-servernetz" precedence 1000 condition "lehrernetz-servernetz" action Permit
policy rule "permit raum107-servernetz" precedence 1000 condition "raum107-servernetz" action Permit
policy rule "deny raum107-lehrernetz" precedence 1000 condition "raum107-lehrernetz" action Deny

FIXME Wie kann man das clever machen, so dass man geschickte conditionswählt um mit weniger Regeln hinzukommen?

Anzeigen:

-> show policy rule
           Policy               From  Prec Enab  Act Refl Log Trap Save Def Acc
permit lehrernetz-servernetz      cli  1000  Yes  Yes   No  No  Yes  Yes Yes  No 
 (L2/3):            lehrernetz-servernetz -> Permit                          

permit raum107-servernetz         cli  1000  Yes  Yes   No  No  Yes  Yes Yes  No 
 (L2/3):               raum107-servernetz -> Permit                          

deny raum107-lehrernetz           cli  1000  Yes  Yes   No  No  Yes  Yes Yes  No 
 (L2/3):               raum107-lehrernetz -> Deny       
 

Löschen:

no policy rule <name>

Konfiguration anwenden

qos apply

Wake On Lan Relaying

Damit Wake On Lan(UDP- Broadcast auf Port 9 und L2)) über die Netzsegmente hinweg wieder funktioniert, muss man dem routenden Switch für jedes VLAN eine UDP Relay Regel mitgeben:

ip udp relay 9
ip udp relay 9 vlan 20
ip udp relay 9 vlan 21
ip udp relay 9 vlan ...

ToDo

  • Eleganteres Regelwerk - so braucht man bei vielen Subnetzen sehr viele Regeln
 [[anwenderwiki:server:subnetting:alcatel:os6450:start]] anwenderwiki/server/subnetting/alcatel/os6450/start.txt · Zuletzt geändert: 2017/08/03 12:48 von 127.0.0.1