Hochschule Wismar - University Applied Sciences Technology Business and Design
Private VLAN's! Vom Providernetz zum Schulnetzwerk!
13.05.2012
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 2
Agenda ! PVLAN- Theorie Rules and Limitations Configuration Steps Zusammenfassung PVLAN-LAB
Hochschule Wismar - University Applied Sciences Technology Business and Design
Virtual Local Area Network (VLAN)
• Ein VLAN ist eine logische Gruppe von “Devices”.
• Broadcast bleibt in seinem VLAN.
• VLAN-Grenze ist ein IP-Subnetz.
• Trunks verbinden Switche , und transportieren verschiedene VLAN’s.
• Layer 3 –Geräte (Router) erlauben
die Kommunikation zwischen
VLAN’s.
13.05.2012
Hochschule Wismar - University Applied Sciences Technology Business and Design
Motivation für Private VLAN’s
Allgemeine Netzstruktur :
- Serviceprovider hosten unterschiedliche
Kundenserver
- DMZ mit Firewall – Topologien
(DMZ hostet die separaten Dienste)
meist alle Server / Dienste im gleichen VLAN / Subnetz
Was kann passieren? Ein Server wurde attakiert, Zugriff auf den nächsten Server im
gleichen Netz ist möglich (trotz DMZ).
Firewall schützt dann nicht mehr!
13.05.2012
DMZ
LAN
Internet
Hochschule Wismar - University Applied Sciences Technology Business and Design
Was tun nun Private VLAN’s?
13.05.2012
Kurz gesagt: ?? Isolation auf Layer 2 im selben VLAN -> sprich im selben Subnetz Wie kann ich Traffic im L2 isolieren und im selben Subnetz sein?
Ideen??
Hochschule Wismar - University Applied Sciences Technology Business and Design
Durch unterschiedliche Portfunktionen!
• Isolated
• Promiscuous
• Community
Simpel oder?
13.05.2012
Hochschule Wismar - University Applied Sciences Technology Business and Design
Durch unterschiedliche Portfunktionen! Isolated
Promiscuous
13.05.2012
Hochschule Wismar - University Applied Sciences Technology Business and Design
Durch unterschiedliche Portfunktionen! Promiscuous
Community
13.05.2012
Hochschule Wismar - University Applied Sciences Technology Business and Design
Weiter in der PVLAN- Struktur
• Primary Private VLAN – high-level
• Secondary Private VLAN – child of the primary , belongs
to the same IP-subnet
• Community Private VLAN
• Isolated Private VLAN – Each Private VLAN has only
one isolated Private VLAN
13.05.2012 9 [email protected]
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 10
http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml
Logischer Traffic- Flow
Hochschule Wismar - University Applied Sciences Technology Business and Design
Einfacheres PVLAN Feature • Cisco’s “lower –end” Switche (Cisco 2960 ... ) können keine PVLAN’s !
• aber es gibt ein limitiertes Feature “ Private VLAN edge (protected port)”
Private VLAN edge
• ist nur lokal signifikant, keine Switch to Switch- Gültigkeit (anders als Private Vlan’s),
d.h. keine Isolation zwischen zwei “protected ports” auf unterschiedlichen Switchen
• ein “protected port” leitet keinen Traffic auf L2 (unicast, multicast, or broadcast) zu einem anderen “protected port” im selben Switch,
Aber zu anderen Ports auf dem selben und anderen Switchen! • jeder Traffic zwischen “protected ports” muß durch L3 erfolgen
13.05.2012 11 [email protected]
Hochschule Wismar - University Applied Sciences Technology Business and Design
Einfachere PVLAN Struktur Protected- oder Edge Port Nur ein zusätzliches Kommando im Interface- Mode! Switch(config-if)# switchport protected
13.05.2012 12 [email protected]
Hochschule Wismar - University Applied Sciences Technology Business and Design
Catalyst Platform
PVLAN Supported Minimum Software Version
Isolated VLAN PVLAN Edge (Protected Port)
Community VLAN
Catalyst 3550 Not Supported Not Supported Yes. 12.1(4)EA1 onwards.
Not Supported
Catalyst 2950 Not Supported Not Supported
Yes. 12.0(5.2)WC1, 12.1(4)EA1 and later.
Not Supported
Catalyst 2960 Not Supported Not Supported Yes. 12.2(25)FX and later.
Not Supported
13.05.2012 13 [email protected]
PVLAN Support bei unterschiedlichen Switchen http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
Hochschule Wismar - University Applied Sciences Technology Business and Design
PVLAN Support bei unterschiedlichen Switchen http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml
Catalyst Platform
PVLAN Supported Minimum Software Version
Isolated VLAN PVLAN Edge (Protected Port)
Community VLAN
Catalyst 3560 12.2(20)SE - EMI Yes Yes. 12.1(19)EA1 onwards.
Yes
Catalyst 3750 12.2(20)SE - EMI Yes Yes. 12.1(11)AX onwards.
Yes
Catalyst 3750 Metro
12.2(25)EY - EMI Yes Yes. 12.1(14)AX onwards.
Yes
Catalyst 2948G/2980G
6.2 Yes Not Supported Yes
13.05.2012 14 [email protected]
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 15
Warum PVLAN‘s für das Schulnetz? Wie sieht Euer Pool / Schulnetz aus?
Sicher irgendwie so! VLAN‘s – Trunk‘s
VLAN –Blau Raum1 VLAN-Grün RaumN Server VLAN (WEB, Materialien, Noten .. )
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 16
Die „unerwünschten “ Aktivitäten im Schulnetz /LAN /VLAN und Sicherheitsdefizite!
Schüler „Chatten“ untereinander mit der Vielzahl von Nachrichtendiensten oder - Remote Desktop - Daten- Transfers über Ordnerfreigaben von PC zu PC - Spiele ........ Warum unerwünscht? Alles während der Klausur / Vorlesung / Stunde Was tun diese Aktivitäten? nach Anmeldung im Internet erfolgt (teilweise)
eine P2P- Verbindung im lokalem VLAN Weiteres Defizit! - „Serverhopping“ im sicheren Server-Vlan
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 18
Rules and Limitations Summary • Do not configure private-VLAN ports on interfaces configured for these other features:
• dynamic-access port VLAN membership • Dynamic Trunking Protocol (DTP) • Port Aggregation Protocol (PAgP) • Link Aggregation Control Protocol (LACP) • Multicast VLAN Registration (MVR) • voice VLAN • PVLANs cannot include VLANs 1 or 1002™005 • do not configure 802.1x with port security • per-user ACL on private-VLAN ports
• A private-VLAN port cannot be a secure port and should not be configured as a protected port.
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 19
Configuring PVLANs – Steps • Step 1. Set VTP mode to transparent.
• Step 2. Remove any ports in that VLAN before you make the VLAN a PVLAN
• Step 3. Create the secondary PVLANs.
• Step 4. Create the primary PVLAN.
• Step 5. Associate the secondary PVLAN with the primary pVLAN.
• Step 6. Configure an interface as an isolated or community port.
• Step 7. Associate the isolated port or community port with the primary-secondary pVLAN pair.
• Step 8. Configure an interface as a promiscuous port.
• Step 9. Map the promiscuous port to the primary-secondary pVLAN pair.
Isolated and community VLANs are both secondary VLANs!
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 20
PVLAN Configuration Beispiel Switch(config)# vtp transparent
Switch(config)# vlan 201 Switch(config-vlan)# private-vlan isolated Switch(config)# vlan 202 Switch(config-vlan)# private-vlan community Switch(config-vlan)# vlan 200 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 201,202 Switch(config-vlan)# interface fastethernet 0/24 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 200 201,202 Switch(config-if)# interface range fastethernet 0/1 - 2 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 200 202 Switch(config-if)# interface range fastethernet 0/3 - 4 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 200 201
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 21
Verifying PVLAN Configuration
show interface switchport
show vlan private-vlan. show vlan vlan-id show vlan private-vlan show vlan all-ports show vlan private-vlan type show interface vlan vlan-id private-vlan mapping show tech-support vlan
Hochschule Wismar - University Applied Sciences Technology Business and Design
PVLAN Zusammenfassung • Wir haben weiterhin die Vorteile von VLAN’s!
• Vermindern die Größe der Broadcast domains • Segmentieren Traffic
• Isolieren Traffic auf L2 im selben VLAN
•Erhöhen DMZ / VLAN- Sicherheit
• wir verschwenden keine Public IP- Adressen (IPv4)
13.05.2012 22 [email protected]
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 23
PVLAN- Lab- Topologie
PC1 PC2 PC3 PC4
Cat 2960 Cat 3560
192.168.1.0 /24 192.168.2.0 /24
FA 0/1 FA 0/1
FA 0/2 FA 0/2 FA 0/2 0/ 3 0/4 0/5 0/6 Protected Ports
Promiscuous Port
Community Promiscuous Isolated
PC5 PC6 PC7
VLAN 201 VLAN 202
VLAN 200
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 24
Danke für die Aufmerksamkeit!
Fragen?
Auf zum Lab!
Quelle: CCNP Switch Chapter 2.ppt
Einladung zur http://spendentour.computerschule-kenia.de/
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 25
PVLAN- Lab- Topologie
PC1 PC2 PC3 PC4
Cat 2960 Cat 3560
192.168.1.0 /24 192.168.2.0 /24
FA 0/1 FA 0/1
FA 0/2 FA 0/2 FA 0/2 0/ 3 0/4 0/5 0/6 Protected Ports
Promiscuous Port
Community Promiscuous Isolated
PC5 PC6 PC7
VLAN 201 VLAN 202
VLAN 200
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 26
PVLAN- Lab-Edge-Port Router-Konfig: ! hostname PVLAN-LAB ! ip dhcp excluded-address 192.168.1.2 ip dhcp excluded-address 192.168.2.2 ! ip dhcp pool 2960 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.1.1 domain-name acad.day ! ip dhcp pool 3560 network 192.168.2.0 255.255.255.0 domain-name acad.day dns-server 192.168.2.1 default-router 192.168.2.1 ! interface FastEthernet0/0 description to Cat 3560 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/1 description to Cat 2960 ip address 192.168.1.1 255.255.255.0 ! line vty 0 4 password cisco login
Switch 2960 ! hostname PVLAN-2960 ! interface FastEthernet0/1 description to Router switchport mode access spanning-tree portfast ! interface FastEthernet0/2 switchport mode access switchport protected spanning-tree portfast ! interface FastEthernet0/3 switchport mode access switchport protected spanning-tree portfast ! interface Vlan1 ip address 192.168.1.2 255.255.255.0 ! line vty 0 4 password cisco login
Kommunikationstest: evt.Firewallregeln der PC‘s anpassen! Verbinde PC1 an Port FA0/2 PC2 an Port Fa0/4 Ping ist erfolgreich! Verbinde PC2 an Port FA0/3 Ping nicht erfolgreich!
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 27
PVLAN- Lab- 3560 Router-Konfig: vorherige Seite Switch 3560
! hostname PVLAN-3560 ! vtp mode transparent ! vlan 200 private-vlan primary private-vlan association 201-202 ! vlan 201 private-vlan community ! vlan 202 private-vlan isolated ! ! interface FastEthernet0/1 description To Router switchport private-vlan mapping 200 201-202 switchport mode private-vlan promiscuous spanning-tree portfast ! interface FastEthernet0/2 switchport private-vlan host-association 200 201 switchport mode private-vlan host spanning-tree portfast !
interface FastEthernet0/3 switchport private-vlan host-association 200 201 switchport mode private-vlan host spanning-tree portfast ! interface FastEthernet0/4 switchport private-vlan mapping 200 201-202 switchport mode private-vlan promiscuous spanning-tree portfast ! interface FastEthernet0/5 switchport private-vlan host-association 200 202 switchport mode private-vlan host spanning-tree portfast ! interface FastEthernet0/6 switchport private-vlan host-association 200 202 switchport mode private-vlan host spanning-tree portfast ! interface Vlan200 ip address 192.168.2.2 255.255.255.0 ! line vty 0 4 login password cisco
Hochschule Wismar - University Applied Sciences Technology Business and Design
13.05.2012 [email protected] 28
PVLAN- Lab- 3560
Kommunikationstest: evt.Firewallregeln der PC‘s anpassen! Verbinde PC3 – PC7 mit den entsprechenden Ports Ping: PC3 bis PC7 zum Router erfolgreich PC3 zu PC4 erfolgreich PC3 oder PC4 zu PC5 erfolgreich PC3 oder PC4 zu PC6 / PC7 nicht erfolgreich PC5 zu PC6 / PC7 erfolgreich PC6 zu PC7 nicht erfolgreich