Назад | Перейти на главную страницу

Сбой изоляции VLAN с помощью HP Procurve, Juniper Netscreen

У меня проблемы с тем, что хосты могут пинговать другие хосты, с которыми они не должны общаться.

Достаточно простая сеть - соответствующее оборудование:

Я просто хочу достичь двух целей: использовать коммутатор HP для обслуживания подсетей Trust и DMZ (с использованием VLAN) и запустить магистраль 802.1Q VLAN к коммутатору Netgear, чтобы его порты могли иметь доступ к более чем одной VLAN в остальных сети.

Раньше я делал это с идентичным коммутатором HP (который вышел из строя и был заменен), а до этого коммутатор HP Procurve 2400M.

У меня настроено 3 VLAN:

Я назначил 2 отдельные группы портов на коммутаторе HP как нетегированные порты VLAN для сетей VLAN 2 и 3. Я назначил 2 «магистральных» порта как маркированные порты VLAN для VLAN 2 и 3. 2 магистральных порта подключаются к порту на Коммутатор Netgear и порт на старом коммутаторе HP. (В основном для тестирования) Netgear и старый HP настроены аналогично новому HP в отношении VLAN, немаркированных и магистральных портов.

Межсетевой экран имеет интерфейсы DMZ и Trust, подключенные к каждой из соответствующих групп немаркированных портов VLAN на новом коммутаторе HP. Брандмауэр настроен на блокировку почти всего трафика по умолчанию в / из DMZ и сетей доверия друг к другу, за исключением очень ограниченных вещей. ICMP точно заблокирован.

У меня есть возможность подключения к Интернету и из него в группах портов Trust и DMZ на всех коммутаторах. Проблема в том, что я также могу пинговать порты DMZ с доверенных портов / хостов на любой переключателей. Но я не может ping с хостов DMZ на доверенные хосты.

Излишне говорить, что такого рода решения сводятся к тому, что сегменты отделяются друг от друга брандмауэром.

Я попытался изменить VLAN по умолчанию с 1 на 3, я попытался отключить неосновные коммутаторы, я попытался отключить любые устройства, у которых есть несколько интерфейсов, например, когда одно подключается к VLAN 2, а другое подключается к VLAN 3. Ни один из них все меняет тот факт, что я могу пинговать с хостов в группе портов VLAN 3 на группу портов VLAN 2.

Я что-то здесь делаю глупо?

У меня было правило политики брандмауэра, которое вызывало возможность проверки связи, разрешение эхо-запроса ICMP было скрыто в списке групповых служб и ограничено определенными хостами, и я его не видел. : -0 Также возникла проблема с подключением VLAN 2 к порту на Netgear, который помечен этим идентификатором VLAN, но, похоже, решилась при перезапуске этого устройства. (Что не было ясно в пользовательском интерфейсе для этой настройки) Теперь все хорошо.