Oppsett av nettverk med to VLAN

[ZeRKoX]

Hei.

 

Sist uke satte jeg opp en router for en bedrift som ønsket at følgende skulle gjøres:

- Blokkere all utgående trafikk

- Sette opp mulighet for innkommende VPN

Dette skulle settes opp på en Linksys R082 siden de hadde en slik liggende.

 

DEtte er jo et lett oppsett, og ble ordnet eksakt etter kravspec.

Problemet var når denne skulle settes i drift. I utgangpunktet skulle denne kobles til en egen nettlinje, og få egen ekstern IP. Når routeren kom frem til produksjonslokalet, så ble det oppdaget at det var et firma som også skulle bruke denne linjenm til sitt bruk, og de skal ha full tilgang til internett, men ikke til det lukkede nettet som det skulle være mulig å kjøre en VPN til. Dette firmaet hadde en dlink sak til wlan og routing.

Jeg tenkte da å sette opp linksysen med to VLAN, og sette opp routing til de. Konfigurere ACL til å gi tilgang til de rette stedene, sette opp dlinkboks som ap, og alt skulle bli bra.

 

Men, etter litt lesing på nettet har jeg funnet ut at Linksysen ikke støtter å route mellom vlan, og da falt jo den planen i fisk.

Jeg blir da litt fristet til å ta en Cisco 2950 + 2610XM fra labbben min, og sette opp ønsket oppsett, og levere, men føler det kanskje blir litt feil? De skal jo kunne klare å gjøre jobben?

Hvilke alternativer kan eg ha for å orde oppsettet slik de vil ha det? Det skal nevnes at jeg ikke har stått for noe innkjøp av utstyr, men fått det i hendende, med spm om å sette dette opp.

[grooovy]

Dette er en litt mer avansert løsning kunden ønsker, og her bør det kjøpes inn utstyr som gjør jobben slik det skal. Ville ikke overlatt denne jobben til noe annet en Cisco.

Sist jeg sjekket er Cisco 2950 en lag2 switch, tror du bør satse på en lag3-switch. Når det gjelder de andre som skal bruke samme linje må det jo settes opp en router/brannmur som håndterer all trafikkstyringen.

[ZeRKoX]

Hvis du så hva jeg skrev, så skrev jeg 2950 sammen med 2610XM. Lag3 svitsj er utelukket, da den ikke kan NAT-e, og dermed ikke kan gjøre denne jobben. L3 hadde forøvrig vært bortkasta og unødvendig her.

 

Jeg kan oppsummere kort hva jeg vil oppnå:

 

Det er to nettverk, som skal dele en internett linje (med en ekstern IP). Nettverk 1 skal ikke ha tilgang til noe, men det skal være mulig å koble seg til utenfra via en VPN. Nettverk 2 skal ha tilgang til internett, men ikke nettverk 1.

[grooovy]

Ok, leste nok ditt spørsmål litt kjapt.

Skulle tro at ditt lab-utstyr kan gjøre jobben, selv om det er en fare for at du trenger en brannmur. Husker ikke om 2610 har dette.

[ZeRKoX]

Trenger brannmur? En standard cisco ACL er i grunn nok, siden tilgangen skal være så begrenset, og jeg vet at labutstyret er nok. Grunn til at jeg ikke vil bruke det er rett og slett fordi det blir litt feil å basere ett nytt oppsett på så gammelt utstyr.

 

Jeg er derfor på jakt etter nytt utstyr, og da gjerne anbefalinger på utstyr som er noenlunde rimelig. Så har noen forslag til passende routere, med en prislapp på under 5000?

[Knopfix]

Du må sette opp "router on a stick".

 

På ruteren feks.

 

Interface f0

no ip address

Interface fa 0.10

encapsulation dot1q 10 (utgjør VLAN 10)

ip address 192.168.10.1 255.255.255.0

no shut

interface fa 1.20

ip address 192.168.20.1 255.255.255.0

encapsulation dot1q 20 (utgjør VLAN20 )

no shut

 

2950:

 

Interface g 0/1

switchport mode trunk

switchport nonegotiate

Switchport trunk native vlan xxx (bør være et ubrukt VLAN på begge sider av trunk)

switchport trunk allowed vlan 10,20 ( i stedet for access-list )

no shut

 

En begynnelse.

Endret 11. oktober 2010 av Knopfix

[ZeRKoX]

Takk for at dere prøver å hjelpe, men jeg kan prøve å gjenta meg selv enda en gang, og VÆR SÅ SNILL å prøv å forstå hva jeg vil frem til.

 

Jeg vet hvordan 2950T sammen med 2610XM skal konfigureres for å oppnå det jeg vil. Både med VLAN routing (da 2610 bare har et interface), NAT, ACL (Ja trenger det. kan ikke fjerne et vlan fra routeren, da ingen trafikk til det vlanet fungerer.) og VPN.

Problemet mitt er ikke konfigurasjonen. Problemet er at jeg ikke vil levere brukt utstyr fra ebay til ett flunkende nytt anlegg. Det blir for dumt.

 

Det jeg vil ha hjelp til er å finne nytt utstyr til en grei pris (under 4-5k) som kan gjøre den jobben jeg vil. Jeg kjenner ikke til specs på nyere ciscogear, da jeg ikke jobber så mye med det, men driver å lærer på 2600/3600 routere, men disse er utenfor garanti, og aller er EOS, og jeg vil derfor ikke selge dem til en installasjon, som er ny.

[arnizzz]

Har selv satt opp en Cisco SA520 (bare husk å oppgradere firmware før du tar den i bruk) og den funker greit. Ligger rundt 3k. Men hvordan det er med supportavtaler og slikt på disse vet jeg ikke. Kjøpte bare fra komplett.

 

Eller så er jo linux-routere enkelt og greit. Altså billig HP/dell-server med 2 nics og linuxdistro av noe slag. F.eks vyatta. Enkelt og greit, og ytelsen er tusen ganger bedre enn alt av appliances i den prisklassen. Får jo litt jalla-stempel hos kunden kanskje, men synes cisco-hysteriet er ganske drøyt.

[ZeRKoX]

Den så spennende ut.

Hvordan blir den med VPN aksess? Ser den støtter IPsec (som er net-net VPN?) og SSL (er dette clien-net)?

 

Hovrdan blir det for en klient å koble seg til på VPN-tunnellen?

[arnizzz]

Det vet jeg dessverre ikke helt 100%. Var ikke behov for noe VPN der den ble satt opp.

 

Men man kan bruke både ipsec og ssl på klientene. SSL vpn blir da at man starter klienten via web-browser, mens ipsec krever en egen klient som lastes ned.

 

Site-to-site vpn bruker ipsec.

[ZeRKoX]

Har cisco en egen klient for dette? Er dette noe som er lett for brukeren å sette opp, eller trengs det opplæring av personalet for å bruke denne tunnellen?

 

Poenget med å koble seg inn på nettverket med VPN er for å få tak i en SQL server, som har en del data. Det kan settes opp med port forward, slik at den kan nås på den eksterne IP-en, men firmaet ønsker at vi skal ta det over VPN av sikkerhetsmessige årsaker.

[arnizzz]

Ang. ipsec vet jeg ikke, men det er jo en standard så det finnes vel mange klienter man kan bruke (i teorien iallefall). Blir veldig overrasket om cisco ikke har en.

 

SSL er jo i grunn "clientless" (Dvs install-less). alt brukeren trenger å gjør er å logge på en web-portal, godkjenne enten active-x eller java-runtime og trykke Start Tunnel e.l

[siDDis]

Min erfaring med SQL Server over VPN er heilt jævlig. For å si det rett ut så går ting 1000 om ikkje 10000 gonger treigare(f.eks bygging av ein Lucene index tar 4 timer istadenfor 2 minutter). Eg anbefaler sterkt heller å filtrere tilkoblinger utanfra til SQL Serveren på ip-adresse heller.

[CrZy_T]

ASA5510(evnt 5505 hvis den selges lenger) og en 2960-switch? I innkjøp burde ikke dette bikke 15k og gir en god løsning med mulighet for utvidelser.