[cisco-ttl] VLAN bugging

From: Ozgur Karatas <kaigeek_at_....>
Date: Thu, 31 May 2007 01:52:25 -0700 (PDT)


Merhaba degerli liste saknleri,
VLAN testlerini uygularken garip bir iki durumla karsilastim. Bu konuda onerilerinizi yazarsaniz sevinirim.

Oncelikle 3550 uzerinde bir adet VLAN olusturdum ve gigabitethernet 0/11 ile gigabitethernet 0/12 portlarini bu VLAN'a atadim.

Sonra her iki porta linux kurulu makine taktim.

Olusturdugum VLAN;

#vlan 2 name cisco-test
#conf t
#int vlan 2
#ip address 10.10.30.1 255.255.255.0

Yukarida gordugunuz gibi olusturdugum VLAN ayni zamanda gateway olacagi icin ip atadim.

  1. porttaki bilgisayarda iptables ile ICMP paketlerini dropladigim ve makineyi pinge kapattigim zaman VLAN interface ve arkasindaki clientlara da ulasamiyorum.

root_at_okaratas:/etc/openvpn# ping 10.10.30.1 PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data.

root_at_okaratas:/etc/openvpn# ping 10.10.30.2 PING 10.10.30.2 (10.10.30.2) 56(84) bytes of data.

Bu durumda VLAN'lara dahil olan tum makinelerin ping'e acik olmasi mi gerekiyor?

ikinci sorunum ise daha vahim.. Ben durumun kritikligini de hedeflemek acisindan her iki porttaki ayni VLAN'da olan bilgisayarlara VPN kurdum ve site2site calistirdim.

root_at_okaratas:/etc/openvpn# ping 10.10.30.1 PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data. 64 bytes from 10.10.30.1: icmp_seq=1 ttl=255 time=4.96 ms

root_at_okaratas:/etc/openvpn# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. 64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=6.81 ms

Yukarida gordugunuz gibi hem VLAN interface olan 10.10.30.1 i hemde diger porta takili ayni VLAN'da olan VPN sunucusunu (192.168.1.1) ping edebiliyorum.

Ancak kendi ip adresime VLAN interface ip verdigim zaman VLAN ile iletisim kesilmeden tum bilgiler bana geliyor ve gateway gibi davraniyorum. Yani kendime 10.10.30.1 ip adresi veriyorum.

root_at_okaratas:/etc/openvpn# ifconfig eth1 10.10.30.1 netmask 255.255.255.0

Bu durumda ayni VLAN'da olan tum bilgisayarlar beni gateway'i saniyorlar.

root_at_karsi-bilgisayar:/etc# ping 10.10.30.1 PING 192.168.1.1 (10.10.30.1) 56(84) bytes of data.  64 bytes from 10.10.30.1: icmp_seq=1 ttl=64 time=1.40 ms

Ayni sekilde agdaki CDP paketlerini dinledigimde switch'in bile iletisimi kesmeden discovery mesajlarini bana yolladigini goruyorum. Sanki VLAN interface'i benmisim gibi..

Using Device: eth1
Waiting for CDP advertisement:
(default config is to transmit CDP packets every 60 seconds) Device ID
  value: cisco-3550
Addresses
  value: 10.10.30.1
Port ID
  value: GigabitEthernet0/11

Simdi sorularim su;

  1. VLAN bilgileri tasiyan paket yapilari nasildir? ICMP ile ilgisi nedir?
  2. VLAN'da olan her bilgisayar ping'e acik olmalimidir?
  3. VLAN interface 'i kotu niyetli birisi kendi ip adresi olarak atadiginda hem VPN bilgilerine erisiyor hemde agin tum bilgilerine sahip oluyor. Bir sekilde VLAN interface'lardan birini IP olarak birisi aldiginda ag iletisimi ya da ilgili portu Layer 3 switch'in kapatmasi saglanabilir mi?
  4. VLAN'lar icin routing ve access-list ihtiyaclarimdan dolayi VLAN interface olusturuyorum. Daha dogrusu VLAN'a IP atayip client'larin gatewayi olarak atiyorum. Bunda bir sakinca var mi, baska bir yol onerir misiniz?

iyi calismalar,
kolay gelsin.

Ozgur  



Now that's room service! Choose from over 150,000 hotels in 45,000 destinations on Yahoo! Travel to find your fit.

[Non-text portions of this message have been removed] Received on Thu May 31 2007 - 15:46:04 CEST

This archive was generated by hypermail 2.2.0 : Thu May 31 2007 - 15:46:04 CEST