Re: [cisco-ttl] VLAN bugging

From: muhammed cinsdikici <cinsdikici_at_....>
Date: Thu, 31 May 2007 16:06:24 +0300


Vlan routingi kim yapiyor ?

On 5/31/07, Ozgur Karatas <kaigeek_at_yahoo.com> wrote:
>
> Merhaba degerli liste saknleri,
> VLAN testlerini uygularken garip bir iki durumla karsilastim. Bu konuda
> onerilerinizi yazarsaniz sevinirim.
>
> Oncelikle 3550 uzerinde bir adet VLAN olusturdum ve gigabitethernet 0/11
> ile gigabitethernet 0/12 portlarini bu VLAN'a atadim.
>
> Sonra her iki porta linux kurulu makine taktim.
>
> Olusturdugum VLAN;
>
> #vlan 2 name cisco-test
> #conf t
> #int vlan 2
> #ip address 10.10.30.1 255.255.255.0
>
> Yukarida gordugunuz gibi olusturdugum VLAN ayni zamanda gateway olacagi
> icin ip atadim.
>
> 11. porttaki bilgisayarda iptables ile ICMP paketlerini dropladigim ve
> makineyi pinge kapattigim zaman VLAN interface ve arkasindaki clientlara da
> ulasamiyorum.
>
> root_at_okaratas:/etc/openvpn# ping 10.10.30.1
> PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data.
>
> root_at_okaratas:/etc/openvpn# ping 10.10.30.2
> PING 10.10.30.2 (10.10.30.2) 56(84) bytes of data.
>
> Bu durumda VLAN'lara dahil olan tum makinelerin ping'e acik olmasi mi
> gerekiyor?
>
> ikinci sorunum ise daha vahim.. Ben durumun kritikligini de hedeflemek
> acisindan her iki porttaki ayni VLAN'da olan bilgisayarlara VPN kurdum ve
> site2site calistirdim.
>
> root_at_okaratas:/etc/openvpn# ping 10.10.30.1
> PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data.
> 64 bytes from 10.10.30.1: icmp_seq=1 ttl=255 time=4.96 ms
>
> root_at_okaratas:/etc/openvpn# ping 192.168.1.1
> PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
> 64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=6.81 ms
>
> Yukarida gordugunuz gibi hem VLAN interface olan 10.10.30.1 i hemde diger
> porta takili ayni VLAN'da olan VPN sunucusunu (192.168.1.1) ping
> edebiliyorum.
>
> Ancak kendi ip adresime VLAN interface ip verdigim zaman VLAN ile iletisim
> kesilmeden tum bilgiler bana geliyor ve gateway gibi davraniyorum. Yani
> kendime 10.10.30.1 ip adresi veriyorum.
>
> root_at_okaratas:/etc/openvpn# ifconfig eth1 10.10.30.1 netmask 255.255.255.0
>
> Bu durumda ayni VLAN'da olan tum bilgisayarlar beni gateway'i saniyorlar.
>
> root_at_karsi-bilgisayar:/etc# ping 10.10.30.1
> PING 192.168.1.1 (10.10.30.1) 56(84) bytes of data.
> 64 bytes from 10.10.30.1: icmp_seq=1 ttl=64 time=1.40 ms
>
> Ayni sekilde agdaki CDP paketlerini dinledigimde switch'in bile iletisimi
> kesmeden discovery mesajlarini bana yolladigini goruyorum. Sanki VLAN
> interface'i benmisim gibi..
>
> Using Device: eth1
> Waiting for CDP advertisement:
> (default config is to transmit CDP packets every 60 seconds)
> Device ID
> value: cisco-3550
> Addresses
> value: 10.10.30.1
> Port ID
> value: GigabitEthernet0/11
>
> Simdi sorularim su;
>
> 1. VLAN bilgileri tasiyan paket yapilari nasildir? ICMP ile ilgisi nedir?
> 2. VLAN'da olan her bilgisayar ping'e acik olmalimidir?
> 3. VLAN interface 'i kotu niyetli birisi kendi ip adresi olarak atadiginda
> hem VPN bilgilerine erisiyor hemde agin tum bilgilerine sahip oluyor. Bir
> sekilde VLAN interface'lardan birini IP olarak birisi aldiginda ag iletisimi
> ya da ilgili portu Layer 3 switch'in kapatmasi saglanabilir mi?
> 4. VLAN'lar icin routing ve access-list ihtiyaclarimdan dolayi VLAN
> interface olusturuyorum. Daha dogrusu VLAN'a IP atayip client'larin gatewayi
> olarak atiyorum. Bunda bir sakinca var mi, baska bir yol onerir misiniz?
>
> iyi calismalar,
> kolay gelsin.
>
> Ozgur
>
> ---------------------------------
> Now that's room service! Choose from over 150,000 hotels
> in 45,000 destinations on Yahoo! Travel to find your fit.
>
> [Non-text portions of this message have been removed]
>
>
>

-- 
MC


[Non-text portions of this message have been removed]
Received on Thu May 31 2007 - 15:52:10 CEST

This archive was generated by hypermail 2.2.0 : Thu May 31 2007 - 15:52:10 CEST