Re: [cisco-ttl] VLAN bugging

From: serhat aslan <serhataslan22_at_....>
Date: Thu, 31 May 2007 08:18:11 -0700 (PDT)


Merhaba,   

Basina gelen sorunla ilgili olarak :



0 -Bir cumleyle tam olarak neyi amacladigin, 0.1 isle ilgili bir durum ve acil cozum mu gerektiriyor yoksa meraktan test yaparken gozlemledigin seyler mi ??

varsayilan olarak yorum yurutebilmemiz icin temel bilgiler. 1- topology
2- tum konfigurasyon

  Sorularin icin:


  1. vlan bilgilerini tasiyan paket yapilari icin 802.1q ve isl'in paket yapilarini bir goz at, icmp layer-3'u kapsar vlan ise layer-2'ye ait bir ozelliktir ve haliyle ayri seylerdir.
  2. Vlan'layer'2 ye ait bir ozellik oldugu icin ip'den ayri olarak dusunmen gerekiyor,
  3. konu olarak yanlis tespit olmus.
  4. Vlan'a ip atayip bunu gateway olarak degerlendirmen layer-3 switchi bir router olarak kullanmanla es deger, bu tip seylerin sakincasi genelde yoktur ama tek bir gatewayin varsa cikis icin boyle bir seye de ihtiyacin olmaya bilir.

 Notunla ilgili olarak (yorum) :



  Sorunlari katman bazli cozmeden diger bir katmani devreye sokmak tafsiye edilen bir metod degildir, vlan'larla ilgili cok fazla detay ve guvenlik ozellikleri var ve bunlarinda sebepleri, ilk once temel ihtiyaclarini net olarak tanimladiktan sonra butur konfigurasyonlar uzerine calisman daha saglikli bir yaklasim olur.

kolay gelsin,
Serhat Aslan

Ozgur Karatas <kaigeek_at_yahoo.com> wrote:                                  Merhaba degerli liste saknleri,
 VLAN testlerini uygularken garip bir iki durumla karsilastim. Bu konuda onerilerinizi yazarsaniz sevinirim.  

 Oncelikle 3550 uzerinde bir adet VLAN olusturdum ve gigabitethernet 0/11 ile gigabitethernet 0/12 portlarini bu VLAN'a atadim.  

 Sonra her iki porta linux kurulu makine taktim.  

 Olusturdugum VLAN;  

#vlan 2 name cisco-test
#conf t
#int vlan 2
#ip address 10.10.30.1 255.255.255.0
 

 Yukarida gordugunuz gibi olusturdugum VLAN ayni zamanda gateway olacagi icin ip atadim.  

  1. porttaki bilgisayarda iptables ile ICMP paketlerini dropladigim ve makineyi pinge kapattigim zaman VLAN interface ve arkasindaki clientlara da ulasamiyorum.

 root_at_okaratas:/etc/openvpn# ping 10.10.30.1  PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data.  

 root_at_okaratas:/etc/openvpn# ping 10.10.30.2  PING 10.10.30.2 (10.10.30.2) 56(84) bytes of data.  

 Bu durumda VLAN'lara dahil olan tum makinelerin ping'e acik olmasi mi gerekiyor?  

 ikinci sorunum ise daha vahim.. Ben durumun kritikligini de hedeflemek acisindan her iki porttaki ayni VLAN'da olan bilgisayarlara VPN kurdum ve site2site calistirdim.  

 root_at_okaratas:/etc/openvpn# ping 10.10.30.1  PING 10.10.30.1 (10.10.30.1) 56(84) bytes of data.  64 bytes from 10.10.30.1: icmp_seq=1 ttl=255 time=4.96 ms  

 root_at_okaratas:/etc/openvpn# ping 192.168.1.1  PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.  64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=6.81 ms  

 Yukarida gordugunuz gibi hem VLAN interface olan 10.10.30.1 i hemde diger porta takili ayni VLAN'da olan VPN sunucusunu (192.168.1.1) ping edebiliyorum.  

 Ancak kendi ip adresime VLAN interface ip verdigim zaman VLAN ile iletisim kesilmeden tum bilgiler bana geliyor ve gateway gibi davraniyorum. Yani kendime 10.10.30.1 ip adresi veriyorum.  

 root_at_okaratas:/etc/openvpn# ifconfig eth1 10.10.30.1 netmask 255.255.255.0  

 Bu durumda ayni VLAN'da olan tum bilgisayarlar beni gateway'i saniyorlar.  

 root_at_karsi-bilgisayar:/etc# ping 10.10.30.1  PING 192.168.1.1 (10.10.30.1) 56(84) bytes of data.   64 bytes from 10.10.30.1: icmp_seq=1 ttl=64 time=1.40 ms  

 Ayni sekilde agdaki CDP paketlerini dinledigimde switch'in bile iletisimi kesmeden discovery mesajlarini bana yolladigini goruyorum. Sanki VLAN interface'i benmisim gibi..  

 Using Device: eth1
 Waiting for CDP advertisement:
 (default config is to transmit CDP packets every 60 seconds)  Device ID
   value: cisco-3550
 Addresses
   value: 10.10.30.1
 Port ID
   value: GigabitEthernet0/11  

 Simdi sorularim su;  

  1. VLAN bilgileri tasiyan paket yapilari nasildir? ICMP ile ilgisi nedir?
  2. VLAN'da olan her bilgisayar ping'e acik olmalimidir?
  3. VLAN interface 'i kotu niyetli birisi kendi ip adresi olarak atadiginda hem VPN bilgilerine erisiyor hemde agin tum bilgilerine sahip oluyor. Bir sekilde VLAN interface'lardan birini IP olarak birisi aldiginda ag iletisimi ya da ilgili portu Layer 3 switch'in kapatmasi saglanabilir mi?
  4. VLAN'lar icin routing ve access-list ihtiyaclarimdan dolayi VLAN interface olusturuyorum. Daha dogrusu VLAN'a IP atayip client'larin gatewayi olarak atiyorum. Bunda bir sakinca var mi, baska bir yol onerir misiniz?

 iyi calismalar,
 kolay gelsin.  

 Ozgur  



 Now that's room service! Choose from over 150,000 hotels  in 45,000 destinations on Yahoo! Travel to find your fit.  

 [Non-text portions of this message have been removed]    

     
                       

       
---------------------------------

Pinpoint customers who are looking for what you sell.

[Non-text portions of this message have been removed] Received on Thu May 31 2007 - 17:20:12 CEST

This archive was generated by hypermail 2.2.0 : Thu May 31 2007 - 17:20:12 CEST