Como evitar el descubrimiento de la red entre miembros de la misma VLAN en S5300?

Publicado 2019-4-29 16:40:11Última respuesta abr. 30, 2019 09:38:15 91 2 0 0
  Recompensa Goldies : 0 (solución de problemas)

En nuestros ISP, usamos los switches Huawei s5300 y queremos actualizar nuestra configuración para lograr lo siguiente:

Coloque una cantidad de clientes / usuarios diferentes bajo la misma VLAN.

Asigne una dirección IP pública-estática por cliente / cliente y evite que usen otra dirección IP de la misma subred.

Aísle cada cliente / interfaz en la misma VLAN, haciéndolos efectivos como si fueran parte de una VLAN diferente. El objetivo es evitar que los protocolos de descubrimiento automático de la red basados en difusión puedan ubicar todos los hosts en el mismo dominio de difusión.


La idea es: a) guardar en direcciones IP, ya que si colocamos a cada cliente en una VLAN separada, "perderemos" al menos 3 IP, y b) evitaremos el uso de la VLAN MUX (VLAN privada en términos de Cisco) debido a la complejidad de la configuración.


Nos quedamos atascados en el punto 3. Si los clientes terminan la IP pública en un servidor, por ejemplo, el Cliente A puede ver el servidor de Cliente B, C, D en la carpeta de red de Windows. Aquí hay una configuración de ejemplo para clientes conectados a la interfaz 0/0/3 y 0/0/4. Como aprendimos de la red, el comando "port-isolate enable group 1" puede hacer el truco, pero para nosotros no tuvo ningún efecto.



interfaz Vlanif2 (la subred se basa en direcciones IP públicas)

ip address X.X.X.X 255.255.255.0
..
user-bind static ip-address X.X.X.19 interface GigabitEthernet0/0/3
user-bind static ip-address X.X.X.20 interface GigabitEthernet0/0/4
..
interface GigabitEthernet0/0/3
   port link-type access
   port default vlan 2
   port-isolate enable group 1
   arp anti-attack check user-bind enable
interface GigabitEthernet0/0/4
   port link-type access
   port default vlan 2
   port-isolate enable group 1
   arp anti-attack check user-bind enable


Saludos.


  • x
  • convención:

Respuestas destacadas
Publicado 2019-4-29 16:41:24 Útil(2) Útil(2)
En nuestros ISP, usamos los switches Huawei s5300 y queremos actualizar nuestra configuración para lograr lo siguiente:

Coloque una cantidad de clientes / usuarios diferentes bajo la misma VLAN.

Asigne una dirección IP pública-estática por cliente / cliente y evite que usen otra dirección IP de la misma subred.

Aísle cada cliente / interfaz en la misma VLAN, haciéndolos efectivos como si fueran parte de una VLAN diferente. El objetivo es evitar que los protocolos de descubrimiento automático de la red basados en difusión puedan ubicar todos los hosts en el mismo dominio de difusión.



La idea es: a) guardar en direcciones IP, ya que si colocamos a cada cliente en una VLAN separada, "perderemos" al menos 3 IP, y b) evitaremos el uso de la VLAN MUX (VLAN privada en términos de Cisco) debido a la complejidad de la configuración.



Nos quedamos atascados en el punto 3. Si los clientes terminan la IP pública en un servidor, por ejemplo, el Cliente A puede ver el servidor de Cliente B, C, D en la carpeta de red de Windows. Aquí hay una configuración de ejemplo para clientes conectados a la interfaz 0/0/3 y 0/0/4. Como aprendimos de la red, el comando "port-isolate enable group 1" puede hacer el truco, pero para nosotros no tuvo ningún efecto.





interfaz Vlanif2 (la subred se basa en direcciones IP públicas)

ip address X.X.X.X 255.255.255.0
..
user-bind static ip-address X.X.X.19 interface GigabitEthernet0/0/3
user-bind static ip-address X.X.X.20 interface GigabitEthernet0/0/4
..
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2
port-isolate enable group 1
arp anti-attack check user-bind enable
interface GigabitEthernet0/0/4
port link-type access
port default vlan 2
port-isolate enable group 1
arp anti-attack check user-bind enable



Saludos.

  • x
  • convención:

Todas las respuestas
Wick Publicado 2019-4-29 16:41:24 Útil(2) Útil(2)
En nuestros ISP, usamos los switches Huawei s5300 y queremos actualizar nuestra configuración para lograr lo siguiente:

Coloque una cantidad de clientes / usuarios diferentes bajo la misma VLAN.

Asigne una dirección IP pública-estática por cliente / cliente y evite que usen otra dirección IP de la misma subred.

Aísle cada cliente / interfaz en la misma VLAN, haciéndolos efectivos como si fueran parte de una VLAN diferente. El objetivo es evitar que los protocolos de descubrimiento automático de la red basados en difusión puedan ubicar todos los hosts en el mismo dominio de difusión.



La idea es: a) guardar en direcciones IP, ya que si colocamos a cada cliente en una VLAN separada, "perderemos" al menos 3 IP, y b) evitaremos el uso de la VLAN MUX (VLAN privada en términos de Cisco) debido a la complejidad de la configuración.



Nos quedamos atascados en el punto 3. Si los clientes terminan la IP pública en un servidor, por ejemplo, el Cliente A puede ver el servidor de Cliente B, C, D en la carpeta de red de Windows. Aquí hay una configuración de ejemplo para clientes conectados a la interfaz 0/0/3 y 0/0/4. Como aprendimos de la red, el comando "port-isolate enable group 1" puede hacer el truco, pero para nosotros no tuvo ningún efecto.





interfaz Vlanif2 (la subred se basa en direcciones IP públicas)

ip address X.X.X.X 255.255.255.0
..
user-bind static ip-address X.X.X.19 interface GigabitEthernet0/0/3
user-bind static ip-address X.X.X.20 interface GigabitEthernet0/0/4
..
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2
port-isolate enable group 1
arp anti-attack check user-bind enable
interface GigabitEthernet0/0/4
port link-type access
port default vlan 2
port-isolate enable group 1
arp anti-attack check user-bind enable



Saludos.

  • x
  • convención:

Gustavo.HdezF Moderator Publicado 2019-4-30 09:38:15 Útil(0) Útil(0)
Gracias por compartir, interesante aporte. Saludos.
  • x
  • convención:

Ingeniero en Comunicaciones y Electrónica con 20 años de experiencia en el área de las telecomunicaciones para voz y datos, comparto mi experiencia dando clases en la Universidad Politécnica de Querétaro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba