Hallo allerseits! In diesem „kurzen“ Beitrag werden wir eine Variante sehen, wie man Host auf einem Switch voneinander isolieren kann.

Hier geht es nur darum, dass protected Ports nur mit unprotected Ports kommunizieren können. Das heisst konkret, dass wir alle unsere Host-Ports als protected definieren werden und die Uplinks oder den Port wo unsere Gateway sind als unprotected lassen.

Cisco stellt für diese Aufgabe unter dem Switchport Befehl die option „protected“ zur Verfügung.

Als Beispiel dient folgende Topologie

Wir sehen, dass auf dem Switch die Ports wie folgt definiert worden sind:

ge0/1: Verbindung zum R-22 wurde als Protected definiert.
ge0/2: Verbindung zum R-33 wurde als Protected definiert.
ge0/3: Verbindung zum R-GW wurde als Unprotected definiert.

Das bedeutet, dass R-22 und R-33 theoretisch nicht untereinander kommunizieren können. Die werden aber in der Lage sein den Router R-GW zu erreichen.

Bemerkung: Bitte, denk dran, dass Applikationen wie Skype for Business, die eine Direkte Verbindung zwischen den Host aufbauen möchten, daran scheitern werden. So ist dieser Ansatz wahrscheinlich heutzutage für Client-Netzwerke nicht mehr so interessant, dennoch kann das weiterhin in DMZ-Netze einrichten, wo manche Server definitiv nicht mit anderen im Netz kommunizieren sollen.

Sehen wir wie es konfiguriert wird…

SW

interface GigabitEthernet0/1
description *** R-22 Protected ***
switchport access vlan 192
switchport mode access
switchport protected
negotiation auto
end

interface GigabitEthernet0/2
description *** R-33 Protected ***
switchport access vlan 192
switchport mode access
switchport protected
negotiation auto
end

interface GigabitEthernet0/3
description *** R-GW Unprotected ***
switchport access vlan 192
switchport mode access
negotiation auto
end

Auf den Routern wurde nur eine IP-Adresse wie auf der Topologie eingerichtet.

So… jetzt testen wir aus, wie sich das auf unseren Routers auswirkt. Zuerst setzen wir einen Ping von R-22 in Richtung R-33 auf.

Router#ping 10.240.192.33
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.240.192.33, timeout is 2 seconds:
…..
Success rate is 0 percent (0/5)
Router#

Und wie sieht es mit R-GW?

Router#ping 10.240.192.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.240.192.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/6 ms
Router#

Das scheint zu funktionieren! Nur aus Sicherheit werden wir das selbe auf dem Router R-33 ausprobieren.

Router#ping 10.240.192.22
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.240.192.22, timeout is 2 seconds:
…..
Success rate is 0 percent (0/5)
Router#ping 10.240.192.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.240.192.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms
Router#

Wie vorher erwähnt, ist diese Konfiguration keine Hexerei.