разграничение доступа между vlan cisco
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- ефрейтор
- Сообщения: 62
- Зарегистрирован: 2010-04-13 14:38:09
разграничение доступа между vlan cisco
всем здрасьте)
имеется сеть из роутера 2851 и коммутатора 2950
в gi0/0 воткнут кабель от провайдера и на интерфейсе назначен ип адрес выдаваемый провайдером
в gi0/1 воткнут свич, и он соединяется с последним портом комутатора. порт на роутере и на свиче - транковый
на роутере прописаны 4 саб интерфейса ( 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0)
все, все по минимуму. все работает.
вопрос, как сделать так чтобы все подсети видели подсеть 192.168.1.0 но не видели остальные три?
в подсети .1.0 находятся файловый и 1с сервер. все должны на них заходить, но не должны видеть соседей вообще никак.
как это можно попроще сделать?
пс. все подсети должны иметь доступ в интернет.
схемка сети прилеплена
имеется сеть из роутера 2851 и коммутатора 2950
в gi0/0 воткнут кабель от провайдера и на интерфейсе назначен ип адрес выдаваемый провайдером
в gi0/1 воткнут свич, и он соединяется с последним портом комутатора. порт на роутере и на свиче - транковый
на роутере прописаны 4 саб интерфейса ( 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0)
все, все по минимуму. все работает.
вопрос, как сделать так чтобы все подсети видели подсеть 192.168.1.0 но не видели остальные три?
в подсети .1.0 находятся файловый и 1с сервер. все должны на них заходить, но не должны видеть соседей вообще никак.
как это можно попроще сделать?
пс. все подсети должны иметь доступ в интернет.
схемка сети прилеплена
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
-
- ефрейтор
- Сообщения: 62
- Зарегистрирован: 2010-04-13 14:38:09
Re: разграничение доступа между vlan cisco
можно пример или ссылку на пример или запрос в гугл, чтобы человек первый раз видящий циски смог разобраться? не идиот а именно первый раз видящий циски.
я сам искал, но нихрена не понял особо. там какая логика? создается аксес лист и потом в саб интерфейсе пишется - использовать такойто аксес лист? или в каждом саб интерфейсе писать аксес лист?
желания читать 100500 страниц текста на английском тоже не много, так как толком мало чо усвоится. в идеале былобы чтобы кто нибуть накидал простейший пример. мне так былобы проще) но сгодится любая помощь в данном вопросе)
я сам искал, но нихрена не понял особо. там какая логика? создается аксес лист и потом в саб интерфейсе пишется - использовать такойто аксес лист? или в каждом саб интерфейсе писать аксес лист?
желания читать 100500 страниц текста на английском тоже не много, так как толком мало чо усвоится. в идеале былобы чтобы кто нибуть накидал простейший пример. мне так былобы проще) но сгодится любая помощь в данном вопросе)
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: разграничение доступа между vlan cisco
Отдельно рисуется аксес лист (есть два варианта - простой и расширенный). После этого лист вешается командой ip access-group <aclname> [in|out].
В стандартном листе идет проверка сорса, без проверки всего остального. В расширенном - нужно указывать всеБ протокол, порты, сорс, дестиейшен и еще куча всего.
скажите в режиме конфига чтото типа этого:
Если вы когданибудь начемнибудь АЦЛи рисовали, то проблем возникнуть не должно.
В стандартном листе идет проверка сорса, без проверки всего остального. В расширенном - нужно указывать всеБ протокол, порты, сорс, дестиейшен и еще куча всего.
скажите в режиме конфига чтото типа этого:
Код: Выделить всё
msk(config)#ip access-list standard TEST-STD-LIST
msk(config-std-nacl)#?
Standard Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
msk(config-std-nacl)# exit
msk(config)#ip access-list ext TEST-EXT-LIST
msk(config-ext-nacl)#?
Ext Access List configuration commands:
<1-2147483647> Sequence Number
default Set a command to its defaults
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Не сломалось - не чини.
-
- ефрейтор
- Сообщения: 62
- Зарегистрирован: 2010-04-13 14:38:09
Re: разграничение доступа между vlan cisco
спс, буду изучать
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: разграничение доступа между vlan cisco
И еще уточнение на всякий случай - последней строчкой в ацл-е подразумевается денай все остальное.
Вам поидее будет достаточно повесить стандартный лист в сторону пользователей, который запрещает сети пользователям из остальных подсетей и разрешает все остальное.
Вам поидее будет достаточно повесить стандартный лист в сторону пользователей, который запрещает сети пользователям из остальных подсетей и разрешает все остальное.
Не сломалось - не чини.
-
- ефрейтор
- Сообщения: 62
- Зарегистрирован: 2010-04-13 14:38:09
Re: разграничение доступа между vlan cisco
можно чутьчуть поподробнее?
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: разграничение доступа между vlan cisco
Код: Выделить всё
ip access-list standard acl-vlan2-out
deny 192.168.3.0 0.0.0.255
deny 192.168.4.0 0.0.0.255
permit any
ip access-list standard acl-vlan3-out
deny 192.168.2.0 0.0.0.255
deny 192.168.4.0 0.0.0.255
permit any
ip access-list standard acl-vlan4-out
deny 192.168.2.0 0.0.0.255
deny 192.168.3.0 0.0.0.255
permit any
int gi 0/1.2
ip access-gr acl-vlan2-out out
int gi 0/1.3
ip access-gr acl-vlan3-out out
int gi 0/1.4
ip access-gr acl-vlan4-out out
Не сломалось - не чини.
-
- ефрейтор
- Сообщения: 62
- Зарегистрирован: 2010-04-13 14:38:09
Re: разграничение доступа между vlan cisco
спасибо огромное ща попробуем) блин чесное слово, от души ваще)
-
- ефрейтор
- Сообщения: 62
- Зарегистрирован: 2010-04-13 14:38:09
Re: разграничение доступа между vlan cisco
проверил, работает как часики за исключением одного НО
шлюзы каждой подсети доступны из любых подсетей независимо от введеных выше ACL
знакомый сказал что это изза ната.
хосты в каждой подсети недоступны и правила работают как надо.
отсюда вопрос - стоит ли копать дальше или можно оставить как есть? необходимость ввода ACL обусловлена тем чтобы вирусы из одной подсети не перли на все компы а заражали только компьютеры находящиеся в одной подсети(кабинете).
шлюзы каждой подсети доступны из любых подсетей независимо от введеных выше ACL
знакомый сказал что это изза ната.
хосты в каждой подсети недоступны и правила работают как надо.
отсюда вопрос - стоит ли копать дальше или можно оставить как есть? необходимость ввода ACL обусловлена тем чтобы вирусы из одной подсети не перли на все компы а заражали только компьютеры находящиеся в одной подсети(кабинете).
-
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: разграничение доступа между vlan cisco
боишься что цыску заразят? что значит доступны? пингуются? ну и пофиг. выруби лишние сервисы на цыске, повесь ацл нужный на vty. особо параноидальные люди могут погуглить на тему CoPP, для сокрытия цыски от посторонних...
Не сломалось - не чини.
-
- ефрейтор
- Сообщения: 62
- Зарегистрирован: 2010-04-13 14:38:09
Re: разграничение доступа между vlan cisco
не, целостность и недоступность самой циски меня волнует пожалуй в последнюю очередь.
помнится работал я в провайдере, и както почитал я про атаки типа MITM. ну вроде есть понятные инструкции в картинках ак именно ее реализовать, вплоть до мануала по установке линукса и софта. я и реализовал....
запустил прогу, она как я понял начала выдавать себя - шлюзом по умолчанию для всех компов в сети(наш отдел, влан бухов, влан манагеров, влан телефонистов, влан ноковцев)
в итоге через 1 минуту, у меня было гдето 5страниц а4, исписаные исключительно паролями.
там были пароли от асек(были даже пятизнаки) от всех почт работающих по поп3, от сайтов какихто, от внутреннего сайта системы заявок(все пользователи), админские пароли от цысок(я рыботал в ТП и у нас были сильно урезаные учетки), админские пароли от телефонных станций, пароли я так думаю админские от биллинга, от самбы куча паролей и возможно от чегото еще. ведущий инженер по сетям был в шоке, но в еще большем шоке был я.
вот представьте, сидит такое манагерное отверстие, лазит в инете по всем сайтам без разбору, подцепляет какой нибуть троян, а в трояне был бекдор к консоли компа. отсюда вопрос - хакер запустивший аналогичный софт тоже понесет 5 листов паролей главному инженеру илиже применит их во зло компании? например можно было вытереть все бекапы конфигов всех свичей\роутеров, и потом последовательно от последнего к центральному перезагрузить с обнулением конфига. у нас было на момент моего взлома гдето 4 тысячи клиентов, все юрики. 25 обьектов с 5-25 еденицами оборудования на каждом. сколько это все восстанавливалибы(даже при наличии уцелевших в отдельном бекапе конфигов) наши 2 умелых инженера? таже ситуация и с телефонией(мы были монополистами по этому по телефонии железа столькоже и клиентов столькоже)
вот ябы хотел застраховаться от чегото такого. а сама цыска меня не сильно беспокоит.
помнится работал я в провайдере, и както почитал я про атаки типа MITM. ну вроде есть понятные инструкции в картинках ак именно ее реализовать, вплоть до мануала по установке линукса и софта. я и реализовал....
запустил прогу, она как я понял начала выдавать себя - шлюзом по умолчанию для всех компов в сети(наш отдел, влан бухов, влан манагеров, влан телефонистов, влан ноковцев)
в итоге через 1 минуту, у меня было гдето 5страниц а4, исписаные исключительно паролями.
там были пароли от асек(были даже пятизнаки) от всех почт работающих по поп3, от сайтов какихто, от внутреннего сайта системы заявок(все пользователи), админские пароли от цысок(я рыботал в ТП и у нас были сильно урезаные учетки), админские пароли от телефонных станций, пароли я так думаю админские от биллинга, от самбы куча паролей и возможно от чегото еще. ведущий инженер по сетям был в шоке, но в еще большем шоке был я.
вот представьте, сидит такое манагерное отверстие, лазит в инете по всем сайтам без разбору, подцепляет какой нибуть троян, а в трояне был бекдор к консоли компа. отсюда вопрос - хакер запустивший аналогичный софт тоже понесет 5 листов паролей главному инженеру илиже применит их во зло компании? например можно было вытереть все бекапы конфигов всех свичей\роутеров, и потом последовательно от последнего к центральному перезагрузить с обнулением конфига. у нас было на момент моего взлома гдето 4 тысячи клиентов, все юрики. 25 обьектов с 5-25 еденицами оборудования на каждом. сколько это все восстанавливалибы(даже при наличии уцелевших в отдельном бекапе конфигов) наши 2 умелых инженера? таже ситуация и с телефонией(мы были монополистами по этому по телефонии железа столькоже и клиентов столькоже)
вот ябы хотел застраховаться от чегото такого. а сама цыска меня не сильно беспокоит.