разграничение доступа между vlan cisco

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
diakon2
ефрейтор
Сообщения: 62
Зарегистрирован: 2010-04-13 14:38:09

разграничение доступа между vlan cisco

Непрочитанное сообщение diakon2 » 2014-01-16 14:34:22

всем здрасьте)

имеется сеть из роутера 2851 и коммутатора 2950
в gi0/0 воткнут кабель от провайдера и на интерфейсе назначен ип адрес выдаваемый провайдером
в gi0/1 воткнут свич, и он соединяется с последним портом комутатора. порт на роутере и на свиче - транковый

на роутере прописаны 4 саб интерфейса ( 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0)

все, все по минимуму. все работает.

вопрос, как сделать так чтобы все подсети видели подсеть 192.168.1.0 но не видели остальные три?

в подсети .1.0 находятся файловый и 1с сервер. все должны на них заходить, но не должны видеть соседей вообще никак.

как это можно попроще сделать?

пс. все подсети должны иметь доступ в интернет.


схемка сети прилеплена
Вложения
1.jpg

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

lap
лейтенант
Сообщения: 607
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение lap » 2014-01-16 14:48:04

Повесить аксес листы?
Не сломалось - не чини.

diakon2
ефрейтор
Сообщения: 62
Зарегистрирован: 2010-04-13 14:38:09

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение diakon2 » 2014-01-16 15:23:22

можно пример или ссылку на пример или запрос в гугл, чтобы человек первый раз видящий циски смог разобраться? не идиот а именно первый раз видящий циски.

я сам искал, но нихрена не понял особо. там какая логика? создается аксес лист и потом в саб интерфейсе пишется - использовать такойто аксес лист? или в каждом саб интерфейсе писать аксес лист?

желания читать 100500 страниц текста на английском тоже не много, так как толком мало чо усвоится. в идеале былобы чтобы кто нибуть накидал простейший пример. мне так былобы проще) но сгодится любая помощь в данном вопросе)

lap
лейтенант
Сообщения: 607
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение lap » 2014-01-16 17:30:51

Отдельно рисуется аксес лист (есть два варианта - простой и расширенный). После этого лист вешается командой ip access-group <aclname> [in|out].
В стандартном листе идет проверка сорса, без проверки всего остального. В расширенном - нужно указывать всеБ протокол, порты, сорс, дестиейшен и еще куча всего.

скажите в режиме конфига чтото типа этого:

Код: Выделить всё

msk(config)#ip access-list standard TEST-STD-LIST
msk(config-std-nacl)#?
Standard Access List configuration commands:
  <1-2147483647>  Sequence Number
  default         Set a command to its defaults
  deny            Specify packets to reject
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment
msk(config-std-nacl)# exit
msk(config)#ip access-list ext TEST-EXT-LIST
msk(config-ext-nacl)#?
Ext Access List configuration commands:
  <1-2147483647>  Sequence Number
  default         Set a command to its defaults
  deny            Specify packets to reject
  dynamic         Specify a DYNAMIC list of PERMITs or DENYs
  evaluate        Evaluate an access list
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment
Если вы когданибудь начемнибудь АЦЛи рисовали, то проблем возникнуть не должно.
Не сломалось - не чини.


lap
лейтенант
Сообщения: 607
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение lap » 2014-01-17 11:12:15

И еще уточнение на всякий случай - последней строчкой в ацл-е подразумевается денай все остальное.

Вам поидее будет достаточно повесить стандартный лист в сторону пользователей, который запрещает сети пользователям из остальных подсетей и разрешает все остальное.
Не сломалось - не чини.

diakon2
ефрейтор
Сообщения: 62
Зарегистрирован: 2010-04-13 14:38:09

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение diakon2 » 2014-01-17 14:34:00

можно чутьчуть поподробнее?

lap
лейтенант
Сообщения: 607
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение lap » 2014-01-20 17:49:45

Код: Выделить всё

ip access-list standard acl-vlan2-out
  deny 192.168.3.0 0.0.0.255
  deny 192.168.4.0 0.0.0.255
  permit any
ip access-list standard acl-vlan3-out
  deny 192.168.2.0 0.0.0.255
  deny 192.168.4.0 0.0.0.255
  permit any
ip access-list standard acl-vlan4-out
  deny 192.168.2.0 0.0.0.255
  deny 192.168.3.0 0.0.0.255
  permit any
int gi 0/1.2
 ip access-gr  acl-vlan2-out out
int gi 0/1.3
 ip access-gr  acl-vlan3-out out
int gi 0/1.4
 ip access-gr  acl-vlan4-out out
Не сломалось - не чини.

diakon2
ефрейтор
Сообщения: 62
Зарегистрирован: 2010-04-13 14:38:09

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение diakon2 » 2014-01-23 14:54:05

спасибо огромное ща попробуем) блин чесное слово, от души ваще)

diakon2
ефрейтор
Сообщения: 62
Зарегистрирован: 2010-04-13 14:38:09

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение diakon2 » 2014-01-23 17:33:06

проверил, работает как часики за исключением одного НО

шлюзы каждой подсети доступны из любых подсетей независимо от введеных выше ACL

знакомый сказал что это изза ната.

хосты в каждой подсети недоступны и правила работают как надо.

отсюда вопрос - стоит ли копать дальше или можно оставить как есть? необходимость ввода ACL обусловлена тем чтобы вирусы из одной подсети не перли на все компы а заражали только компьютеры находящиеся в одной подсети(кабинете).

lap
лейтенант
Сообщения: 607
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение lap » 2014-01-26 14:42:13

боишься что цыску заразят? что значит доступны? пингуются? ну и пофиг. выруби лишние сервисы на цыске, повесь ацл нужный на vty. особо параноидальные люди могут погуглить на тему CoPP, для сокрытия цыски от посторонних...
Не сломалось - не чини.

diakon2
ефрейтор
Сообщения: 62
Зарегистрирован: 2010-04-13 14:38:09

Re: разграничение доступа между vlan cisco

Непрочитанное сообщение diakon2 » 2014-02-05 13:08:28

не, целостность и недоступность самой циски меня волнует пожалуй в последнюю очередь.

помнится работал я в провайдере, и както почитал я про атаки типа MITM. ну вроде есть понятные инструкции в картинках ак именно ее реализовать, вплоть до мануала по установке линукса и софта. я и реализовал....

запустил прогу, она как я понял начала выдавать себя - шлюзом по умолчанию для всех компов в сети(наш отдел, влан бухов, влан манагеров, влан телефонистов, влан ноковцев)

в итоге через 1 минуту, у меня было гдето 5страниц а4, исписаные исключительно паролями.

там были пароли от асек(были даже пятизнаки) от всех почт работающих по поп3, от сайтов какихто, от внутреннего сайта системы заявок(все пользователи), админские пароли от цысок(я рыботал в ТП и у нас были сильно урезаные учетки), админские пароли от телефонных станций, пароли я так думаю админские от биллинга, от самбы куча паролей и возможно от чегото еще. ведущий инженер по сетям был в шоке, но в еще большем шоке был я.

вот представьте, сидит такое манагерное отверстие, лазит в инете по всем сайтам без разбору, подцепляет какой нибуть троян, а в трояне был бекдор к консоли компа. отсюда вопрос - хакер запустивший аналогичный софт тоже понесет 5 листов паролей главному инженеру илиже применит их во зло компании? например можно было вытереть все бекапы конфигов всех свичей\роутеров, и потом последовательно от последнего к центральному перезагрузить с обнулением конфига. у нас было на момент моего взлома гдето 4 тысячи клиентов, все юрики. 25 обьектов с 5-25 еденицами оборудования на каждом. сколько это все восстанавливалибы(даже при наличии уцелевших в отдельном бекапе конфигов) наши 2 умелых инженера? таже ситуация и с телефонией(мы были монополистами по этому по телефонии железа столькоже и клиентов столькоже)


вот ябы хотел застраховаться от чегото такого. а сама цыска меня не сильно беспокоит.