разграничение доступа между vlan cisco

[diakon2]

всем здрасьте)

имеется сеть из роутера 2851 и коммутатора 2950
в gi0/0 воткнут кабель от провайдера и на интерфейсе назначен ип адрес выдаваемый провайдером
в gi0/1 воткнут свич, и он соединяется с последним портом комутатора. порт на роутере и на свиче - транковый

на роутере прописаны 4 саб интерфейса ( 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0)

все, все по минимуму. все работает.

вопрос, как сделать так чтобы все подсети видели подсеть 192.168.1.0 но не видели остальные три?

в подсети .1.0 находятся файловый и 1с сервер. все должны на них заходить, но не должны видеть соседей вообще никак.

как это можно попроще сделать?

пс. все подсети должны иметь доступ в интернет.


схемка сети прилеплена

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

Повесить аксес листы?

[diakon2]

можно пример или ссылку на пример или запрос в гугл, чтобы человек первый раз видящий циски смог разобраться? не идиот а именно первый раз видящий циски.

я сам искал, но нихрена не понял особо. там какая логика? создается аксес лист и потом в саб интерфейсе пишется - использовать такойто аксес лист? или в каждом саб интерфейсе писать аксес лист?

желания читать 100500 страниц текста на английском тоже не много, так как толком мало чо усвоится. в идеале былобы чтобы кто нибуть накидал простейший пример. мне так былобы проще) но сгодится любая помощь в данном вопросе)

[lap]

Отдельно рисуется аксес лист (есть два варианта - простой и расширенный). После этого лист вешается командой ip access-group <aclname> [in|out].
В стандартном листе идет проверка сорса, без проверки всего остального. В расширенном - нужно указывать всеБ протокол, порты, сорс, дестиейшен и еще куча всего.

скажите в режиме конфига чтото типа этого:

Код: Выделить всё

msk(config)#ip access-list standard TEST-STD-LIST
msk(config-std-nacl)#?
Standard Access List configuration commands:
  <1-2147483647>  Sequence Number
  default         Set a command to its defaults
  deny            Specify packets to reject
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment
msk(config-std-nacl)# exit
msk(config)#ip access-list ext TEST-EXT-LIST
msk(config-ext-nacl)#?
Ext Access List configuration commands:
  <1-2147483647>  Sequence Number
  default         Set a command to its defaults
  deny            Specify packets to reject
  dynamic         Specify a DYNAMIC list of PERMITs or DENYs
  evaluate        Evaluate an access list
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment

Если вы когданибудь начемнибудь АЦЛи рисовали, то проблем возникнуть не должно.

[diakon2]

спс, буду изучать

[lap]

И еще уточнение на всякий случай - последней строчкой в ацл-е подразумевается денай все остальное.

Вам поидее будет достаточно повесить стандартный лист в сторону пользователей, который запрещает сети пользователям из остальных подсетей и разрешает все остальное.

[diakon2]

можно чутьчуть поподробнее?

[lap]

Код: Выделить всё

ip access-list standard acl-vlan2-out
  deny 192.168.3.0 0.0.0.255
  deny 192.168.4.0 0.0.0.255
  permit any
ip access-list standard acl-vlan3-out
  deny 192.168.2.0 0.0.0.255
  deny 192.168.4.0 0.0.0.255
  permit any
ip access-list standard acl-vlan4-out
  deny 192.168.2.0 0.0.0.255
  deny 192.168.3.0 0.0.0.255
  permit any
int gi 0/1.2
 ip access-gr  acl-vlan2-out out
int gi 0/1.3
 ip access-gr  acl-vlan3-out out
int gi 0/1.4
 ip access-gr  acl-vlan4-out out

[diakon2]

спасибо огромное ща попробуем) блин чесное слово, от души ваще)

[diakon2]

проверил, работает как часики за исключением одного НО

шлюзы каждой подсети доступны из любых подсетей независимо от введеных выше ACL

знакомый сказал что это изза ната.

хосты в каждой подсети недоступны и правила работают как надо.

отсюда вопрос - стоит ли копать дальше или можно оставить как есть? необходимость ввода ACL обусловлена тем чтобы вирусы из одной подсети не перли на все компы а заражали только компьютеры находящиеся в одной подсети(кабинете).

[lap]

боишься что цыску заразят? что значит доступны? пингуются? ну и пофиг. выруби лишние сервисы на цыске, повесь ацл нужный на vty. особо параноидальные люди могут погуглить на тему CoPP, для сокрытия цыски от посторонних...

[diakon2]

не, целостность и недоступность самой циски меня волнует пожалуй в последнюю очередь.

помнится работал я в провайдере, и както почитал я про атаки типа MITM. ну вроде есть понятные инструкции в картинках ак именно ее реализовать, вплоть до мануала по установке линукса и софта. я и реализовал....

запустил прогу, она как я понял начала выдавать себя - шлюзом по умолчанию для всех компов в сети(наш отдел, влан бухов, влан манагеров, влан телефонистов, влан ноковцев)

в итоге через 1 минуту, у меня было гдето 5страниц а4, исписаные исключительно паролями.

там были пароли от асек(были даже пятизнаки) от всех почт работающих по поп3, от сайтов какихто, от внутреннего сайта системы заявок(все пользователи), админские пароли от цысок(я рыботал в ТП и у нас были сильно урезаные учетки), админские пароли от телефонных станций, пароли я так думаю админские от биллинга, от самбы куча паролей и возможно от чегото еще. ведущий инженер по сетям был в шоке, но в еще большем шоке был я.

вот представьте, сидит такое манагерное отверстие, лазит в инете по всем сайтам без разбору, подцепляет какой нибуть троян, а в трояне был бекдор к консоли компа. отсюда вопрос - хакер запустивший аналогичный софт тоже понесет 5 листов паролей главному инженеру илиже применит их во зло компании? например можно было вытереть все бекапы конфигов всех свичей\роутеров, и потом последовательно от последнего к центральному перезагрузить с обнулением конфига. у нас было на момент моего взлома гдето 4 тысячи клиентов, все юрики. 25 обьектов с 5-25 еденицами оборудования на каждом. сколько это все восстанавливалибы(даже при наличии уцелевших в отдельном бекапе конфигов) наши 2 умелых инженера? таже ситуация и с телефонией(мы были монополистами по этому по телефонии железа столькоже и клиентов столькоже)


вот ябы хотел застраховаться от чегото такого. а сама цыска меня не сильно беспокоит.