forum.lissyara.su

всем здрасьте)

имеется сеть из роутера 2851 и коммутатора 2950
в gi0/0 воткнут кабель от провайдера и на интерфейсе назначен ип адрес выдаваемый провайдером
в gi0/1 воткнут свич, и он соединяется с последним портом комутатора. порт на роутере и на свиче - транковый

на роутере прописаны 4 саб интерфейса ( 192.168.1.0 192.168.2.0 192.168.3.0 192.168.4.0)

все, все по минимуму. все работает.

вопрос, как сделать так чтобы все подсети видели подсеть 192.168.1.0 но не видели остальные три?

в подсети .1.0 находятся файловый и 1с сервер. все должны на них заходить, но не должны видеть соседей вообще никак.

как это можно попроще сделать?

пс. все подсети должны иметь доступ в интернет.


схемка сети прилеплена

Повесить аксес листы?

можно пример или ссылку на пример или запрос в гугл, чтобы человек первый раз видящий циски смог разобраться? не идиот а именно первый раз видящий циски.

я сам искал, но нихрена не понял особо. там какая логика? создается аксес лист и потом в саб интерфейсе пишется - использовать такойто аксес лист? или в каждом саб интерфейсе писать аксес лист?

желания читать 100500 страниц текста на английском тоже не много, так как толком мало чо усвоится. в идеале былобы чтобы кто нибуть накидал простейший пример. мне так былобы проще) но сгодится любая помощь в данном вопросе)

Отдельно рисуется аксес лист (есть два варианта - простой и расширенный). После этого лист вешается командой ip access-group <aclname> [in|out].
В стандартном листе идет проверка сорса, без проверки всего остального. В расширенном - нужно указывать всеБ протокол, порты, сорс, дестиейшен и еще куча всего.

скажите в режиме конфига чтото типа этого:
Если вы когданибудь начемнибудь АЦЛи рисовали, то проблем возникнуть не должно.

спс, буду изучать

И еще уточнение на всякий случай - последней строчкой в ацл-е подразумевается денай все остальное.

Вам поидее будет достаточно повесить стандартный лист в сторону пользователей, который запрещает сети пользователям из остальных подсетей и разрешает все остальное.

можно чутьчуть поподробнее?

спасибо огромное ща попробуем) блин чесное слово, от души ваще)

проверил, работает как часики за исключением одного НО

шлюзы каждой подсети доступны из любых подсетей независимо от введеных выше ACL

знакомый сказал что это изза ната.

хосты в каждой подсети недоступны и правила работают как надо.

отсюда вопрос - стоит ли копать дальше или можно оставить как есть? необходимость ввода ACL обусловлена тем чтобы вирусы из одной подсети не перли на все компы а заражали только компьютеры находящиеся в одной подсети(кабинете).

боишься что цыску заразят? что значит доступны? пингуются? ну и пофиг. выруби лишние сервисы на цыске, повесь ацл нужный на vty. особо параноидальные люди могут погуглить на тему CoPP, для сокрытия цыски от посторонних...

не, целостность и недоступность самой циски меня волнует пожалуй в последнюю очередь.

помнится работал я в провайдере, и както почитал я про атаки типа MITM. ну вроде есть понятные инструкции в картинках ак именно ее реализовать, вплоть до мануала по установке линукса и софта. я и реализовал....

запустил прогу, она как я понял начала выдавать себя - шлюзом по умолчанию для всех компов в сети(наш отдел, влан бухов, влан манагеров, влан телефонистов, влан ноковцев)

в итоге через 1 минуту, у меня было гдето 5страниц а4, исписаные исключительно паролями.

там были пароли от асек(были даже пятизнаки) от всех почт работающих по поп3, от сайтов какихто, от внутреннего сайта системы заявок(все пользователи), админские пароли от цысок(я рыботал в ТП и у нас были сильно урезаные учетки), админские пароли от телефонных станций, пароли я так думаю админские от биллинга, от самбы куча паролей и возможно от чегото еще. ведущий инженер по сетям был в шоке, но в еще большем шоке был я.

вот представьте, сидит такое манагерное отверстие, лазит в инете по всем сайтам без разбору, подцепляет какой нибуть троян, а в трояне был бекдор к консоли компа. отсюда вопрос - хакер запустивший аналогичный софт тоже понесет 5 листов паролей главному инженеру илиже применит их во зло компании? например можно было вытереть все бекапы конфигов всех свичей\роутеров, и потом последовательно от последнего к центральному перезагрузить с обнулением конфига. у нас было на момент моего взлома гдето 4 тысячи клиентов, все юрики. 25 обьектов с 5-25 еденицами оборудования на каждом. сколько это все восстанавливалибы(даже при наличии уцелевших в отдельном бекапе конфигов) наши 2 умелых инженера? таже ситуация и с телефонией(мы были монополистами по этому по телефонии железа столькоже и клиентов столькоже)


вот ябы хотел застраховаться от чегото такого. а сама цыска меня не сильно беспокоит.