vlan i zabezpieczenie
vlan i zabezpieczenie
Witam,
jestem nowy w cisco, potrzebuje pomocy w rozwiazaniu problemu: na switchu mam 2 vlany 10 i 20 chce ograniczyc dostep dla uzytkownikow z vlan 10 tylko do http i https i jednego ip z sieci LAN, natomiast vlan 20 dostep do wszytkiego, jak mozna tego dokonac
pozdrawiam
Kuba
jestem nowy w cisco, potrzebuje pomocy w rozwiazaniu problemu: na switchu mam 2 vlany 10 i 20 chce ograniczyc dostep dla uzytkownikow z vlan 10 tylko do http i https i jednego ip z sieci LAN, natomiast vlan 20 dostep do wszytkiego, jak mozna tego dokonac
pozdrawiam
Kuba
nowy
1. sposob latwy - interfejs SVI traktujesz jak zwyjky interfejs- mozesz tam wzocic acl w kierunku in /out
np.
int vlan 2
ip access-list mojacl [in|out]
!
2. VLAN Access-Map - poczytaj - trudniejsze w implementacji- ale możesz filtrować nie tylko IP i dodatkowo filtr działa w samym vlanie.
anyway jak dla ciebie wersja 1 jest ok.
Mozna tez dac acl w kierunku in na poszczegolnych portach switcha.
To co napisalem mozna zrobic, ograniczenia jak zwykle wynikaja z wersji i rodziny ios'a
/enjoy
np.
int vlan 2
ip access-list mojacl [in|out]
!
2. VLAN Access-Map - poczytaj - trudniejsze w implementacji- ale możesz filtrować nie tylko IP i dodatkowo filtr działa w samym vlanie.
anyway jak dla ciebie wersja 1 jest ok.
Mozna tez dac acl w kierunku in na poszczegolnych portach switcha.
To co napisalem mozna zrobic, ograniczenia jak zwykle wynikaja z wersji i rodziny ios'a
/enjoy
"Trust no one"
No w tym cale piekno, ze na switchu L2 można dać np port ACL i filtrować L3.Isam pisze:A ten swicth jest L3 czy zakladamy istnienie jakiegos routera? Bo chyba na switchu l2 ... nie ma sensu filtrowanie po ip?:]
Nie jest to może zbyt skalowalne ale uwalasz niepożądany ruch już na wejściu i oszczędzasz pasmo.
zreszta TU masz wszystko.
"Trust no one"
no proste to jak drutkubulla2 pisze:dzieki za informacje, jednak mozecie podac mi p rzyklada tzn jakie polecenia powinny byc wpisane aby filtrowac na switch L2 po ip( mowimy o ext acl tak?)
tworzysz acl:
ip access-list extended LAN_BLOCK
permit tcp any any eq www
permit tcp any any eq 443
permit ip any host 1.2.3.4
na kazdym porcie fizycznym z vlan'u 10 dajesz
int fastethernet 0/x
ip access-group LAN_BLOCK in
!
i tyle
"Trust no one"
KKTM piszesz w swoim pierwszym liscie abym zalozyl acl na int VLAN 10 np, potem piszesz abym ACL zalozyl na kazdy interfejs fizyczny gdzie jest VLAN 10, popraw mnie jesli sie myle, jesli postapie tak - zakladajac ACL na int VLAN 10 - acl rozpropaguje sie automatycznie na wszytkie fizyczne porty gdzie jest ustawiony VLAN 10, tak? czy musze robic to recznie?
nowy
Rozpropaguje się na wszystkie porty. Reasumując, możesz podpiąć acl pod dany port eth, lub pod dany vlan. Należy pamiętać również, że na przełącznikach wspierane są tylko protokoły L2 - MAC, L3 - IP, L4 - TCP, UDP tylko w kierunku in. Nie ma mowy o żadnych dynamicznych listach i innych bajerachkubulla2 pisze:zakladajac ACL na int VLAN 10 - acl rozpropaguje sie automatycznie na wszytkie fizyczne porty gdzie jest ustawiony VLAN 10, tak? czy musze robic to recznie?
<a href="http://www.itcertificationmaster.com">IT Certification/</a> Master
Odp: Bo sisco jesr zajebiste i tylerandeb pisze:no dobra bo czegos nie czaje, jakim cudem na L2 bez routera jest to możliwe aby przefiltrować pakiety po adresach ip lub portach, gdzie jest to L3/4 ??
Zreszta pomysl np o funkconalnosci IGMP snooping - switch tez zaglada w pakiety do srodka.
"Trust no one"