vlan i zabezpieczenie

Wiadomość

kubulla2 · #1

Witam,
jestem nowy w cisco, potrzebuje pomocy w rozwiazaniu problemu: na switchu mam 2 vlany 10 i 20 chce ograniczyc dostep dla uzytkownikow z vlan 10 tylko do http i https i jednego ip z sieci LAN, natomiast vlan 20 dostep do wszytkiego, jak mozna tego dokonac

pozdrawiam
Kuba

kktm · #2

1. sposob latwy - interfejs SVI traktujesz jak zwyjky interfejs- mozesz tam wzocic acl w kierunku in /out

np.

int vlan 2
ip access-list mojacl [in|out]
!

2. VLAN Access-Map - poczytaj - trudniejsze w implementacji- ale możesz filtrować nie tylko IP i dodatkowo filtr działa w samym vlanie.

anyway jak dla ciebie wersja 1 jest ok.

Mozna tez dac acl w kierunku in na poszczegolnych portach switcha.

To co napisalem mozna zrobic, ograniczenia jak zwykle wynikaja z wersji i rodziny ios'a

/enjoy

Isam · #3

A ten swicth jest L3 czy zakladamy istnienie jakiegos routera? Bo chyba na switchu l2 ... nie ma sensu filtrowanie po ip?:]

kktm · #4

Isam pisze:A ten swicth jest L3 czy zakladamy istnienie jakiegos routera? Bo chyba na switchu l2 ... nie ma sensu filtrowanie po ip?:]

No w tym cale piekno, ze na switchu L2 można dać np port ACL i filtrować L3.

Nie jest to może zbyt skalowalne ale uwalasz niepożądany ruch już na wejściu i oszczędzasz pasmo.

zreszta TU masz wszystko.

kubulla2 · #5

dzieki za informacje, jednak mozecie podac mi p rzyklada tzn jakie polecenia powinny byc wpisane aby filtrowac na switch L2 po ip( mowimy o ext acl tak?)

kktm · #6

kubulla2 pisze:dzieki za informacje, jednak mozecie podac mi p rzyklada tzn jakie polecenia powinny byc wpisane aby filtrowac na switch L2 po ip( mowimy o ext acl tak?)

no proste to jak drut

tworzysz acl:

ip access-list extended LAN_BLOCK
permit tcp any any eq www
permit tcp any any eq 443
permit ip any host 1.2.3.4

na kazdym porcie fizycznym z vlan'u 10 dajesz

int fastethernet 0/x
ip access-group LAN_BLOCK in
!

i tyle

randeb · #7

no dobra bo czegos nie czaje, jakim cudem na L2 bez routera jest to możliwe aby przefiltrować pakiety po adresach ip lub portach, gdzie jest to L3/4 ??

kubulla2 · #8

KKTM piszesz w swoim pierwszym liscie abym zalozyl acl na int VLAN 10 np, potem piszesz abym ACL zalozyl na kazdy interfejs fizyczny gdzie jest VLAN 10, popraw mnie jesli sie myle, jesli postapie tak - zakladajac ACL na int VLAN 10 - acl rozpropaguje sie automatycznie na wszytkie fizyczne porty gdzie jest ustawiony VLAN 10, tak? czy musze robic to recznie?

Mirunio · #9

kubulla2 pisze:zakladajac ACL na int VLAN 10 - acl rozpropaguje sie automatycznie na wszytkie fizyczne porty gdzie jest ustawiony VLAN 10, tak? czy musze robic to recznie?

Rozpropaguje się na wszystkie porty. Reasumując, możesz podpiąć acl pod dany port eth, lub pod dany vlan. Należy pamiętać również, że na przełącznikach wspierane są tylko protokoły L2 - MAC, L3 - IP, L4 - TCP, UDP tylko w kierunku in. Nie ma mowy o żadnych dynamicznych listach i innych bajerach

kktm · #10

kubulla2 w dordze wyjatku

widze ze niedawno dolaczyles do tegp forum.

przeczytaj powoli i ze zrozumieniem.

TO

Nie jest tego duzo (ok 50 stron). Jak przeczytasz i nadal nie bedziesz kapowal pytaj.

kktm · #11

randeb pisze:no dobra bo czegos nie czaje, jakim cudem na L2 bez routera jest to możliwe aby przefiltrować pakiety po adresach ip lub portach, gdzie jest to L3/4 ??

Odp: Bo sisco jesr zajebiste i tyle

Zreszta pomysl np o funkconalnosci IGMP snooping - switch tez zaglada w pakiety do srodka.