Доброго дня!Подскажите, на сколько безопасно и разумно держать на одной Cisco C2900XL две подсети из публичных IP адресов и локальных (10.0.0.0)? Существует ли вероятность перехвата трафика?
>Подскажите, на сколько безопасно и разумно держать на одной Cisco C2900XL две
>подсети из публичных IP адресов и локальных (10.0.0.0)? Существует ли вероятность
>перехвата трафика?Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и LAN, и WAN. )) Естественно, стоит озаботиться жесткими ACL, проксей, возможно железным фаерволом. В инете есть несколько вариантов рекомендаций по "безопасным" кофигам, можете поискать.
>Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и
>LAN, и WAN. ))Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор), а не роутер.
>Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор),
>а не роутер.да, как-то я не подумала. )) если у вас сети ходят в разный вланах - все в общем-то безопасно.
> если у вас сети ходят в
> разный вланах - все в общем-то безопасно.Т.е. vlan - это единственный вариант?
На сколько успел понять девайс это неуправляемый, т.е. получается теоретически, что человек, имееющий порт на нем, может прописать себе на серверном интерфейсе IP из второй подсети и эта циска "разрешит" ему доступ, а значит он сможет и трафик поснифить. Так?
И чтобы такое избежать нужен vlan. И это единственное решение в данной ситуации?
> если у вас сети ходят в
> разный вланах - все в общем-то безопасно.Обе сети в вланы надо? Или достаточно одну?
Эммм, мне казалось, что C2900XL умеет вланы... 0.о
Вопрос про "обе сети надо" или нет - не совсем корректен, т.к. по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что вы хотите "выделить" - запихивайте в какой-либо другой. ))
>Эммм, мне казалось, что C2900XL умеет вланы... 0.оОшибочка вышла, нарыл документацию, так оказалось, что поддерживает:
Производитель Cisco
Модель Catalyst C2924-XL-EN
Код производителя WS-C2924C-XL-EN
Кол-во базовых портов 24
Скорость передачи по UPLINK 100 Мбит/сек.
Поддерживаемые стандарты IEEE 802.1Q (VLAN), IEEE 802.3 (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.3x (Flow Control)Никогда раньше не работал с такими девайсами - вот и запутался.
>Вопрос про "обе сети надо" или нет - не совсем корректен, т.к.
>по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что
>вы хотите "выделить" - запихивайте в какой-либо другой. ))Теперь стало понятнее.
Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd) запихиваем в порты, скажем, с 17 по 24. На самой циске для этих портов поднимаем VLAN-2 и так же на серверах поднимает этот же VLAN-2. Остальные - в порты с 1 по 16, включая патчкорды от роутера провайдера. Я правильно понял?
>[оверквотинг удален]
>>по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что
>>вы хотите "выделить" - запихивайте в какой-либо другой. ))
>
>Теперь стало понятнее.
>
>Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd)
>запихиваем в порты, скажем, с 17 по 24. На самой циске
>для этих портов поднимаем VLAN-2 и так же на серверах поднимает
>этот же VLAN-2. Остальные - в порты с 1 по 16,
>включая патчкорды от роутера провайдера. Я правильно понял?Все верно. Одна часть портов в одном влане, другая - в другом. Если больше одного VLAN не собираетесь на сервера прогонять, то просто на портах Каталиста пропишите влан и поставье его в акцесс.
sw mo ac
sw ac vl номер влана
На серверах делать ничего не надо будет.
>Все верно. Одна часть портов в одном влане, другая - в другом.Сделал:
#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/5, Fa0/6, Fa0/7, Fa0/8,
Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15, Fa0/16
2 strictarea active Fa0/17, Fa0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default activeКак-то можно проверить, что все корректно? Или этого листинга достаточно?
>Если больше одного VLAN не собираетесь на сервера прогонять, то просто
>на портах Каталиста пропишите влан и поставье его в акцесс.
>sw mo ac
>sw ac vl номер вланаЭти команды не удалось сделать. В каком режиме их вводить? Через show тоже не нашел.
>На серверах делать ничего не надо будет.
Понятно.
>[оверквотинг удален]
>>на портах Каталиста пропишите влан и поставье его в акцесс.
>>sw mo ac
>>sw ac vl номер влана
>
>Эти команды не удалось сделать. В каком режиме их вводить? Через show
>тоже не нашел.
>
>>На серверах делать ничего не надо будет.
>
>Понятно.Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал.
Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.
> sw mo ac
> sw ac vl номер вланаА в чем суть этих команд?
acl'ы я посмотрел все пустые.
Т.е. нужно разрешить доступ к VLAN-2 только для 10.aaa.bbb.ccc/24
и наоборот запретить доступ к VLAN-1 для 10.aaa.bbb.ccc/24. Верно?>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>не работал.Понятно, буду разбираться
>Листинга в принципе достаточно. Если у вас все работает, то значит все
>настроили верно.Хорошо
>[оверквотинг удален]
>>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>>не работал.
>
>Понятно, буду разбираться
>
>>Листинга в принципе достаточно. Если у вас все работает, то значит все
>>настроили верно.
>
>Хорошо
>> sw mo acПеревод порта в режим access
>> sw ac vl номер вланаУказание номера Vlan на порту.
Акцесс листы вам не нужны, это же два разных VLAN. Между собой они не пересекаются. В этом их предназначение как бы ))
>[оверквотинг удален]
>>на портах Каталиста пропишите влан и поставье его в акцесс.
>>sw mo ac
>>sw ac vl номер влана
>
>Эти команды не удалось сделать. В каком режиме их вводить? Через show
>тоже не нашел.
>
>>На серверах делать ничего не надо будет.
>
>Понятно.Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал.
Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.
>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>не работал.Разобрался, только по каждому порту отдельно указывается (насколько я понял атериал на странице http://www.opennet.me/docs/RUS/Catalyst/index.html)
cisco(config)#interface FastEthernet 0/18
cisco(config)#switchport mode access
cisco(config)#exit
>Листинга в принципе достаточно. Если у вас все работает, то значит все
>настроили верно.Хорошо, будем проверять.