URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18156
[ Назад ]

Исходное сообщение
"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 03-Фев-09 08:17

Доброго дня!
Подскажите, на сколько безопасно и разумно держать на одной Cisco C2900XL две подсети из публичных IP адресов и локальных (10.0.0.0)? Существует ли вероятность перехвата трафика?

Содержание

Cisco C2900XL и две подсети на портах.,gagner, 19:03 , 03-Фев-09
- Cisco C2900XL и две подсети на портах.,zeiter, 07:31 , 04-Фев-09
  - Cisco C2900XL и две подсети на портах.,gagner, 18:26 , 10-Фев-09
    - Cisco C2900XL и две подсети на портах.,zeiter, 07:37 , 11-Фев-09
    - Cisco C2900XL и две подсети на портах.,zeiter, 11:23 , 11-Фев-09
      - Cisco C2900XL и две подсети на портах.,gagner, 19:39 , 17-Фев-09
        
        Cisco C2900XL и две подсети на портах.,zeiter, 07:26 , 18-Фев-09
        
        Cisco C2900XL и две подсети на портах.,lumenous, 09:18 , 18-Фев-09
        
        Cisco C2900XL и две подсети на портах.,zeiter, 11:53 , 18-Фев-09
        
        Cisco C2900XL и две подсети на портах.,lumenous, 13:59 , 18-Фев-09
        
        Cisco C2900XL и две подсети на портах.,zeiter, 14:09 , 18-Фев-09
        
        Cisco C2900XL и две подсети на портах.,lumenous, 15:21 , 18-Фев-09
        
        Cisco C2900XL и две подсети на портах.,lumenous, 15:19 , 18-Фев-09
        
        Cisco C2900XL и две подсети на портах.,zeiter, 07:57 , 19-Фев-09

Сообщения в этом обсуждении

"Cisco C2900XL и две подсети на портах."
Отправлено gagner , 03-Фев-09 19:03

>Подскажите, на сколько безопасно и разумно держать на одной Cisco C2900XL две
>подсети из публичных IP адресов и локальных (10.0.0.0)? Существует ли вероятность
>перехвата трафика?
Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и LAN, и WAN. )) Естественно, стоит озаботиться жесткими ACL, проксей, возможно железным фаерволом. В инете есть несколько вариантов рекомендаций по "безопасным" кофигам, можете поискать.

"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 04-Фев-09 07:31

>Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и
>LAN, и WAN. ))
Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор), а не роутер.

"Cisco C2900XL и две подсети на портах."
Отправлено gagner , 10-Фев-09 18:26

>Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор),
>а не роутер.
да, как-то я не подумала. )) если у вас сети ходят в разный вланах - все в общем-то безопасно.

"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 11-Фев-09 07:37

> если у вас сети ходят в
> разный вланах - все в общем-то безопасно.
Т.е. vlan - это единственный вариант?
На сколько успел понять девайс это неуправляемый, т.е. получается теоретически, что человек, имееющий порт на нем, может прописать себе на серверном интерфейсе IP из второй подсети и эта циска "разрешит" ему доступ, а значит он сможет и трафик поснифить. Так?
И чтобы такое избежать нужен vlan. И это единственное решение в данной ситуации?

"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 11-Фев-09 11:23

> если у вас сети ходят в
> разный вланах - все в общем-то безопасно.
Обе сети в вланы надо? Или достаточно одну?

"Cisco C2900XL и две подсети на портах."
Отправлено gagner , 17-Фев-09 19:39

Эммм, мне казалось, что C2900XL умеет вланы... 0.о

Вопрос про "обе сети надо" или нет - не совсем корректен, т.к. по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что вы хотите "выделить" - запихивайте в какой-либо другой. ))

"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 18-Фев-09 07:26

>Эммм, мне казалось, что C2900XL умеет вланы... 0.о
Ошибочка вышла, нарыл документацию, так оказалось, что поддерживает:
Производитель Cisco
Модель Catalyst C2924-XL-EN
Код производителя WS-C2924C-XL-EN
Кол-во базовых портов 24
Скорость передачи по UPLINK 100 Мбит/сек.
Поддерживаемые стандарты IEEE 802.1Q (VLAN), IEEE 802.3 (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.3x (Flow Control)
Никогда раньше не работал с такими девайсами - вот и запутался.
>Вопрос про "обе сети надо" или нет - не совсем корректен, т.к.
>по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что
>вы хотите "выделить" - запихивайте в какой-либо другой. ))
Теперь стало понятнее.
Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd) запихиваем в порты, скажем, с 17 по 24. На самой циске для этих портов поднимаем VLAN-2 и так же на серверах поднимает этот же VLAN-2. Остальные - в порты с 1 по 16, включая патчкорды от роутера провайдера. Я правильно понял?

"Cisco C2900XL и две подсети на портах."
Отправлено lumenous , 18-Фев-09 09:18

>[оверквотинг удален]
>>по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что
>>вы хотите "выделить" - запихивайте в какой-либо другой. ))
>
>Теперь стало понятнее.
>
>Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd)
>запихиваем в порты, скажем, с 17 по 24. На самой циске
>для этих портов поднимаем VLAN-2 и так же на серверах поднимает
>этот же VLAN-2. Остальные - в порты с 1 по 16,
>включая патчкорды от роутера провайдера. Я правильно понял?
Все верно. Одна часть портов в одном влане, другая - в другом. Если больше одного VLAN не собираетесь на сервера прогонять, то просто на портах Каталиста пропишите влан и поставье его в акцесс.
sw mo ac
sw ac vl номер влана
На серверах делать ничего не надо будет.

"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 18-Фев-09 11:53

>Все верно. Одна часть портов в одном влане, другая - в другом.

Сделал:

#show vlan
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4,
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8,
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12,
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
2    strictarea                       active    Fa0/17, Fa0/18, Fa0/19, Fa0/20,
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active

Как-то можно проверить, что все корректно? Или этого листинга достаточно?

>Если больше одного VLAN не собираетесь на сервера прогонять, то просто
>на портах Каталиста пропишите влан и поставье его в акцесс.
>sw mo ac
>sw ac vl номер влана

Эти команды не удалось сделать. В каком режиме их вводить? Через show тоже не нашел.

>На серверах делать ничего не надо будет.

Понятно.

"Cisco C2900XL и две подсети на портах."
Отправлено lumenous , 18-Фев-09 13:59

>[оверквотинг удален]
>>на портах Каталиста пропишите влан и поставье его в акцесс.
>>sw mo ac
>>sw ac vl номер влана
>
>Эти команды не удалось сделать. В каком режиме их вводить? Через show
>тоже не нашел.
>
>>На серверах делать ничего не надо будет.
>
>Понятно.
Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал.
Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.

"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 18-Фев-09 14:09

> sw mo ac
> sw ac vl номер влана
А в чем суть этих команд?
acl'ы я посмотрел все пустые.
Т.е. нужно разрешить доступ к VLAN-2 только для 10.aaa.bbb.ccc/24
и наоборот запретить доступ к VLAN-1 для 10.aaa.bbb.ccc/24. Верно?
>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>не работал.
Понятно, буду разбираться
>Листинга в принципе достаточно. Если у вас все работает, то значит все
>настроили верно.
Хорошо

"Cisco C2900XL и две подсети на портах."
Отправлено lumenous , 18-Фев-09 15:21

>[оверквотинг удален]
>>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>>не работал.
>
>Понятно, буду разбираться
>
>>Листинга в принципе достаточно. Если у вас все работает, то значит все
>>настроили верно.
>
>Хорошо
>> sw mo ac
Перевод порта в режим access
>> sw ac vl номер влана
Указание номера Vlan на порту.
Акцесс листы вам не нужны, это же два разных VLAN. Между собой они не пересекаются. В этом их предназначение как бы ))

"Cisco C2900XL и две подсети на портах."
Отправлено lumenous , 18-Фев-09 15:19

>[оверквотинг удален]
>>на портах Каталиста пропишите влан и поставье его в акцесс.
>>sw mo ac
>>sw ac vl номер влана
>
>Эти команды не удалось сделать. В каком режиме их вводить? Через show
>тоже не нашел.
>
>>На серверах делать ничего не надо будет.
>
>Понятно.
Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал.
Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.

"Cisco C2900XL и две подсети на портах."
Отправлено zeiter , 19-Фев-09 07:57

>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>не работал.
Разобрался, только по каждому порту отдельно указывается (насколько я понял атериал на странице http://www.opennet.me/docs/RUS/Catalyst/index.html)
cisco(config)#interface FastEthernet 0/18
cisco(config)#switchport mode access
cisco(config)#exit
>Листинга в принципе достаточно. Если у вас все работает, то значит все
>настроили верно.
Хорошо, будем проверять.