URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19209
[ Назад ]

Исходное сообщение
"Cisco 871 Vlan Route"
Отправлено AleX , 07-Июл-09 22:50

Люди человеки, подскажите.
Есть Cisco 871
Есть Vlan 1 и Vlan 2
Vlan 1 : 192.168.0.1
Vlan 2 : 10.10.10.1
Есть внешняя сеть fastethernet 4 193.239.10.10
Люди из влана 1 ходят в мир с внешнего езернета.
Люди из влана 2 тоже ходят в мир.
Нужно что бы Vlan 1 не маршрутизировался с Vlan 2
Vlan 1 должен жить своей жизнью, а Vlan 2 своей.
А сейчас, я с Vlan 1 пингую Vlan 2 и обратно.
Как убрать между ними маршрутизацию ?
ACL листы не предлагать :)

Содержание

Cisco 871 Vlan Route,Slimm, 00:02 , 08-Июл-09
Cisco 871 Vlan Route,vnn, 11:50 , 08-Июл-09
- Cisco 871 Vlan Route,AleX, 14:18 , 08-Июл-09
  - Cisco 871 Vlan Route,vnn, 14:41 , 08-Июл-09
    - Cisco 871 Vlan Route,vnn, 14:46 , 08-Июл-09
      - Cisco 871 Vlan Route,vnn, 14:51 , 08-Июл-09
        
        Cisco 871 Vlan Route,AleX, 18:07 , 09-Июл-09
    - Cisco 871 Vlan Route,AleX, 14:47 , 08-Июл-09

Сообщения в этом обсуждении

"Cisco 871 Vlan Route"
Отправлено Slimm , 08-Июл-09 00:02

>[оверквотинг удален]
>Есть внешняя сеть fastethernet 4 193.239.10.10
>Люди из влана 1 ходят в мир с внешнего езернета.
>Люди из влана 2 тоже ходят в мир.
>
>Нужно что бы Vlan 1 не маршрутизировался с Vlan 2
>Vlan 1 должен жить своей жизнью, а Vlan 2 своей.
>А сейчас, я с Vlan 1 пингую Vlan 2 и обратно.
>
>Как убрать между ними маршрутизацию ?
>ACL листы не предлагать :)
в данном случае маршрутизацию отключить не возможно
почему ACL не использовать, помоему единственное правильное и красивое решение

"Cisco 871 Vlan Route"
Отправлено vnn , 08-Июл-09 11:50

>[оверквотинг удален]
>Есть внешняя сеть fastethernet 4 193.239.10.10
>Люди из влана 1 ходят в мир с внешнего езернета.
>Люди из влана 2 тоже ходят в мир.
>
>Нужно что бы Vlan 1 не маршрутизировался с Vlan 2
>Vlan 1 должен жить своей жизнью, а Vlan 2 своей.
>А сейчас, я с Vlan 1 пингую Vlan 2 и обратно.
>
>Как убрать между ними маршрутизацию ?
>ACL листы не предлагать :)
Можешь ещё использовать QoS или Zone based firewall.
С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2 в разные зоны, и они не смогут общаться. Плюс 2 правила (точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу.

"Cisco 871 Vlan Route"
Отправлено AleX , 08-Июл-09 14:18

>[оверквотинг удален]
>>Vlan 1 должен жить своей жизнью, а Vlan 2 своей.
>>А сейчас, я с Vlan 1 пингую Vlan 2 и обратно.
>>
>>Как убрать между ними маршрутизацию ?
>>ACL листы не предлагать :)
>
>Можешь ещё использовать QoS или Zone based firewall.
>С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2
>в разные зоны, и они не смогут общаться. Плюс 2 правила
>(точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу.
А примерчик можно ? :)

"Cisco 871 Vlan Route"
Отправлено vnn , 08-Июл-09 14:41

>[оверквотинг удален]
>>>
>>>Как убрать между ними маршрутизацию ?
>>>ACL листы не предлагать :)
>>
>>Можешь ещё использовать QoS или Zone based firewall.
>>С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2
>>в разные зоны, и они не смогут общаться. Плюс 2 правила
>>(точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу.
>
>А примерчик можно ? :)
policy-map type inspect in-out
class type inspect All
  inspect
class class-default
  drop
zone security Vlan1
zone security Vlan2
zone security Outside
zone-pair security 1-out source Vlan1 destination Outside
service-policy type inspect in-out
zone-pair security 2-out source Vlan2 destination Outside
service-policy type inspect in-out
interface vlan1
  zone-member security Vlan1
interface vlan2
  zone-member security Vlan2
interface fa4
  zone-member security Outside
Если собираетесь пускать ещё чё-то снаружи внутрь, то добавьте ещё зонную пару out-in. Маршрутизатор сам по себе - это отдельная зона под названием self.
Как вы поняли, по дефолту трафик между разными зонами запрещён, внутри одной зоны разрешён.
В приведённом примерчике просто инспектируется весь трафик изнутри (vlan1, vlan2) наружу, любые другие перемещения между зонами запрещены.
Также логично будет удалить традиционный файвол после внедрения зонного.

"Cisco 871 Vlan Route"
Отправлено vnn , 08-Июл-09 14:46

Ещё забыл строчку с класс-мапом, который определяет, какой трафик будет инспектироваться. Также на месте match access-group может быть match protocol.
class-map type inspect match-all All
match access-group 101
access-list 101 permit ip any any

"Cisco 871 Vlan Route"
Отправлено vnn , 08-Июл-09 14:51

Только что глянул на нашу единственную 871-ю циску :)
Там однако нету никаких зонных файволов. Похоже он с модели 881 начинаются. Так что простите, эти знания вам скорее всего не пригодятся...

"Cisco 871 Vlan Route"
Отправлено AleX , 09-Июл-09 18:07

>Только что глянул на нашу единственную 871-ю циску :)
>Там однако нету никаких зонных файволов. Похоже он с модели 881 начинаются.
>Так что простите, эти знания вам скорее всего не пригодятся...
871 поддерживает зоны безопасности.

"Cisco 871 Vlan Route"
Отправлено AleX , 08-Июл-09 14:47

>[оверквотинг удален]
>
>Если собираетесь пускать ещё чё-то снаружи внутрь, то добавьте ещё зонную пару
>out-in. Маршрутизатор сам по себе - это отдельная зона под названием
>self.
>Как вы поняли, по дефолту трафик между разными зонами запрещён, внутри одной
>зоны разрешён.
>
>В приведённом примерчике просто инспектируется весь трафик изнутри (vlan1, vlan2) наружу, любые
>другие перемещения между зонами запрещены.
>Также логично будет удалить традиционный файвол после внедрения зонного.
Да нужно сюда еще туннели дописать.
А так в принципе понятно.
Но ИМХО обычным ACl проще делается.