URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23354
[ Назад ]

Исходное сообщение
"Одним можно все, другим ограничить."
Отправлено Prhyme , 06-Дек-11 15:45

Всем добрый день.
Заранее приношу извинения, если вопрос глуп.
Опишу ситуацию. Одним пользователям нужно разрешить доступ только ко ограниченному числу сайтов. Они получают адрес от DHCP. Под это дело выделил пул адресов.
Остальным нужно разрешить доступ ко всем сайтам. Этим пользователям я сделал привязку адреса к маку (каждому из этих пользователей).
Теперь не знаю, куда двигаться дальше. urlfilter? acl, class map, policy map?
Просто подтолкните в нужную сторону, пожалуйста.
Из интерфейсов настроен FE8(выход в интернет), внутри все в Vlan1.
Всем спасибо заранее.

Содержание

Одним можно все, другим ограничить.,vasili, 17:33 , 06-Дек-11
- Одним можно все, другим ограничить.,Prhyme, 19:08 , 06-Дек-11
  - Одним можно все, другим ограничить.,sTALK_specTrum, 06:28 , 07-Дек-11
    - Одним можно все, другим ограничить.,Prhyme, 09:52 , 07-Дек-11
      - Одним можно все, другим ограничить.,sTALK_specTrum, 10:13 , 07-Дек-11
        
        Одним можно все, другим ограничить.,Prhyme, 10:41 , 07-Дек-11
        
        Одним можно все, другим ограничить.,Prhyme, 12:48 , 07-Дек-11
        
        Одним можно все, другим ограничить.,sTALK_specTrum, 17:00 , 07-Дек-11
        
        Одним можно все, другим ограничить.,Prhyme, 17:45 , 07-Дек-11

Сообщения в этом обсуждении

"Одним можно все, другим ограничить."
Отправлено vasili , 06-Дек-11 17:33

> Просто подтолкните в нужную сторону, пожалуйста.
> Из интерфейсов настроен FE8(выход в интернет), внутри все в Vlan1.
> Всем спасибо заранее.
Одним выдаешь адреса из одной подсети, другим из другой, а далее огромный ACL где одним можно всё, а другим только permit на огромный список сайтов. Вообще на прокси с авторизацией такие вопросы решаются IMHO.

"Одним можно все, другим ограничить."
Отправлено Prhyme , 06-Дек-11 19:08

>> Просто подтолкните в нужную сторону, пожалуйста.
>> Из интерфейсов настроен FE8(выход в интернет), внутри все в Vlan1.
>> Всем спасибо заранее.
> Одним выдаешь адреса из одной подсети, другим из другой, а далее огромный
> ACL где одним можно всё, а другим только permit на огромный
> список сайтов. Вообще на прокси с авторизацией такие вопросы
> решаются IMHO.
Как тогда быть с сетевыми принтерами, сетевыми дисками, если будут две разные подсети? Их в какую из двух цеплять? Как к ним пользователи из второй подсети будут обращаться? Никак?

"Одним можно все, другим ограничить."
Отправлено sTALK_specTrum , 07-Дек-11 06:28

> Как тогда быть с сетевыми принтерами, сетевыми дисками, если будут две разные
> подсети? Их в какую из двух цеплять? Как к ним пользователи
> из второй подсети будут обращаться? Никак?
Поправка в терминологии. Здесь "две подсети" следует читать как "два диапазона адресов из одной сети".

"Одним можно все, другим ограничить."
Отправлено Prhyme , 07-Дек-11 09:52

>> Как тогда быть с сетевыми принтерами, сетевыми дисками, если будут две разные
>> подсети? Их в какую из двух цеплять? Как к ним пользователи
>> из второй подсети будут обращаться? Никак?
> Поправка в терминологии. Здесь "две подсети" следует читать как "два диапазона адресов
> из одной сети".
Два пула, я понял. Если не брать в расчет, что я сделал уже почти всем, кому нужно оставить полный доступ, привязку по маку, то как будет определяться, какому пользователю из какого пула выдавать адрес?

"Одним можно все, другим ограничить."
Отправлено sTALK_specTrum , 07-Дек-11 10:13

Сначала
> я сделал уже почти всем, кому нужно оставить полный доступ, привязку по маку,
И тут же
> как будет определяться, какому пользователю из какого пула выдавать адрес?
В чём вопрос-то? Как-то противоречиво...

"Одним можно все, другим ограничить."
Отправлено Prhyme , 07-Дек-11 10:41

> Сначала
>> я сделал уже почти всем, кому нужно оставить полный доступ, привязку по маку,
> И тут же
>> как будет определяться, какому пользователю из какого пула выдавать адрес?
> В чём вопрос-то? Как-то противоречиво...
То есть, привязал я 16 первых адресов по маку - создать пул из этих 16 адресов? Так, понятно.
Для этого пула мне вообще никаких ограничений не надо. Нужно только для того, основного. Но что ACL, что ip inspect вешается на интерфейс ведь... Как тут быть? разграничили мы пулы - не разграничили. Правила все равно повесим на интерфейс и будут они на оба пула действовать. Я не прав?

"Одним можно все, другим ограничить."
Отправлено Prhyme , 07-Дек-11 12:48

>[оверквотинг удален]
>> И тут же
>>> как будет определяться, какому пользователю из какого пула выдавать адрес?
>> В чём вопрос-то? Как-то противоречиво...
> То есть, привязал я 16 первых адресов по маку - создать пул
> из этих 16 адресов? Так, понятно.
> Для этого пула мне вообще никаких ограничений не надо. Нужно только для
> того, основного. Но что ACL, что ip inspect вешается на интерфейс
> ведь... Как тут быть? разграничили мы пулы - не разграничили. Правила
> все равно повесим на интерфейс и будут они на оба пула
> действовать. Я не прав?
Воспользуемся вайлкард-маской!

"Одним можно все, другим ограничить."
Отправлено sTALK_specTrum , 07-Дек-11 17:00

> Воспользуемся вайлкард-маской!
Я почему-то считал это очевидным... =)_)

"Одним можно все, другим ограничить."
Отправлено Prhyme , 07-Дек-11 17:45

>> Воспользуемся вайлкард-маской!
> Я почему-то считал это очевидным... =)_)
Для нас, начинающих, вся прелесть этого инструмента еще не так очевидна)