Доброго дня!
Для описания задачи такой пример: Есть три вилана.
В одном стоит CCM с адресом 10.1.1.1/24
Во втором IP телефон c адресом 10.1.2.1/24
В третьем комп с cisco софт-фоном с адресом 10.1.3.1/24

По умолчанию доступ из вилана в вилан закрыт access-list -ом
Какие пермиты надо дать из каждого вилана в каждый, чтобы ip-телефония нормально заработала.

Я читал сисковскую доку UDP/TCP Ports Used for VoIP но нормально ее изобразить не смог.
Если можно, пример access-lista

Спасибо!

• Подскажите, что надо открыть в access-list для доступа к Cal...,ВОЛКА, 14:48 , 22-Янв-04
  • Подскажите, что надо открыть в access-list для доступа к Cal...,Yorik, 15:00 , 22-Янв-04
    • Подскажите, что надо открыть в access-list для доступа к Cal...,Karpych, 15:42 , 22-Янв-04
      • Подскажите, что надо открыть в access-list для доступа к Cal...,ВОЛКА, 15:50 , 22-Янв-04
        • Подскажите, что надо открыть в access-list для доступа к Cal...,Yorik, 16:35 , 22-Янв-04
          • Подскажите, что надо открыть в access-list для доступа к Cal...,Vlad, 08:33 , 23-Янв-04
• Подскажите, что надо открыть в access-list для доступа к Cal...,Yorik, 16:47 , 22-Янв-04
  • Подскажите, что надо открыть в access-list для доступа к Cal...,Karpych, 10:33 , 23-Янв-04

а что за каталист?

>а что за каталист?

Вообще рутер - MSFC-модуль на cat6006, а свитчи - 35xx и 2948g, но это не суть. Мне достаточно ответа (в идеале - нужного куска access-lista) для приведенного абстрактного примера, а я уж прикручу его к своей конкретике

>куска access-lista) для приведенного абстрактного примера, а я уж прикручу его
>к своей конкретике

CCM выделяет рандомом порт для госового трафика, в софтфоне можно выставить порты и оно будет по ним бегать(в телефоне же я не знаю как это можно сделать и можно-ли), соответственно нужно будет все несколько портов открыть. с другой стороны, для безопасности, можешь прикрыть все порты <1024 (если юзерам не нужно ходить на ццм по вебу)

P.S. есть свежие прошифки для телефонов?=) и для ата-шек?=)

роутинг между виланами настрой....

ту ВОЛКА: Ну конечно роутинг есть!
Говорю же  - это абстрактный пример. И в этом примере предполагается, что роутинг между виланами есть, ip адресация правильная, и вообще, все работает как надо (без A-L )! Однако, трафик между виланами ограничен листом из одной строки - \access-list 100 deny ip any any\ Так вот вопрос: какие строки-пермиты надо прописать выше этой строки, чтобы открыть все сервисы IP телефонии.

ту Karpych: это конечно вариант, но я хочу подробнее. С IP телефонами дела проще - у них у каждого свой ip-адрес и можно открывать весь ip на этот адрес, а вот с компами сложнее. Есть сервисы, доступ к которым надо блокировать/регулировать, но порты этих сервисов выше 1024.
Хочется знать все диапазоны tcp/udp, на которых слушают CCM, телефоны и софтфоны.

как правило под VOIP работают
сигналка TCP 1720
сам голос UDP 16384-32767
но можно самому перенастроить
аксеслисты соответственно
должен заметить что игрушки сетевые все работают по UDP 16384-32767

ту Karpych: Да и безопасность в Вашем варианте сомнительная. Народ начнет на своих компах запускать ftp на портах выше 1024 и гнать друг другу файло. Это конечно можно делать и на портах VoIP, но все же...

>ту Karpych: Да и безопасность в Вашем варианте сомнительная. Народ начнет на
>своих компах запускать ftp на портах выше 1024 и гнать друг
>другу файло. Это конечно можно делать и на портах VoIP, но
>все же...

я говрю про acl между ccm и лузером, т.е. разрешить весь трафик с/на ccm а все остальное закрывать-открывать по вкусу. для софтфона таки (со стороны лузерской тачки) заставляешь софтфон ходить по определенным портам и разрешаешь только их до ccm-a.

я надеюсь на консоль ccm-a не все юзеры имеют доступ, что бы вешать фтп-шники на разные порты?=)