forum.opennet.ru - "Помогите разобраться access-list`ми" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите разобраться access-list`ми"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите разобраться access-list`ми"
Сообщение от umca (ok) on 27-Фев-07, 11:15
Помогите мне разобраться с access-list`ми , мне надо сделать так ,что бы vlan`ны между собой не могли общаться !! Помогите или скиньте ссылочку на мануал Есть коммутатор catalyst 2960 на нём есть ` vlan1 no ip addres no ip route-cache vlan2 no ip addres no ip route-cache vlan3 no ip addres no ip route-cache vlan4 no ip addres no ip route-cache На маршрутизаторе cisco3725 так interface f0/0.1 encapsulation dot1Q 1 ip address 10.10.10.2 255.255.255.252 ip nat inside ip flow ingress interface f0/0.2 encapsulation dot1Q 2 ip address 10.10.10.6 255.255.255.252 ip nat inside ip flow ingress interface f0/0.3 encapsulation dot1Q 3 ip address 10.10.10.10 255.255.255.252 ip nat inside ip flow ingress interface f0/0.4 encapsulation dot1Q 4 ip address 10.10.10.14 255.255.255.252 ip nat inside ip flow ingress
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Помогите разобраться access-list`ми, sh_, 14:11 , 27-Фев-07, (1)

Помогите разобраться access-list`ми, umca, 13:38 , 28-Фев-07, (2)

Помогите разобраться access-list`ми, sh_, 14:01 , 28-Фев-07, (3)

Помогите разобраться access-list`ми, umca, 23:51 , 04-Апр-07, (4)

Помогите разобраться access-list`ми, fantom, 09:51 , 05-Апр-07, (5)
Помогите разобраться access-list`ми, vorch, 12:55 , 05-Апр-07, (6)

Помогите разобраться access-list`ми, umca, 15:12 , 05-Апр-07, (7)

Помогите разобраться access-list`ми, vorch, 16:01 , 05-Апр-07, (8)

Помогите разобраться access-list`ми, umca, 10:16 , 06-Апр-07, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "Помогите разобраться access-list`ми"

Сообщение от sh_ (??) on 27-Фев-07, 14:11

access-li 100 den ip any 10.10.10.0 0.0.0.255
interface f0/0.1
ip access-gr 100 in
interface f0/0.2
ip access-gr 100 in
interface f0/0.3
ip access-gr 100 in
interface f0/0.4
ip access-gr 100 in

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите разобраться access-list`ми"

Сообщение от umca (ok) on 28-Фев-07, 13:38

>access-li 100 den ip any 10.10.10.0 0.0.0.255
>interface f0/0.1
>ip access-gr 100 in
>interface f0/0.2
>ip access-gr 100 in
>interface f0/0.3
>ip access-gr 100 in
>interface f0/0.4
>ip access-gr 100 in

Вот если по такой схеме ,то получается так
у меня
10.10.10.1 - это у абонента
255.255.255.252
10.10.10.2 -это на маршрутизаторе (он же будит шлюзом для 10.10.10.1)
Не получиться ли так что я просто запрещу общение между Ip и его шлюзом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите разобраться access-list`ми"

Сообщение от sh_ (??) on 28-Фев-07, 14:01

А оно очень нужно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помогите разобраться access-list`ми"

Сообщение от umca (ok) on 04-Апр-07, 23:51

мне нужно просто сделать так ,что бы пользователя могли выходить в интернет при этом ,что бы они могли пинговать только свой шлюз , а не всё подьинтерфейсы на маршрутизаторе (что сейчас у меня и происходит ), то есть сейчас вообще нет листов доступа и пользователям везде открыты двери !
Помогите пожалуйсто запутался сильно !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Помогите разобраться access-list`ми"

Сообщение от fantom (??) on 05-Апр-07, 09:51

>мне нужно просто сделать так ,что бы пользователя могли выходить в интернет
>при этом ,что бы они могли пинговать только свой шлюз ,
>а не всё подьинтерфейсы на маршрутизаторе (что сейчас у меня и
>происходит ), то есть сейчас вообще нет листов доступа и пользователям
>везде открыты двери !
>
>Помогите пожалуйсто запутался сильно !

Разрешаешь icmp на in только на ip шлюза
access-list 110 permit icmp <твоя сеть> <вайлдкардмаска> host <IP шлюза>
access-list 110 deny icmp any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Помогите разобраться access-list`ми"

Сообщение от vorch on 05-Апр-07, 12:55

Не понял, в чем проблема. Не хотите создавать индивидульный ACL для каждого подинтерфейса? Но без этого не получится. Я вижу это так
access-list 101 permit ip any 10.10.10.0 0.0.0.3
access-list 101 deny   ip any 10.0.0.0 0.255.255.255
access-list 101 permit ip any any
int f0/0.1
ip access-group 101 in
access-list 102 permit ip any 10.10.10.4 0.0.0.3
access-list 102 deny   ip any 10.0.0.0 0.255.255.255
access-list 102 permit ip any any
int f0/0.2
ip access-group 102 in
И т.д. В итоге юзвери получают доступ только к своему шлюзу и к Инету, к остальной локалке доступ им закрыт

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Помогите разобраться access-list`ми"

Сообщение от umca (??) on 05-Апр-07, 15:12

Спасибочки за помошь , а вот если ещё немного усложнить
, точней сказать прописать очень точные access-list`ы , точней
не так как предлогае те Вы
nt f0/0.1
ip access-group 101 in
access-list 101 permit ip any 10.10.10.4 0.0.0.3
access-list 101 deny   ip any 10.0.0.0 0.255.255.255
access-list 101 permit ip any any

а так (я вот именно их и не могу сделать , а сказать могу)
access-list 101 permin ip host 10.10.10.1 host 10.10.10.2
access-list 101 permin ip host 10.10.10.2 host 10.10.10.1
(тем самым получим меньше служебной информации - то есть широковещательных пакетов)
и так для интернета вот , только я не могу это сделать (то есть давать доступ не так access-list 101 permit ip any any  , а более точно либо сразу к нату , или ещё как  ),если вас не затруднит напишите пожалуйсто !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Помогите разобраться access-list`ми"

Сообщение от vorch on 05-Апр-07, 16:01

>access-list 101 permin ip host 10.10.10.1 host 10.10.10.2
>access-list 101 permin ip host 10.10.10.2 host 10.10.10.1
>(тем самым получим меньше служебной информации - то есть широковещательных пакетов)
>и так для интернета вот , только я не могу это сделать
>(то есть давать доступ не так access-list 101 permit ip any
>any  , а более точно либо сразу к нату ,
>или ещё как  ),если вас не затруднит напишите пожалуйсто !
Простите, но мне кажется, что вы не совсем представляете себе как работают ACL (и возможно, что из себя представляют IP-пакеты). Во-первых, вы в рамках одного ACL пытаетесь ограничить трафик сразу В ОБОИХ направлениях, а это неверно, потому что: "один ACL - один интерфейс - один протокол - ОДНО НАПРАВЛЕНИЕ". И второе - вы разрешите обмен пакетов только между клиентом и шлюзом, а зачем это надо?! Клиенту надо в Инет, а не на шлюз. Шлюз его вообще не интересует.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Помогите разобраться access-list`ми"

Сообщение от umca (??) on 06-Апр-07, 10:16

Вы абсолютно верны ,я слабо понимат взмжности ACL
Вот если по существу , то схема такова ,что есть много подсетей , соответственно если делать как вот люди говорят (создать правило разрешающее , а потом то что надо запретить прописать )в моём случае это просто будит очень много писанины , а я вот думал может кто знает как решить этот вопрос буквально 3-6 строк , ну или что то подобное  !
С Пониманием Сергей !

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите разобраться access-list`ми"
Сообщение от sh_ (??) on 27-Фев-07, 14:11
access-li 100 den ip any 10.10.10.0 0.0.0.255 interface f0/0.1 ip access-gr 100 in interface f0/0.2 ip access-gr 100 in interface f0/0.3 ip access-gr 100 in interface f0/0.4 ip access-gr 100 in
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Помогите разобраться access-list`ми"
	Сообщение от umca (ok) on 28-Фев-07, 13:38
	>access-li 100 den ip any 10.10.10.0 0.0.0.255 >interface f0/0.1 >ip access-gr 100 in >interface f0/0.2 >ip access-gr 100 in >interface f0/0.3 >ip access-gr 100 in >interface f0/0.4 >ip access-gr 100 in Вот если по такой схеме ,то получается так у меня 10.10.10.1 - это у абонента 255.255.255.252 10.10.10.2 -это на маршрутизаторе (он же будит шлюзом для 10.10.10.1) Не получиться ли так что я просто запрещу общение между Ip и его шлюзом
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Помогите разобраться access-list`ми"
	Сообщение от sh_ (??) on 28-Фев-07, 14:01
	А оно очень нужно?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Помогите разобраться access-list`ми"
Сообщение от umca (ok) on 04-Апр-07, 23:51
мне нужно просто сделать так ,что бы пользователя могли выходить в интернет при этом ,что бы они могли пинговать только свой шлюз , а не всё подьинтерфейсы на маршрутизаторе (что сейчас у меня и происходит ), то есть сейчас вообще нет листов доступа и пользователям везде открыты двери ! Помогите пожалуйсто запутался сильно !
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Помогите разобраться access-list`ми"
	Сообщение от fantom (??) on 05-Апр-07, 09:51
	>мне нужно просто сделать так ,что бы пользователя могли выходить в интернет >при этом ,что бы они могли пинговать только свой шлюз , >а не всё подьинтерфейсы на маршрутизаторе (что сейчас у меня и >происходит ), то есть сейчас вообще нет листов доступа и пользователям >везде открыты двери ! > >Помогите пожалуйсто запутался сильно ! Разрешаешь icmp на in только на ip шлюза access-list 110 permit icmp <твоя сеть> <вайлдкардмаска> host <IP шлюза> access-list 110 deny icmp any any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Помогите разобраться access-list`ми"
	Сообщение от vorch on 05-Апр-07, 12:55
	Не понял, в чем проблема. Не хотите создавать индивидульный ACL для каждого подинтерфейса? Но без этого не получится. Я вижу это так access-list 101 permit ip any 10.10.10.0 0.0.0.3 access-list 101 deny ip any 10.0.0.0 0.255.255.255 access-list 101 permit ip any any int f0/0.1 ip access-group 101 in access-list 102 permit ip any 10.10.10.4 0.0.0.3 access-list 102 deny ip any 10.0.0.0 0.255.255.255 access-list 102 permit ip any any int f0/0.2 ip access-group 102 in И т.д. В итоге юзвери получают доступ только к своему шлюзу и к Инету, к остальной локалке доступ им закрыт
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Помогите разобраться access-list`ми"
	Сообщение от umca (??) on 05-Апр-07, 15:12
	Спасибочки за помошь , а вот если ещё немного усложнить , точней сказать прописать очень точные access-list`ы , точней не так как предлогае те Вы nt f0/0.1 ip access-group 101 in access-list 101 permit ip any 10.10.10.4 0.0.0.3 access-list 101 deny ip any 10.0.0.0 0.255.255.255 access-list 101 permit ip any any а так (я вот именно их и не могу сделать , а сказать могу) access-list 101 permin ip host 10.10.10.1 host 10.10.10.2 access-list 101 permin ip host 10.10.10.2 host 10.10.10.1 (тем самым получим меньше служебной информации - то есть широковещательных пакетов) и так для интернета вот , только я не могу это сделать (то есть давать доступ не так access-list 101 permit ip any any , а более точно либо сразу к нату , или ещё как ),если вас не затруднит напишите пожалуйсто !
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Помогите разобраться access-list`ми"
	Сообщение от vorch on 05-Апр-07, 16:01
	>access-list 101 permin ip host 10.10.10.1 host 10.10.10.2 >access-list 101 permin ip host 10.10.10.2 host 10.10.10.1 >(тем самым получим меньше служебной информации - то есть широковещательных пакетов) >и так для интернета вот , только я не могу это сделать >(то есть давать доступ не так access-list 101 permit ip any >any , а более точно либо сразу к нату , >или ещё как ),если вас не затруднит напишите пожалуйсто ! Простите, но мне кажется, что вы не совсем представляете себе как работают ACL (и возможно, что из себя представляют IP-пакеты). Во-первых, вы в рамках одного ACL пытаетесь ограничить трафик сразу В ОБОИХ направлениях, а это неверно, потому что: "один ACL - один интерфейс - один протокол - ОДНО НАПРАВЛЕНИЕ". И второе - вы разрешите обмен пакетов только между клиентом и шлюзом, а зачем это надо?! Клиенту надо в Инет, а не на шлюз. Шлюз его вообще не интересует.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Помогите разобраться access-list`ми"
	Сообщение от umca (??) on 06-Апр-07, 10:16
	Вы абсолютно верны ,я слабо понимат взмжности ACL Вот если по существу , то схема такова ,что есть много подсетей , соответственно если делать как вот люди говорят (создать правило разрешающее , а потом то что надо запретить прописать )в моём случае это просто будит очень много писанины , а я вот думал может кто знает как решить этот вопрос буквально 3-6 строк , ну или что то подобное ! С Пониманием Сергей !
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]