forum.opennet.ru - "Cisco 871 Vlan Route" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 871 Vlan Route"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 871 Vlan Route"		+/–
Сообщение от AleX (??) on 07-Июл-09, 22:50
Люди человеки, подскажите. Есть Cisco 871 Есть Vlan 1 и Vlan 2 Vlan 1 : 192.168.0.1 Vlan 2 : 10.10.10.1 Есть внешняя сеть fastethernet 4 193.239.10.10 Люди из влана 1 ходят в мир с внешнего езернета. Люди из влана 2 тоже ходят в мир. Нужно что бы Vlan 1 не маршрутизировался с Vlan 2 Vlan 1 должен жить своей жизнью, а Vlan 2 своей. А сейчас, я с Vlan 1 пингую Vlan 2 и обратно. Как убрать между ними маршрутизацию ? ACL листы не предлагать :)
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 871 Vlan Route, Slimm, 00:02 , 08-Июл-09, (1)
Cisco 871 Vlan Route, vnn, 11:50 , 08-Июл-09, (2)

Cisco 871 Vlan Route, AleX, 14:18 , 08-Июл-09, (3)

Cisco 871 Vlan Route, vnn, 14:41 , 08-Июл-09, (4)

Cisco 871 Vlan Route, vnn, 14:46 , 08-Июл-09, (5)

Cisco 871 Vlan Route, vnn, 14:51 , 08-Июл-09, (7)

Cisco 871 Vlan Route, AleX, 18:07 , 09-Июл-09, (8)

Cisco 871 Vlan Route, AleX, 14:47 , 08-Июл-09, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 871 Vlan Route" +/–

Сообщение от Slimm (??) on 08-Июл-09, 00:02

>[оверквотинг удален]
>Есть внешняя сеть fastethernet 4 193.239.10.10
>Люди из влана 1 ходят в мир с внешнего езернета.
>Люди из влана 2 тоже ходят в мир.
>
>Нужно что бы Vlan 1 не маршрутизировался с Vlan 2
>Vlan 1 должен жить своей жизнью, а Vlan 2 своей.
>А сейчас, я с Vlan 1 пингую Vlan 2 и обратно.
>
>Как убрать между ними маршрутизацию ?
>ACL листы не предлагать :)
в данном случае маршрутизацию отключить не возможно
почему ACL не использовать, помоему единственное правильное и красивое решение

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 871 Vlan Route" +/–

Сообщение от vnn (ok) on 08-Июл-09, 11:50

>[оверквотинг удален]
>Есть внешняя сеть fastethernet 4 193.239.10.10
>Люди из влана 1 ходят в мир с внешнего езернета.
>Люди из влана 2 тоже ходят в мир.
>
>Нужно что бы Vlan 1 не маршрутизировался с Vlan 2
>Vlan 1 должен жить своей жизнью, а Vlan 2 своей.
>А сейчас, я с Vlan 1 пингую Vlan 2 и обратно.
>
>Как убрать между ними маршрутизацию ?
>ACL листы не предлагать :)
Можешь ещё использовать QoS или Zone based firewall.
С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2 в разные зоны, и они не смогут общаться. Плюс 2 правила (точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 871 Vlan Route" +/–

Сообщение от AleX (??) on 08-Июл-09, 14:18

>[оверквотинг удален]
>>Vlan 1 должен жить своей жизнью, а Vlan 2 своей.
>>А сейчас, я с Vlan 1 пингую Vlan 2 и обратно.
>>
>>Как убрать между ними маршрутизацию ?
>>ACL листы не предлагать :)
>
>Можешь ещё использовать QoS или Zone based firewall.
>С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2
>в разные зоны, и они не смогут общаться. Плюс 2 правила
>(точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу.
А примерчик можно ? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 871 Vlan Route" +/–

Сообщение от vnn (ok) on 08-Июл-09, 14:41

>[оверквотинг удален]
>>>
>>>Как убрать между ними маршрутизацию ?
>>>ACL листы не предлагать :)
>>
>>Можешь ещё использовать QoS или Zone based firewall.
>>С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2
>>в разные зоны, и они не смогут общаться. Плюс 2 правила
>>(точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу.
>
>А примерчик можно ? :)
policy-map type inspect in-out
class type inspect All
  inspect
class class-default
  drop
zone security Vlan1
zone security Vlan2
zone security Outside
zone-pair security 1-out source Vlan1 destination Outside
service-policy type inspect in-out
zone-pair security 2-out source Vlan2 destination Outside
service-policy type inspect in-out
interface vlan1
  zone-member security Vlan1
interface vlan2
  zone-member security Vlan2
interface fa4
  zone-member security Outside
Если собираетесь пускать ещё чё-то снаружи внутрь, то добавьте ещё зонную пару out-in. Маршрутизатор сам по себе - это отдельная зона под названием self.
Как вы поняли, по дефолту трафик между разными зонами запрещён, внутри одной зоны разрешён.
В приведённом примерчике просто инспектируется весь трафик изнутри (vlan1, vlan2) наружу, любые другие перемещения между зонами запрещены.
Также логично будет удалить традиционный файвол после внедрения зонного.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 871 Vlan Route" +/–

Сообщение от vnn (ok) on 08-Июл-09, 14:46

Ещё забыл строчку с класс-мапом, который определяет, какой трафик будет инспектироваться. Также на месте match access-group может быть match protocol.
class-map type inspect match-all All
match access-group 101
access-list 101 permit ip any any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco 871 Vlan Route" +/–

Сообщение от vnn (ok) on 08-Июл-09, 14:51

Только что глянул на нашу единственную 871-ю циску :)
Там однако нету никаких зонных файволов. Похоже он с модели 881 начинаются. Так что простите, эти знания вам скорее всего не пригодятся...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco 871 Vlan Route" +/–

Сообщение от AleX (??) on 09-Июл-09, 18:07

>Только что глянул на нашу единственную 871-ю циску :)
>Там однако нету никаких зонных файволов. Похоже он с модели 881 начинаются.
>Так что простите, эти знания вам скорее всего не пригодятся...
871 поддерживает зоны безопасности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 871 Vlan Route" +/–

Сообщение от AleX (??) on 08-Июл-09, 14:47

>[оверквотинг удален]
>
>Если собираетесь пускать ещё чё-то снаружи внутрь, то добавьте ещё зонную пару
>out-in. Маршрутизатор сам по себе - это отдельная зона под названием
>self.
>Как вы поняли, по дефолту трафик между разными зонами запрещён, внутри одной
>зоны разрешён.
>
>В приведённом примерчике просто инспектируется весь трафик изнутри (vlan1, vlan2) наружу, любые
>другие перемещения между зонами запрещены.
>Также логично будет удалить традиционный файвол после внедрения зонного.
Да нужно сюда еще туннели дописать.
А так в принципе понятно.
Но ИМХО обычным ACl проще делается.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 871 Vlan Route"		+/–
Сообщение от Slimm (??) on 08-Июл-09, 00:02
>[оверквотинг удален] >Есть внешняя сеть fastethernet 4 193.239.10.10 >Люди из влана 1 ходят в мир с внешнего езернета. >Люди из влана 2 тоже ходят в мир. > >Нужно что бы Vlan 1 не маршрутизировался с Vlan 2 >Vlan 1 должен жить своей жизнью, а Vlan 2 своей. >А сейчас, я с Vlan 1 пингую Vlan 2 и обратно. > >Как убрать между ними маршрутизацию ? >ACL листы не предлагать :) в данном случае маршрутизацию отключить не возможно почему ACL не использовать, помоему единственное правильное и красивое решение
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Cisco 871 Vlan Route"		+/–
Сообщение от vnn (ok) on 08-Июл-09, 11:50
>[оверквотинг удален] >Есть внешняя сеть fastethernet 4 193.239.10.10 >Люди из влана 1 ходят в мир с внешнего езернета. >Люди из влана 2 тоже ходят в мир. > >Нужно что бы Vlan 1 не маршрутизировался с Vlan 2 >Vlan 1 должен жить своей жизнью, а Vlan 2 своей. >А сейчас, я с Vlan 1 пингую Vlan 2 и обратно. > >Как убрать между ними маршрутизацию ? >ACL листы не предлагать :) Можешь ещё использовать QoS или Zone based firewall. С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2 в разные зоны, и они не смогут общаться. Плюс 2 правила (точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Cisco 871 Vlan Route"		+/–
	Сообщение от AleX (??) on 08-Июл-09, 14:18
	>[оверквотинг удален] >>Vlan 1 должен жить своей жизнью, а Vlan 2 своей. >>А сейчас, я с Vlan 1 пингую Vlan 2 и обратно. >> >>Как убрать между ними маршрутизацию ? >>ACL листы не предлагать :) > >Можешь ещё использовать QoS или Zone based firewall. >С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2 >в разные зоны, и они не смогут общаться. Плюс 2 правила >(точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу. А примерчик можно ? :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Cisco 871 Vlan Route"		+/–
	Сообщение от vnn (ok) on 08-Июл-09, 14:41
	>[оверквотинг удален] >>> >>>Как убрать между ними маршрутизацию ? >>>ACL листы не предлагать :) >> >>Можешь ещё использовать QoS или Zone based firewall. >>С Zone based firewall по-моему красивее всего. Просто сажаешь Vlan1 и Vlan2 >>в разные зоны, и они не смогут общаться. Плюс 2 правила >>(точнее zone pairs) из Vlan1 наружу и из Vlan2 наружу. > >А примерчик можно ? :) policy-map type inspect in-out class type inspect All inspect class class-default drop zone security Vlan1 zone security Vlan2 zone security Outside zone-pair security 1-out source Vlan1 destination Outside service-policy type inspect in-out zone-pair security 2-out source Vlan2 destination Outside service-policy type inspect in-out interface vlan1 zone-member security Vlan1 interface vlan2 zone-member security Vlan2 interface fa4 zone-member security Outside Если собираетесь пускать ещё чё-то снаружи внутрь, то добавьте ещё зонную пару out-in. Маршрутизатор сам по себе - это отдельная зона под названием self. Как вы поняли, по дефолту трафик между разными зонами запрещён, внутри одной зоны разрешён. В приведённом примерчике просто инспектируется весь трафик изнутри (vlan1, vlan2) наружу, любые другие перемещения между зонами запрещены. Также логично будет удалить традиционный файвол после внедрения зонного.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Cisco 871 Vlan Route"		+/–
	Сообщение от vnn (ok) on 08-Июл-09, 14:46
	Ещё забыл строчку с класс-мапом, который определяет, какой трафик будет инспектироваться. Также на месте match access-group может быть match protocol. class-map type inspect match-all All match access-group 101 access-list 101 permit ip any any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Cisco 871 Vlan Route"		+/–
	Сообщение от vnn (ok) on 08-Июл-09, 14:51
	Только что глянул на нашу единственную 871-ю циску :) Там однако нету никаких зонных файволов. Похоже он с модели 881 начинаются. Так что простите, эти знания вам скорее всего не пригодятся...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Cisco 871 Vlan Route"		+/–
	Сообщение от AleX (??) on 09-Июл-09, 18:07
	>Только что глянул на нашу единственную 871-ю циску :) >Там однако нету никаких зонных файволов. Похоже он с модели 881 начинаются. >Так что простите, эти знания вам скорее всего не пригодятся... 871 поддерживает зоны безопасности.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Cisco 871 Vlan Route"		+/–
	Сообщение от AleX (??) on 08-Июл-09, 14:47
	>[оверквотинг удален] > >Если собираетесь пускать ещё чё-то снаружи внутрь, то добавьте ещё зонную пару >out-in. Маршрутизатор сам по себе - это отдельная зона под названием >self. >Как вы поняли, по дефолту трафик между разными зонами запрещён, внутри одной >зоны разрешён. > >В приведённом примерчике просто инспектируется весь трафик изнутри (vlan1, vlan2) наружу, любые >другие перемещения между зонами запрещены. >Также логично будет удалить традиционный файвол после внедрения зонного. Да нужно сюда еще туннели дописать. А так в принципе понятно. Но ИМХО обычным ACl проще делается.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору