forum.opennet.ru - "ACL в CISCO 2800" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ACL в CISCO 2800"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ACL в CISCO 2800"	+/–
Сообщение от trider on 15-Июл-10, 12:13
Полез настраивать в 2801 ACL, там VLAN'ы на модуле HWIC-4ESW терминируются, а в отличии от L3 коммутаторов в этих маршрутах пользователи ни черта не изолированы в своих бродкастовых доменах, приходится руками в ACL доступы разруливать. Вот создал ACL: access-list 101 deny ip 10.9.0.0 0.0.7.255 192.168.0.0 0.0.255.255 access-list 101 permit ip any any прикрутил к интерфейсу: interface Vlan90 ip address 10.9.0.1 255.255.248.0 ip access-group 101 in ip nat inside Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла 10.9.0.1: Заданный узел не доступен" Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был: "Превышен интервал ожидания для запроса". Как мне этого можно добиться на CISCO 2801?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

ACL в CISCO 2800, VolanD, 12:26 , 15-Июл-10, (1)

ACL в CISCO 2800, trider, 13:46 , 15-Июл-10, (2)

ACL в CISCO 2800, Valery12, 14:42 , 15-Июл-10, (3)

ACL в CISCO 2800, trider, 14:57 , 15-Июл-10, (4)

ACL в CISCO 2800, Valery12, 15:33 , 15-Июл-10, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "ACL в CISCO 2800" +/–

Сообщение от VolanD (ok) on 15-Июл-10, 12:26

>[оверквотинг удален]
>interface Vlan90
> ip address 10.9.0.1 255.255.248.0
> ip access-group 101 in
> ip nat inside
>
>Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла
>10.9.0.1: Заданный узел не доступен"
>Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был:
>"Превышен интервал ожидания для запроса". Как мне этого можно добиться на
>CISCO 2801?
Как не ограничены О_о... Дык в этом же смысл технологии vlan...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "ACL в CISCO 2800" +/–

Сообщение от trider on 15-Июл-10, 13:46

>[оверквотинг удален]
>> ip access-group 101 in
>> ip nat inside
>>
>>Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла
>>10.9.0.1: Заданный узел не доступен"
>>Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был:
>>"Превышен интервал ожидания для запроса". Как мне этого можно добиться на
>>CISCO 2801?
>
>Как не ограничены О_о... Дык в этом же смысл технологии vlan...
Вот я создаю на CISCO 2801 VLAN'ы:
interface FastEthernet0/1.90
encapsulation dot1Q 90
ip address 10.9.0.1 255.255.248.0
interface FastEthernet0/1.100
encapsulation dot1Q 100
ip address 10.10.0.1 255.255.248.0
Или на модуле HWIC-4ESW:
interface Vlan90
ip address 10.9.0.1 255.255.248.0
interface Vlan100
ip address 10.10.0.1 255.255.248.0
И заношу информацию о VLAN'ах в базу
И пакеты спокойно отправляются членам чужих VLAN'ов, пока не произвести выше указанную мною процедуру с применением ACL.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ACL в CISCO 2800" +/–

Сообщение от Valery12 (ok) on 15-Июл-10, 14:42

>[оверквотинг удален]
>Или на модуле HWIC-4ESW:
>interface Vlan90
> ip address 10.9.0.1 255.255.248.0
>
>interface Vlan100
> ip address 10.10.0.1 255.255.248.0
>
>И заношу информацию о VLAN'ах в базу
>И пакеты спокойно отправляются членам чужих VLAN'ов, пока не произвести выше указанную
>мною процедуру с применением ACL.
а чего бы им не отправляться, маршрутизатор тем и занимается что маршрутизирует пакеты между своими интерфейсами а ACL естественно пакеты рубит
а поводу ответа маршрутизатора "Превышен интервал ожидания для запроса" вместо "Заданный узел не доступен" если это так принципиально добавьте на интерфейсах - no ip unreachables

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ACL в CISCO 2800" +/–

Сообщение от trider on 15-Июл-10, 14:57

>а чего бы им не отправляться, маршрутизатор тем и занимается что маршрутизирует
>пакеты между своими интерфейсами а ACL естественно пакеты рубит
Естесснно, полностью согласен. Это решения не из-за незнания чего-то, а из-за отсутствия денег у того кому я загнал решение. VLAN'ы терминировать, осуществлять L3 маршрутизацию должен L3 switch, а не шлюз.
>а поводу ответа маршрутизатора "Превышен интервал ожидания для запроса" вместо "Заданный
>узел не доступен" если это так принципиально добавьте на интерфейсах -
>no ip unreachables
Конечно принципиально, получая ICMP-пакет (тип 3, код 13) можно сделать вывод, что гейт защищён ACL. У меня например в сети управления доступ к железкам уровня распределения и уровня доступа организован.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ACL в CISCO 2800" +/–

Сообщение от Valery12 (ok) on 15-Июл-10, 15:33

>Конечно принципиально, получая ICMP-пакет (тип 3, код 13) можно сделать вывод, что
>гейт защищён ACL.
понятно что это принципиально на внешнем интерфейсе - все должно тихо дропаться, но в локальной сети я никакого криминала не вижу, наоборот, такая информация поможет быстрее найти неполадки в сети.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ACL в CISCO 2800"	+/–
Сообщение от VolanD (ok) on 15-Июл-10, 12:26
>[оверквотинг удален] >interface Vlan90 > ip address 10.9.0.1 255.255.248.0 > ip access-group 101 in > ip nat inside > >Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла >10.9.0.1: Заданный узел не доступен" >Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был: >"Превышен интервал ожидания для запроса". Как мне этого можно добиться на >CISCO 2801? Как не ограничены О_о... Дык в этом же смысл технологии vlan...
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "ACL в CISCO 2800"	+/–
	Сообщение от trider on 15-Июл-10, 13:46
	>[оверквотинг удален] >> ip access-group 101 in >> ip nat inside >> >>Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла >>10.9.0.1: Заданный узел не доступен" >>Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был: >>"Превышен интервал ожидания для запроса". Как мне этого можно добиться на >>CISCO 2801? > >Как не ограничены О_о... Дык в этом же смысл технологии vlan... Вот я создаю на CISCO 2801 VLAN'ы: interface FastEthernet0/1.90 encapsulation dot1Q 90 ip address 10.9.0.1 255.255.248.0 interface FastEthernet0/1.100 encapsulation dot1Q 100 ip address 10.10.0.1 255.255.248.0 Или на модуле HWIC-4ESW: interface Vlan90 ip address 10.9.0.1 255.255.248.0 interface Vlan100 ip address 10.10.0.1 255.255.248.0 И заношу информацию о VLAN'ах в базу И пакеты спокойно отправляются членам чужих VLAN'ов, пока не произвести выше указанную мною процедуру с применением ACL.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "ACL в CISCO 2800"	+/–
	Сообщение от Valery12 (ok) on 15-Июл-10, 14:42
	>[оверквотинг удален] >Или на модуле HWIC-4ESW: >interface Vlan90 > ip address 10.9.0.1 255.255.248.0 > >interface Vlan100 > ip address 10.10.0.1 255.255.248.0 > >И заношу информацию о VLAN'ах в базу >И пакеты спокойно отправляются членам чужих VLAN'ов, пока не произвести выше указанную >мною процедуру с применением ACL. а чего бы им не отправляться, маршрутизатор тем и занимается что маршрутизирует пакеты между своими интерфейсами а ACL естественно пакеты рубит а поводу ответа маршрутизатора "Превышен интервал ожидания для запроса" вместо "Заданный узел не доступен" если это так принципиально добавьте на интерфейсах - no ip unreachables
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "ACL в CISCO 2800"	+/–
	Сообщение от trider on 15-Июл-10, 14:57
	>а чего бы им не отправляться, маршрутизатор тем и занимается что маршрутизирует >пакеты между своими интерфейсами а ACL естественно пакеты рубит Естесснно, полностью согласен. Это решения не из-за незнания чего-то, а из-за отсутствия денег у того кому я загнал решение. VLAN'ы терминировать, осуществлять L3 маршрутизацию должен L3 switch, а не шлюз. >а поводу ответа маршрутизатора "Превышен интервал ожидания для запроса" вместо "Заданный >узел не доступен" если это так принципиально добавьте на интерфейсах - >no ip unreachables Конечно принципиально, получая ICMP-пакет (тип 3, код 13) можно сделать вывод, что гейт защищён ACL. У меня например в сети управления доступ к железкам уровня распределения и уровня доступа организован.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "ACL в CISCO 2800"	+/–
	Сообщение от Valery12 (ok) on 15-Июл-10, 15:33
	>Конечно принципиально, получая ICMP-пакет (тип 3, код 13) можно сделать вывод, что >гейт защищён ACL. понятно что это принципиально на внешнем интерфейсе - все должно тихо дропаться, но в локальной сети я никакого криминала не вижу, наоборот, такая информация поможет быстрее найти неполадки в сети.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору