форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Одним можно все, другим ограничить."	+/–
Сообщение от Prhyme (ok) on 06-Дек-11, 15:45
Всем добрый день. Заранее приношу извинения, если вопрос глуп. Опишу ситуацию. Одним пользователям нужно разрешить доступ только ко ограниченному числу сайтов. Они получают адрес от DHCP. Под это дело выделил пул адресов. Остальным нужно разрешить доступ ко всем сайтам. Этим пользователям я сделал привязку адреса к маку (каждому из этих пользователей). Теперь не знаю, куда двигаться дальше. urlfilter? acl, class map, policy map? Просто подтолкните в нужную сторону, пожалуйста. Из интерфейсов настроен FE8(выход в интернет), внутри все в Vlan1. Всем спасибо заранее.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Одним можно все, другим ограничить."	+/–
Сообщение от vasili on 06-Дек-11, 17:33
> Просто подтолкните в нужную сторону, пожалуйста. > Из интерфейсов настроен FE8(выход в интернет), внутри все в Vlan1. > Всем спасибо заранее. Одним выдаешь адреса из одной подсети, другим из другой, а далее огромный ACL где одним можно всё, а другим только permit на огромный список сайтов. Вообще на прокси с авторизацией   такие вопросы решаются IMHO.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Одним можно все, другим ограничить."	+/–
	Сообщение от Prhyme (ok) on 06-Дек-11, 19:08
	>> Просто подтолкните в нужную сторону, пожалуйста. >> Из интерфейсов настроен FE8(выход в интернет), внутри все в Vlan1. >> Всем спасибо заранее. > Одним выдаешь адреса из одной подсети, другим из другой, а далее огромный > ACL где одним можно всё, а другим только permit на огромный > список сайтов. Вообще на прокси с авторизацией   такие вопросы > решаются IMHO. Как тогда быть с сетевыми принтерами, сетевыми дисками, если будут две разные подсети? Их в какую из двух цеплять? Как к ним пользователи из второй подсети будут обращаться? Никак?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Одним можно все, другим ограничить."	+/–
	Сообщение от sTALK_specTrum on 07-Дек-11, 06:28
	> Как тогда быть с сетевыми принтерами, сетевыми дисками, если будут две разные > подсети? Их в какую из двух цеплять? Как к ним пользователи > из второй подсети будут обращаться? Никак? Поправка в терминологии. Здесь "две подсети" следует читать как "два диапазона адресов из одной сети".
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Одним можно все, другим ограничить."	+/–
	Сообщение от Prhyme (ok) on 07-Дек-11, 09:52
	>> Как тогда быть с сетевыми принтерами, сетевыми дисками, если будут две разные >> подсети? Их в какую из двух цеплять? Как к ним пользователи >> из второй подсети будут обращаться? Никак? > Поправка в терминологии. Здесь "две подсети" следует читать как "два диапазона адресов > из одной сети". Два пула, я понял. Если не брать в расчет, что я сделал уже почти всем, кому нужно оставить полный доступ, привязку по маку, то как будет определяться, какому пользователю из какого пула выдавать адрес?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Одним можно все, другим ограничить."	+/–
	Сообщение от sTALK_specTrum on 07-Дек-11, 10:13
	Сначала > я сделал уже почти всем, кому нужно оставить полный доступ, привязку по маку, И тут же > как будет определяться, какому пользователю из какого пула выдавать адрес? В чём вопрос-то? Как-то противоречиво...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Одним можно все, другим ограничить."	+/–
	Сообщение от Prhyme (ok) on 07-Дек-11, 10:41
	> Сначала >> я сделал уже почти всем, кому нужно оставить полный доступ, привязку по маку, > И тут же >> как будет определяться, какому пользователю из какого пула выдавать адрес? > В чём вопрос-то? Как-то противоречиво... То есть, привязал я 16 первых адресов по маку - создать пул из этих 16 адресов? Так, понятно. Для этого пула мне вообще никаких ограничений не надо. Нужно только для того, основного. Но что ACL, что ip inspect вешается на интерфейс ведь... Как тут быть? разграничили мы пулы - не разграничили. Правила все равно повесим на интерфейс и будут они на оба пула действовать. Я не прав?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Одним можно все, другим ограничить."	+/–
	Сообщение от Prhyme (ok) on 07-Дек-11, 12:48
	>[оверквотинг удален] >> И тут же >>> как будет определяться, какому пользователю из какого пула выдавать адрес? >> В чём вопрос-то? Как-то противоречиво... > То есть, привязал я 16 первых адресов по маку - создать пул > из этих 16 адресов? Так, понятно. > Для этого пула мне вообще никаких ограничений не надо. Нужно только для > того, основного. Но что ACL, что ip inspect вешается на интерфейс > ведь... Как тут быть? разграничили мы пулы - не разграничили. Правила > все равно повесим на интерфейс и будут они на оба пула > действовать. Я не прав? Воспользуемся вайлкард-маской!
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Одним можно все, другим ограничить."	+/–
	Сообщение от sTALK_specTrum on 07-Дек-11, 17:00
	> Воспользуемся вайлкард-маской! Я почему-то считал это очевидным...  =)_)
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Одним можно все, другим ограничить."	+/–
	Сообщение от Prhyme (ok) on 07-Дек-11, 17:45
	>> Воспользуемся вайлкард-маской! > Я почему-то считал это очевидным...  =)_) Для нас, начинающих, вся прелесть этого инструмента еще не так очевидна)
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема