forum.opennet.ru - "Логика ACL" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Логика ACL"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Логика ACL"	+/–
Сообщение от strike1984 on 19-Апр-13, 12:29
На коммутаторе L3 3750X много vlan. Пользователям одного vlan необходимо разрешить полный доступ в интернет и к некоторых серверам в других vlan, gw находится в отдельном vlan. Как лучше всего это сделать, не используя deny к запрещенным vlan? Между vlan планируем ограничивать доступ с помощью VACL.
Ответить \| Правка \| Cообщить модератору

Оглавление

Логика ACL, pavlinux, 13:56 , 19-Апр-13, (1)

Логика ACL, strike1984, 14:01 , 19-Апр-13, (2)

Логика ACL, opennetiq, 17:13 , 19-Апр-13, (3)

Логика ACL, Andrey, 21:30 , 20-Апр-13, (4)

Логика ACL, strike1984, 08:42 , 23-Апр-13, (5)

Логика ACL, Diesel315, 14:33 , 23-Апр-13, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Логика ACL" +/–

Сообщение от pavlinux (ok) on 19-Апр-13, 13:56

> Как лучше всего это сделать, не используя deny к запрещенным vlan?
Создать новый влан с требуемыми портами.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Логика ACL" +/–

Сообщение от strike1984 on 19-Апр-13, 14:01

> Создать новый влан с требуемыми портами.
Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить в другие vlan на другие подсети, но при этом имея доступ в интернет.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Логика ACL" +/–

Сообщение от opennetiq (ok) on 19-Апр-13, 17:13

>> Создать новый влан с требуемыми портами.
> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить
> в другие vlan на другие подсети, но при этом имея доступ
> в интернет.
здррастье, как мне запретить не используя DENY? а? нах?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Логика ACL" +/–

Сообщение от Andrey (??) on 20-Апр-13, 21:30

>>> Создать новый влан с требуемыми портами.
>> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить
>> в другие vlan на другие подсети, но при этом имея доступ
>> в интернет.
> здррастье, как мне запретить не используя DENY? а? нах?
Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое правило "deny any any" в конце ACL. Чтобы это понять достаточно включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться знанием матершины.
С удовольствием ознакомился-бы с религией топик-стартера, которому по вере не позволяется использовать правила deny.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Логика ACL" +/–

Сообщение от strike1984 on 23-Апр-13, 08:42

>>>> Создать новый влан с требуемыми портами.
>>> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить
>>> в другие vlan на другие подсети, но при этом имея доступ
>>> в интернет.
>> здррастье, как мне запретить не используя DENY? а? нах?
> Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое
> правило "deny any any" в конце ACL. Чтобы это понять достаточно
> включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться
> знанием матершины.
Если вешать ACL только на один vlan, чтобы выпустить в интернет, то строки 200,210 мне придется повторять для всех подсетей, в том числе новых vlan. Если я даже на всех vlan повешу ACL, то все равно нужно помнить прописывать deny для каждого vlan. Ниже один из примеров.
    120 permit icmp any any (1 match)
    200 deny tcp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255
    210 deny udp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255
    1000 permit tcp 192.168.210.0 0.0.0.255 any
    1010 permit tcp any 172.168.210.0 0.0.0.255 established
    1020 permit udp 192.168.210.0 0.0.0.255 any (18 matches)
    1030 permit udp any 192.168.210.0 0.0.0.255
> С удовольствием ознакомился-бы с религией топик-стартера, которому по вере не позволяется
> использовать правила deny.
Тема называется "Логика ACL", нахожусь в поиске более оптимального решения.
В данный момент, склоняюсь тогда к решению на каждый vlan по ACL (deny any any).
Если еще с филиалов получить сотню подсетей.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Логика ACL" +/–

Сообщение от Diesel315 (ok) on 23-Апр-13, 14:33

> На коммутаторе L3 3750X много vlan. Пользователям одного vlan необходимо разрешить полный
> доступ в интернет и к некоторых серверам в других vlan, gw
> находится в отдельном vlan.
> Как лучше всего это сделать, не используя deny к запрещенным vlan?
> Между vlan планируем ограничивать доступ с помощью VACL.
Ну так вроде ответ в вашем вопросе. Пользователям данного vlan прописываете permit до нужных хостов. Все остальное попадает под deny автоматом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Логика ACL"	+/–
Сообщение от pavlinux (ok) on 19-Апр-13, 13:56
> Как лучше всего это сделать, не используя deny к запрещенным vlan? Создать новый влан с требуемыми портами.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Логика ACL"	+/–
	Сообщение от strike1984 on 19-Апр-13, 14:01
	> Создать новый влан с требуемыми портами. Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить в другие vlan на другие подсети, но при этом имея доступ в интернет.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Логика ACL"	+/–
	Сообщение от opennetiq (ok) on 19-Апр-13, 17:13
	>> Создать новый влан с требуемыми портами. > Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить > в другие vlan на другие подсети, но при этом имея доступ > в интернет. здррастье, как мне запретить не используя DENY? а? нах?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Логика ACL"	+/–
	Сообщение от Andrey (??) on 20-Апр-13, 21:30
	>>> Создать новый влан с требуемыми портами. >> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить >> в другие vlan на другие подсети, но при этом имея доступ >> в интернет. > здррастье, как мне запретить не используя DENY? а? нах? Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое правило "deny any any" в конце ACL. Чтобы это понять достаточно включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться знанием матершины. С удовольствием ознакомился-бы с религией топик-стартера, которому по вере не позволяется использовать правила deny.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Логика ACL"	+/–
	Сообщение от strike1984 on 23-Апр-13, 08:42
	>>>> Создать новый влан с требуемыми портами. >>> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить >>> в другие vlan на другие подсети, но при этом имея доступ >>> в интернет. >> здррастье, как мне запретить не используя DENY? а? нах? > Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое > правило "deny any any" в конце ACL. Чтобы это понять достаточно > включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться > знанием матершины. Если вешать ACL только на один vlan, чтобы выпустить в интернет, то строки 200,210 мне придется повторять для всех подсетей, в том числе новых vlan. Если я даже на всех vlan повешу ACL, то все равно нужно помнить прописывать deny для каждого vlan. Ниже один из примеров. 120 permit icmp any any (1 match) 200 deny tcp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255 210 deny udp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255 1000 permit tcp 192.168.210.0 0.0.0.255 any 1010 permit tcp any 172.168.210.0 0.0.0.255 established 1020 permit udp 192.168.210.0 0.0.0.255 any (18 matches) 1030 permit udp any 192.168.210.0 0.0.0.255 > С удовольствием ознакомился-бы с религией топик-стартера, которому по вере не позволяется > использовать правила deny. Тема называется "Логика ACL", нахожусь в поиске более оптимального решения. В данный момент, склоняюсь тогда к решению на каждый vlan по ACL (deny any any). Если еще с филиалов получить сотню подсетей.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "Логика ACL"	+/–
Сообщение от Diesel315 (ok) on 23-Апр-13, 14:33
> На коммутаторе L3 3750X много vlan. Пользователям одного vlan необходимо разрешить полный > доступ в интернет и к некоторых серверам в других vlan, gw > находится в отдельном vlan. > Как лучше всего это сделать, не используя deny к запрещенным vlan? > Между vlan планируем ограничивать доступ с помощью VACL. Ну так вроде ответ в вашем вопросе. Пользователям данного vlan прописываете permit до нужных хостов. Все остальное попадает под deny автоматом.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору