 Разграничение Технологической Сети.,  Muzan, 27-Мрт-11, 20:49 [смотреть все]Добрый вечер всем, опять без ваших мудрых советов не как.
Есть сеть внутри моей организации, поднято все VLAN-ми, vlan 100, vlan 101, vlan 102, vlan 103, vlan 104 все это поднято на 6500 и от туда распределяется. vlan 100 это администраторы которые должны ходить везде, vlan 101 это технар который должно ходить толко на vlan 104, а vlan 102 и vlan 103 это комерсы у которых только должно быть доступ в мир и к машине с ip 192.168.20.20 остальное должно быть закрыт.
Много читал как все это сделать, но как то все криво идет, так что прошу содействие.
Буду благодарен !!!
|
- Разграничение Технологической Сети., stereoPANDA, 11:59 , 28-Мрт-11 (1)
>[оверквотинг удален]
> Есть сеть внутри моей организации, поднято все VLAN-ми, vlan 100, vlan
> 101, vlan 102, vlan 103, vlan 104 все это поднято на
> 6500 и от туда распределяется. vlan 100 это администраторы которые должны
> ходить везде, vlan 101 это технар который должно ходить
> толко на vlan 104, а vlan 102 и vlan 103 это
> комерсы у которых только должно быть доступ в мир и
> к машине с ip 192.168.20.20 остальное должно быть закрыт.
> Много читал как все это сделать, но как то все криво идет,
> так что прошу содействие.
> Буду благодарен !!!Нужно использовать ACL.
http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
пробовали?
- Разграничение Технологической Сети., Muzan, 15:09 , 28-Мрт-11 (2)
stereoPANDA спасибо за ссылку, не получается думаю мозг скоро лопнет )))
вот конфиги может по нему кто нить сможет помочь interface Vlan100
description User_VLAN
ip address 10.100.3.2 255.255.255.0
ip access-group INTERNET in
ip helper-address 10.100.90.30
standby 2 ip 10.100.3.1
standby 2 timers msec 200 msec 750
standby 2 priority 109
standby 2 preempt
standby 2 authentication GSS_pass
! ip access-list extended INTERNET
permit ip host 10.100.10.101 any
permit ip host 10.100.10.102 any
permit tcp 10.100.3.0 0.0.0.255 10.100.0.0 0.0.255.255 eq ftp
permit tcp 10.100.3.0 0.0.0.255 10.100.0.0 0.0.255.255 eq ftp-data
permit tcp 10.100.3.0 0.0.0.255 10.100.0.0 0.0.255.255 eq www
permit tcp 10.100.3.0 0.0.0.255 10.200.100.0 0.0.0.255 eq www
permit tcp 10.100.3.0 0.0.0.255 10.120.100.0 0.0.0.255 eq www
deny tcp any any eq www
deny tcp any any eq ftp
deny tcp any any eq ftp-data
permit ip any any
router ospf 100
router-id 10.100.100.1
log-adjacency-changes
nsf
passive-interface default
no passive-interface Vlan500
no passive-interface Vlan600
no passive-interface Vlan700
no passive-interface Vlan800
no passive-interface GigabitEthernet5/1
no passive-interface GigabitEthernet6/2
network 10.100.2.0 0.0.0.255 area 0.0.0.0
network 10.100.3.0 0.0.0.255 area 0.0.0.0
вот таким же способом у меня подняты другие подсети VLAN-ом, раньше не стоял вопрос чтоб сети не ходили друг к другу, ща вот поставили вопрос чтоб разграничить сеть между собой, хосты 10.100.10.101 и 102 это те хости которым дано доступ в мир список длинный, но это сокращено. В OSPF список длинный, может есть возможность при помощи OSPF разграничить??? ну мне без ризницы главное чтоб разграничить, но чтоб все хосты могли ходить к серверам с адресами 10.100.20.20/32 10.100.19.19/32
- Разграничение Технологической Сети., crash, 05:49 , 29-Мрт-11 (3)
вам надо на каждый vlan повесить свой access-list где вы запретите доступ не в технлогические сети и откроете все остальное, если им нужен доступ в инет
- Разграничение Технологической Сети., Muzan, 08:07 , 29-Мрт-11 (4)
как дать доступ и интернет это у меня работает, зада стоит в том что, Vlan-ы не смогли видит друг друга кроме Vlan 100 администраторы.
- Разграничение Технологической Сети., iRoot, 08:32 , 29-Мрт-11 (5)
> как дать доступ и интернет это у меня работает, зада стоит в
> том что, Vlan-ы не смогли видит друг друга кроме Vlan 100
> администраторы.можете посмотреть в сторону PVLAN
- Разграничение Технологической Сети., Muzan, 16:00 , 29-Мрт-11 (6)
>> как дать доступ и интернет это у меня работает, зада стоит в
>> том что, Vlan-ы не смогли видит друг друга кроме Vlan 100
>> администраторы.
> можете посмотреть в сторону PVLAN с PVLAN-ми что то плохо получается, но если поможете будет классно )) решил на уровне ACL разгонитесь VLAN-ы между собой, разграничение у меня должно быть только на уровне ip.
- Разграничение Технологической Сети., Muzan, 16:16 , 29-Мрт-11 (7)
с PVLAN-ми что то плохо получается, но если поможете будет классно )) решил на уровне ACL разгонитесь VLAN-ы между собой, разграничение у меня должно быть только на уровне ip.
- Разграничение Технологической Сети., crash, 06:03 , 30-Мрт-11 (10)
> как дать доступ и интернет это у меня работает, зада стоит в
> том что, Vlan-ы не смогли видит друг друга кроме Vlan 100
> администраторы.так вы бы показали настройки своих acl. Просто вы не умеете их готовить наверное
- Разграничение Технологической Сети., borix, 18:02 , 29-Мрт-11 (8)
тут VRF можно сказать просто напрашивается :)
- Разграничение Технологической Сети., Muzan, 18:55 , 29-Мрт-11 (9)
> тут VRF можно сказать просто напрашивается :) честно говоря нет не какой инфо у меня на данный момент про VRF(( и ACL тоже меня подвел. есть примеры на VRF???
- Разграничение Технологической Сети., dows, 13:45 , 29-Ноя-11 (11)
>> тут VRF можно сказать просто напрашивается :)
> честно говоря нет не какой инфо у меня на данный момент про
> VRF(( и ACL тоже меня подвел. есть примеры на VRF???
|
Версия для распечатки
