форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Блокировка трафика между VLANами"	+/–
Сообщение от zornig (ok) on 14-Ноя-13, 22:34
Switch с 2 VLANами соединён транком с Cisco Router. Cisco Router имеет 2 VLAN Сабинтерфейса: interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q 10 ip address 192.168.10.0 255.255.255.0 ! interface FastEthernet0/0.2 encapsulation dot1Q 20 ip address 192.168.20.0 255.255.255.0 Оба VLANа имеют доступ к интернету через cisco router. Цель: полная блокировка трафика между VLANами 10 и 20 в целях безопасности. VLAN 10 - бугалтерия VLAN 20 - программисты С extended ACL можно блокировать только определённые протоколы (IP, ICMP, TCP, IP,...) Если заблокирую толкьо известные протоколы(IP, ICMP), то это ведь не гарантирует  100% изоляции этих VLANов друг от друга? Поэтому хотелось бы заблокировать между этими VLANами все возможные протоколы. Как можно это реализовать, чтобы при этом на интерфейсах не применять стандартные ACL? Причина почему стандартный ACL не желанный: Вдруг прийдётся открыть определённые порты для доступа с интеренета к VLANам, а при стандартных ACL это не возможно. Или достаточно заблокировать IP, ICMP протоколы для изоляции VLAN 10 от VLAN 20?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Блокировка трафика между VLANами"	+/–
Сообщение от zornig (ok) on 14-Ноя-13, 22:38
UPDATE. Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от друга изолированы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Блокировка трафика между VLANами"	+/–
	Сообщение от Merridius (ok) on 14-Ноя-13, 23:34
	> UPDATE. > Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от > друга изолированы? access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 access-list 100 permit ip any any access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 200 permit ip any any int fa0/0.1 ip access-group 100 in int fa0/0.2 ip access-group 200 in
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Блокировка трафика между VLANами"	+/–
	Сообщение от zornig (ok) on 15-Ноя-13, 00:34
	>[оверквотинг удален] >> Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от >> друга изолированы? > access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 > access-list 100 permit ip any any > access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 > access-list 200 permit ip any any > int fa0/0.1 >  ip access-group 100 in > int fa0/0.2 >  ip access-group 200 in Спасибо за помощь. Вы заблокировали только IP протокол и все его ответвления. Но если сеть VLAN 10 взломают, есть ли риск, что хакер с VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка IP протокола достаточна для бьезопасности и изолирования VLANов?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Блокировка трафика между VLANами"	+/–
	Сообщение от klincman (ok) on 15-Ноя-13, 03:21
	> Спасибо за помощь. > Вы заблокировали только IP протокол и все его ответвления. > Но если сеть VLAN 10 взломают, есть ли риск, что хакер с > VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка > IP протокола достаточна для бьезопасности и изолирования VLANов? Что использовать не-IP протокол этот протокол должен поддерживаться маршрутизатором, а также включена маршрутизация этого протокола и настроен интерфейс на работу с этим протоколом. В вашем случае используется только IP.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Блокировка трафика между VLANами"	+/–
	Сообщение от Алексей (??) on 15-Ноя-13, 08:23
	> ip address 192.168.10.0 255.255.255.0 Что за IP такой ??? Я бы так сделал (поменять цифры для разных VLAN): access-list 110 remark FILTER  VLAN 10 (описание , а то забудете вдруг) access-list 110 permit ip 192.168.10.0 0.0.0.255 host 192.168.10.1 (разрешаем с подсетки vlan 10 доступ к router-у) access-list 110 deny   ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255 (блочим все серые меж собой класса С) access-list 110 permit ip any any (и так понятно) > Вы заблокировали только IP протокол и все его ответвления. Что за ответвления?) "...гарсон значит мальчик.." (Криминальное чтиво) IP означает "все" протоколы стека. Все что не IP должно поддерживаться IOS-ом и быть включенным админом. PS Соглашусь, что главная угроза от vlan 10, т. е. бухгалтерии)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Блокировка трафика между VLANами"	+/–
	Сообщение от Алексей (??) on 15-Ноя-13, 09:57
	man ebtables
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема