Επιστροφή στο Forum : 877w routing μεταξύ vlans
Γεια χαρά,
είμαι κάτοχος ενός 877w με τα παρακάτω χαρακτηριστικά :
Cisco 877W (MPC8272) processor (revision 0x300) with 236544K/25600K bytes of memory.
Processor board ID FCZ115211PF
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
1 802.11 Radio
128K bytes of non-volatile configuration memory.
53248K bytes of processor board System flash (Intel Strataflash)
και System image file "flash:c870-advipservicesk9-mz.124-15.T3.bin".
Υπάρχει η δυνατότητα έχοντας πχ ενεργοποιήσει 2 vlans να περνάνε από το vlan2 προς το vlan1 http και "\\ip (file://\\ip) από το vlan1" ;
Αυτή τη στιγμή υπάρχει acl στο in του dialer0 και τίποτα άλλο, αλλά παρόλες τις προσπάθειές μου το μόνο που κατάφερα είναι ping από το vlan2 στην ip του vlan1 που θέλω να κάνω http.
Καμμιά ιδέα ;
Ευχαριστώ
Υπάρχει η δυνατότητα έχοντας πχ ενεργοποιήσει 2 vlans να περνάνε από το vlan2 προς το vlan1 http και "\\ip (file://\\ip) από το vlan1" ;
Ναι, υπάρχει με τις κατάλληλες ACLs
Αυτή τη στιγμή υπάρχει acl στο in του dialer0 και τίποτα άλλο, αλλά παρόλες τις προσπάθειές μου το μόνο που κατάφερα είναι ping από το vlan2 στην ip του vlan1 που θέλω να κάνω http.
Καμμιά ιδέα ;
Ευχαριστώ
Τα vlans σου είναι σωστά υλοποιημένα; Υπάρχει BVI int; Μήπως το DMZ είναι καλύτερη λύση γι' αυτό που θέλεις να κάνεις; Μήπως να έδινες περισσότερες λεπτομέρειες;
Έχει ξανασυζητηθεί ανάλογο θέμα: http://www.adslgr.com/forum/showthread.php?t=167407
Καλή σας μέρα,
σάς ευχαριστώ για τις απαντήσεις σας και το χρόνο σας,
αλλά δε μπορώ να καταλάβω πώς έχει συζητηθεί ανάλογο θέμα με το αυτό που ξεκίνησα αφού εγώ ζητάω routing vlan σε μια μόνο συσκευή στον 877w και όχι se 5 switches.
Από ότι έχω καταλάβει δεν θέλω intervlan routing απλά να περνάνε μόνο πχ συγκεκριμένες "πόρτες" 80 ,153.
Στο bvi κάνεις bridging μεταξύ vlans ; Δηλαδή επιτρέπεις όλη την κίνηση να περνάει στα vlan που εσύ έχεις επιλέξει για bridging ; Κάτι τέτοιο δε θέλω, ποιος ο λόγος άλλωστε να κάνω vlans .
Για τις acl έχω δοκιμάσει με permit ip any any στα in/out των int vlan1/vlan2 αλλά πάλι μόνο το ping περνάει βάζοντας ταυτόχρονα την ίδια acl και στο int dialer0 για δοκιμή .
Ευχαριστώ
Νομίζω πως όταν υπάρχει BVI δεν παίζουν τα vlans ακριβώς επειδή κάνει bridging. Πρέπει να το καταργήσεις και να δεις στο λινκ που παραθέτει ο euri πως θα κάνεις routing μεταξύ των vlans αρχικά - αφήνοντας το vlan int για διαχείριση - και μετά θα βάλεις τις ACLs για να περιορίσεις την κίνηση.
αλλά δε μπορώ να καταλάβω πώς έχει συζητηθεί ανάλογο θέμα με το αυτό που ξεκίνησα αφού εγώ ζητάω routing vlan σε μια μόνο συσκευή στον 877w και όχι se 5 switches.
Από ότι έχω καταλάβει δεν θέλω intervlan routing απλά να περνάνε μόνο πχ συγκεκριμένες "πόρτες" 80 ,153.
Από τη στιγμή που έχετε παραπάνω από ένα VLAN, τότε έχετε και παραπάνω από ένα switch. Ιδεατά μεν, διαφορετικά δε. Στη δική σας περίπτωση έχετε στην ουσία τρεις (3) συσκευές:
Router
Switch-1 (1o Vlan)
Switch-2 (2o Vlan)
Και εφόσον μιλάμε για διαφορετικά vlans, για τη μεταξύ τους επικοινωνία απαιτείται routing.
Καλησπέρα ,
σάς ευχαριστώ για τη βοήθειά σας,
σάς παραθέτω το config file ,
sh run
Building configuration...
Current configuration : 9891 bytes
!
! Last configuration change at 19:31:39 Crete Fri Feb 15 2008 by mspant
! NVRAM config last updated at 21:47:15 Crete Thu Feb 14 2008 by mspant
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname cisco
!
boot-start-marker
boot system flash c870-advipservicesk9-mz.124-15.T3.bin
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone Crete 2
clock summer-time Crete date Mar 30 2003 3:00 Oct 26 2003 4:00
!
crypto pki trustpoint TP-self-signed-1557423304
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1557423304
revocation-check none
rsakeypair TP-self-signed-1557423304
!
!
crypto pki certificate chain TP-self-signed-1557423304
certificate self-signed 01
30820244 308201AD A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31353537 34323333 3034301E 170D3038 30313131 32323138
32395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 35353734
32333330 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100A3D1 A1E04960 16B7C97D 75566C17 E788FDD6 8F1360F9 E6088545 2375257B
24F06907 4B20832F E8032FA3 D2503996 C325502A D8FC3AC1 29984AB3 A031732A
04DDCE46 2903F5DB 0A455B14 406267FC 735513AA 569B0B69 2AC023D1 9ECF5DB0
3BC336CE BC284B13 EC594B9B 8725EBFF 8BB11FC4 13343D51 795E49F3 3BB34183
F20D0203 010001A3 6C306A30 0F060355 1D130101 FF040530 030101FF 30170603
551D1104 10300E82 0C636973 636F2E6D 7370616E 74301F06 03551D23 04183016
8014E51A 76B48896 BCFCA831 6D429AE8 A5A3541F 691D301D 0603551D 0E041604
14E51A76 B48896BC FCA8316D 429AE8A5 A3541F69 1D300D06 092A8648 86F70D01
01040500 03818100 888DCC95 B3EC4401 38DE865A 3E454020 914F15E6 2B4FF98A
3C6FFBDE ADF68F24 8D266C1F 134EB870 B2E83182 4592FAE3 7C0DF020 684DD82D
47DDCFAC 59DC6013 D7AAA9B2 1405F57A 2F61B760 627D5B32 008C4E6B 7F4FEE8B
3FA2CEFE CB16DD92 2C7C37E0 D437711A 2A2C1D4B A3081390 8336134A BB54DC7E
6DC1F543 87CF267B
quit
!
dot11 ssid cisco
vlan 1
!
ip cef
!
!
ip nbar port-map custom-05 udp 5402
ip nbar port-map custom-04 udp 53695
ip nbar port-map custom-03 tcp 53695
ip nbar port-map custom-02 tcp 5402
ip nbar port-map custom-01 tcp 20
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.2.1 192.168.2.10
ip dhcp excluded-address 192.168.2.21 192.168.2.254
!
ip dhcp pool sdm-pool1
network 192.168.2.0 255.255.255.0
dns-server 192.168.2.1
default-router 192.168.2.1
lease infinite
!
!
ip domain name mspant
ip name-server 193.92.150.3
ip name-server 194.219.227.2
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
ip ddns update method sdm_ddns1
HTTP
add http://xxx=<h>&myip=<a>
remove http://xxx=<h>&myip=<a>
!
!
multilink bundle-name authenticated
!
!
username xxx privilege 15 view root secret 5 xxx
!
!
archive
log config
hidekeys
!
!
!
class-map match-any utorrent
match protocol custom-03
match protocol custom-04
match protocol bittorrent
match protocol edonkey
match protocol gnutella
match protocol kazaa2
match protocol winmx
match protocol cuseeme
match protocol custom-02
match protocol custom-05
class-map match-any WebEmail
match protocol http
match protocol secure-http
match protocol ftp
match protocol smtp
match protocol pop3
match protocol custom-01
match protocol dns
match protocol ntp
match protocol custom-02
match protocol custom-05
match protocol secure-pop3
match protocol secure-telnet
match protocol ssh
match protocol telnet
match protocol icmp
class-map match-any VoIP
match protocol sip
match protocol rtp
match protocol skype
!
!
policy-map MyQoSPolicy
class VoIP
priority percent 40
set dscp ef
class WebEmail
priority percent 35
class utorrent
bandwidth remaining percent 50
class class-default
bandwidth remaining percent 25
!
!
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode adsl2+
!
interface ATM0.1 point-to-point
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Virtual-Template1
no ip address
!
interface Dot11Radio0
no ip address
shutdown
no dot11 extension aironet
!
encryption vlan 1 mode ciphers tkip
!
broadcast-key vlan 1 change 45
!
!
ssid cisco
!
speed basic-1.0 basic-2.0 basic-5.5 basic-6.0 basic-9.0 basic-11.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic0
channel 2462
station-role root
antenna receive left
antenna transmit right
world-mode dot11d country GR both
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 192.168.1.1 255.255.255.0
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
description Your WAN Interface to the Internet running at 256
bandwidth 256
ip ddns update hostname espant.dyndns.org
ip ddns update sdm_ddns1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxx
ppp chap password 0 xxx
ppp pap sent-username xxx password 0 xxx
service-policy output MyQoSPolicy
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip flow-top-talkers
top 10
sort-by packets
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip dns server
ip nat inside source static udp 192.168.1.17 5004 interface Dialer0 5004
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.15 53695 interface Dialer0 53695
ip nat inside source static udp 192.168.1.15 53695 interface Dialer0 53695
ip nat inside source static tcp 192.168.1.17 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.1.17 5060 interface Dialer0 5060
ip nat inside source static tcp 192.168.1.15 5402 interface Dialer0 5402
ip nat inside source static udp 192.168.1.15 5402 interface Dialer0 5402
ip nat inside source static tcp 192.168.1.15 4662 interface Dialer0 4662
ip nat inside source static tcp 192.168.1.15 4672 interface Dialer0 4672
ip nat inside source static udp 192.168.1.15 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.1.15 4672 interface Dialer0 4672
ip nat inside source static udp 192.168.1.15 6346 interface Dialer0 6346
ip nat inside source static tcp 192.168.1.15 6346 interface Dialer0 6346
ip nat inside source static tcp 192.168.1.15 80 interface Dialer0 80
ip nat inside source list 2 interface Dialer0 overload
!
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 remark SDM_ACL Category=18
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 111 deny tcp any any eq 443
access-list 111 deny tcp any any eq telnet
access-list 111 deny tcp any any eq 22
access-list 111 deny tcp any any eq 135
access-list 111 deny udp any any eq 135
access-list 111 deny tcp any any eq 136
access-list 111 deny udp any any eq 136
access-list 111 deny tcp any any eq 137
access-list 111 deny udp any any eq netbios-ns
access-list 111 deny tcp any any eq 138
access-list 111 deny udp any any eq netbios-dgm
access-list 111 deny tcp any any eq 139
access-list 111 deny udp any any eq netbios-ss
access-list 111 deny tcp any any eq 445
access-list 111 deny udp any any eq 445
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any source-quench
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 deny icmp any any
access-list 111 permit udp host 193.92.150.3 eq domain any gt 1023
access-list 111 permit udp host 194.219.227.2 eq domain any gt 1023
access-list 111 permit udp host 192.43.244.18 eq ntp any eq ntp
access-list 111 permit udp host 193.92.150.3 eq ntp any eq ntp
access-list 111 permit udp host 207.46.130.100 eq ntp any eq ntp
access-list 111 permit tcp any any eq 5402
access-list 111 permit udp any any eq 5402
access-list 111 permit tcp any any eq 6346
access-list 111 permit udp any any eq 6346
access-list 111 permit tcp any any eq 53695
access-list 111 permit udp any any eq 53695
access-list 111 permit tcp any any eq www
access-list 111 permit ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner motd ^C
^C
!
line con 0
no modem enable
transport preferred none
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
transport preferred none
transport input telnet ssh
!
scheduler max-task-time 5000
ntp clock-period 17175262
ntp server 207.46.130.100
ntp server 192.43.244.18
ntp server 193.92.150.3 prefer
end
Ευχαριστώ
μπορείς να κάνεις ΤΑ ΠΑΝΤΑ !!
απλά πρέπει να μας πεις συγκεκριμένα τι θες, με λεπτομέρειες.
Καλή σας μέρα,
θέλω να δημιουργήσω 4 vlan,
ένα για το ip τηλέφωνό μου, ένα που θα πέφτει ένα switch 3com gigabit 5port με 3 υπολογιστές πάνω, ένα άλλο για ένα pc που τρέχει p2p, και το τελευταίο που θα είναι για το wireless.
Θέλω όλα τα vlan να επιτρέπουν μόνο το \\ip μεταξύ τους , http στην ip του ip τηλεφώνου μου και στο sdm του router και telnet στην ip του router.
Αυτά , ελπίζω να μην σας κούρασα.
Ευχαριστώ για το ενδιαφέρον σας.
γινετε με access lists αλλα πρεπει να ξερω IP απο VLANS
"Θέλω όλα τα vlan να επιτρέπουν μόνο το \\ip μεταξύ τους", όλη η κίνηση IP είναι. Γίνε ποιο σαφής, π.χ. πορτες TCP, UDP, IPs κ.λ.π
εδω (http://rapidshare.com/users/7Z8Y1R) θα βρείς διάφορα χρήσιμα προγραμματα για Cisco
Θέλω να έχω management router ip 192.168.1.1/24
vlan1 p2p pc 192.168.1.10/24
vlan2 voip 192.168.2.10/24
vlan3 pcs 192.168.3.10-12/24
vlan4 για το wlan 192.168.4.10/24
η 192.168.2.10 είναι http που πρέπει να τη βλέπουν όλοι
και στις άλλες θέλω να βλέπω τα shares κάνοντας \\192.168.1.10 , \\192.168.3.10-12 και \\192.168.4.10 από παντού.
Η management router ip πρέπει να ανήκει σε vlan ; αν όχι ας μην έχει την 192.168.1.1 αλλά μια άλλη πχ 10.0.0.1/24 την οποία θα πρέπει να την βλέπουν λόγω sdm όλα τα vlan.
Ευχαριστώ για τη βοήθεια ,
Αυτά που λες γίνονται από default αν έχεις το ip routing στον 877.
Επίσης πρέπει να «βάλεις» τα 4 Ethernet interfaces του 877 σε 4 διαφορετικά vlans.
Έχεις κάνει τίποτα από αυτά; Ξέρεις καθόλου από εντολές Cisco;
Tελικά έχετε δίκιο, βλέπω ότι τα \\ip παίζουν με την προσθήκη ip routing.
Κάτι άλλο,
υπάρχει τρόπος να ρυθμίσεις κάτι σαν port security για το wlan ;
δηλαδή θέλω να ρυθμίσω wpa2 αλλά οι wireless clients να μπαίνουν στο δίκτυο μόνο αν η mac address των επιτρέπεται από τον router.
Ευχαριστώ για τη βοήθειά σας.
Μέσα στο interface του wlan
switchport port-security mac-address "mac-address"
μια εντολή για κάθε mac-address που θές να εχει access.
Τέλος
switchport port-security violation protect
Σε Switch δουλεύει 100% σε wlan δεν το εχω δοκιμασει αλλά πιστεύω οτι θα δουλεύει.
Φιλικά;)
cprotopapas
20-02-08, 10:04
Μέσα στο interface του wlan
switchport port-security mac-address "mac-address"
μια εντολή για κάθε mac-address που θές να εχει access.
Τέλος
switchport port-security violation protect
Σε Switch δουλεύει 100% σε wlan δεν το εχω δοκιμασει αλλά πιστεύω οτι θα δουλεύει.
Φιλικά;)
http://cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008058ed26.shtml#macbasedacls
Enjoy
@ ADSLgr.com All rights reserved.