Εμφάνιση 1-2 από 2
  1. #1
    Εγγραφή
    04-04-2012
    Μηνύματα
    1.530
    Downloads
    0
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Router
    OpenWRT, Mikrotik x86
    έχω ένα Cisco L3 switch κ κάποια Cisco L2 switches. Υπάρχουν Vlans και διάφορα subnets πέρα από το L3.
    Στο
    Κώδικας:
    Vlan 5
    που έχει το subnet
    Κώδικας:
    192.168.85.64 255.255.255.192
    κ έχει κάποιες συσκευές πάνω του.
    Έχω τις συσκευες στο παραπάνω subnet όπου θέλω να μην μιλάνε μεταξύ τους, αλλά η πρόσβαση από/προς τα υπόλοιπα δίκτυα να μην κοπεί.
    σκέφτικα να φτιάξω στα L2 μια access list:
    Κώδικας:
    ip access-list extended whatevername
    permit ip any any
    deny tcp 192.168.85.64 0.0.0.63 any
    permit tcp host 192.168.85.10 any

    Αλλά χάνω πρόσβαση προς τις IPs αυτές.
    πως μπορώ να το φτιάξω?

  2. #2
    Εγγραφή
    18-08-2003
    Περιοχή
    3491
    Μηνύματα
    5.158
    Downloads
    19
    Uploads
    0
    Ταχύτητα
    16000/800
    ISP
    Conn-x OTE/Otenet
    DSLAM
    ΟΤΕ - ΑΡΗΣ
    Router
    C876
    SNR / Attn
    9(dB) / 8(dB)
    Path Level
    Fastpath
    Συνήθως όταν θες τέτοιο διαχωρισμό, βάζεις τις συσκευές που δε θες να μιλάνε μεταξύ τους σε ξεχωριστά vlans και παίζεις με ACLs στους routers. Αν τώρα - για οποιοδήποτε λόγο - θες να το υλοποιήσεις όπως θες, έχεις αρκετές επιλογές.

    1) Private VLANs - isolated προς τα devices, promiscuous προς τον router. Σχετικά εύκολο, αλλά πρέπει να τα υποστηρίζουν όλα τα switches στο path.


    2) Port ACLs στα ports προς τα devices. Θέλει δουλειά σε κάθε πόρτα που βάζεις τέτοιο device, και έχε στο νου σου ότι ανάλογα το μηχάνημα, υπάρχουν restrictions. Σχετικά με τη λίστα που αναφέρεις, έχε στο νου σου ότι η επεξεργασία είναι από πάνω προς τα κάτω και καλό είναι να είσαι όσο πιο συγκεκριμένος μπορείς.


    3) VLAN filtering - Θέλει δουλειά σε κάθε switch για τo VLAN σου. Προσοχή, κόψε συγκεκριμένα πράγματα και άφησε τα υπόλοιπα, γιατί είναι πολύ εύκολο να σπάσεις πράγματα που μπορεί να θες ( control-plane protocols, arp, nd, κτλ ).
    In theory, practice is the same as theory.
    In practice, it isn't.

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας