Frage : Zugangsliste auf Kernschalter für eingeschränkten Gastzugang

im ein Problemverständnis habend, wie diese Zugangsliste ich auf vlan 997 und 999 zugetroffen haben, verbietet Zugang zu meinem privaten Kommunikationsnetz vom Gastnetz (GuestWireless
, PhysicianAccess).
i haben meine laufenden Config von meinem Kernschalter verzeichnet. ich lasse 3 Cisco drahtlose lan-Steuerpulte laufen, die an diesen Schalter über etherchannel angeschlossen werden. Ich kann auf mein Gastnetz von meinen anderen vlans (das jedoch zurückgreifen fein ist). Ich würde wirklich jemand schätzen, das mir hilft, verstehe, wie dieses arbeitet. Dank für Ihre responses.




Current Konfiguration: 12597 bytes
!
version 12.2
no Service pad
service Zeitstempel prüfen uptime
service Zeitstempelmaschinenbordbuch datetime
no Service Kennwort-encryption
service Reihenfolge-numbers
aus!
hostname BigBoy
!
! Sommerzeit CST recurring
switch 1
no aaa ausschließen-adressieren neues-model
clock Timezone CST--6
clock MTU-Wegewahl 1500
ip Teilnetz-zero
ip routing
no IP Gebiet-lookup
ip der Bestimmung ws-c3750g-12s
system der Bestimmung ws-c3750g-12s
switch 3 der Bestimmung ws-c3750g-12s
switch 2 DHCP 172.20.142.1 172.20.142.50
ip DHCP ausschließen-adressieren 172.20.108.1 172.20.108.50
ip DHCP ausschließen-adressieren 172.20.106.1 172.20.106.50
ip DHCP ausschließen-adressieren 172.20.104.1 172.20.104.50
ip DHCP ausschließen-adressieren 172.20.118.1 172.20.118.50
ip DHCP ausschließen-adressieren 172.20.136.1 172.20.136.50
ip DHCP ausschließen-adressieren 172.20.138.1 172.20.138.50
ip DHCP ausschließen-adressieren 172.20.102.1 172.20.102.50
ip DHCP ausschließen-adressieren 172.20.140.1 172.20.140.50
ip DHCP ausschließen-adressieren 172.20.116.1 172.20.116.50
ip DHCP ausschließen-adressieren 172.20.124.1 172.20.124.50
ip DHCP ausschließen-adressieren 172.20.114.1 172.20.114.50
ip DHCP ausschließen-adressieren 172.20.122.1 172.20.122.50
ip DHCP ausschließen-adressieren 172.21.0.1 172.21.253.255
!
ip Netz-172.20.142.0 255.255.254.0
Zurückfallenfräser 172.20.142.1
der DHCP-Lache MAIN3rdFloor
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.108.0 255.255.254.0
Zurückfallenfräser 172.20.108.1
der DHCP-Lache Nursing8th
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.106.0 255.255.254.0
Zurückfallenfräser 172.20.106.1
der DHCP-Lache ICU6th
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.104.0 255.255.254.0
Zurückfallenfräser 172.20.104.1
der DHCP-Lache Nursing4th
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.118.0 255.255.254.0
Zurückfallenfräser 172.20.118.1
der DHCP-Lache Surgery3rd
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.136.0 255.255.254.0
Zurückfallenfräser 172.20.136.1
der DHCP-Lache WCNorth3rd
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.138.0 255.255.254.0
Zurückfallenfräser 172.20.138.1
der DHCP-Lache WCSouth3rd
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.102.0 255.255.254.0
Zurückfallenfräser 172.20.102.1
der DHCP-Lache Lab2nd
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.140.0 255.255.254.0
Zurückfallenfräser 172.20.140.1
der DHCP-Lache Radiology2nd
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.116.0 255.255.254.0
Zurückfallenfräser 172.20.116.1
der DHCP-Lache RadiationOncalogy2nd
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.124.0 255.255.254.0
Zurückfallenfräser 172.20.124.1
der DHCP-Lache Purchasing1st
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip Netz-172.20.114.0 255.255.254.0
Zurückfallenfräser 172.20.114.1
der DHCP-Lache Auditorium1st
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip DHCP-Lache GuestWireless
Netz-10.220.0.0 255.255.255.0
Zurückfallenfräser 10.220.0.1
Domain- Nameguest.net
DNSbediener 204.153.217.68 204.153.217.69
!
ip DHCP-Lache CORPDATA
Netz-172.21.0.0 255.255.0.0
Zurückfallenfräser 172.21.1.1
DNSbediener 172.20.45.121 172.20.45.122
Netbios-Namebediener 172.20.45.121 172.20.45.122
Domain- Namebutta.org
!
ip Netz-172.20.122.0 255.255.254.0
Zurückfallenfräser 172.20.122.1
der DHCP-Lache ProfessionalBuilding1
Domain- Namebutta.org
DNSbediener 172.20.45.122 172.20.45.121
!
ip DHCP-Lache PhysiciansAccess
Netz-10.220.10.0 255.255.255.0
DNSbediener 204.153.217.68 204.153.217.69
Domain Name rmc-physician.local
Zurückfallenfräser 10.220.10.1
!
!
!
!        
port-channel Lastbalance src-dst-ip
no Akte überprüfen auto
!
spanning-tree Modus schnelles-pvst
spanning-tree verlängern System-id
!
vlan internes Verteilungs-Politik ascending
!
interface Port-channel1
Beschreibung Anschluss Nortel Paß 8010 Core
zum Switchportzugang vlan 160
!
interface Port-channel2
Beschreibung Anschluss WLC #1
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchport-Modus trunk
!
interface Port-channel3
Beschreibung Anschluss WLC #2
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchport-Modus trunk
!
interface Port-channel4
Beschreibung Anschluss WLC# 3
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchport-Modus trunk
!
interface GigabitEthernet1/0/1
Switchportzugang vlan 160
Kanalgruppe 1 Modus on
!
interface GigabitEthernet1/0/2
Beschreibung Anschluss WLC #1
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 2 Modus on
!
interface GigabitEthernet1/0/3
Beschreibung Anschluss WLC# 2
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 3 Modus on
!        
interface GigabitEthernet1/0/4
Beschreibung Anschluss WLC# 3
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 4 Modus on
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
Beschreibung Anschluss WLC #1
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 2 Modus on
!
interface GigabitEthernet1/0/7
Beschreibung Anschluss WLC# 2
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 3 Modus on
!
interface GigabitEthernet1/0/8
Beschreibung Anschluss WLC# 3
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 4 Modus on
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
Switchportzugang vlan 160
Kanalgruppe 1 Modus on
!
interface GigabitEthernet2/0/1
Switchportzugang vlan 160
Kanalgruppe 1 Modus on
!
interface GigabitEthernet2/0/2
Beschreibung Anschluss WLC #1
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 2 Modus on
!
interface GigabitEthernet2/0/3
Beschreibung Anschluss WLC# 2
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 3 Modus on
!
interface GigabitEthernet2/0/4
Beschreibung Anschluss WLC# 3
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 4 Modus on
!
interface GigabitEthernet2/0/5
!
interface GigabitEthernet2/0/6
Beschreibung Anschluss WLC #1
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 2 Modus on
!
interface GigabitEthernet2/0/7
Beschreibung Anschluss WLC# 2
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 3 Modus on
!
interface GigabitEthernet2/0/8
Beschreibung Anschluss WLC# 3
Switchportstammverkapselung dot1q
zum Switchportstamm erlaubte vlan 160,997-999
Switchportmodus trunk
Kanalgruppe 4 Modus on
!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!
interface GigabitEthernet2/0/12
Switchportzugang vlan 160
Kanalgruppe 1 Modus on
!
interface GigabitEthernet3/0/1
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 104,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/2
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 106,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/3
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 108,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/4
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 114,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/5
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 124,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/6
Beschreibung BerufsPlaza
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 122,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/7
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 140,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/8
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 102,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/9
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 138,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/10
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 136,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/11
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 118,160
Switchport-Modus trunk
!
interface GigabitEthernet3/0/12
Switchportstammverkapselung dot1q
Switchportstamm erlaubte gebürtiger vlan 160
Switchportstamm vlan 142,160
Switchport-Modus trunk
!
interface Vlan1
kein IP address
shutdown
!
interface Vlan102
IP- address172.10.102.1 255.255.254.0 secondary
IP- address172.20.102.1 255.255.254.0
!
interface Vlan104
IP- address172.10.104.1 255.255.254.0 secondary
IP- address172.20.104.1 255.255.254.0
!
interface Vlan106
IP- address172.10.106.1 255.255.254.0 secondary
IP- address172.20.106.1 255.255.254.0
!
interface Vlan108
IP- address172.10.108.1 255.255.254.0 secondary
IP- address172.20.108.1 255.255.254.0
!
interface Vlan114
IP- address172.20.114.1 255.255.254.0
!
interface Vlan118
IP- address172.10.118.1 255.255.254.0 secondary
IP- address172.20.118.1 255.255.254.0
!
interface Vlan122
IP- address172.10.122.1 255.255.254.0 secondary
IP- address172.20.122.1 255.255.254.0
!
interface Vlan124
IP- address172.10.124.1 255.255.254.0 secondary
IP- address172.20.124.1 255.255.254.0
!
interface Vlan136
IP- address172.10.136.1 255.255.254.0 secondary
IP- address172.20.136.1 255.255.254.0
!
interface Vlan138
IP- address172.10.138.1 255.255.254.0 secondary
IP- address172.20.138.1 255.255.254.0
!
interface Vlan140
IP- address172.10.140.1 255.255.254.0 secondary
IP- address172.20.140.1 255.255.254.0
!
interface Vlan142
IP- address172.20.142.1 255.255.254.0
!
interface Vlan160
IP- address172.20.160.2 255.255.254.0
!
interface Vlan997
IP- address10.220.10.1 255.255.255.0
!
interface Vlan998
IP- address172.21.1.1 255.255.0.0
!
interface Vlan999
IP- address10.220.0.1 255.255.255.0
IP Zuganggruppe GuestWireless in
!
ip classless
ip Weg-0.0.0.0 0.0.0.0 172.20.160.1
ip HTTP server
!
ip Zugangliste verlängertes GuestWireless
verweigern UDP jedes mögliches 10.0.0.0 0.255.255.255 eq domain
verweigern UDP, irgendein 172.16.0.0 0.15.255.255 eq domain
verweigern UDP jedem möglichem 192.168.0.0 0.0.255.255 eq domain
Erlaubnis-UDP irgendein jedes mögliches eq domain
Erlaubnis-UDP irgendein jedes mögliches eq bootpc
Erlaubnis-UDP irgendein Wirt, 10.220.0.1 eq bootps
IP verweigern, jedes mögliches 10.0.0.0 0.255.255.255
verweigern IP, irgendein 192.168.0.0 0.0.255.255
verweigern IP jedem möglichem 172.16.0.0 0.15.255.255
Erlaubnis-IP, irgendein any
ip Zugangliste verlängertes Physicians
verweigern UDP, jedes mögliches 10.0.0.0 0.255.255.255 eq domain
verweigern UDP, irgendein 172.16.0.0 0.15.255.255 eq domain
verweigern UDP jedem möglichem 192.168.0.0 0.0.255.255 eq domain
Erlaubnis-UDP irgendein jedes mögliches eq domain
Erlaubnis-UDP irgendein jedes mögliches eq bootpc
 Erlaubnis-UDP jedes mögliches Wirts-10.220.10.1 eq bootps
verweigern IP irgendein 10.0.0.0 0.255.255.255
verweigern IP, jedes mögliches 192.168.0.0 0.0.255.255
verweigern IP irgendeinem 172.16.0.0 0.15.255.255
Erlaubnis-IP jedes mögliches any
!
tftp-server 172.20.23.110
!
control-plane
!
!
line Betrug 0
melden loggensynchronous
line vty 0 4
Kennwort
loggensynchronous
local

Kennwort local
line vty 6 15
LOGON
Kennwort der Länge 0
line vty 5
login
an!
ntp Bediener-172.20.44.18-Schlüssel 0 prefer
end

Antwort : Zugangsliste auf Kernschalter für eingeschränkten Gastzugang

O.K. geht so hier.  Zuerst gibt es keinen acl, der auf vlan 997 angewandt ist, also beschäftige ich nur 999

Schnittstelle Vlan999
 IP address 10.220.0.1 255.255.255.0
 IP Zuganggruppe GuestWireless innen
!

IP Zugangliste ausgedehntes GuestWireless
 UDP jedes mögliches 10.0.0.0 0.255.255.255 eq Gebiet verweigern
 UDP jedes mögliches 172.16.0.0 0.15.255.255 eq Gebiet verweigern
 UDP jedes mögliches 192.168.0.0 0.0.255.255 eq Gebiet verweigern
 UDP ermöglichen jedes mögliches irgendein eq Gebiet
 UDP ermöglichen jedes mögliches irgendein eq bootpc
 UDP ermöglichen alle mögliche Wirts-10.220.0.1 eq bootps
 IP jedes mögliches 10.0.0.0 0.255.255.255 verweigern
 IP jedes mögliches 192.168.0.0 0.0.255.255 verweigern
 IP jedes mögliches 172.16.0.0 0.15.255.255 verweigern
 IP irgendwie ermöglichen, das irgendein ist

so sind die Grundlagen jedes Befehls, Erlaubnis/verweigern und jeder TCP/udp/ip dann das Quellip address/-netz, das vielleicht vom Bestimmungsortip address/vom Netz und dann vom spezifischen TCP-/UDP-Hafen gefolgt wird.

so, wenn wir die erste Linie betrachten:
 UDP jedes mögliches 10.0.0.0 0.255.255.255 eq Gebiet verweigern

Wir verweigern jedes mögliches Quellip address, das für das Netz 10.x.x.x using UDP-Hafen 53 bestimmt ist- (DNS-Nachschlagen)

Sie müssen auch im Verstand halten, wie die Zugangliste. angewandt ist. in oder heraus.  Ihr acl ist angewandtes Inlands und bedeutet Verkehrsüberschrift in die Schnittstelle vlan 999.  So würde dieses Verkehr sein, der auf dieser vlan Überschrift in die Schicht vlan 999 erzeugt wurde, um irgendwo sonst hinauszugehen…

So tut Ihre zweite Linie die gleiche Sache, ausgenommen Blöcke aller vom Gelangen an die Netze 172.16.x.x und die 3. Linie die gleiche Sache ausgenommen Blöcke die Netze 192.168.x.x.  Dann nachher, dass wir Sie DNS-Fragen zu allem tun ließen.

Der Auftrag des acl ist wichtig.  Die erste Linie, die wir zusammenbringen, ist die Maßnahmen wir ergreifen.  So zuerst blockieren wir Verkehr vom Handeln von DNS-Fragen zu unserem internen Netz, dann, das wir weitere ganze DNS fragen, um dieses so zu bearbeiten sind höchstwahrscheinlich zu einem External-DNS-Bediener auf dem Internet erlauben.

Dann erlauben wir BOOTP, das im Allgemeinen DHCP arbeiten lässt.

Dann blockieren wir jeden möglichen Verkehr, der zur Schnittstelle der Schicht 3 von vlan 999 vom Erreichen der gleichen 3 Netze hereinkommt, die vorher auf allem using IP blockiert wurden.

Dann lassen wir es an alles anderes gelangen.

So im Allgemeinen ist der Fluss Block, was wir nicht dann erschließen wünschen, was sonst bleibt, das alles auf dem Internet sein sollte.

Ich hoffe dass Hilfen.
Weitere Lösungen  
 
programming4us programming4us