Cuestión : lista de acceso en el interruptor de la base para el acceso restricto de la huésped

im que tiene una comprensión del problema cómo esta lista de acceso yo se ha aplicado a 997 y a 999 vlan está prohibiendo el acceso a mi red corporativa del de la red de la huésped (GuestWireless
, PhysicianAccess).
i han enumerado mis config corrientes de mi interruptor de la base. estoy funcionando con 3 reguladores sin hilos del lan de Cisco que estén conectados con este interruptor vía etherchannel. Puedo sin embargo tener acceso a mi red de la huésped de mis otros vlans (que esté muy bien). Apreciaría realmente a alguien que me ayuda entiendo cómo esto trabaja. Gracias por su configuración de responses.




Current: ¡12597 bytes
! ¡los relojes fechadores del pad
service del servicio del
version 12.2
no eliminan errores de la secuencia-numbers
de la contraseña-encryption
service del servicio del datetime
no del registro de los relojes fechadores del uptime
service!
hostname BigBoy

! el nuevo-model
clock DHCP del dominio-lookup
ip del IP del routing
no del subnet-zero
ip de la encaminamiento 1500
ip del MTU de la disposición ws-c3750g-12s
system de la disposición ws-c3750g-12s
switch 3 de la disposición ws-c3750g-12s
switch 2 del recurring
switch 1 del CST del verano del CST -6
clock del timezone del
no aaa excluir-trata el DHCP del
ip de 172.20.142.1 172.20.142.50 excluir-trata el DHCP del
ip de 172.20.108.1 172.20.108.50 excluir-trata el DHCP del
ip de 172.20.106.1 172.20.106.50 excluir-trata el DHCP del
ip de 172.20.104.1 172.20.104.50 excluir-trata el DHCP del
ip de 172.20.118.1 172.20.118.50 excluir-trata el DHCP del
ip de 172.20.136.1 172.20.136.50 excluir-trata el DHCP del
ip de 172.20.138.1 172.20.138.50 excluir-trata el DHCP del
ip de 172.20.102.1 172.20.102.50 excluir-trata el DHCP del
ip de 172.20.140.1 172.20.140.50 excluir-trata el DHCP del
ip de 172.20.116.1 172.20.116.50 excluir-trata el DHCP del
ip de 172.20.124.1 172.20.124.50 excluir-trata el DHCP del
ip de 172.20.114.1 172.20.114.50 excluir-trata el DHCP del
ip de 172.20.122.1 172.20.122.50 excluir-trata el
de 172.21.0.1 172.21.253.255¡! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.142.1 del omitir-ranurador del
de 172.20.142.0 255.255.254.0 de la red de la piscina MAIN3rdFloor
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.108.1 del omitir-ranurador del
de 172.20.108.0 255.255.254.0 de la red de la piscina Nursing8th
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.106.1 del omitir-ranurador del
de 172.20.106.0 255.255.254.0 de la red de la piscina ICU6th
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.104.1 del omitir-ranurador del
de 172.20.104.0 255.255.254.0 de la red de la piscina Nursing4th
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.118.1 del omitir-ranurador del
de 172.20.118.0 255.255.254.0 de la red de la piscina Surgery3rd
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.136.1 del omitir-ranurador del
de 172.20.136.0 255.255.254.0 de la red de la piscina WCNorth3rd
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.138.1 del omitir-ranurador del
de 172.20.138.0 255.255.254.0 de la red de la piscina WCSouth3rd
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.102.1 del omitir-ranurador del
de 172.20.102.0 255.255.254.0 de la red de la piscina Lab2nd
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.140.1 del omitir-ranurador del
de 172.20.140.0 255.255.254.0 de la red de la piscina Radiology2nd
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.116.1 del omitir-ranurador del
de 172.20.116.0 255.255.254.0 de la red de la piscina RadiationOncalogy2nd
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.124.1 del omitir-ranurador del
de 172.20.124.0 255.255.254.0 de la red de la piscina Purchasing1st
del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.114.1 del omitir-ranurador del
de 172.20.114.0 255.255.254.0 de la red de la piscina Auditorium1st
del DHCP del
ip! ¡
de 204.153.217.68 204.153.217.69 del dns-servidor del
de guest.net del Domain Name del
de 10.220.0.1 del omitir-ranurador del
de 10.220.0.0 255.255.255.0 de la red de GuestWireless
de la piscina del DHCP del
ip! ¡
de butta.org del Domain Name del
de 172.20.45.121 172.20.45.122 del netbios-nombre-servidor del
de 172.20.45.121 172.20.45.122 del dns-servidor del
de 172.21.1.1 del omitir-ranurador del
de 172.21.0.0 255.255.0.0 de la red de CORPDATA
de la piscina del DHCP del
ip! ¡
de 172.20.45.122 172.20.45.121 del dns-servidor del
de butta.org del Domain Name del
de 172.20.122.1 del omitir-ranurador del
de 172.20.122.0 255.255.254.0 de la red de la piscina ProfessionalBuilding1
del DHCP del
ip! ¡
de 10.220.10.1 del omitir-ranurador del Domain Name rmc-physician.local
del
de 204.153.217.68 204.153.217.69 del dns-servidor del
de 10.220.10.0 255.255.255.0 de la red de PhysiciansAccess
de la piscina del DHCP del
ip! ¡
! ¡
! ¡
!         ¡el archivo del src-dst-ip
no del carga-balance del
port-channel verifica el auto
! ¡el modo/>spanning-tree rápido-pvst
spanning-tree extiende el sistema-id
! ¡ascending
de la política de la asignación del
vlan! ¡conexión de la descripción del
interface Port-channel1
al acceso 160
del switchport de Core
del pasaporte 8010 de Nortel! ¡la conexión de la descripción del
interface Port-channel2
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC #1
permitió el trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface Port-channel3
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC #2
permitió el trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface Port-channel4
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 3
permitió el trunk
del modo del switchport de 160,997-999
! ¡on
del modo del canal-grupo 1 del acceso 160
del switchport del
interface GigabitEthernet1/0/1
! ¡la conexión de la descripción del
interface GigabitEthernet1/0/2
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC #1
permitió el on
del modo del canal-grupo 2 del trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface GigabitEthernet1/0/3
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 2
permitió el on
del modo del canal-grupo 3 del trunk
del modo del switchport de 160,997-999
!         ¡la conexión de la descripción del
interface GigabitEthernet1/0/4
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 3
permitió el on
del modo del canal-grupo 4 del trunk
del modo del switchport de 160,997-999
!
interface GigabitEthernet1/0/5
!¡la conexión de la descripción del
interface GigabitEthernet1/0/6
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC #1
permitió el on
del modo del canal-grupo 2 del trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface GigabitEthernet1/0/7
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 2
permitió el on
del modo del canal-grupo 3 del trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface GigabitEthernet1/0/8
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 3
permitió el on
del modo del canal-grupo 4 del trunk
del modo del switchport de 160,997-999
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!¡on
del modo del canal-grupo 1 del acceso 160
del switchport del
interface GigabitEthernet1/0/12
! ¡on
del modo del canal-grupo 1 del acceso 160
del switchport del
interface GigabitEthernet2/0/1
! ¡la conexión de la descripción del
interface GigabitEthernet2/0/2
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC #1
permitió el on
del modo del canal-grupo 2 del trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface GigabitEthernet2/0/3
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 2
permitió el on
del modo del canal-grupo 3 del trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface GigabitEthernet2/0/4
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 3
permitió el on
del modo del canal-grupo 4 del trunk
del modo del switchport de 160,997-999
!
interface GigabitEthernet2/0/5
!¡la conexión de la descripción del
interface GigabitEthernet2/0/6
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC #1
permitió el on
del modo del canal-grupo 2 del trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface GigabitEthernet2/0/7
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 2
permitió el on
del modo del canal-grupo 3 del trunk
del modo del switchport de 160,997-999
! ¡la conexión de la descripción del
interface GigabitEthernet2/0/8
al tronco del switchport de la encapsulación dot1q
del tronco del switchport de WLC# 3
permitió el on
del modo del canal-grupo 4 del trunk
del modo del switchport de 160,997-999
!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!¡on
del modo del canal-grupo 1 del acceso 160
del switchport del
interface GigabitEthernet2/0/12
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/1
permitió el trunk
del modo del switchport de 104,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/2
permitió el trunk
del modo del switchport de 106,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/3
permitió el trunk
del modo del switchport de 108,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/4
permitió el trunk
del modo del switchport de 114,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/5
permitió el trunk
del modo del switchport de 124,160
! ¡el tronco vlan nativo del switchport de Plaza
de la descripción del
interface GigabitEthernet3/0/6
del switchport del tronco de la encapsulación dot1q
del tronco profesional 160
del switchport permitió el trunk
del modo del switchport de 122,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/7
permitió el trunk
del modo del switchport de 140,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/8
permitió el trunk
del modo del switchport de 102,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/9
permitió el trunk
del modo del switchport de 138,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/10
permitió el trunk
del modo del switchport de 136,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/11
permitió el trunk
del modo del switchport de 118,160
! ¡el tronco vlan nativo del switchport del tronco 160
del switchport de la encapsulación dot1q
del tronco del switchport del
interface GigabitEthernet3/0/12
permitió el trunk
del modo del switchport de 142,160
! ¡
interface Vlan1
ningún shutdown
del
del IP address! ¡
de 172.20.102.1 255.255.254.0 del IP address del secondary
de 172.10.102.1 255.255.254.0 del IP address del
interface Vlan102
! ¡
de 172.20.104.1 255.255.254.0 del IP address del secondary
de 172.10.104.1 255.255.254.0 del IP address del
interface Vlan104
! ¡
de 172.20.106.1 255.255.254.0 del IP address del secondary
de 172.10.106.1 255.255.254.0 del IP address del
interface Vlan106
! ¡
de 172.20.108.1 255.255.254.0 del IP address del secondary
de 172.10.108.1 255.255.254.0 del IP address del
interface Vlan108
! ¡
de 172.20.114.1 255.255.254.0 del IP address del
interface Vlan114
! ¡
de 172.20.118.1 255.255.254.0 del IP address del secondary
de 172.10.118.1 255.255.254.0 del IP address del
interface Vlan118
! ¡
de 172.20.122.1 255.255.254.0 del IP address del secondary
de 172.10.122.1 255.255.254.0 del IP address del
interface Vlan122
! ¡
de 172.20.124.1 255.255.254.0 del IP address del secondary
de 172.10.124.1 255.255.254.0 del IP address del
interface Vlan124
! ¡
de 172.20.136.1 255.255.254.0 del IP address del secondary
de 172.10.136.1 255.255.254.0 del IP address del
interface Vlan136
! ¡
de 172.20.138.1 255.255.254.0 del IP address del secondary
de 172.10.138.1 255.255.254.0 del IP address del
interface Vlan138
! ¡
de 172.20.140.1 255.255.254.0 del IP address del secondary
de 172.10.140.1 255.255.254.0 del IP address del
interface Vlan140
! ¡
de 172.20.142.1 255.255.254.0 del IP address del
interface Vlan142
! ¡
de 172.20.160.2 255.255.254.0 del IP address del
interface Vlan160
! ¡
de 10.220.10.1 255.255.255.0 del IP address del
interface Vlan997
! ¡
de 172.21.1.1 255.255.0.0 del IP address del
interface Vlan998
! ¡in
de GuestWireless del acceso-grupo del IP del
de 10.220.0.1 255.255.255.0 del IP address del
interface Vlan999
! ¡server
del HTTP del
ip de 0.0.0.0 0.0.0.0 172.20.160.1 de la ruta del classless
ip del
ip! el
ip GuestWireless
niega el UDP que cualquier domain
del eq de 10.0.0.0 0.255.255.255 negar a UDP cualquier domain
del eq de 172.16.0.0 0.15.255.255 negar UDP a cualquier UDP del permiso del domain
del eq de 192.168.0.0 0.0.255.255 cualquier cualquier UDP del permiso del domain
del eq cualquier cualquier UDP del permiso del bootpc
del eq cualquier anfitrión el bootps
del eq de 10.220.0.1 niega el IP cualquier
de 10.0.0.0 0.255.255.255 negar a IP cualquier
de 192.168.0.0 0.0.255.255 negar IP a cualquier IP del permiso del
de 172.16.0.0 0.15.255.255 cualquier any
ip Physicians
negar a UDP cualquier domain
del eq de 10.0.0.0 0.255.255.255 negar a UDP cualquier domain
del eq de 172.16.0.0 0.15.255.255 negar UDP a cualquier UDP del permiso del domain
del eq de 192.168.0.0 0.0.255.255 cualquier cualquier UDP del permiso del domain
del eq cualquier cualquier bootpc
del eq ¡el UDP del permiso cualquier bootps
del eq de 10.220.10.1 del anfitrión niega el IP que cualquier
de 10.0.0.0 0.255.255.255 negar a IP cualquier
de 192.168.0.0 0.0.255.255 negar IP a cualquier IP del permiso del
de 172.16.0.0 0.15.255.255 cualquier any
! ¡
del
tftp-server 172.20.23.110! ¡
control-plane
! ¡
! ¡synchronous
del
de la contraseña del synchronous
line los 0 4
de la estafa 0
del
line abren una sesión el login
del
de la contraseña del local
line 6 15
de la conexión del
de la contraseña de la longitud 0
line 5
del local
! prefer
end

de la llave 0 de 172.20.44.18 del servidor del
ntp class= del

Respuesta : lista de acceso en el interruptor de la base para el acceso restricto de la huésped

La autorización tan aquí va.  En primer lugar no hay acl que es aplicado en 997 vlan así que trataré solamente de 999

interfaz Vlan999
 IP address 10.220.0.1 255.255.255.0
 acceso-grupo GuestWireless del IP adentro
¡!

acceso-lista GuestWireless extendido del IP
 negar a UDP cualquier dominio del eq de 10.0.0.0 0.255.255.255
 negar a UDP cualquier dominio del eq de 172.16.0.0 0.15.255.255
 negar a UDP cualquier dominio del eq de 192.168.0.0 0.0.255.255
 permitir el UDP cualquier cualquier dominio del eq
 permitir el UDP cualquier cualquier bootpc del eq
 permitir el UDP cualquier bootps del eq de 10.220.0.1 del anfitrión
 negar a IP cualquier 10.0.0.0 0.255.255.255
 negar a IP cualquier 192.168.0.0 0.0.255.255
 negar a IP cualquier 172.16.0.0 0.15.255.255
 permitir el IP cualquie

los fundamentos de cada comando son permiso/niegan tan y cualquier tcp/udp/ip entonces el IP address/la red de la fuente seguida por el IP address de la destinación/la red y entonces posiblemente el puerto específico del tcp/del UDP.

tan si miramos la primera línea:
 negar a UDP cualquier dominio del eq de 10.0.0.0 0.255.255.255

Negaremos cualquier IP address de la fuente que sea destinado para la red 10.x.x.x usar el puerto 53 (las operaciones de búsqueda del UDP del dns)

Usted también necesita tener presente cómo la acceso-lista es aplicada. en o hacia fuera.  su acl es de entrada aplicado, significando el título del tráfico en el interfaz 999 vlan.  Éste sería tan el tráfico que fue generado en ese título vlan en la capa 999 vlan para salir en alguna parte…

Su segunda línea hace tan la misma cosa, a menos que los bloques cualquier cosa de conseguir a las redes 172.16.x.x y la 3ro línea la misma cosa excepto bloques las redes 192.168.x.x.  Entonces después que le dejamos hacer preguntas del dns cualquier cosa.

La orden del acl es importante.  La primera línea que emparejamos es medidas tomaremos.  Tan primero bloqueamos tráfico de hacer preguntas del dns a nuestra red interna entonces que permitimos el resto del dns preguntamos para trabajar tan esto somos más probable a un servidor de dns del external en el Internet.

Entonces permitimos el BOOTP que está permitiendo básicamente que funcionara el DHCP.

Entonces bloqueamos cualquier tráfico que viene adentro al interfaz de la capa 3 de 999 vlan de alcanzar las mismas 3 redes que fueron bloqueadas previamente en cualquier cosa usar el IP.

Entonces permitimos que consiga todo otro.

El flujo es tan básicamente bloque qué entonces no queremos abrimos qué más permanece, que debe estar cualquier cosa en el Internet.

Espero que las ayudas.
Otras soluciones  
 
programming4us programming4us