Question : liste d'accès sur le commutateur de noyau pour l'accès restreint d'invité

im ayant un arrangement de problème comment cette liste d'accès je se sont appliquées à 997 et à 999 vlan interdit l'accès à mon réseau de corporation du de réseau d'invité (GuestWireless
, PhysicianAccess). i ont énuméré mes config courantes de mon commutateur de noyau. je cours 3 contrôleurs sans fil de LAN de Cisco qui sont reliés à ce commutateur par l'intermédiaire de l'etherchannel. Je peux cependant accéder à mon réseau d'invité de mes autres vlans (qui est très bien). J'apprécierais vraiment quelqu'un m'aidant comprends comment ceci fonctionne. Merci pour votre configuration de responses.




Current : 12597 bytes
! les horodateurs du pad
service de service du
version 12.2
no corrigent l'ordre-numbers
du mot de passe-encryption
service de service du datetime
no de notation d'horodateurs de l'uptime
service !
hostname BigBoy
!
! le nouveau-model
clock DHCP du domaine-lookup
ip d'IP du routing
no du filet inférieur-zero
ip du cheminement 1500
ip de MTU de la disposition ws-c3750g-12s
system de la disposition ws-c3750g-12s
switch 3 de la disposition ws-c3750g-12s
switch 2 du recurring
switch 1 de CST d'été du CST -6
clock de fuseau horaire du
no D.C.A. exclure-adressent le DHCP du
ip de 172.20.142.1 172.20.142.50 exclure-adressent le DHCP du
ip de 172.20.108.1 172.20.108.50 exclure-adressent le DHCP du
ip de 172.20.106.1 172.20.106.50 exclure-adressent le DHCP du
ip de 172.20.104.1 172.20.104.50 exclure-adressent le DHCP du
ip de 172.20.118.1 172.20.118.50 exclure-adressent le DHCP du
ip de 172.20.136.1 172.20.136.50 exclure-adressent le DHCP du
ip de 172.20.138.1 172.20.138.50 exclure-adressent le DHCP du
ip de 172.20.102.1 172.20.102.50 exclure-adressent le DHCP du
ip de 172.20.140.1 172.20.140.50 exclure-adressent le DHCP du
ip de 172.20.116.1 172.20.116.50 exclure-adressent le DHCP du
ip de 172.20.124.1 172.20.124.50 exclure-adressent le DHCP du
ip de 172.20.114.1 172.20.114.50 exclure-adressent le DHCP du
ip de 172.20.122.1 172.20.122.50 exclure-adressent le
de 172.21.0.1 172.21.253.255!
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.142.1 de transférer-routeur du
de 172.20.142.0 255.255.254.0 de réseau de la piscine MAIN3rdFloor
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.108.1 de transférer-routeur du
de 172.20.108.0 255.255.254.0 de réseau de la piscine Nursing8th
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.106.1 de transférer-routeur du
de 172.20.106.0 255.255.254.0 de réseau de la piscine ICU6th
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.104.1 de transférer-routeur du
de 172.20.104.0 255.255.254.0 de réseau de la piscine Nursing4th
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.118.1 de transférer-routeur du
de 172.20.118.0 255.255.254.0 de réseau de la piscine Surgery3rd
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.136.1 de transférer-routeur du
de 172.20.136.0 255.255.254.0 de réseau de la piscine WCNorth3rd
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.138.1 de transférer-routeur du
de 172.20.138.0 255.255.254.0 de réseau de la piscine WCSouth3rd
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.102.1 de transférer-routeur du
de 172.20.102.0 255.255.254.0 de réseau de la piscine Lab2nd
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.140.1 de transférer-routeur du
de 172.20.140.0 255.255.254.0 de réseau de la piscine Radiology2nd
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.116.1 de transférer-routeur du
de 172.20.116.0 255.255.254.0 de réseau de la piscine RadiationOncalogy2nd
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.124.1 de transférer-routeur du
de 172.20.124.0 255.255.254.0 de réseau de la piscine Purchasing1st
de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.114.1 de transférer-routeur du
de 172.20.114.0 255.255.254.0 de réseau de la piscine Auditorium1st
de DHCP du
ip !
de 204.153.217.68 204.153.217.69 de DNS-serveur du
de guest.net de Domain Name du
de 10.220.0.1 de transférer-routeur du
de 10.220.0.0 255.255.255.0 de réseau de GuestWireless
de piscine de DHCP du
ip !
de butta.org de Domain Name du
de 172.20.45.121 172.20.45.122 de netbios-nom-serveur du
de 172.20.45.121 172.20.45.122 de DNS-serveur du
de 172.21.1.1 de transférer-routeur du
de 172.21.0.0 255.255.0.0 de réseau de CORPDATA
de piscine de DHCP du
ip !
de 172.20.45.122 172.20.45.121 de DNS-serveur du
de butta.org de Domain Name du
de 172.20.122.1 de transférer-routeur du
de 172.20.122.0 255.255.254.0 de réseau de la piscine ProfessionalBuilding1
de DHCP du
ip !
de 10.220.10.1 de transférer-routeur du Domain Name rmc-physician.local
du
de 204.153.217.68 204.153.217.69 de DNS-serveur du
de 10.220.10.0 255.255.255.0 de réseau de PhysiciansAccess
de piscine de DHCP du
ip !
!
!
!         le dossier du src-dst-ip
no de charge-équilibre du
port-channel vérifient l'auto
! le mode/>spanning-tree rapide-pvst
spanning-tree prolongent le système-id
! ascending
de politique d'attribution du
vlan ! raccordement de description du
interface Port-channel1
à l'accès 160
de switchport de Core
du passeport 8010 de Nortel ! le raccordement de description du
interface Port-channel2
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC #1
a permis le trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface Port-channel3
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC #2
a permis le trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface Port-channel4
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 3
a permis le trunk
de mode de switchport de 160,997-999
! on
de mode du canal-groupe 1 de l'accès 160
de switchport du
interface GigabitEthernet1/0/1
! le raccordement de description du
interface GigabitEthernet1/0/2
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC #1
a permis l'on
de mode du canal-groupe 2 du trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface GigabitEthernet1/0/3
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 2
a permis l'on
de mode du canal-groupe 3 du trunk
de mode de switchport de 160,997-999
!         le raccordement de description du
interface GigabitEthernet1/0/4
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 3
a permis l'on
de mode du canal-groupe 4 du trunk
de mode de switchport de 160,997-999
!
interface GigabitEthernet1/0/5
!le raccordement de description du
interface GigabitEthernet1/0/6
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC #1
a permis l'on
de mode du canal-groupe 2 du trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface GigabitEthernet1/0/7
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 2
a permis l'on
de mode du canal-groupe 3 du trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface GigabitEthernet1/0/8
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 3
a permis l'on
de mode du canal-groupe 4 du trunk
de mode de switchport de 160,997-999
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!on
de mode du canal-groupe 1 de l'accès 160
de switchport du
interface GigabitEthernet1/0/12
! on
de mode du canal-groupe 1 de l'accès 160
de switchport du
interface GigabitEthernet2/0/1
! le raccordement de description du
interface GigabitEthernet2/0/2
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC #1
a permis l'on
de mode du canal-groupe 2 du trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface GigabitEthernet2/0/3
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 2
a permis l'on
de mode du canal-groupe 3 du trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface GigabitEthernet2/0/4
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 3
a permis l'on
de mode du canal-groupe 4 du trunk
de mode de switchport de 160,997-999
!
interface GigabitEthernet2/0/5
!le raccordement de description du
interface GigabitEthernet2/0/6
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC #1
a permis l'on
de mode du canal-groupe 2 du trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface GigabitEthernet2/0/7
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 2
a permis l'on
de mode du canal-groupe 3 du trunk
de mode de switchport de 160,997-999
! le raccordement de description du
interface GigabitEthernet2/0/8
au tronc de switchport de l'encapsulation dot1q
de tronc de switchport de WLC# 3
a permis l'on
de mode du canal-groupe 4 du trunk
de mode de switchport de 160,997-999
!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!on
de mode du canal-groupe 1 de l'accès 160
de switchport du
interface GigabitEthernet2/0/12
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/1
a permis le trunk
de mode de switchport de 104,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/2
a permis le trunk
de mode de switchport de 106,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/3
a permis le trunk
de mode de switchport de 108,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/4
a permis le trunk
de mode de switchport de 114,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/5
a permis le trunk
de mode de switchport de 124,160
! le tronc vlan indigène de switchport de Plaza
de description du
interface GigabitEthernet3/0/6
de switchport de tronc de l'encapsulation dot1q
du tronc professionnel 160
de switchport a permis le trunk
de mode de switchport de 122,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/7
a permis le trunk
de mode de switchport de 140,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/8
a permis le trunk
de mode de switchport de 102,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/9
a permis le trunk
de mode de switchport de 138,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/10
a permis le trunk
de mode de switchport de 136,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/11
a permis le trunk
de mode de switchport de 118,160
! le tronc vlan indigène de switchport du tronc 160
de switchport de l'encapsulation dot1q
de tronc de switchport du
interface GigabitEthernet3/0/12
a permis le trunk
de mode de switchport de 142,160
!
interface Vlan1
aucun shutdown
du
d'IP address !
de 172.20.102.1 255.255.254.0 d'IP address du secondary
de 172.10.102.1 255.255.254.0 d'IP address du
interface Vlan102
!
de 172.20.104.1 255.255.254.0 d'IP address du secondary
de 172.10.104.1 255.255.254.0 d'IP address du
interface Vlan104
!
de 172.20.106.1 255.255.254.0 d'IP address du secondary
de 172.10.106.1 255.255.254.0 d'IP address du
interface Vlan106
!
de 172.20.108.1 255.255.254.0 d'IP address du secondary
de 172.10.108.1 255.255.254.0 d'IP address du
interface Vlan108
!
de 172.20.114.1 255.255.254.0 d'IP address du
interface Vlan114
!
de 172.20.118.1 255.255.254.0 d'IP address du secondary
de 172.10.118.1 255.255.254.0 d'IP address du
interface Vlan118
!
de 172.20.122.1 255.255.254.0 d'IP address du secondary
de 172.10.122.1 255.255.254.0 d'IP address du
interface Vlan122
!
de 172.20.124.1 255.255.254.0 d'IP address du secondary
de 172.10.124.1 255.255.254.0 d'IP address du
interface Vlan124
!
de 172.20.136.1 255.255.254.0 d'IP address du secondary
de 172.10.136.1 255.255.254.0 d'IP address du
interface Vlan136
!
de 172.20.138.1 255.255.254.0 d'IP address du secondary
de 172.10.138.1 255.255.254.0 d'IP address du
interface Vlan138
!
de 172.20.140.1 255.255.254.0 d'IP address du secondary
de 172.10.140.1 255.255.254.0 d'IP address du
interface Vlan140
!
de 172.20.142.1 255.255.254.0 d'IP address du
interface Vlan142
!
de 172.20.160.2 255.255.254.0 d'IP address du
interface Vlan160
!
de 10.220.10.1 255.255.255.0 d'IP address du
interface Vlan997
!
de 172.21.1.1 255.255.0.0 d'IP address du
interface Vlan998
! in
de GuestWireless d'accès-groupe d'IP du
de 10.220.0.1 255.255.255.0 d'IP address du
interface Vlan999
! server
de HTTP du
ip de 0.0.0.0 0.0.0.0 172.20.160.1 d'itinéraire du classless
ip du
ip ! le
ip GuestWireless
nient l'UDP que n'importe quel domain
d'eq de 10.0.0.0 0.255.255.255 refuser à UDP n'importe quel domain
d'eq de 172.16.0.0 0.15.255.255 refuser UDP à n'importe quel UDP de laiss du domain
d'eq de 192.168.0.0 0.0.255.255 n'importe quel n'importe quel UDP de laiss du domain
d'eq n'importe quel n'importe quel UDP de laiss du bootpc
d'eq n'importe quel centre serveur le bootps
d'eq de 10.220.0.1 nient l'IP n'importe quel
de 10.0.0.0 0.255.255.255 refuser à IP n'importe quel
de 192.168.0.0 0.0.255.255 refuser IP à n'importe quel IP de laiss du
de 172.16.0.0 0.15.255.255 n'importe quel any
ip Physicians
refuser à UDP n'importe quel domain
d'eq de 10.0.0.0 0.255.255.255 refuser à UDP n'importe quel domain
d'eq de 172.16.0.0 0.15.255.255 refuser UDP à n'importe quel UDP de laiss du domain
d'eq de 192.168.0.0 0.0.255.255 n'importe quel n'importe quel UDP de laiss du domain
d'eq n'importe quel n'importe quel bootpc
d'eq l'UDP de laiss n'importe quel bootps
d'eq de 10.220.10.1 de centre serveur nient l'IP que n'importe quel
de 10.0.0.0 0.255.255.255 refuser à IP n'importe quel
de 192.168.0.0 0.0.255.255 refuser IP à n'importe quel IP de laiss du
de 172.16.0.0 0.15.255.255 n'importe quel any
!
du
tftp-server 172.20.23.110 !
control-plane
!
! synchronous
du
de mot de passe du synchronous
line les 0 4
de l'escroquerie 0
du
line ouvrent une session le login
du
de mot de passe du local
line 6 15
d'ouverture du
de mot de passe de la longueur 0
line 5
du local
! prefer
end

de la clef 0 de 172.20.44.18 de serveur du
ntp class= de

Réponse : liste d'accès sur le commutateur de noyau pour l'accès restreint d'invité

L'ok va tellement ici.  D'abord de tous il n'y a aucun ACL étant appliqué sur 997 vlan ainsi je traiterai seulement 999

interface Vlan999
 IP address 10.220.0.1 255.255.255.0
 accès-groupe GuestWireless d'IP dedans
!

accès-liste GuestWireless prolongé d'IP
 refuser à UDP n'importe quel domaine d'eq de 10.0.0.0 0.255.255.255
 refuser à UDP n'importe quel domaine d'eq de 172.16.0.0 0.15.255.255
 refuser à UDP n'importe quel domaine d'eq de 192.168.0.0 0.0.255.255
 permettre l'UDP n'importe quel n'importe quel domaine d'eq
 permettre l'UDP n'importe quel n'importe quel bootpc d'eq
 permettre l'UDP tous les bootps d'eq de 10.220.0.1 de centre serveur
 refuser à IP tout 10.0.0.0 0.255.255.255
 refuser à IP tout 192.168.0.0 0.0.255.255
 refuser à IP tout 172.16.0.0 0.15.255.255
 permettre l'IP tout

ainsi les fondations de chaque commande est laiss/nie et l'un ou l'autre tcp/udp/ip puis l'IP address/réseau de source suivi de l'IP address de destination/du réseau et puis probablement du port spécifique de tcp/UDP.

ainsi si nous regardons la première ligne :
 refuser à UDP n'importe quel domaine d'eq de 10.0.0.0 0.255.255.255

Nous nierons n'importe quel IP address de source qui est destiné au réseau 10.x.x.x using le port 53 (les consultations d'UDP de DNS)

Vous devez également maintenir dans l'esprit comment l'accès-liste est appliquée. dans ou dehors.  votre ACL est d'arrivée appliqué, signifiant le titre du trafic dans l'interface 999 vlan.  Ainsi ce serait le trafic qui a été produit sur ce titre vlan dans la couche 999 vlan afin de sortir quelque part autrement…

Ainsi votre deuxième ligne fait la même chose, à moins que les blocs quelque chose de l'obtention aux réseaux 172.16.x.x et la 3ème ligne la même chose excepté des blocs les réseaux 192.168.x.x.  Puis ensuite que nous vous avons laissé faire des questions de DNS à n'importe quoi.

L'ordre de l'ACL est important.  La première ligne que nous assortissons est la mesure nous prendrons.  Tellement d'abord nous bloquons le trafic de faire des questions de DNS à notre réseau interne alors que nous permettons tout autre DNS questionne pour travailler ainsi ceci est le plus susceptible d'un serveur de DNS d'external sur l'Internet.

Alors nous permettons le BOOTP qui permet fondamentalement au DHCP de fonctionner.

Alors nous bloquons n'importe quel trafic entrant à l'interface de la couche 3 de 999 vlan d'atteindre les mêmes 3 réseaux qui ont été bloqués précédemment sur n'importe quoi using l'IP.

Alors nous lui permettons d'obtenir à tout d'autre.

Tellement fondamental l'écoulement est bloc ce que nous ne voulons pas alors ouvrons quoi encore reste, qui devrait être quelque chose sur l'Internet.

J'espère que des aides.