Desktop
Website
Multimedia
Database
Security
Enterprise
Questione : lista di accesso sull'interruttore del centro per accesso limitato dell'ospite
im che ha una comprensione di problema come questa lista di accesso io si è applicata a 997 e a 999 vlan sta proibendo l'accesso alla mia rete corporativa dal
della rete dell'ospite (GuestWireless
, PhysicianAccess).
i hanno elencato i miei config correnti dal mio interruttore del centro. sto facendo funzionare 3 regolatori senza fili di lan del Cisco che sono collegati a questo interruttore via etherchannel. Posso tuttavia accedere alla mia rete dell'ospite dai miei altri vlans (che è benissimo). Realmente apprezzerei qualcuno che lo aiuta capisco come questo funziona. Ringraziamenti per la vostra configurazione di responses.
Current: 12597 bytes
! i timestamp del pad
service di servizio del
version 12.2
no mettono a punto la sequenza-numbers
di parola d'accesso-encryption
service di servizio del datetime
no del ceppo dei timestamp del uptime
service!
hostname BigBoy
!
! il nuovo-model
clock DHCP di dominio-lookup
ip del IP del routing
no di sottorete-zero
ip di percorso 1500
ip del MTU della misura ws-c3750g-12s
system della misura ws-c3750g-12s
switch 3 della misura ws-c3750g-12s
switch 2 del recurring
switch 1 di CST di estate di CST -6
clock di timezone del
no il aaa escludere-richiama il DHCP del
ip di 172.20.142.1 172.20.142.50 escludere-richiama il DHCP del
ip di 172.20.108.1 172.20.108.50 escludere-richiama il DHCP del
ip di 172.20.106.1 172.20.106.50 escludere-richiama il DHCP del
ip di 172.20.104.1 172.20.104.50 escludere-richiama il DHCP del
ip di 172.20.118.1 172.20.118.50 escludere-richiama il DHCP del
ip di 172.20.136.1 172.20.136.50 escludere-richiama il DHCP del
ip di 172.20.138.1 172.20.138.50 escludere-richiama il DHCP del
ip di 172.20.102.1 172.20.102.50 escludere-richiama il DHCP del
ip di 172.20.140.1 172.20.140.50 escludere-richiama il DHCP del
ip di 172.20.116.1 172.20.116.50 escludere-richiama il DHCP del
ip di 172.20.124.1 172.20.124.50 escludere-richiama il DHCP del
ip di 172.20.114.1 172.20.114.50 escludere-richiama il DHCP del
ip di 172.20.122.1 172.20.122.50 escludere-richiama il
di 172.21.0.1 172.21.253.255!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.142.1 del stabilizzare-router del
di 172.20.142.0 255.255.254.0 della rete dello stagno MAIN3rdFloor
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.108.1 del stabilizzare-router del
di 172.20.108.0 255.255.254.0 della rete dello stagno Nursing8th
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.106.1 del stabilizzare-router del
di 172.20.106.0 255.255.254.0 della rete dello stagno ICU6th
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.104.1 del stabilizzare-router del
di 172.20.104.0 255.255.254.0 della rete dello stagno Nursing4th
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.118.1 del stabilizzare-router del
di 172.20.118.0 255.255.254.0 della rete dello stagno Surgery3rd
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.136.1 del stabilizzare-router del
di 172.20.136.0 255.255.254.0 della rete dello stagno WCNorth3rd
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.138.1 del stabilizzare-router del
di 172.20.138.0 255.255.254.0 della rete dello stagno WCSouth3rd
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.102.1 del stabilizzare-router del
di 172.20.102.0 255.255.254.0 della rete dello stagno Lab2nd
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.140.1 del stabilizzare-router del
di 172.20.140.0 255.255.254.0 della rete dello stagno Radiology2nd
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.116.1 del stabilizzare-router del
di 172.20.116.0 255.255.254.0 della rete dello stagno RadiationOncalogy2nd
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.124.1 del stabilizzare-router del
di 172.20.124.0 255.255.254.0 della rete dello stagno Purchasing1st
di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.114.1 del stabilizzare-router del
di 172.20.114.0 255.255.254.0 della rete dello stagno Auditorium1st
di DHCP del
ip!
di 204.153.217.68 204.153.217.69 dell'dns-assistente del
di guest.net di Domain Name del
di 10.220.0.1 del stabilizzare-router del
di 10.220.0.0 255.255.255.0 della rete di GuestWireless
dello stagno di DHCP del
ip!
di butta.org di Domain Name del
di 172.20.45.121 172.20.45.122 dell'netbios-nome-assistente del
di 172.20.45.121 172.20.45.122 dell'dns-assistente del
di 172.21.1.1 del stabilizzare-router del
di 172.21.0.0 255.255.0.0 della rete di CORPDATA
dello stagno di DHCP del
ip!
di 172.20.45.122 172.20.45.121 dell'dns-assistente del
di butta.org di Domain Name del
di 172.20.122.1 del stabilizzare-router del
di 172.20.122.0 255.255.254.0 della rete dello stagno ProfessionalBuilding1
di DHCP del
ip!
di 10.220.10.1 del stabilizzare-router di Domain Name rmc-physician.local
del
di 204.153.217.68 204.153.217.69 dell'dns-assistente del
di 10.220.10.0 255.255.255.0 della rete di PhysiciansAccess
dello stagno di DHCP del
ip!
!
!
! la lima dello src-dst-ip
no dell'carico-equilibrio del
port-channel verifica il auto
! il modo/>spanning-tree veloce-pvst
spanning-tree estende il sistema-id
! ascending
di politica di ripartizione del
vlan! collegamento di descrizione del
interface Port-channel1
ad accesso 160
dello switchport di Core
del passaporto 8010 di Nortel! il collegamento di descrizione del
interface Port-channel2
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC #1
ha permesso il trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface Port-channel3
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC #2
ha permesso il trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface Port-channel4
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 3
ha permesso il trunk
di modo dello switchport di 160,997-999
! on
di modo del scanalatura-gruppo 1 di accesso 160
dello switchport del
interface GigabitEthernet1/0/1
! il collegamento di descrizione del
interface GigabitEthernet1/0/2
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC #1
ha permesso il on
di modo del scanalatura-gruppo 2 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet1/0/3
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 2
ha permesso il on
di modo del scanalatura-gruppo 3 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet1/0/4
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 3
ha permesso il on
di modo del scanalatura-gruppo 4 del trunk
di modo dello switchport di 160,997-999
!
interface GigabitEthernet1/0/5
!il collegamento di descrizione del
interface GigabitEthernet1/0/6
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC #1
ha permesso il on
di modo del scanalatura-gruppo 2 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet1/0/7
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 2
ha permesso il on
di modo del scanalatura-gruppo 3 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet1/0/8
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 3
ha permesso il on
di modo del scanalatura-gruppo 4 del trunk
di modo dello switchport di 160,997-999
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!on
di modo del scanalatura-gruppo 1 di accesso 160
dello switchport del
interface GigabitEthernet1/0/12
! on
di modo del scanalatura-gruppo 1 di accesso 160
dello switchport del
interface GigabitEthernet2/0/1
! il collegamento di descrizione del
interface GigabitEthernet2/0/2
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC #1
ha permesso il on
di modo del scanalatura-gruppo 2 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet2/0/3
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 2
ha permesso il on
di modo del scanalatura-gruppo 3 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet2/0/4
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 3
ha permesso il on
di modo del scanalatura-gruppo 4 del trunk
di modo dello switchport di 160,997-999
!
interface GigabitEthernet2/0/5
!il collegamento di descrizione del
interface GigabitEthernet2/0/6
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC #1
ha permesso il on
di modo del scanalatura-gruppo 2 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet2/0/7
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 2
ha permesso il on
di modo del scanalatura-gruppo 3 del trunk
di modo dello switchport di 160,997-999
! il collegamento di descrizione del
interface GigabitEthernet2/0/8
al tronco dello switchport di incapsulamento dot1q
del tronco dello switchport di WLC# 3
ha permesso il on
di modo del scanalatura-gruppo 4 del trunk
di modo dello switchport di 160,997-999
!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!on
di modo del scanalatura-gruppo 1 di accesso 160
dello switchport del
interface GigabitEthernet2/0/12
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/1
ha permesso il trunk
di modo dello switchport di 104,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/2
ha permesso il trunk
di modo dello switchport di 106,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/3
ha permesso il trunk
di modo dello switchport di 108,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/4
ha permesso il trunk
di modo dello switchport di 114,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/5
ha permesso il trunk
di modo dello switchport di 124,160
! il tronco vlan natale dello switchport di Plaza
di descrizione del
interface GigabitEthernet3/0/6
dello switchport del tronco di incapsulamento dot1q
del tronco professionale 160
dello switchport ha permesso il trunk
di modo dello switchport di 122,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/7
ha permesso il trunk
di modo dello switchport di 140,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/8
ha permesso il trunk
di modo dello switchport di 102,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/9
ha permesso il trunk
di modo dello switchport di 138,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/10
ha permesso il trunk
di modo dello switchport di 136,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/11
ha permesso il trunk
di modo dello switchport di 118,160
! il tronco vlan natale dello switchport del tronco 160
dello switchport di incapsulamento dot1q
del tronco dello switchport del
interface GigabitEthernet3/0/12
ha permesso il trunk
di modo dello switchport di 142,160
!
interface Vlan1
nessuno shutdown
del
di IP address!
di 172.20.102.1 255.255.254.0 di IP address del secondary
di 172.10.102.1 255.255.254.0 di IP address del
interface Vlan102
!
di 172.20.104.1 255.255.254.0 di IP address del secondary
di 172.10.104.1 255.255.254.0 di IP address del
interface Vlan104
!
di 172.20.106.1 255.255.254.0 di IP address del secondary
di 172.10.106.1 255.255.254.0 di IP address del
interface Vlan106
!
di 172.20.108.1 255.255.254.0 di IP address del secondary
di 172.10.108.1 255.255.254.0 di IP address del
interface Vlan108
!
di 172.20.114.1 255.255.254.0 di IP address del
interface Vlan114
!
di 172.20.118.1 255.255.254.0 di IP address del secondary
di 172.10.118.1 255.255.254.0 di IP address del
interface Vlan118
!
di 172.20.122.1 255.255.254.0 di IP address del secondary
di 172.10.122.1 255.255.254.0 di IP address del
interface Vlan122
!
di 172.20.124.1 255.255.254.0 di IP address del secondary
di 172.10.124.1 255.255.254.0 di IP address del
interface Vlan124
!
di 172.20.136.1 255.255.254.0 di IP address del secondary
di 172.10.136.1 255.255.254.0 di IP address del
interface Vlan136
!
di 172.20.138.1 255.255.254.0 di IP address del secondary
di 172.10.138.1 255.255.254.0 di IP address del
interface Vlan138
!
di 172.20.140.1 255.255.254.0 di IP address del secondary
di 172.10.140.1 255.255.254.0 di IP address del
interface Vlan140
!
di 172.20.142.1 255.255.254.0 di IP address del
interface Vlan142
!
di 172.20.160.2 255.255.254.0 di IP address del
interface Vlan160
!
di 10.220.10.1 255.255.255.0 di IP address del
interface Vlan997
!
di 172.21.1.1 255.255.0.0 di IP address del
interface Vlan998
! in
di GuestWireless del accesso-gruppo del IP del
di 10.220.0.1 255.255.255.0 di IP address del
interface Vlan999
! server
del HTTP del
ip di 0.0.0.0 0.0.0.0 172.20.160.1 dell'itinerario del classless
ip del
ip! il
ip GuestWireless
nega il UDP che tutto il domain
del eq di 10.0.0.0 0.255.255.255 rifiutare a UDP qualunque domain
del eq di 172.16.0.0 0.15.255.255 rifiutare a UDP a tutto il UDP del permesso del domain
del eq di 192.168.0.0 0.0.255.255 qualunque tutto il UDP del permesso del domain
del eq qualunque tutto il UDP del permesso del bootpc
del eq qualunque ospite il bootps
del eq di 10.220.0.1 nega il IP tutto il
di 10.0.0.0 0.255.255.255 rifiutare a IP qualunque
di 192.168.0.0 0.0.255.255 rifiutare a IP a tutto il IP del permesso del
di 172.16.0.0 0.15.255.255 qualunque any
ip Physicians
rifiutare a UDP tutto il domain
del eq di 10.0.0.0 0.255.255.255 rifiutare a UDP qualunque domain
del eq di 172.16.0.0 0.15.255.255 rifiutare a UDP a tutto il UDP del permesso del domain
del eq di 192.168.0.0 0.0.255.255 qualunque tutto il UDP del permesso del domain
del eq qualunque tutto il bootpc
del eq il UDP del permesso tutto il bootps
del eq di 10.220.10.1 ospite nega il IP che qualunque
di 10.0.0.0 0.255.255.255 rifiutare a IP tutto il
di 192.168.0.0 0.0.255.255 rifiutare a IP a qualunque IP del permesso del
di 172.16.0.0 0.15.255.255 tutto il any
!
del
tftp-server 172.20.23.110!
control-plane
!
! synchronous
del
di parola d'accesso dello synchronous
line i 0 4
di imbroglione 0
del
line entrano il login
del
di parola d'accesso del local
line 6 15
di inizio attività del
di parola d'accesso di lunghezza 0
line 5
del local
! prefer
end
di chiave 0 di 172.20.44.18 dell'assistente del
ntp class= del
Risposta : lista di accesso sull'interruttore del centro per accesso limitato dell'ospite
L'approvazione così qui va. In primo luogo di tutti non ci è acl che è applicato su 997 vlan in modo da mi occuperò soltanto di 999
interfaccia Vlan999
IP address 10.220.0.1 255.255.255.0
accesso-gruppo GuestWireless del IP dentro
!
accesso-lista GuestWireless esteso del IP
rifiutare a UDP tutto il dominio del eq di 10.0.0.0 0.255.255.255
rifiutare a UDP tutto il dominio del eq di 172.16.0.0 0.15.255.255
rifiutare a UDP tutto il dominio del eq di 192.168.0.0 0.0.255.255
consentire il UDP tutto il qualunque dominio del eq
consentire il UDP tutto il qualunque bootpc del eq
consentire il UDP tutti i bootps del eq di 10.220.0.1 ospite
rifiutare a IP tutto il 10.0.0.0 0.255.255.255
rifiutare a IP tutto il 192.168.0.0 0.0.255.255
rifiutare a IP tutto il 172.16.0.0 0.15.255.255
consentire il IP qualsiasi affatto
così i principi fondamentali di ogni ordine sono permesso/negano ed i uni o i altri tcp/udp/ip allora il IP address/rete di fonte seguita dal IP address della destinazione/rete ed allora possibilmente dallo specific tcp/orificio del UDP.
così se esaminiamo la prima linea:
rifiutare a UDP tutto il dominio del eq di 10.0.0.0 0.255.255.255
Negheremo tutto il IP address di fonte che è destinato alla rete 10.x.x.x using l'orificio 53 (occhiate del UDP di dns)
Inoltre dovete tenere presente come la accesso-lista è applicata. in o fuori. il vostro acl è in arrivo applicato, significando l'intestazione di traffico nell'interfaccia 999 vlan. Così questo sarebbe traffico che è stato generato su quell'intestazione vlan nello strato 999 vlan per uscire in qualche luogo altrimenti…
Così la vostra seconda linea fa la stessa cosa, a meno che blocchi qualche cosa dall'ottenere alle reti 172.16.x.x e la terza linea la stessa cosa tranne i blocchi le reti 192.168.x.x. Allora dopo che lo abbiamo lasciato fare le domande di dns a qualche cosa.
L'ordine del acl è importante. La prima linea che abbiniamo è i provvedimenti prenderemo. Così in primo luogo ostruiamo il traffico dal fare le domande di dns alla nostra rete interna allora che permettiamo tutto il altro dns interroghiamo per funzionare così questo siamo più probabili di assistente di dns di external sul Internet.
Allora permettiamo il BOOTP che sta permettendo basicamente che il DHCP funzionasse.
Allora ostruiamo tutto il traffico che entra all'interfaccia di strato 3 di 999 vlan dal raggiungimento delle stesse 3 reti che sono state ostruite precedentemente su qualche cosa using il IP.
Allora permettiamo che ottenga a tutto altro.
Il flusso è così fondamentale blocco che cosa allora non vogliamo ci apriamo che altro rimane, che dovrebbe essere qualche cosa sul Internet.
Spero che aiuti.
Altre soluzioni
Sysprepping Windows 7 pc
Ciclaggio complesso di domanda di Coldfusion
SPContext.Current sta restituendo la posizione di segnale minimo nell'alimentatore di evento “di SPItemEventReceiver„.
IL CSS che IL MIME errato scriv dentro Firefox a macchina su Apache, il testo/css .css di AddType è là
MAcbook pro rifiuta di collegarsi via Ethernet ma impianti via il wifi
Cliente del Java applet - Eccezione di sicurezza
Mostrare tutte le annotazioni nella domanda se niente selezionato in Listbox - la parte II
Mouseover su div.a cambia la disposizione di div.b (CSS puro)
Azionamento duro PowerEdge guast 1850 di incursione 1
asp - La risorsa non ha potuto essere trovata