Vraag : toegangs lijst op kernschakelaar voor beperkte gasttoegang

im hebbend een probleem begrijpen die hoe deze toegangslijst die ik op vlan 997 geweest an en 999 toegang tot mijn collectief netwerk van het gastnetwerk belemmeren (GuestWireless
, PhysicianAccess).
i hebben van mijn het lopen config van mijn kernschakelaar een lijst gemaakt. ik stel 3 cisco draadloze lan controlemechanismen in werking die aan deze schakelaar via etherchannel worden aangesloten. Ik kan nochtans tot mijn gastnetwerk van mijn andere vlans (dat fijn is) toegang hebben. Ik zou werkelijk iemand waarderen die me helpen begrijpen hoe dit werk. Dank voor uw configuratie responses.




Current: 12597 bytes
!
version 12.2
no de dienst pad
service zuiveren uptime
service het wachtwoord -wachtwoord-encryption
service van de logboek datetime
no dienst opeenvolging-numbers!
hostname BigBoy
!
! />no aaa
clock- timezoneCST -6
clock-zomerCST recurring
switch die 1 voorziening ws-c3750g-12s
switch 2 voorziening ws-c3750g-12s
switch 3 voorzienings ws-c3750g-12s
system 1500
ip subnet -subnet-zero
ip routing
no ip het uit:sluiten-adres172.20.142.1 172.20.142.50
ip DHCP/>ip 172.20.108.1 172.20.108.50
ip 172.20.106.1 172.20.106.50
ip 172.20.104.1 172.20.104.50
ip 172.20.118.1 172.20.118.50
ip 172.20.136.1 172.20.136.50
ip 172.20.138.1 172.20.138.50
ip 172.20.102.1 172.20.102.50
ip 172.20.140.1 172.20.140.50
ip 172.20.116.1 172.20.116.50
ip 172.20.124.1 172.20.124.50
ip 172.20.114.1 172.20.114.50
ip 172.20.122.1 172.20.122.50
ip DHCP uit:sluiten-adres 172.21.0.1 172.21.253.255
verpletteren!
ip het netwerk172.20.142.0 255.255.254.0
/> gebrek-router 172.20.142.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.108.0 255.255.254.0
/> gebrek-router 172.20.108.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.106.0 255.255.254.0
/> gebrek-router 172.20.106.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.104.0 255.255.254.0
/> gebrek-router 172.20.104.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.118.0 255.255.254.0
/> gebrek-router 172.20.118.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.136.0 255.255.254.0
/> gebrek-router 172.20.136.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.138.0 255.255.254.0
/> gebrek-router 172.20.138.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.102.0 255.255.254.0
/> gebrek-router 172.20.102.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.140.0 255.255.254.0
/> gebrek-router 172.20.140.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.116.0 255.255.254.0
/> gebrek-router 172.20.116.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.124.0 255.255.254.0
/> gebrek-router 172.20.124.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk172.20.114.0 255.255.254.0
/> gebrek-router 172.20.114.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk10.220.0.0 255.255.255.0
/> gebrek-router 10.220.0.1
domein-naam guest.net
dns-server 204.153.217.68 204.153.217.69
!
ip het netwerk172.21.0.0 255.255.0.0
/> gebrek-router 172.21.1.1
dns-server 172.20.45.121 172.20.45.122
netbios-naam-server 172.20.45.121 172.20.45.122
domein-naam butta.org
!
ip het netwerk172.20.122.0 255.255.254.0
/> gebrek-router 172.20.122.1
domein-naam butta.org
dns-server 172.20.45.122 172.20.45.121
!
ip het netwerk10.220.10.0 255.255.255.0
/> dns-server 204.153.217.68 204.153.217.69
domein-naam rmc-physician.local
gebrek-router 10.220.10.1
!
!
!
!        
port-channel lading--saldo src-dst-ip
no het dossier auto
!
spanning-tree de wijze snelle -snel-pvst
spanning-tree breidt systeem-id
uit!
vlan intern toewijzingsbeleid ascending
!
interface haven-Channel1
beschrijvingsVerbinding aan Nortel Paspoort 8010 Core
switchport toegang vlan 160
!
interface haven-Channel2
de beschrijvingsVerbinding aan WLC #1
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
toe!
interface haven-Channel3
de beschrijvingsVerbinding aan WLC #2
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
toe!
interface haven-Channel4
de beschrijvingsVerbinding aan WLC# 3
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
toe!
interface GigabitEthernet1/0/1
switchport toegangs vlan 160
kanaal-groep 1 wijze on
!
interface GigabitEthernet1/0/2
de beschrijvingsVerbinding aan WLC #1
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 2 wijze on
toe!
interface GigabitEthernet1/0/3
de beschrijvingsVerbinding aan WLC# 2
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 3 wijze on
toe!        
interface GigabitEthernet1/0/4
de beschrijvingsVerbinding aan WLC# 3
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 4 wijze on
toe!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
de beschrijvingsVerbinding aan WLC #1
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 2 wijze on
toe!
interface GigabitEthernet1/0/7
de beschrijvingsVerbinding aan WLC# 2
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 3 wijze on
toe!
interface GigabitEthernet1/0/8
de beschrijvingsVerbinding aan WLC# 3
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 4 wijze on
toe!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
switchport toegangs vlan 160
kanaal-groep 1 wijze on
!
interface GigabitEthernet2/0/1
switchport toegangs vlan 160
kanaal-groep 1 wijze on
!
interface GigabitEthernet2/0/2
de beschrijvingsVerbinding aan WLC #1
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 2 wijze on
toe!
interface GigabitEthernet2/0/3
de beschrijvingsVerbinding aan WLC# 2
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 3 wijze on
toe!
interface GigabitEthernet2/0/4
de beschrijvingsVerbinding aan WLC# 3
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 4 wijze on
toe!
interface GigabitEthernet2/0/5
!
interface GigabitEthernet2/0/6
de beschrijvingsVerbinding aan WLC #1
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 2 wijze on
toe!
interface GigabitEthernet2/0/7
de beschrijvingsVerbinding aan WLC# 2
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 3 wijze on
toe!
interface GigabitEthernet2/0/8
de beschrijvingsVerbinding aan WLC# 3
switchport de boomstam van de boomstaminkapseling dot1q
switchport stond vlan 160,997-999
switchport wijze trunk
kanaal-groep 4 wijze on
toe!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!
interface GigabitEthernet2/0/12
switchport toegangs vlan 160
kanaal-groep 1 wijze on
!
interface GigabitEthernet3/0/1
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 104,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/2
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 106,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/3
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 108,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/4
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 114,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/5
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 124,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/6
van de de inkapselingsdot1q
switchport boomstam van de beschrijvings stond de Professionele/> switchport boomstam Plaza
switchport boomstam 160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/7
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 140,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/8
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 102,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/9
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 138,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/10
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 136,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/11
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 118,160
switchport wijze trunk
toe!
interface GigabitEthernet3/0/12
switchport stond de de boomstam inheemse vlan/> switchport boomstam 160
switchport vlan 142,160
switchport wijze trunk
toe!
interface Vlan1
geen ip address
shutdown
! 172.10.102.1 255.255.254.0 secondary
ip van het
interface Vlan102
ip adres adres 172.20.102.1 255.255.254.0
! 172.10.104.1 255.255.254.0 secondary
ip van het
interface Vlan104
ip adres adres 172.20.104.1 255.255.254.0
! 172.10.106.1 255.255.254.0 secondary
ip van het
interface Vlan106
ip adres adres 172.20.106.1 255.255.254.0
! 172.10.108.1 255.255.254.0 secondary
ip van het
interface Vlan108
ip adres adres 172.20.108.1 255.255.254.0
!
interface Vlan114
ip adres 172.20.114.1 255.255.254.0
! 172.10.118.1 255.255.254.0 secondary
ip van het
interface Vlan118
ip adres adres 172.20.118.1 255.255.254.0
! 172.10.122.1 255.255.254.0 secondary
ip van het
interface Vlan122
ip adres adres 172.20.122.1 255.255.254.0
! 172.10.124.1 255.255.254.0 secondary
ip van het
interface Vlan124
ip adres adres 172.20.124.1 255.255.254.0
! 172.10.136.1 255.255.254.0 secondary
ip van het
interface Vlan136
ip adres adres 172.20.136.1 255.255.254.0
! 172.10.138.1 255.255.254.0 secondary
ip van het
interface Vlan138
ip adres adres 172.20.138.1 255.255.254.0
! 172.10.140.1 255.255.254.0 secondary
ip van het
interface Vlan140
ip adres adres 172.20.140.1 255.255.254.0
!
interface Vlan142
ip adres 172.20.142.1 255.255.254.0
!
interface Vlan160
ip adres 172.20.160.2 255.255.254.0
!
interface Vlan997
ip adres 10.220.10.1 255.255.255.0
!
interface Vlan998
ip adres 172.21.1.1 255.255.0.0
! 10.220.0.1 255.255.255.0
ip van het
interface Vlan999
ip adres toegang-groep GuestWireless in
!
ip classless
ip route0.0.0.0 0.0.0.0 172.20.160.1
ip HTTP server
!
ip toegang-lijst uitgebreide GuestWireless
ontkent udp om het even welk 10.0.0.0 0.255.255.255 eq domain
ontkent udp om het even welk 172.16.0.0 0.15.255.255 eq domain
ontkent udp om het even welke 192.168.0.0 0.0.255.255 eq domain
vergunning udp om het even welke om het even welke eq domain
vergunning udp om het even welke om het even welke eq bootpc
vergunning udp om het even welke gastheer 10.220.0.1 eq bootps
ontkent ip om het even welk 10.0.0.0 0.255.255.255
ontkent ip om het even welk 192.168.0.0 0.0.255.255
ontkent ip om het even welke 172.16.0.0 0.15.255.255
vergunning ip om het even welke any
ip toegang-lijst uitgebreide Physicians
ontkent udp om het even welk 10.0.0.0 0.255.255.255 eq domain
ontkent udp om het even welk 172.16.0.0 0.15.255.255 eq domain
udp om het even welke 192.168.0.0 0.0.255.255 eq domain
vergunning udp om het even welke om het even welke eq domain
vergunning udp om het even welke om het even welke eq bootpc
ontzegt de vergunning udp om het even welke gastheer 10.220.10.1 eq bootps
ontkent ip om het even welk 10.0.0.0 0.255.255.255
ip ontzeg om het even welk 192.168.0.0 0.0.255.255
ip om het even welke 172.16.0.0 0.15.255.255
vergunning ip om het even welke any
ontzeg!
tftp-server 172.20.23.110
!
control-plane
!
! />line
het registreren synchronous
login van het registreren synchronous
line vty 0 4
wachtwoord
local
het wachtwoord
login van lengte0
line vty 5
local
line vty 6 15
wachtwoord
login
!
ntp server172.20.44.18 sleutel 0 prefer
end

Antwoord : toegangs lijst op kernschakelaar voor beperkte gasttoegang

O.k. gaat zo hier.  Eerst en vooral zijn er geen acl die op vlan 997 wordt toegepast zodat zal ik slechts 999 behandelen

interface Vlan999
 ip adres 10.220.0.1 255.255.255.0
 ip toegang-groep GuestWireless binnen
!

ip toegang-lijst uitgebreide GuestWireless
 ontken udp om het even welk 10.0.0.0 0.255.255.255 eq domein
 ontken udp om het even welk 172.16.0.0 0.15.255.255 eq domein
 ontken udp om het even welk 192.168.0.0 0.0.255.255 eq domein
 laat udp om het even welk om het even welk eqdomein toe
 laat udp om het even welke om het even welke eq toe bootpc
 laat udp om het even welke gastheer 10.220.0.1 eq toe bootps
 ontzeg ip om het even welk 10.0.0.0 0.255.255.255
 ontzeg ip om het even welk 192.168.0.0 0.0.255.255
 ontzeg ip om het even welk 172.16.0.0 0.15.255.255
 laat ip om het even welke om het even welk toe

zo zijn de grondbeginselen van elk bevel vergunning/ontkennen en één van beide TCP/udp/ip toen het brondieip adres/netwerk door het bestemmingsip adres wordt gevolgd/netwerk en toen misschien specifieke TCP/udp de haven.

zo als wij de eerste lijn bekijken:
 ontken udp om het even welk 10.0.0.0 0.255.255.255 eq domein

Wij zullen om het even welk bronip adres ontkennen dat voor het netwerk 10.x.x.x die udp haven 53 (dns raadplegingen) bestemd is gebruikt

U moet ook in mening houden hoe de toegang-lijst. wordt toegepast. in of uit.  uw acl wordt naderend toegepast, betekenend verkeersrubriek in interface vlan 999.  Zo zou dit verkeer zijn dat op die vlan rubriek in laag vlan 999 werd geproduceerd weg te gaan ergens anders…

Dat doet uw tweede lijn het zelfde ding, behalve blokken om het even wat van het krijgen aan de netwerken 172.16.x.x en de 3de lijn het zelfde ding behalve blokken de netwerken 192.168.x.x.  Dan na dat laten wij u dns vragen aan om het even wat doen.

De orde van acl is belangrijk.  De eerste lijn die wij is de actie hebben aangepast die wij zal voeren.  Zo blokkeren wij eerst verkeer van het doen van dns vragen aan ons intern netwerk dan wij toestaan alle andere dns vragen om dit zo te werken aan een externe dns server op Internet most likely is.

Dan staan wij bootp toe wat fundamenteel toestaand DHCP om is te functioneren.

Dan blokkeren wij om het even welk verkeer dat binnen aan laag 3 interface van vlan 999 uit het bereiken van de zelfde 3 netwerken komt die eerder op om het even wat gebruikend IP werden geblokkeerd.

Dan staan wij het toe om aan al het andere te krijgen.

Zo fundamenteel is de stroom blok geen wat wij dan willen openstellen welke anders overblijfselen, die zouden moeten zijn om het even wat op Internet.

Ik hoop dat hulp.
Andere oplossingen  
 
programming4us programming4us