Desktop
Website
Multimedia
Database
Security
Enterprise
Pytanie : dojazdowy lista na sedno zmiana dla ograniczony gość dostęp
im problemowy zrozumienie jak ten dojazdowy lista i stosować vlan 997 i 999 zabraniać dostęp mój sieć korporacyjna od the gość sieć
(GuestWireless
, PhysicianAccess).
i spisywać mój działający config od mój sedno zmiana. i biegać 3 cisco bezprzewodowy lan kontroler który łączyć ten zmiana przez etherchannel. I móc mój gość sieć od mój inny vlans (che być świetnie). I naprawdę doceniać rozumieć jak pracować. Dzięki dla twój responses.
Current konfiguracja: 12597 bytes
!
version 12.2
no usługowy pad
service timestamps debug uptime
service timestamps bela datetime
no usługowy hasło-encryption
service uporządkowywać-numbers
!
hostname BigBoy
!
!
no aaa nowy-model
clock timezone CST -6
clock summer-time CST recurring
switch (1) aprowizacyjny ws-c3750g-12s
switch 2 aprowizacyjny ws-c3750g-12s
switch 3 aprowizacyjny ws-c3750g-12s
system mtu numer banku 1500
ip subnet-zero
ip routing
no ip domena-lookup
ip dhcp wykluczać-adresować 172.20.142.1 172.20.142.50
ip dhcp wykluczać-adresować 172.20.108.1 172.20.108.50
ip dhcp wykluczać-adresować 172.20.106.1 172.20.106.50
ip dhcp wykluczać-adresować 172.20.104.1 172.20.104.50
ip dhcp wykluczać-adresować 172.20.118.1 172.20.118.50
ip dhcp wykluczać-adresować 172.20.136.1 172.20.136.50
ip dhcp wykluczać-adresować 172.20.138.1 172.20.138.50
ip dhcp wykluczać-adresować 172.20.102.1 172.20.102.50
ip dhcp wykluczać-adresować 172.20.140.1 172.20.140.50
ip dhcp wykluczać-adresować 172.20.116.1 172.20.116.50
ip dhcp wykluczać-adresować 172.20.124.1 172.20.124.50
ip dhcp wykluczać-adresować 172.20.114.1 172.20.114.50
ip dhcp wykluczać-adresować 172.20.122.1 172.20.122.50
ip dhcp wykluczać-adresować 172.21.0.1 172.21.253.255
!
ip dhcp basen MAIN3rdFloor
sieć 172.20.142.0 255.255.254.0
default-router 172.20.142.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen Nursing8th
sieć 172.20.108.0 255.255.254.0
default-router 172.20.108.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen ICU6th
sieć 172.20.106.0 255.255.254.0
default-router 172.20.106.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen Nursing4th
sieć 172.20.104.0 255.255.254.0
default-router 172.20.104.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen Surgery3rd
sieć 172.20.118.0 255.255.254.0
default-router 172.20.118.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen WCNorth3rd
sieć 172.20.136.0 255.255.254.0
default-router 172.20.136.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen WCSouth3rd
sieć 172.20.138.0 255.255.254.0
default-router 172.20.138.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen Lab2nd
sieć 172.20.102.0 255.255.254.0
default-router 172.20.102.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen Radiology2nd
sieć 172.20.140.0 255.255.254.0
default-router 172.20.140.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen RadiationOncalogy2nd
sieć 172.20.116.0 255.255.254.0
default-router 172.20.116.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen Purchasing1st
sieć 172.20.124.0 255.255.254.0
default-router 172.20.124.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen Auditorium1st
sieć 172.20.114.0 255.255.254.0
default-router 172.20.114.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen GuestWireless
sieć 10.220.0.0 255.255.255.0
default-router 10.220.0.1
domain-name guest.net
dns-serwer 204.153.217.68 204.153.217.69
!
ip dhcp basen CORPDATA
sieć 172.21.0.0 255.255.0.0
default-router 172.21.1.1
dns-serwer 172.20.45.121 172.20.45.122
netbios-wymieniać-serwer 172.20.45.121 172.20.45.122
domain-name butta.org
!
ip dhcp basen ProfessionalBuilding1
sieć 172.20.122.0 255.255.254.0
default-router 172.20.122.1
domain-name butta.org
dns-serwer 172.20.45.122 172.20.45.121
!
ip dhcp basen PhysiciansAccess
sieć 10.220.10.0 255.255.255.0
dns-serwer 204.153.217.68 204.153.217.69
domain-name rmc-physician.local
default-router 10.220.10.1
!
!
!
!
port-channel ładować-balansować src-dst-ip
no kartoteka weryfikować auto
!
spanning-tree tryb gwałtowny-pvst
spanning-tree przedłużyć system-id
!
vlan wewnętrzny przydział polisa ascending
!
interface Port-channel1
opis Związek Nortel Paszport 8010 Core
switchport dostęp vlan 160
!
interface Port-channel2
opis Związek WLC #1
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
!
interface Port-channel3
opis Związek WLC #2
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
!
interface Port-channel4
opis Związek WLC# 3
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
!
interface GigabitEthernet1/0/1
switchport dostęp vlan 160
skierowywać-grupować (1) tryb on
!
interface GigabitEthernet1/0/2
opis Związek WLC #1
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 2 tryb on
!
interface GigabitEthernet1/0/3
opis Związek WLC# 2
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 3 tryb on
!
interface GigabitEthernet1/0/4
opis Związek WLC# 3
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 4 tryb on
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
opis Związek WLC #1
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 2 tryb on
!
interface GigabitEthernet1/0/7
opis Związek WLC# 2
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 3 tryb on
!
interface GigabitEthernet1/0/8
opis Związek WLC# 3
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 4 tryb on
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
switchport dostęp vlan 160
skierowywać-grupować (1) tryb on
!
interface GigabitEthernet2/0/1
switchport dostęp vlan 160
skierowywać-grupować (1) tryb on
!
interface GigabitEthernet2/0/2
opis Związek WLC #1
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 2 tryb on
!
interface GigabitEthernet2/0/3
opis Związek WLC# 2
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 3 tryb on
!
interface GigabitEthernet2/0/4
opis Związek WLC# 3
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 4 tryb on
!
interface GigabitEthernet2/0/5
!
interface GigabitEthernet2/0/6
opis Związek WLC #1
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 2 tryb on
!
interface GigabitEthernet2/0/7
opis Związek WLC# 2
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 3 tryb on
!
interface GigabitEthernet2/0/8
opis Związek WLC# 3
switchport bagażnik obudowa dot1q
switchport bagażnik pozwolić vlan 160,997-999
switchport tryb trunk
skierowywać-grupować 4 tryb on
!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!
interface GigabitEthernet2/0/12
switchport dostęp vlan 160
skierowywać-grupować (1) tryb on
!
interface GigabitEthernet3/0/1
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 104,160
switchport tryb trunk
!
interface GigabitEthernet3/0/2
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 106,160
switchport tryb trunk
!
interface GigabitEthernet3/0/3
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 108,160
switchport tryb trunk
!
interface GigabitEthernet3/0/4
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 114,160
switchport tryb trunk
!
interface GigabitEthernet3/0/5
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 124,160
switchport tryb trunk
!
interface GigabitEthernet3/0/6
opis Fachowy Plaza
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 122,160
switchport tryb trunk
!
interface GigabitEthernet3/0/7
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 140,160
switchport tryb trunk
!
interface GigabitEthernet3/0/8
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 102,160
switchport tryb trunk
!
interface GigabitEthernet3/0/9
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 138,160
switchport tryb trunk
!
interface GigabitEthernet3/0/10
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 136,160
switchport tryb trunk
!
interface GigabitEthernet3/0/11
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 118,160
switchport tryb trunk
!
interface GigabitEthernet3/0/12
switchport bagażnik obudowa dot1q
switchport bagażnik rodzimy vlan 160
switchport bagażnik pozwolić vlan 142,160
switchport tryb trunk
!
interface Vlan1
żadny ip address
shutdown
!
interface Vlan102
adres IP 172.10.102.1 255.255.254.0 secondary
adres IP 172.20.102.1 255.255.254.0
!
interface Vlan104
adres IP 172.10.104.1 255.255.254.0 secondary
adres IP 172.20.104.1 255.255.254.0
!
interface Vlan106
adres IP 172.10.106.1 255.255.254.0 secondary
adres IP 172.20.106.1 255.255.254.0
!
interface Vlan108
adres IP 172.10.108.1 255.255.254.0 secondary
adres IP 172.20.108.1 255.255.254.0
!
interface Vlan114
adres IP 172.20.114.1 255.255.254.0
!
interface Vlan118
adres IP 172.10.118.1 255.255.254.0 secondary
adres IP 172.20.118.1 255.255.254.0
!
interface Vlan122
adres IP 172.10.122.1 255.255.254.0 secondary
adres IP 172.20.122.1 255.255.254.0
!
interface Vlan124
adres IP 172.10.124.1 255.255.254.0 secondary
adres IP 172.20.124.1 255.255.254.0
!
interface Vlan136
adres IP 172.10.136.1 255.255.254.0 secondary
adres IP 172.20.136.1 255.255.254.0
!
interface Vlan138
adres IP 172.10.138.1 255.255.254.0 secondary
adres IP 172.20.138.1 255.255.254.0
!
interface Vlan140
adres IP 172.10.140.1 255.255.254.0 secondary
adres IP 172.20.140.1 255.255.254.0
!
interface Vlan142
adres IP 172.20.142.1 255.255.254.0
!
interface Vlan160
adres IP 172.20.160.2 255.255.254.0
!
interface Vlan997
adres IP 10.220.10.1 255.255.255.0
!
interface Vlan998
adres IP 172.21.1.1 255.255.0.0
!
interface Vlan999
adres IP 10.220.0.1 255.255.255.0
ip przystępować-grupować GuestWireless in
!
ip classless
ip trasa 0.0.0.0 0.0.0.0 172.20.160.1
ip http server
!
ip przystępować-spisywać rozszerzony GuestWireless
zaprzeczać udp jakaś 10.0.0.0 0.255.255.255 eq domain
zaprzeczać udp jakaś 172.16.0.0 0.15.255.255 eq domain
zaprzeczać udp jakaś 192.168.0.0 0.0.255.255 eq domain
pozwolenie udp jakaś jakaś eq domain
pozwolenie udp jakaś jakaś eq bootpc
pozwolenie udp jakaś gospodarz 10.220.0.1 eq bootps
zaprzeczać ip jakaś 10.0.0.0 0.255.255.255
zaprzeczać ip jakaś 192.168.0.0 0.0.255.255
zaprzeczać ip jakaś 172.16.0.0 0.15.255.255
pozwolenie ip jakaś any
ip przystępować-spisywać rozszerzony Physicians
zaprzeczać udp jakaś 10.0.0.0 0.255.255.255 eq domain
zaprzeczać udp jakaś 172.16.0.0 0.15.255.255 eq domain
zaprzeczać udp jakaś 192.168.0.0 0.0.255.255 eq domain
pozwolenie udp jakaś jakaś eq domain
pozwolenie udp jakaś jakaś eq bootpc
pozwolenie udp/> gościć 10.220.10.1 eq bootps
zaprzeczać ip jakaś 10.0.0.0 0.255.255.255
zaprzeczać ip jakaś 192.168.0.0 0.0.255.255
zaprzeczać ip jakaś 172.16.0.0 0.15.255.255
pozwolenie ip jakaś any
!
tftp-server 172.20.23.110
!
control-plane
!
!
line przeciw 0
wyróbka synchronous
line vty (0) 4
hasło
wyróbka synchronous
nazwa użytkownika local
długość 0
line vty 5
hasło
nazwa użytkownika local
line vty 6 15
hasło
login
!
ntp serwer 172.20.44.18 klucz (0) prefer
end
Odpowiedź : dojazdowy lista na sedno zmiana dla ograniczony gość dostęp
Ok w ten sposób tutaj iść. Najpierw wszystko tam być żadny acl żadny na vlan 997 więc I rozdawać tylko z 999
interfejs Vlan999
adres IP 10.220.0.1 255.255.255.0
ip przystępować-grupować GuestWireless wewnątrz
!
ip przystępować-spisywać rozszerzony GuestWireless
zaprzeczać udp jakaś 10.0.0.0 0.255.255.255 eq domena
zaprzeczać udp jakaś 172.16.0.0 0.15.255.255 eq domena
zaprzeczać udp jakaś 192.168.0.0 0.0.255.255 eq domena
pozwalać udp jakaś jakaś eq domena
pozwalać udp jakaś jakaś eq bootpc
pozwalać udp jakaś gospodarz 10.220.0.1 eq bootps
zaprzeczać ip jakaś 10.0.0.0 0.255.255.255
zaprzeczać ip jakaś 192.168.0.0 0.0.255.255
zaprzeczać ip jakaś 172.16.0.0 0.15.255.255
pozwalać ip jakaś wcale
w ten sposób the podstawy w ten sposób rozkaz być pozwolenie/zaprzeczać i lub tcp/udp/ip wtedy the źródło adres IP/sieć podążać the miejsce przeznaczenia adres IP/sieć i wtedy możliwie the specyfik tcp/udp port.
w ten sposób jeżeli my patrzeć the pierwszy linia:
zaprzeczać udp jakaś 10.0.0.0 0.255.255.255 eq domena
My zaprzeczać jakaś źródło adres IP który przeznaczać dla the 10.x.x.x sieć using udp port 53 (dns zwyżkować)
Ty także potrzebować w umysł jak the przystępować-spisywać być także. w lub out. twój acl być twój przylatujący, znaczyć ruch drogowy kłoszenie w the interfejs vlan 999. W Ten Sposób to być ruch drogowy który wytwarzać na ten vlan kłoszenie w the warstwa vlan 999 gdzieś inny…
W Ten Sposób twój drugi linia robić the ten sam rzecz, oprócz blok cokolwiek od the 172.16.x.x sieć i the cokolwiek linia the ten sam rzecz except blok the 192.168.x.x sieć. Wtedy póżniej że my pozwalać ty dns zapytanie pozwalać.
The rozkaz the acl być znacząco. The pierwszy linia my dopasowywać być the akcja my brać. W Ten Sposób najpierw my blokować ruch drogowy od dns zapytanie nasz wewnętrzny sieć wtedy my pozwolić wszystkie inny dns zapytanie w ten sposób pracować być najprawdopodobniejszy external dns serwer na the internet.
Wtedy my pozwolić bootp che podstawowy pozwolić dhcp.
Wtedy my blokować jakaś ruch drogowy przybycie wewnątrz the warstwa 3 interfejs vlan 999 od the ten sam 3 sieć który blokować poprzednio na blokować using IP.
Wtedy my pozwolić ono everything inny.
W Ten Sposób podstawowy the przepływ być blokowy co my chcieć wtedy otwierać jaki inny resztki, che musieć resztki na the internet.
I mieć nadzieję że pomoc.
Inne rozwiązania
SUP7203B PFC niekompatybilność
system przywrócić punkt
IE8 Przedkładać Forma z [Wchodzić Do] Klucz, stosownie
zintegrowany wordpress w miejsce. blog pic doczepianie.
Łączyć XenServer wśród iPhone
Porzucony Windows 7 Instalacyjny odpowiedź kartoteka
SSH konsola: iść precyzować falcówka po nazwa użytkownika
Tworzyć Linux przygotowywać CD-R stylowy but dysk…
Dlaczego Sysinternals Wirusowy wyszukiwarka redirect?
MS Dojazdowy SQL Podział Dojazdowy obejście potrzebować
