Desktop
Website
Multimedia
Database
Security
Enterprise
Pergunta : lista de acesso no interruptor do núcleo para acesso restrito do convidado
im que têm uma compreensão do problema como esta lista de acesso mim se aplicou a 997 e a 999 vlan estão proibindo o acesso a minha rede incorporada do
da rede do convidado (GuestWireless
, PhysicianAccess).
i alistaram meus config running de meu interruptor do núcleo. eu estou funcionando 3 controladores sem fio do lan de Cisco que são conetados a este interruptor através do etherchannel. Eu posso entretanto alcançar minha rede do convidado de meus outros vlans (que é muito bem). Eu apreciaria realmente alguém que ajuda me compreendo como este trabalha. Agradecimentos para sua configuração de responses.
Current: 12597 bytes
! os timestamps do pad
service do serviço do
version 12.2
no eliminam erros da seqüência-numbers
da senha-encryption
service do serviço do datetime
no do registro dos timestamps do uptime
service!
hostname BigBoy
!
! o DHCP novo-model
ip do IP do routing
no do subnet-zero
ip do roteamento 1500
ip do MTU da provisão ws-c3750g-12s
system da provisão ws-c3750g-12s
switch 3 da provisão ws-c3750g-12s
switch 2 do recurring
switch 1 do CST do verão do CST -6
clock do timezone do
no aaa/>clock excluir-endereça o DHCP do
ip de 172.20.142.1 172.20.142.50 excluir-endereça o DHCP do
ip de 172.20.108.1 172.20.108.50 excluir-endereça o DHCP do
ip de 172.20.106.1 172.20.106.50 excluir-endereça o DHCP do
ip de 172.20.104.1 172.20.104.50 excluir-endereça o DHCP do
ip de 172.20.118.1 172.20.118.50 excluir-endereça o DHCP do
ip de 172.20.136.1 172.20.136.50 excluir-endereça o DHCP do
ip de 172.20.138.1 172.20.138.50 excluir-endereça o DHCP do
ip de 172.20.102.1 172.20.102.50 excluir-endereça o DHCP do
ip de 172.20.140.1 172.20.140.50 excluir-endereça o DHCP do
ip de 172.20.116.1 172.20.116.50 excluir-endereça o DHCP do
ip de 172.20.124.1 172.20.124.50 excluir-endereça o DHCP do
ip de 172.20.114.1 172.20.114.50 excluir-endereça o DHCP do
ip de 172.20.122.1 172.20.122.50 excluir-endereça o
de 172.21.0.1 172.21.253.255!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.142.1 do optar-router do
de 172.20.142.0 255.255.254.0 da rede da associação MAIN3rdFloor
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.108.1 do optar-router do
de 172.20.108.0 255.255.254.0 da rede da associação Nursing8th
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.106.1 do optar-router do
de 172.20.106.0 255.255.254.0 da rede da associação ICU6th
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.104.1 do optar-router do
de 172.20.104.0 255.255.254.0 da rede da associação Nursing4th
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.118.1 do optar-router do
de 172.20.118.0 255.255.254.0 da rede da associação Surgery3rd
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.136.1 do optar-router do
de 172.20.136.0 255.255.254.0 da rede da associação WCNorth3rd
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.138.1 do optar-router do
de 172.20.138.0 255.255.254.0 da rede da associação WCSouth3rd
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.102.1 do optar-router do
de 172.20.102.0 255.255.254.0 da rede da associação Lab2nd
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.140.1 do optar-router do
de 172.20.140.0 255.255.254.0 da rede da associação Radiology2nd
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.116.1 do optar-router do
de 172.20.116.0 255.255.254.0 da rede da associação RadiationOncalogy2nd
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.124.1 do optar-router do
de 172.20.124.0 255.255.254.0 da rede da associação Purchasing1st
do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.114.1 do optar-router do
de 172.20.114.0 255.255.254.0 da rede da associação Auditorium1st
do DHCP do
ip!
de 204.153.217.68 204.153.217.69 do dns-usuário do
de guest.net do Domain Name do
de 10.220.0.1 do optar-router do
de 10.220.0.0 255.255.255.0 da rede de GuestWireless
da associação do DHCP do
ip!
de butta.org do Domain Name do
de 172.20.45.121 172.20.45.122 do netbios-nome-usuário do
de 172.20.45.121 172.20.45.122 do dns-usuário do
de 172.21.1.1 do optar-router do
de 172.21.0.0 255.255.0.0 da rede de CORPDATA
da associação do DHCP do
ip!
de 172.20.45.122 172.20.45.121 do dns-usuário do
de butta.org do Domain Name do
de 172.20.122.1 do optar-router do
de 172.20.122.0 255.255.254.0 da rede da associação ProfessionalBuilding1
do DHCP do
ip!
de 10.220.10.1 do optar-router do Domain Name rmc-physician.local
do
de 204.153.217.68 204.153.217.69 do dns-usuário do
de 10.220.10.0 255.255.255.0 da rede de PhysiciansAccess
da associação do DHCP do
ip!
!
!
! a lima do src-dst-ip
no do carga-contrapeso do
port-channel verific o auto
! a modalidade/>spanning-tree rápido-pvst
spanning-tree estende o sistema-id
! ascending
da política do alocamento do
vlan! conexão da descrição do
interface Port-channel1
ao acesso 160
do switchport de Core
do passaporte 8010 de Nortel! a conexão da descrição do
interface Port-channel2
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC #1
permitiu o trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface Port-channel3
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC #2
permitiu o trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface Port-channel4
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 3
permitiu o trunk
da modalidade do switchport de 160,997-999
! on
da modalidade do canaleta-grupo 1 do acesso 160
do switchport do
interface GigabitEthernet1/0/1
! a conexão da descrição do
interface GigabitEthernet1/0/2
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC #1
permitiu o on
da modalidade do canaleta-grupo 2 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet1/0/3
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 2
permitiu o on
da modalidade do canaleta-grupo 3 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet1/0/4
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 3
permitiu o on
da modalidade do canaleta-grupo 4 do trunk
da modalidade do switchport de 160,997-999
!
interface GigabitEthernet1/0/5
!a conexão da descrição do
interface GigabitEthernet1/0/6
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC #1
permitiu o on
da modalidade do canaleta-grupo 2 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet1/0/7
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 2
permitiu o on
da modalidade do canaleta-grupo 3 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet1/0/8
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 3
permitiu o on
da modalidade do canaleta-grupo 4 do trunk
da modalidade do switchport de 160,997-999
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!on
da modalidade do canaleta-grupo 1 do acesso 160
do switchport do
interface GigabitEthernet1/0/12
! on
da modalidade do canaleta-grupo 1 do acesso 160
do switchport do
interface GigabitEthernet2/0/1
! a conexão da descrição do
interface GigabitEthernet2/0/2
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC #1
permitiu o on
da modalidade do canaleta-grupo 2 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet2/0/3
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 2
permitiu o on
da modalidade do canaleta-grupo 3 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet2/0/4
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 3
permitiu o on
da modalidade do canaleta-grupo 4 do trunk
da modalidade do switchport de 160,997-999
!
interface GigabitEthernet2/0/5
!a conexão da descrição do
interface GigabitEthernet2/0/6
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC #1
permitiu o on
da modalidade do canaleta-grupo 2 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet2/0/7
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 2
permitiu o on
da modalidade do canaleta-grupo 3 do trunk
da modalidade do switchport de 160,997-999
! a conexão da descrição do
interface GigabitEthernet2/0/8
ao tronco do switchport da capsulagem dot1q
do tronco do switchport de WLC# 3
permitiu o on
da modalidade do canaleta-grupo 4 do trunk
da modalidade do switchport de 160,997-999
!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!on
da modalidade do canaleta-grupo 1 do acesso 160
do switchport do
interface GigabitEthernet2/0/12
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/1
permitiu o trunk
da modalidade do switchport de 104,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/2
permitiu o trunk
da modalidade do switchport de 106,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/3
permitiu o trunk
da modalidade do switchport de 108,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/4
permitiu o trunk
da modalidade do switchport de 114,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/5
permitiu o trunk
da modalidade do switchport de 124,160
! do tronco profissional 160
do switchport da capsulagem dot1q
do tronco do switchport de Plaza
da descrição do
interface GigabitEthernet3/0/6
o tronco vlan nativo do switchport permitiu o trunk
da modalidade do switchport de 122,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/7
permitiu o trunk
da modalidade do switchport de 140,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/8
permitiu o trunk
da modalidade do switchport de 102,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/9
permitiu o trunk
da modalidade do switchport de 138,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/10
permitiu o trunk
da modalidade do switchport de 136,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/11
permitiu o trunk
da modalidade do switchport de 118,160
! o tronco vlan nativo do switchport do tronco 160
do switchport da capsulagem dot1q
do tronco do switchport do
interface GigabitEthernet3/0/12
permitiu o trunk
da modalidade do switchport de 142,160
!
interface Vlan1
nenhum shutdown
do
do IP address!
de 172.20.102.1 255.255.254.0 do IP address do secondary
de 172.10.102.1 255.255.254.0 do IP address do
interface Vlan102
!
de 172.20.104.1 255.255.254.0 do IP address do secondary
de 172.10.104.1 255.255.254.0 do IP address do
interface Vlan104
!
de 172.20.106.1 255.255.254.0 do IP address do secondary
de 172.10.106.1 255.255.254.0 do IP address do
interface Vlan106
!
de 172.20.108.1 255.255.254.0 do IP address do secondary
de 172.10.108.1 255.255.254.0 do IP address do
interface Vlan108
!
de 172.20.114.1 255.255.254.0 do IP address do
interface Vlan114
!
de 172.20.118.1 255.255.254.0 do IP address do secondary
de 172.10.118.1 255.255.254.0 do IP address do
interface Vlan118
!
de 172.20.122.1 255.255.254.0 do IP address do secondary
de 172.10.122.1 255.255.254.0 do IP address do
interface Vlan122
!
de 172.20.124.1 255.255.254.0 do IP address do secondary
de 172.10.124.1 255.255.254.0 do IP address do
interface Vlan124
!
de 172.20.136.1 255.255.254.0 do IP address do secondary
de 172.10.136.1 255.255.254.0 do IP address do
interface Vlan136
!
de 172.20.138.1 255.255.254.0 do IP address do secondary
de 172.10.138.1 255.255.254.0 do IP address do
interface Vlan138
!
de 172.20.140.1 255.255.254.0 do IP address do secondary
de 172.10.140.1 255.255.254.0 do IP address do
interface Vlan140
!
de 172.20.142.1 255.255.254.0 do IP address do
interface Vlan142
!
de 172.20.160.2 255.255.254.0 do IP address do
interface Vlan160
!
de 10.220.10.1 255.255.255.0 do IP address do
interface Vlan997
!
de 172.21.1.1 255.255.0.0 do IP address do
interface Vlan998
! in
de GuestWireless do acesso-grupo do IP do
de 10.220.0.1 255.255.255.0 do IP address do
interface Vlan999
! server
do HTTP do
ip de 0.0.0.0 0.0.0.0 172.20.160.1 da rota do classless
ip do
ip! o
ip GuestWireless
nega o UDP que todo o domain
do eq de 10.0.0.0 0.255.255.255 negar a UDP qualquer domain
do eq de 172.16.0.0 0.15.255.255 negar UDP a todo o UDP da licença do domain
do eq de 192.168.0.0 0.0.255.255 qualquer todo o UDP da licença do domain
do eq qualquer todo o UDP da licença do bootpc
do eq qualquer anfitrião o bootps
do eq de 10.220.0.1 nega o IP todo o
de 10.0.0.0 0.255.255.255 negar a IP qualquer
de 192.168.0.0 0.0.255.255 negar IP a todo o IP da licença do
de 172.16.0.0 0.15.255.255 qualquer any
ip Physicians
negar a UDP todo o domain
do eq de 10.0.0.0 0.255.255.255 negar a UDP qualquer domain
do eq de 172.16.0.0 0.15.255.255 negar UDP a todo o UDP da licença do domain
do eq de 192.168.0.0 0.0.255.255 qualquer todo o UDP da licença do domain
do eq qualquer todo o bootpc
do eq o UDP da licença todo o bootps
do eq de 10.220.10.1 do anfitrião nega o IP que qualquer
de 10.0.0.0 0.255.255.255 negar a IP todo o
de 192.168.0.0 0.0.255.255 negar IP a qualquer IP da licença do
de 172.16.0.0 0.15.255.255 todo o any
!
do
tftp-server 172.20.23.110!
control-plane
!
! synchronous
do
da senha do synchronous
line os 0 4
do engodo 0
do
line entram o login
do
da senha do local
line 6 15
do início de uma sessão do
da senha do comprimento 0
line 5
do local
! prefer
end
da chave 0 de 172.20.44.18 do usuário do
ntp class= do
Resposta : lista de acesso no interruptor do núcleo para acesso restrito do convidado
A aprovação vai tão aqui. Antes de mais nada não há nenhum acl que está aplicado em 997 vlan assim que eu tratarei somente os 999
relação Vlan999
IP address 10.220.0.1 255.255.255.0
acesso-grupo GuestWireless do IP dentro
!
acesso-lista GuestWireless prolongado do IP
negar a UDP todo o domínio do eq de 10.0.0.0 0.255.255.255
negar a UDP todo o domínio do eq de 172.16.0.0 0.15.255.255
negar a UDP todo o domínio do eq de 192.168.0.0 0.0.255.255
permitir o UDP todo o qualquer domínio do eq
permitir o UDP todo o qualquer bootpc do eq
permitir o UDP todos os bootps do eq de 10.220.0.1 do anfitrião
negar a IP todo o 10.0.0.0 0.255.255.255
negar a IP todo o 192.168.0.0 0.0.255.255
negar a IP todo o 172.16.0.0 0.15.255.255
permitir o IP algum
assim os princípios de cada comando são licença/negam e um ou outro tcp/udp/ip então o IP address/rede da fonte seguida pelo IP address do destino/rede e então possivelmente pelo porto específico do tcp/UDP.
assim se nós olhamos a primeira linha:
negar a UDP todo o domínio do eq de 10.0.0.0 0.255.255.255
Nós negaremos todo o IP address da fonte que for destinado para a rede 10.x.x.x using o porto 53 do UDP (as consultas do dns)
Você igualmente precisa de manter-se na mente como a acesso-lista é aplicada. em ou para fora. seu acl é de entrada aplicado, significando o título do tráfego na relação 999 vlan. Assim este seria o tráfego que foi gerado nesse título vlan na camada 999 vlan a fim sair em algum lugar mais…
Assim sua segunda linha faz a mesma coisa, a não ser que blocos qualquer coisa da obtenção às redes 172.16.x.x e a ó linha a mesma coisa exceto blocos as redes 192.168.x.x. Então em seguida que nós o deixamos fazer perguntas do dns a qualquer coisa.
A ordem do acl é importante. A primeira linha que nós combinamos é a ação nós tomaremos. Tão primeiramente nós obstruímos o tráfego de fazer perguntas do dns a nossa rede interna então que nós permitimos todo dns restante perguntamos para trabalhar assim isto somos mais provável a um usuário de dns do external no Internet.
Então nós permitimos o BOOTP que está permitindo basicamente que o DHCP funcionasse.
Então nós obstruímos todo o tráfego que entra à relação da camada 3 de 999 vlan de alcangar as mesmas 3 redes que foram obstruídas previamente em qualquer coisa using o IP.
Então nós permitimos que começ a tudo outro.
Tão basicamente o fluxo é bloco o que nós não queremos então abrimos que sobras outras, que devem estar qualquer coisa no Internet.
Eu espero que ajudas.
Outras soluções
Perguntas da entrevista do certificado de Shell da festança
lima de .vmdk
Como encontrar a contagem da fileira em Oracle DataReader em ASP.NET?
Excitador do bluetooth BCM2045 do inspiron 1720 de Dell para o profissional de Windows Xp.
Como conseguir o lightbox mostrar sobre a bandeira instantânea?
Fora do escritório o assistente que não trabalha w/Forwarding configurou
Redistribuindo o RASGO em subnets non-contiguous do OSPF.
líquidos de corpo após a sessão da natação
SQL0952N
Criando um vbscript para a chave do registro - IRPStackSize