Вопрос : список доступа на переключателе сердечника для ограниченного доступа гостя

im имея вникание проблемы как этот список доступа я имеет прикладное до vlan 997 и 999 запрещает доступ к моей корпоративной сети от сети гостя (GuestWireless
, PhysicianAccess). i имеют зарегистрированно мои идущие config от моего переключателя сердечника. я бегу 3 регулятора lan cisco беспроволочных подключены к этому переключателю через etherchannel. Я могу однако достигнуть моей сети гостя от моих других vlans (отлично). Я реально оценил бы кто-то помогая мне понимаю как это работает. Спасибо для вашей конфигурации responses.




Current: 12597 bytes
! фиксации времени pad
service обслуживания
version 12.2
no отлаживают последовательность-numbers
пароля-encryption
service обслуживания datetime
no журнала фиксаций времени uptime
service!
hostname BigBoy
!
! dhcp домена-lookup
ip ip routing
no подсеть-zero
ip трассы 1500
ip mtu обеспечения ws-c3750g-12s
system обеспечения ws-c3750g-12s
switch 3 обеспечения ws-c3750g-12s
switch 2 recurring
switch 1 CST временени CST -6
clock часовойа пояс
no aaa новый-model
clock исключать-адресует dhcp
ip 172.20.142.1 172.20.142.50 исключать-адресует dhcp
ip 172.20.108.1 172.20.108.50 исключать-адресует dhcp
ip 172.20.106.1 172.20.106.50 исключать-адресует dhcp
ip 172.20.104.1 172.20.104.50 исключать-адресует dhcp
ip 172.20.118.1 172.20.118.50 исключать-адресует dhcp
ip 172.20.136.1 172.20.136.50 исключать-адресует dhcp
ip 172.20.138.1 172.20.138.50 исключать-адресует dhcp
ip 172.20.102.1 172.20.102.50 исключать-адресует dhcp
ip 172.20.140.1 172.20.140.50 исключать-адресует dhcp
ip 172.20.116.1 172.20.116.50 исключать-адресует dhcp
ip 172.20.124.1 172.20.124.50 исключать-адресует dhcp
ip 172.20.114.1 172.20.114.50 исключать-адресует dhcp
ip 172.20.122.1 172.20.122.50 исключать-адресует
172.21.0.1 172.21.253.255!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.142.1 не выполнять обязательство-маршрутизатора
172.20.142.0 255.255.254.0 сети бассеина MAIN3rdFloor
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.108.1 не выполнять обязательство-маршрутизатора
172.20.108.0 255.255.254.0 сети бассеина Nursing8th
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.106.1 не выполнять обязательство-маршрутизатора
172.20.106.0 255.255.254.0 сети бассеина ICU6th
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.104.1 не выполнять обязательство-маршрутизатора
172.20.104.0 255.255.254.0 сети бассеина Nursing4th
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.118.1 не выполнять обязательство-маршрутизатора
172.20.118.0 255.255.254.0 сети бассеина Surgery3rd
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.136.1 не выполнять обязательство-маршрутизатора
172.20.136.0 255.255.254.0 сети бассеина WCNorth3rd
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.138.1 не выполнять обязательство-маршрутизатора
172.20.138.0 255.255.254.0 сети бассеина WCSouth3rd
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.102.1 не выполнять обязательство-маршрутизатора
172.20.102.0 255.255.254.0 сети бассеина Lab2nd
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.140.1 не выполнять обязательство-маршрутизатора
172.20.140.0 255.255.254.0 сети бассеина Radiology2nd
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.116.1 не выполнять обязательство-маршрутизатора
172.20.116.0 255.255.254.0 сети бассеина RadiationOncalogy2nd
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.124.1 не выполнять обязательство-маршрутизатора
172.20.124.0 255.255.254.0 сети бассеина Purchasing1st
dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.114.1 не выполнять обязательство-маршрутизатора
172.20.114.0 255.255.254.0 сети бассеина Auditorium1st
dhcp
ip!
204.153.217.68 204.153.217.69 dns-сервера
guest.net domain-name
10.220.0.1 не выполнять обязательство-маршрутизатора
10.220.0.0 255.255.255.0 сети GuestWireless
бассеина dhcp
ip!
butta.org domain-name
172.20.45.121 172.20.45.122 netbios-им-сервера
172.20.45.121 172.20.45.122 dns-сервера
172.21.1.1 не выполнять обязательство-маршрутизатора
172.21.0.0 255.255.0.0 сети CORPDATA
бассеина dhcp
ip!
172.20.45.122 172.20.45.121 dns-сервера
butta.org domain-name
172.20.122.1 не выполнять обязательство-маршрутизатора
172.20.122.0 255.255.254.0 сети бассеина ProfessionalBuilding1
dhcp
ip!
10.220.10.1 не выполнять обязательство-маршрутизатора domain-name rmc-physician.local

204.153.217.68 204.153.217.69 dns-сервера
10.220.10.0 255.255.255.0 сети PhysiciansAccess
бассеина dhcp
ip!
!
!
!         архив src-dst-ip
no нагрузк-баланса
port-channel проверяет auto
! режим быстро-pvst
spanning-tree
spanning-tree удлиняет систему-id
! ascending
политики распределения
vlan внутренне! соединение описания
interface Port-channel1
к доступу vlan 160
switchport Core
пасспорта 8010 Nortel! соединение описания
interface Port-channel2
к хоботу switchport заключения dot1q
хобота switchport WLC #1
позволило vlan trunk
режима switchport 160,997-999
! соединение описания
interface Port-channel3
к хоботу switchport заключения dot1q
хобота switchport WLC #2
позволило vlan trunk
режима switchport 160,997-999
! соединение описания
interface Port-channel4
к хоботу switchport заключения dot1q
хобота switchport WLC# 3
позволило vlan trunk
режима switchport 160,997-999
! on
режима канал-группы 1 доступа vlan 160
switchport
interface GigabitEthernet1/0/1
! соединение описания
interface GigabitEthernet1/0/2
к хоботу switchport заключения dot1q
хобота switchport WLC #1
позволило vlan on
режима канал-группы 2 trunk
режима switchport 160,997-999
! соединение описания
interface GigabitEthernet1/0/3
к хоботу switchport заключения dot1q
хобота switchport WLC# 2
позволило vlan on
режима канал-группы 3 trunk
режима switchport 160,997-999
!         соединение описания
interface GigabitEthernet1/0/4
к хоботу switchport заключения dot1q
хобота switchport WLC# 3
позволило vlan on
режима канал-группы 4 trunk
режима switchport 160,997-999
!
interface GigabitEthernet1/0/5
!соединение описания
interface GigabitEthernet1/0/6
к хоботу switchport заключения dot1q
хобота switchport WLC #1
позволило vlan on
режима канал-группы 2 trunk
режима switchport 160,997-999
! соединение описания
interface GigabitEthernet1/0/7
к хоботу switchport заключения dot1q
хобота switchport WLC# 2
позволило vlan on
режима канал-группы 3 trunk
режима switchport 160,997-999
! соединение описания
interface GigabitEthernet1/0/8
к хоботу switchport заключения dot1q
хобота switchport WLC# 3
позволило vlan on
режима канал-группы 4 trunk
режима switchport 160,997-999
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!on
режима канал-группы 1 доступа vlan 160
switchport
interface GigabitEthernet1/0/12
! on
режима канал-группы 1 доступа vlan 160
switchport
interface GigabitEthernet2/0/1
! соединение описания
interface GigabitEthernet2/0/2
к хоботу switchport заключения dot1q
хобота switchport WLC #1
позволило vlan on
режима канал-группы 2 trunk
режима switchport 160,997-999
! соединение описания
interface GigabitEthernet2/0/3
к хоботу switchport заключения dot1q
хобота switchport WLC# 2
позволило vlan on
режима канал-группы 3 trunk
режима switchport 160,997-999
! соединение описания
interface GigabitEthernet2/0/4
к хоботу switchport заключения dot1q
хобота switchport WLC# 3
позволило vlan on
режима канал-группы 4 trunk
режима switchport 160,997-999
!
interface GigabitEthernet2/0/5
!соединение описания
interface GigabitEthernet2/0/6
к хоботу switchport заключения dot1q
хобота switchport WLC #1
позволило vlan on
режима канал-группы 2 trunk
режима switchport 160,997-999
! соединение описания
interface GigabitEthernet2/0/7
к хоботу switchport заключения dot1q
хобота switchport WLC# 2
позволило vlan on
режима канал-группы 3 trunk
режима switchport 160,997-999
! соединение описания
interface GigabitEthernet2/0/8
к хоботу switchport заключения dot1q
хобота switchport WLC# 3
позволило vlan on
режима канал-группы 4 trunk
режима switchport 160,997-999
!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!on
режима канал-группы 1 доступа vlan 160
switchport
interface GigabitEthernet2/0/12
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/1
позволил vlan trunk
режима switchport 104,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/2
позволил vlan trunk
режима switchport 106,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/3
позволил vlan trunk
режима switchport 108,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/4
позволил vlan trunk
режима switchport 114,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/5
позволил vlan trunk
режима switchport 124,160
! хобота родной vlan 160
switchport заключения dot1q
хобота switchport Plaza
описания
interface GigabitEthernet3/0/6
хобот switchport профессионального позволил vlan trunk
режима switchport 122,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/7
позволил vlan trunk
режима switchport 140,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/8
позволил vlan trunk
режима switchport 102,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/9
позволил vlan trunk
режима switchport 138,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/10
позволил vlan trunk
режима switchport 136,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/11
позволил vlan trunk
режима switchport 118,160
! хобот switchport хобота родной vlan 160
switchport заключения dot1q
хобота switchport
interface GigabitEthernet3/0/12
позволил vlan trunk
режима switchport 142,160
!
interface Vlan1
отсутствие shutdown
address
ip!
172.20.102.1 255.255.254.0 адреса ip secondary
172.10.102.1 255.255.254.0 адреса ip
interface Vlan102
!
172.20.104.1 255.255.254.0 адреса ip secondary
172.10.104.1 255.255.254.0 адреса ip
interface Vlan104
!
172.20.106.1 255.255.254.0 адреса ip secondary
172.10.106.1 255.255.254.0 адреса ip
interface Vlan106
!
172.20.108.1 255.255.254.0 адреса ip secondary
172.10.108.1 255.255.254.0 адреса ip
interface Vlan108
!
172.20.114.1 255.255.254.0 адреса ip
interface Vlan114
!
172.20.118.1 255.255.254.0 адреса ip secondary
172.10.118.1 255.255.254.0 адреса ip
interface Vlan118
!
172.20.122.1 255.255.254.0 адреса ip secondary
172.10.122.1 255.255.254.0 адреса ip
interface Vlan122
!
172.20.124.1 255.255.254.0 адреса ip secondary
172.10.124.1 255.255.254.0 адреса ip
interface Vlan124
!
172.20.136.1 255.255.254.0 адреса ip secondary
172.10.136.1 255.255.254.0 адреса ip
interface Vlan136
!
172.20.138.1 255.255.254.0 адреса ip secondary
172.10.138.1 255.255.254.0 адреса ip
interface Vlan138
!
172.20.140.1 255.255.254.0 адреса ip secondary
172.10.140.1 255.255.254.0 адреса ip
interface Vlan140
!
172.20.142.1 255.255.254.0 адреса ip
interface Vlan142
!
172.20.160.2 255.255.254.0 адреса ip
interface Vlan160
!
10.220.10.1 255.255.255.0 адреса ip
interface Vlan997
!
172.21.1.1 255.255.0.0 адреса ip
interface Vlan998
! in
GuestWireless доступ-группы ip
10.220.0.1 255.255.255.0 адреса ip
interface Vlan999
! server
http
ip 0.0.0.0 0.0.0.0 172.20.160.1 трассы classless
ip
ip!
ip GuestWireless
отказывает udp любое domain
eq 10.0.0.0 0.255.255.255 откажите udp любое domain
eq 172.16.0.0 0.15.255.255 откажите udp любому udp разрешения domain
eq 192.168.0.0 0.0.255.255 любой любой udp разрешения domain
eq любой любой udp разрешения bootpc
eq любой хозяин bootps
eq 10.220.0.1 отказывает ip любое
10.0.0.0 0.255.255.255 откажите ip любое
192.168.0.0 0.0.255.255 откажите ip любому ip разрешения
172.16.0.0 0.15.255.255 любое any
ip Physicians
откажите udp любое domain
eq 10.0.0.0 0.255.255.255 откажите udp любое domain
eq 172.16.0.0 0.15.255.255 откажите udp любому udp разрешения domain
eq 192.168.0.0 0.0.255.255 любой любой udp разрешения domain
eq любое любое bootpc
eq udp разрешения любое bootps
eq 10.220.10.1 хозяина отказывает ip любое
10.0.0.0 0.255.255.255 откажите ip любое
192.168.0.0 0.0.255.255 откажите ip любому ip разрешения
172.16.0.0 0.15.255.255 любое any
!

tftp-server 172.20.23.110!
control-plane
!
!
пароля длины 0
line vty 5
local
имени пользователя synchronous

пароля synchronous
line vty 0 4
жулика 0

line внося в журнал внося в журнал login login

пароля local
line vty 6 15
! prefer
end

ключа 0 172.20.44.18 сервера
ntp class=

Ответ : список доступа на переключателе сердечника для ограниченного доступа гостя

О'кейо настолько здесь идет.  Во первых всех не будет acl прикладной на vlan 997 поэтому я общаюсь только с 999

поверхность стыка Vlan999
 адрес 10.220.0.1 255.255.255.0 ip
 доступ-группа GuestWireless ip внутри
!

доступ-список выдвинутое GuestWireless ip
 откажите udp любой домен eq 10.0.0.0 0.255.255.255
 откажите udp любой домен eq 172.16.0.0 0.15.255.255
 откажите udp любой домен eq 192.168.0.0 0.0.255.255
 позвольте udp любой любой домен eq
 позвольте udp любое любое bootpc eq
 позвольте udp все bootps eq 10.220.0.1 хозяина
 откажите ip любое 10.0.0.0 0.255.255.255
 откажите ip любое 192.168.0.0 0.0.255.255
 откажите ip любое 172.16.0.0 0.15.255.255
 позвольте ip любой нисколько

так основами каждого командование будут разрешение/отказывают и любые tcp/udp/ip после этого адрес/сеть ip источника последованная за адресом ip назначения/сетью и после этого по возможности специфически портом tcp/udp.

так если мы смотрим первую линию:, то
 откажите udp любой домен eq 10.0.0.0 0.255.255.255

Мы откажем любой адрес ip источника которому сужденно для сети 10.x.x.x using порт 53 udp (взгляды вверх dns)

Вам также нужно держать в разуме как доступ-список прикладной. в или вне.  ваш acl прикладное прибывающий, намеревающся рубрика движения в поверхность стыка vlan 999.  Так это было бы движение было произведено на той vlan рубрике в слой vlan 999 для того чтобы получить вне где-то другим…

Так ваша вторая линия делает такую же вещь, кроме того что блоки что-нибыдь от получать к сетям 172.16.x.x и 3-яя линия такая же вещь за исключением блоков сети 192.168.x.x.  После этого поже что мы препятствовали вам сделать вопросы dns к что-нибыдь.

Заказ acl важн.  Первой линией, котор мы сопрягаем будет действие мы примем.  Настолько сперва мы преграждаем движение от делать вопросы dns к нашей внутренне сети после этого, котор мы позволяем весь другой dns запрашиваем для того чтобы работать так это само правоподобно к серверу dns external на интернете.

После этого мы позволяем bootp основно позволяет dhcp действовать.

После этого мы преграждаем любое движение приходя внутри к поверхности стыка слоя 3 vlan 999 от достижения таких же 3 сетей были прегражены ранее на что-нибыдь using IP.

После этого мы позволяем его получить к всему другому.

Настолько основно подачей будет блок мы не хотим после этого открытое поднимающее вверх что еще остаем, которое должно быть что-нибыдь на интернете.

Я надеюсь что помощь.