Fråga : ta fram listar kärnar ur på kopplar för inskränkt gäst tar fram

im som har en problemöverenskommelse, hur detta tar fram, listar mig har applicerat till vlan 997, och 999 förbjuder tar fram till mitt företags knyter kontakt från gästen knyter kontakt (GuestWireless
, PhysicianAccess). i har listat min rinnande config från mitt kärnar ur kopplar. för cisco för spring 3 för förmiddag i kontrollanter trådlösa LAN, som förbinds till denna, kopplar via etherchannel. Jag kan emellertid ta fram min gäst knyter kontakt från min andra vlans (som är boten). Jag skulle uppskattar egentligen någon portionen som jag förstår hur denna fungerar. Tack för din konfiguration för responses.




Current: 12597 bytes
! tidsstämplar för pad
service för
version 12.2
no tjänste- testar tidsstämplar för uptime
service loggar datetime
no som det tjänste- lösenordet-encryption
service ordnar-numbers
!
hostname BigBoy
!
! för timezoneCST -6
clock för
no aaa ny-model
clock dhcp för området-lookup
ip för ip för routing
no för subneten-zero
ip för sändningen 1500
ip för mtu för bestämmelse ws-c3750g-12s
system för bestämmelse ws-c3750g-12s
switch 3 för bestämmelse ws-c3750g-12s
switch 2 för recurring
switch 1 för CST för summer-time utesluten-tilltalar dhcp för 172.20.142.1 172.20.142.50
ip utesluten-tilltalar dhcp för 172.20.108.1 172.20.108.50
ip utesluten-tilltalar dhcp för 172.20.106.1 172.20.106.50
ip utesluten-tilltalar dhcp för 172.20.104.1 172.20.104.50
ip utesluten-tilltalar dhcp för 172.20.118.1 172.20.118.50
ip utesluten-tilltalar dhcp för 172.20.136.1 172.20.136.50
ip utesluten-tilltalar dhcp för 172.20.138.1 172.20.138.50
ip utesluten-tilltalar dhcp för 172.20.102.1 172.20.102.50
ip utesluten-tilltalar dhcp för 172.20.140.1 172.20.140.50
ip utesluten-tilltalar dhcp för 172.20.116.1 172.20.116.50
ip utesluten-tilltalar dhcp för 172.20.124.1 172.20.124.50
ip utesluten-tilltalar dhcp för 172.20.114.1 172.20.114.50
ip utesluten-tilltalar dhcp för 172.20.122.1 172.20.122.50
ip utesluten-tilltalar 172.21.0.1 172.21.253.255
! dhcp för
ip slår samman MAIN3rdFloor
knyter kontakt för standardinställa-routeren för 172.20.142.0 255.255.254.0
för butta.org för domainen-name 172.20.142.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman Nursing8th
knyter kontakt för standardinställa-routeren för 172.20.108.0 255.255.254.0
för butta.org för domainen-name 172.20.108.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman ICU6th
knyter kontakt för standardinställa-routeren för 172.20.106.0 255.255.254.0
för butta.org för domainen-name 172.20.106.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman Nursing4th
knyter kontakt för standardinställa-routeren för 172.20.104.0 255.255.254.0
för butta.org för domainen-name 172.20.104.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman Surgery3rd
knyter kontakt för standardinställa-routeren för 172.20.118.0 255.255.254.0
för butta.org för domainen-name 172.20.118.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman WCNorth3rd
knyter kontakt för standardinställa-routeren för 172.20.136.0 255.255.254.0
för butta.org för domainen-name 172.20.136.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman WCSouth3rd
knyter kontakt för standardinställa-routeren för 172.20.138.0 255.255.254.0
för butta.org för domainen-name 172.20.138.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman Lab2nd
knyter kontakt för standardinställa-routeren för 172.20.102.0 255.255.254.0
för butta.org för domainen-name 172.20.102.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman Radiology2nd
knyter kontakt för standardinställa-routeren för 172.20.140.0 255.255.254.0
för butta.org för domainen-name 172.20.140.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman RadiationOncalogy2nd
knyter kontakt för standardinställa-routeren för 172.20.116.0 255.255.254.0
för butta.org för domainen-name 172.20.116.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman Purchasing1st
knyter kontakt för standardinställa-routeren för 172.20.124.0 255.255.254.0
för butta.org för domainen-name 172.20.124.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman Auditorium1st
knyter kontakt för standardinställa-routeren för 172.20.114.0 255.255.254.0
för butta.org för domainen-name 172.20.114.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman GuestWireless
knyter kontakt för standardinställa-routeren för 10.220.0.0 255.255.255.0
för guest.net för domainen-name 10.220.0.1
dns-serveren
204.153.217.68 204.153.217.69
! dhcp för
ip slår samman CORPDATA
knyter kontakt för standardinställa-routeren för 172.21.0.0 255.255.0.0
för dns-serveren 172.21.1.1
för netbios-namnge-serveren 172.20.45.121 172.20.45.122
butta.org för domainen-name 172.20.45.121 172.20.45.122

! dhcp för
ip slår samman ProfessionalBuilding1
knyter kontakt för standardinställa-routeren för 172.20.122.0 255.255.254.0
för butta.org för domainen-name 172.20.122.1
dns-serveren
172.20.45.122 172.20.45.121
! dhcp för
ip slår samman PhysiciansAccess
knyter kontakt för dns-serveren för 10.220.10.0 255.255.255.0
standardinställa-routeren för domainen-name rmc-physician.local
204.153.217.68 204.153.217.69
10.220.10.1
!
!
!
!        
port-channel ladda-balanserar src-dst-ip
no sparar verifierar auto
! funktionslägeforen-pvst
spanning-tree för
spanning-tree fördjupa systemet-id
! för tilldelningspolitik för
vlan inre ascending
! beskrivningsanslutning för
interface Port-channel1
till den Core
för Nortel pass 8010 switchporten tar fram vlan 160
! beskrivningsanslutning för
interface Port-channel2
till för switchportstam för WLC #1
trunk
för funktionsläge för switchport för stam tillåten vlan 160,997-999
för switchport för inkapsling dot1q
! beskrivningsanslutning för
interface Port-channel3
till för switchportstam för WLC #2
trunk
för funktionsläge för switchport för stam tillåten vlan 160,997-999
för switchport för inkapsling dot1q
! beskrivningsanslutning för
interface Port-channel4
till för switchportstam för WLC# 3
trunk
för funktionsläge för switchport för stam tillåten vlan 160,997-999
för switchport för inkapsling dot1q
! switchporten för
interface GigabitEthernet1/0/1
tar fram vlan 160
kanalisera-grupperar 1 funktionslägeon
! beskrivningsanslutning för
interface GigabitEthernet1/0/2
till för switchportstammen för WLC #1
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 2 funktionsläge! beskrivningsanslutning för
interface GigabitEthernet1/0/3
till för switchportstammen för WLC# 2
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 3 funktionsläge!         beskrivningsanslutning för
interface GigabitEthernet1/0/4
till för switchportstammen för WLC# 3
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 4 funktionsläge!
interface GigabitEthernet1/0/5
!beskrivningsanslutning för
interface GigabitEthernet1/0/6
till för switchportstammen för WLC #1
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 2 funktionsläge! beskrivningsanslutning för
interface GigabitEthernet1/0/7
till för switchportstammen för WLC# 2
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 3 funktionsläge! beskrivningsanslutning för
interface GigabitEthernet1/0/8
till för switchportstammen för WLC# 3
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 4 funktionsläge!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!switchporten för
interface GigabitEthernet1/0/12
tar fram vlan 160
kanalisera-grupperar 1 funktionslägeon
! switchporten för
interface GigabitEthernet2/0/1
tar fram vlan 160
kanalisera-grupperar 1 funktionslägeon
! beskrivningsanslutning för
interface GigabitEthernet2/0/2
till för switchportstammen för WLC #1
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 2 funktionsläge! beskrivningsanslutning för
interface GigabitEthernet2/0/3
till för switchportstammen för WLC# 2
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 3 funktionsläge! beskrivningsanslutning för
interface GigabitEthernet2/0/4
till för switchportstammen för WLC# 3
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 4 funktionsläge!
interface GigabitEthernet2/0/5
!beskrivningsanslutning för
interface GigabitEthernet2/0/6
till för switchportstammen för WLC #1
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 2 funktionsläge! beskrivningsanslutning för
interface GigabitEthernet2/0/7
till för switchportstammen för WLC# 2
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 3 funktionsläge! beskrivningsanslutning för
interface GigabitEthernet2/0/8
till för switchportstammen för WLC# 3
trunk
för funktionsläget för switchporten för stammen tillåten vlan 160,997-999
för switchporten för inkapsling dot1q
kanalisera-grupperar on
för 4 funktionsläge!
interface GigabitEthernet2/0/9
!
interface GigabitEthernet2/0/10
!
interface GigabitEthernet2/0/11
!switchporten för
interface GigabitEthernet2/0/12
tar fram vlan 160
kanalisera-grupperar 1 funktionslägeon
! för switchportstam för
interface GigabitEthernet3/0/1
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 104,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/2
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 106,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/3
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 108,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/4
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 114,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/5
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 124,160
för switchport för stam! för Plaza
för beskrivning för
interface GigabitEthernet3/0/6
trunk
för funktionsläge för switchport för yrkesmässig switchport för stam för inkapsling dot1q
för switchport för stam infödd vlan 160
stam tillåten vlan 122,160
för switchport! för switchportstam för
interface GigabitEthernet3/0/7
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 140,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/8
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 102,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/9
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 138,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/10
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 136,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/11
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 118,160
för switchport för stam! för switchportstam för
interface GigabitEthernet3/0/12
trunk
för funktionsläge för switchport för infödd vlan 160
för switchport för inkapsling dot1q
stam tillåten vlan 142,160
för switchport för stam!
interface Vlan1
ingen shutdown
för IP address
! för IP address172.10.102.1 255.255.254.0 för
interface Vlan102
172.20.102.1 255.255.254.0 för IP address secondary

! för IP address172.10.104.1 255.255.254.0 för
interface Vlan104
172.20.104.1 255.255.254.0 för IP address secondary

! för IP address172.10.106.1 255.255.254.0 för
interface Vlan106
172.20.106.1 255.255.254.0 för IP address secondary

! för IP address172.10.108.1 255.255.254.0 för
interface Vlan108
172.20.108.1 255.255.254.0 för IP address secondary

! IP address172.20.114.1 255.255.254.0 för
interface Vlan114

! för IP address172.10.118.1 255.255.254.0 för
interface Vlan118
172.20.118.1 255.255.254.0 för IP address secondary

! för IP address172.10.122.1 255.255.254.0 för
interface Vlan122
172.20.122.1 255.255.254.0 för IP address secondary

! för IP address172.10.124.1 255.255.254.0 för
interface Vlan124
172.20.124.1 255.255.254.0 för IP address secondary

! för IP address172.10.136.1 255.255.254.0 för
interface Vlan136
172.20.136.1 255.255.254.0 för IP address secondary

! för IP address172.10.138.1 255.255.254.0 för
interface Vlan138
172.20.138.1 255.255.254.0 för IP address secondary

! för IP address172.10.140.1 255.255.254.0 för
interface Vlan140
172.20.140.1 255.255.254.0 för IP address secondary

! IP address172.20.142.1 255.255.254.0 för
interface Vlan142

! IP address172.20.160.2 255.255.254.0 för
interface Vlan160

! IP address10.220.10.1 255.255.255.0 för
interface Vlan997

! IP address172.21.1.1 255.255.0.0 för
interface Vlan998

! för IP address10.220.0.1 255.255.255.0 för
interface Vlan999
ip
ta fram-grupperar GuestWireless in
! för 0.0.0.0 0.0.0.0 172.20.160.1 för rutt för classless
ip för
ip server
för http
ip!
ip ta fram-listar fördjupade GuestWireless
förnekar udp som någon 10.0.0.0 0.255.255.255 eqdomain
förneka udp, någon 172.16.0.0 0.15.255.255 eqdomain
förneka udp någon udp för tillstånd för 192.168.0.0 0.0.255.255 eqdomain
någon någon udp för tillstånd för eqdomain
någon någon udp för tillstånd för eqbootpc
, några varar värd 10.220.0.1 eqbootps
förnekar ip, någon 10.0.0.0 0.255.255.255
förneka ip, någon 192.168.0.0 0.0.255.255
förneka ip någon ip för tillstånd för 172.16.0.0 0.15.255.255
, någon any
ip ta fram-lista fördjupade Physicians
förnekar udp, någon 10.0.0.0 0.255.255.255 eqdomain
förneka udp, någon 172.16.0.0 0.15.255.255 eqdomain
förneka udp någon udp för tillstånd för 192.168.0.0 0.0.255.255 eqdomain
någon någon udp för tillstånd för eqdomain
någon någon eqbootpc
 tillståndudp varar värd any 10.220.10.1 eqbootps
förnekar ip som någon 10.0.0.0 0.255.255.255
förneka ip, någon 192.168.0.0 0.0.255.255
förneka ip någon ip för tillstånd för 172.16.0.0 0.15.255.255
någon any
!
för
tftp-server 172.20.23.110!
control-plane
!
!
line lurar login
för
för lösenordet för local
line vty 6 15
för inloggningen för
för lösenordet för längden 0
line vty 5
för local
för inloggningen för synchronous
för
för lösenordet för synchronous
line vty 0 4
för 0
logga logga! serveren 172.20.44.18 för
ntp stämm 0 prefer
end

" klar "

Svar : ta fram listar kärnar ur på kopplar för inskränkt gäst tar fram

Oken går så här.  Först allra det finns inte någon acl som är applied på vlan 997, så jag ska avtal endast med 999

ha kontakt Vlan999
 IP address 10.220.0.1 255.255.255.0
 ip ta fram-grupperar GuestWireless in
!

ip ta fram-listar fördjupade GuestWireless
 förneka udp något 10.0.0.0 0.255.255.255 eqområde
 förneka udp något 172.16.0.0 0.15.255.255 eqområde
 förneka udp något 192.168.0.0 0.0.255.255 eqområde
 tillståndudp något något eqområde
 tillståndudp någon någon eqbootpc
 tillståndudp varar värd any 10.220.0.1 eqbootps
 förneka ip någon 10.0.0.0 0.255.255.255
 förneka ip någon 192.168.0.0 0.0.255.255
 förneka ip någon 172.16.0.0 0.15.255.255
 tillståndip någon någon

så grunderna av varje befaller är tillstånd/förnekar, och antingen tcp/udp/ip därefter källIPet address/knyter kontakt följt av destinationsIPet address/knyter kontakt och därefter eventuellt närmare detalj tcp/udp-port.

, om så vi ser första, fodra:
 förneka udp något 10.0.0.0 0.255.255.255 eqområde

Vi ska förnekar något källIP address som är destinerat för 10.x.x.xen knyter kontakt using udp-port 53 (dns-referenser)

Du behöver också uppehället i åtanke hur ta fram-lista är applied. i eller ut.  din acl är applied inbound, menande trafikerar överskriften in i ha kontakt vlan 999.  Så detta skulle är trafikerar som frambragtes på den vlan överskrift in i lagrar vlan 999 för att få ut någonstans annan…,

Så ditt understödja fodrar gör det samma tinget, undantar kvarter som något från att få till 172.16.x.xen knyter kontakt, och 3rd fodrar det samma tinget undantar kvarter 192.168.x.xen knyter kontakt.  Därefter after att vi l5At dig göra dns-queries till något.

Beställa av aclen är viktig.  Första fodrar oss matchar är handlingen som vi ska taken.  Så först som vi kvarteret trafikerar från att göra dns-queries till vårt inre knyter kontakt oss låter därefter all annan dns queries för att fungera så detta är mest rimlig till en utsidadns-server på internet.

Därefter vi låter bootp som låter i stort dhcp fungera.

Därefter som vi kvarteret trafikerar any kommande till lagrar 3 har kontakt in av vlan 999 från att ne de samma 3na knyter kontakt, som blockerades föregående på något using IP.

Därefter vi låter den få till allt som är annat.

Så i stort flödet är kvarteret vad vi inte önskar därefter öppet övre vad annat återstår, som bör vara något på internet.

Jag hoppas att hjälp.