cisco 2821 и маршрутизация между dot1Q VLAN

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
macshiz
Junior member
Сообщения: 3
Зарегистрирован: 15 апр 2008, 13:31
Откуда: SPb

cisco 2821 и маршрутизация между dot1Q VLAN

Сообщение macshiz » 15 апр 2008, 13:38

Подскажите уважаемые.
Есть маршрутизатор cisco 2821.
подняты 4 vlan.
management
open
inside
users
Конфиг ниже.
С показанным конфигом каждый юзер из каждого vlan видит каждого.
Как правильно сделать так, чтобы юзеры из vlan inside, open, users видел только свою подсеть, а админ из сети management видил любую подсеть?
То есть как правильно отключить маршрутизацию между всеми vlan и настроить её между необходимыми?
Как добится того, чего на Cisco ASA добиваются командами

Код: Выделить всё

static (inside,wpa-inside) 192.168.20.0 192.168.20.0 netmask 255.255.255.0 
static (wpa-inside,inside) 192.168.30.0 192.168.30.0 netmask 255.255.255.0 
vlan inside и wpa-inside видят друг друга, но не видят больше ничего и их никто не видит.

Код: Выделить всё

ilding configuration... 

Current configuration : 10720 bytes 
! 
version 12.4 
no service pad 
service tcp-keepalives-in 
service tcp-keepalives-out 
service timestamps debug datetime msec localtime show-timezone 
service timestamps log datetime localtime 
service password-encryption 
service sequence-numbers 
! 
hostname c2821 
! 
boot-start-marker 
boot system flash c2800nm-advsecurityk9-mz.124-17.bin 
boot-end-marker 
! 
security authentication failure rate 3 log 
security passwords min-length 6 
no logging queue-limit 
logging buffered 51000 debugging 
no logging console 
no logging monitor 
enable secret 5 $1$4OxJ$h/IDBWLeI99RiDdlLPn/V/ 
! 
no aaa new-model 
clock timezone PCTime 3 
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00 
no ip source-route 
! 
! 
ip cef 
no ip dhcp use vrf connected 
ip dhcp excluded-address 192.168.10.1 
ip dhcp excluded-address 192.168.20.1 
ip dhcp excluded-address 192.168.90.1 
ip dhcp excluded-address 192.168.100.254 
ip dhcp excluded-address 192.168.100.1 
! 
ip dhcp pool inside 
   network 192.168.20.0 255.255.255.0 
   default-router 192.168.20.1 
   dns-server xxxxxxxxx 
! 
ip dhcp pool management 
   network 192.168.100.0 255.255.255.0 
   default-router 192.168.100.254 
   dns-server xxxxxxxxx 
! 
ip dhcp pool open 
   network 192.168.10.0 255.255.255.0 
   default-router 192.168.10.1 
   dns-server xxxxxxxxxxx 
! 
ip dhcp pool users 
   network 192.168.90.0 255.255.255.0 
   default-router 192.168.10.1 
   dns-server xxxxxxxxxxx 
! 
! 
no ip bootp server 
ip domain name myhost.ru 
ip name-server xxxxxxxxx 
vlan ifdescr detail 
! 
! 
! 
! 
username Admin privilege 15 secret yyyyyyyyyyyyy 
archive 
 log config 
  logging enable 
  notify syslog 
  hidekeys 
! 
! 
ip tcp synwait-time 10 
! 
! 
! 
! 
interface GigabitEthernet0/0 
 description VLAN trunk if 
 no ip address 
 ip access-group 104 in 
 no ip redirects 
 no ip unreachables 
 no ip proxy-arp 
 ip route-cache flow 
 no ip mroute-cache 
 duplex auto 
 speed auto 
 no mop enabled 
! 
interface GigabitEthernet0/0.1 
 description vlan management 
 encapsulation dot1Q 1 native 
 ip address 192.168.100.254 255.255.255.0 
 ip access-group 104 in 
 no cdp enable 
! 
interface GigabitEthernet0/0.10 
 description hotspot 
 encapsulation dot1Q 10 
 ip address 192.168.10.1 255.255.255.0 
 traffic-shape group 110 64000 8000 8000 1000 
 no cdp enable 
! 
interface GigabitEthernet0/0.20 
 description inside 
 encapsulation dot1Q 20 
 ip address 192.168.20.1 255.255.255.0 
 no cdp enable 
! 
interface GigabitEthernet0/0.90 
 description client2 
 encapsulation dot1Q 90 
 ip address 192.168.90.1 255.255.255.0 
 no cdp enable 
! 
interface GigabitEthernet0/1 
 description $FW_OUTSIDE$$ES_WAN$ 
 ip address 10.10.1.10 255.255.255.0 
 ip access-group 100 in 
 no ip redirects 
 no ip unreachables 
 no ip proxy-arp 
 ip route-cache flow 
 duplex auto 
 speed auto 
 no mop enabled 
! 
ip forward-protocol nd 
ip route 0.0.0.0 0.0.0.0 10.10.1.1 
! 
ip http server 
ip http access-class 1 
ip http authentication local 
no ip http secure-server 
ip http timeout-policy idle 60 life 86400 requests 10000 
! 
logging trap debugging 
logging facility local3 
logging 10.10.1.1 
access-list 1 remark Auto generated by SDM Management Access feature 
access-list 1 remark SDM_ACL Category=1 
access-list 1 permit 10.10.1.0 0.0.0.255 
access-list 1 permit 192.168.100.0 0.0.0.255 
access-list 100 remark Auto generated by SDM Management Access feature 
access-list 100 remark SDM_ACL Category=1 
access-list 100 permit tcp 10.10.1.0 0.0.0.255 host 10.10.1.10 eq telnet 
access-list 100 permit tcp 10.10.1.0 0.0.0.255 host 10.10.1.10 eq 22 
access-list 100 permit tcp 10.10.1.0 0.0.0.255 host 10.10.1.10 eq www 
access-list 100 permit tcp 10.10.1.0 0.0.0.255 host 10.10.1.10 eq 443 
access-list 100 permit tcp 10.10.1.0 0.0.0.255 host 10.10.1.10 eq cmd 
access-list 100 deny   tcp any host 10.10.1.10 eq telnet 
access-list 100 deny   tcp any host 10.10.1.10 eq 22 
access-list 100 deny   tcp any host 10.10.1.10 eq www 
access-list 100 deny   tcp any host 10.10.1.10 eq 443 
access-list 100 deny   tcp any host 10.10.1.10 eq cmd 
access-list 100 deny   udp any host 10.10.1.10 eq snmp 
access-list 100 permit ip any any 
access-list 100 permit udp host 10.10.1.10 host 10.10.1.1 
access-list 101 remark Auto generated by SDM Management Access feature 
access-list 101 remark SDM_ACL Category=1 
access-list 101 permit ip 10.10.1.0 0.0.0.255 any 
access-list 101 permit ip 192.168.100.0 0.0.0.255 any 
access-list 102 remark Auto generated by SDM Management Access feature 
access-list 102 remark SDM_ACL Category=1 
access-list 102 permit ip 10.10.1.0 0.0.0.255 any 
access-list 102 permit ip 192.168.100.0 0.0.0.255 any 
access-list 104 remark Auto generated by SDM Management Access feature 
access-list 104 remark SDM_ACL Category=1 
access-list 104 permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq telnet 
access-list 104 permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq 22 
access-list 104 permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq www 
access-list 104 permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq 443 
access-list 104 permit tcp 192.168.100.0 0.0.0.255 host 192.168.100.254 eq cmd 
access-list 104 deny   tcp any host 192.168.100.254 eq telnet 
access-list 104 deny   tcp any host 192.168.100.254 eq 22 
access-list 104 deny   tcp any host 192.168.100.254 eq www 
access-list 104 deny   tcp any host 192.168.100.254 eq 443 
access-list 104 deny   tcp any host 192.168.100.254 eq cmd 
access-list 104 deny   udp any host 192.168.100.254 eq snmp 
access-list 104 permit ip any any 
access-list 110 permit ip any any 
no cdp run 
! 
! 
control-plane 
! 
! 
banner login ^CAuthorized access only! 
 Disconnect IMMEDIATELY if you are not an authorized user!^C 
! 
line con 0 
 login local 
 transport output telnet 
line aux 0 
 login local 
 transport output telnet 
line vty 0 4 
 access-class 101 in 
 privilege level 15 
 login local 
 transport input telnet 
line vty 5 15 
 access-class 102 in 
 privilege level 15 
 login local 
 transport input telnet 
! 
scheduler allocate 20000 1000 
! 
end 
Заранее спасибо за помощ!

Smith
member
Сообщения: 28
Зарегистрирован: 12 мар 2003, 12:15
Откуда: Glazov

Re: cisco 2821 и маршрутизация между dot1Q VLAN

Сообщение Smith » 16 апр 2008, 13:35

macshiz писал(а):То есть как правильно отключить маршрутизацию между всеми vlan и настроить её между необходимыми?
Повесить дополнительные ACL на сабинтерфейсах, запрещающий трафик между пользовательскими VLAN?

ЗЫ: На Каталистах ЕМНИП это делается с помощью Private VLANs.

macshiz
Junior member
Сообщения: 3
Зарегистрирован: 15 апр 2008, 13:31
Откуда: SPb

Re: cisco 2821 и маршрутизация между dot1Q VLAN

Сообщение macshiz » 16 апр 2008, 17:38

Smith писал(а):
macshiz писал(а):То есть как правильно отключить маршрутизацию между всеми vlan и настроить её между необходимыми?
Повесить дополнительные ACL на сабинтерфейсах, запрещающий трафик между пользовательскими VLAN?

ЗЫ: На Каталистах ЕМНИП это делается с помощью Private VLANs.
Дык. Был бы каталист небыло бы геморроя.

К сожалению пока с acl не получается. Может подскажите как?

пока пытаюсь вешать вот такие acl,

Код: Выделить всё

int Gi0/0.10 
ip access-group 105 in 
ip inspect LLL out 

access-list 105 deny   ip any any
access-list 105 deny   udp any any

ip inspect name LLL tcp 
ip inspect name LLL udp 
но к сожалению трафик тогда рубится на корню - т.е. vlan получается полностью изолирован и от интернета тоже что совсем не гуд:(

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 17 апр 2008, 00:38

Ну а подумать?
Неужели не доперло, что в access-list 105 можно указать МНОГО ПРАВИЛ.

Т.е. можно запретить такой-то подсети обращаться к такой-то подсети.
Такому-то хосту к такому-то.

Ну и если нужен Инет, то в конце списка не забыть сделать permit any any, ибо значение по умолчанию deny any any

Ну а по другому никак.

macshiz
Junior member
Сообщения: 3
Зарегистрирован: 15 апр 2008, 13:31
Откуда: SPb

Сообщение macshiz » 17 апр 2008, 13:36

and3008 писал(а):Ну а подумать?
Неужели не доперло, что в access-list 105 можно указать МНОГО ПРАВИЛ.

Т.е. можно запретить такой-то подсети обращаться к такой-то подсети.
Такому-то хосту к такому-то.

Ну и если нужен Инет, то в конце списка не забыть сделать permit any any, ибо значение по умолчанию deny any any

Ну а по другому никак.
Допереть то доперло. А теперь подумайте и предложите адекватное решение для ну скажем 40 vlan? что в каждом acl прописывать каждую сеть?
и вообще мне казалось что наличие inspect-a должно открывать исходящие соединения инициированные изнутри vlan-а в мир. почему inspect-ы не работают.
Или я не прав?

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей