Cisco

kim-aa · Конфигурация компьютера

ip access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255

permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255

permit ip host 172.16.1.1 network 172.10.254.0 0.0.0.255

deny any

Aleksey Potapov · Отправлено: **20:39, 27-11-2008** | #42

access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
deny any

Предпоследнее правило было мною удалено такак я перевёл ISA сервер из FE0 обратно в влан 101

Но это набор правил применительно к влан 101
а влан102?
Как я понял, то мне необходимо добавит след. правило
access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
Или я не прав?

Сложно мне понять технологию работы ACl на циско....можете более детально описать её работу?

Вопрос - как мне настроить логгинг?Сколько не лазил - везде фигурирует внешний сервер?Разве циска на себе логи не умеет держать?
2-ой вопрос - что делает команда ip source route?И почему циска рекомендует отключить данный параметр?

kim-aa · Конфигурация компьютера

Лучше не найдете

http://www.infanata.org/2006/08/08/p...kovodstvo.html

Aleksey Potapov · Отправлено: **10:06, 28-11-2008** | #44

книжка то естьу меня - настольная)

kim-aa · Конфигурация компьютера

Цитата aptv:

книжка то естьу меня - настольная) »

Ну так выделите пол-дня, прочтите главу посвященную ACL

2)

Цитата aptv:

Вопрос - как мне настроить логгинг?Сколько не лазил - везде фигурирует внешний сервер?Разве циска на себе логи не умеет держать?
2-ой вопрос - что делает команда ip source route?И почему циска рекомендует отключить данный параметр? »

Толку от логов на железяке. Куда их там складывать?

3) ip source route

В стеке TCP/IP некоторые протоколы включают поля с указанием опций принудительного (требуемого) маршрута.
(обычно это служебные типа ICMP )

no ip source route
заставляет Cisco игнорировать все эти требования, даже если она может их выполнить.

Aleksey Potapov · Отправлено: **13:10, 28-11-2008** | #46

У меня получается вот так.

interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-list extended vlan_101_vlan_102_in in
ip access-list extended vlan_103_internet in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-list extended vlan_102_vlan_101_in in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan_101_vlan_102_in
remark alow all traffic from Vlan101 to Vlan102
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
deny any
!
ip access-list extended vlan_102_vlan_101_in
remark alow all traffic from Vlan102 to Vlan101
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any
!
ip access-list extended vlan103_internet
remark allow dns traffic from NSOF DNS to Vlan103
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
remark alow internet traffic from Vlan 103 to Gateway NSOFISA01
permit tcp eq 80 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 443 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 25 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 110 host 172.10.1.7 network 172.10.254.0 0.0.0.255
deny any
!

kim-aa · Конфигурация компьютера

Все верно.

Небольшое замечание по поводу применения правила
ip access-list extended vlan103_internet

По сути вы им ограничиваете ОТВЕТЫ серверов клиентам.

Более грамотно сначала ограничить инициирующие запросы клиентов к серверам,
а составленное вами правило оставить как есть, т.е. оно ужесточает ограничения.

Однако основным ограничением должно быть ограничение на вход на 103 интерфейсе.
Мы его уже расматривали

вы его даже сами приводили

ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

Aleksey Potapov · Отправлено: **13:55, 28-11-2008** | #48

ТОЕСТЬ
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-list extended vlan101_vlan102_in in
ip access-list extended vlan103_vlan101_internet in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-list extended vlan102_vlan101_in in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-list extended vlan101_vlan103_internet in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan101_vlan102_in
remark alow all traffic from Vlan101 to Vlan102
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
deny any
!
ip access-list extended vlan102_vlan101_in
remark alow all traffic from Vlan102 to Vlan101
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any
!
ip access-list extended vlan103_vlan101_internet
remark allow dns traffic from Vlan103 to NSOF DNS
permit tcp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit tcp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.4 network 172.10.254.0 0.0.0.255
permit udp eq domain host 172.10.1.5 network 172.10.254.0 0.0.0.255
remark alow internet traffic from Vlan 103 to Gateway NSOFISA01
permit tcp eq 80 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 443 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 25 host 172.10.1.7 network 172.10.254.0 0.0.0.255
permit tcp eq 110 host 172.10.1.7 network 172.10.254.0 0.0.0.255
deny any
!
ip access-list extended vlan101_vlan103_internet in
remark allow dns traffic from NSOF DNS to Vlan103
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
remark alow internet traffic from Gateway NSOFISA01 to Vlan 103
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

kim-aa · Конфигурация компьютера

Вроде все верно.

Aleksey Potapov · Отправлено: **14:14, 28-11-2008** | #50

Как залью и проверю - отпишу.