Jump to content
Калькуляторы

Как настроить доступ в нет пользователям на 2801 одних пустить а другиг забанить

А как настроить доступ пользователям в нет через циску 2801

 

!
interface FastEthernet0/0
description Connectet to DataGroup ADSL
ip address 123.123.123.123 255.255.255.0
ip nat outside 
ip tcp adjust-mss 1452
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 192.168.5.10 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface Dialer0
no ip address
no cdp enable
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 123.123.123.120

 

нужно всех забанить , а пустить только некоторые ІР, или по мак адресу ?

 

пустить в нет

192.168.1.50 - 192.168.1.60

192.168.5.0

 

И второе , как назначить каждому разною скорость?

типа:

192.168.1.50 - 192.168.1.57 - безлим

192.168.1.58 - 512 кб/с

192.168.1.59 - 128 кб/с

192.168.1.60 - 256 кб/с

192.168.5.0 - безлим

 

Или посоветуйте как это реализовать ?

Заранее Спасибо!

Share this post


Link to post
Share on other sites

по первому: чтобы сначала выпустить инет, нужно настраить правильно NAT inside/outside вижу у нас указаны

должно получиться нечто подобное

ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask>  255.255.255.240
           ip nat inside source list 1 pool net-20
           !
           interface Ethernet0
             ip address 171.69.232.182 255.255.255.240
             ip nat outside
           !
           interface Ethernet1
             ip address 192.168.1.94 255.255.255.0
             ip nat inside
           !
           access-list 1 permit 192.168.1.0 0.0.0.255
           access-list 1 permit 192.168.2.0 0.0.0.255

 

если хотите банить по MAC:

ACL создаются из серии <700-799> 48-bit MAC address access list, например

access-list 700 deny 0800.2000.0000 0000.00FF.FFFF

ну и на интерфейсе включается командой

bridge-group 1 input-address-list 700

 

Насчет второго: policy-map вам в помощь

Share this post


Link to post
Share on other sites

Что то по первому я не очень понял

получается у тя как то на оборот , или я не так понял то что ты хотел сказать

ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask>  255.255.255.240
           ip nat inside source list 1 pool net-20
           !
           interface Ethernet0
             ip address 171.69.232.182 255.255.255.240
             ip nat outside
           !
           interface Ethernet1
             ip address 192.168.1.94 255.255.255.0
             ip nat inside
           !
           access-list 1 permit 192.168.1.0 0.0.0.255
           access-list 1 permit 192.168.2.0 0.0.0.255

 

У тебя, как и у меня первая идёт к провайдеру

  interface Ethernet0
             ip address 171.69.232.182 255.255.255.240
             ip nat outside

 

Вторая идёт в локальную сеть

 interface Ethernet1
             ip address 192.168.1.94 255.255.255.0
             ip nat inside

 

И ты разрешаешь целой под сети ходить в нет,

access-list 1 permit 192.168.1.0 0.0.0.255
           access-list 1 permit 192.168.2.0 0.0.0.255

 

А мне нужно только 10 ІР адресов которые могут ходить в нет с первой под сети , и 5 под сеть полностю.

 

И зачем мне эта строка

ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask>  255.255.255.240

Мне не нужен диапазон адресов провайдера

 

У меня только один ІР статический , я его указал как 123.123.123.123

 

Если можно, навести пример по моих адресах.

 

А за policy-map, спасибо

Share this post


Link to post
Share on other sites

это список тех, кто будет подвержен преобразованию NAT, т.e. выйдут в интернет

access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255

 

тут указывается пул адресов куда будут натиться, пользователи access-list 1

ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask>  255.255.255.240

 

адрес один можешь сделать

ip nat inside source list 1 interface FastEthernet0/0 [overload по желанию]

Edited by dmitry_

Share this post


Link to post
Share on other sites
А мне нужно только 10 ІР адресов которые могут ходить в нет с первой под сети , и 5 под сеть полностю.
access-list 1 permit host 192.168.1.50
access-list 1 permit host 192.168.1.51
...
access-list 1 permit host 192.168.1.60
access-list 1 permit 192.168.5.0 0.0.0.255

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this