kf72 Опубликовано 30 июня, 2012 · Жалоба Здравствуйте! поменял управляющие вланы в сегментах сети. как защитить коммутаторы доступа со стороны доступа и со стороны ядра? попробовал ацл - разрешил сеть/24 остальное запретил и навесил на влан (на порт не умеет) - не помогло. как надо ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 30 июня, 2012 · Жалоба нихрена не понятно, хотя бы с каким железом то работаете? а то может вам просто от уборщиц его надо зашиить или от излучения, может лучше в фольгу завернуть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 июня, 2012 · Жалоба Самое правильное будет разместить оборудование в антивандальном шкафу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 1 июля, 2012 · Жалоба посмеялись, а теперь к делу. ядро циска 6509 суп2. доступ длинки 3026, 3028, 3200 управляющие вланы разнесены с клиентскими. задача - ограничить доступ к оборудованию 3 подсетями /24, чтобы абоненты доступа к настройкам оборудования доступа не имели в принципе. создал ацл. разрешил нужные сети, все прочее запретил. применил ацл на управляющий влан на ядре. не помогло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 1 июля, 2012 · Жалоба поменял управляющие вланы в сегментах сети. как защитить коммутаторы доступа со стороны доступа и со стороны ядра? попробовал ацл - разрешил сеть/24 остальное запретил и навесил на влан (на порт не умеет) - не помогло. как надо ? Самый простой способ: IP шлюза в управляющем VLAN назначить серверу мониторинга, а маршрутизирующим коммутаторам не выдавать в нём адреса вообще. После этого на сервере выстроить такой файрволл, чтобы мыш не проскочил. Трафик в этом VLAN небольшой, причём на 90% адресован самому серверу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 2 июля, 2012 · Жалоба на длинках делается так create access_profile profile_id 1 ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.0 config access_profile profile_id 1 add access_id auto_assign ip source_ip вашипилисетка destination_ip сетьуправления port 1-27 permit rx_rate no_limit create access_profile profile_id 2 ip source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.0 config access_profile profile_id 2 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip сетьуправления port 1-27 deny Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 2 июля, 2012 · Жалоба на длинках делается create cpu access_profile ... но мне больше нравится create trusted_host network ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 2 июля, 2012 · Жалоба посмеялись, а теперь к делу. ядро циска 6509 суп2. доступ длинки 3026, 3028, 3200 управляющие вланы разнесены с клиентскими. задача - ограничить доступ к оборудованию 3 подсетями /24, чтобы абоненты доступа к настройкам оборудования доступа не имели в принципе. создал ацл. разрешил нужные сети, все прочее запретил. применил ацл на управляющий влан на ядре. не помогло. Т.е. сейчас есть рутинг между сетями клиентов и свитчами, и всё это сходится в каталист? В принцинпе повесив на SVI управляющих сетей ACL можно решить задачу. Что-то у вас там не так написано, покажите этот кусок конфига. Сам ACL и show run int vla <чототут>. И, кстати, почему бы не использовать VRF? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 2 июля, 2012 · Жалоба создал ацл. разрешил нужные сети, все прочее запретил. применил ацл на управляющий влан на ядре. не помогло. что, до сих пор пользователи управляют оборудованием? :) на 6500 ACL надо на out делать VLAN управления, где разрешить все хосты, в конце сказать явно deny any any. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 2 июля, 2012 · Жалоба мы управляющие вланы завели на отдельный роутер, на каталисте, агрегирующем абонентов, они не терминируются Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...