[xometriy]

Люди! напишите как настроить acl!!! все мануалы прочитал, нигде не нашёл ничего полезного, нужно очень срочно!!! я практикант и некоторого не понимаю, поэтому пожалуйста, будьте попонятней

[Andrey Savenkov]

Доброго дня!

 

Подскажите, что конкретно вы хотите настроить?

 

Вот пример ACL:

!
ip access-list extended test
deny   ip 10.10.10.10 255.255.255.255 any
permit ip any any
!
interface GigaEthernet0/1
ip access-group test
!

[xometriy]

как говорит босс: запретить broadcast, но чтоб работал dhcp; запретить всем, кроме админов, доступ к коммутатору; и чтоб клиенты не могли шариться друг у друга; запретить порты для общего доступа

[Andrey Savenkov]

Доброго дня!

 

Давайте по пунктам:

запретить broadcast, но чтоб работал dhcp

Вы хотите запретить что-то конкретное, или полностью весь бродкаст? Запрос звучит как-то непонятно. Или у Вас большой L2-домен?

 

запретить всем, кроме админов, доступ к коммутатору

Обычно решается путем создания отдельных VLAN для пользователей и для администрирования

 

и чтоб клиенты не могли шариться друг у друга;

запретить порты для общего доступа

Виндовые шары закрыть? Лечится путем фильтрации трафика по портам 135, 137, 139, 445

[xometriy]

по поводу broadcast'a запретить всё, но оставить dhcp и arp.

 

у нас каждый влан выступает в роли некого тарифа, поэтому в одном влане будет находится по несколько абонентов. а для администрирования создан управляющий влан

 

про общий доступ - спасибо!)

Edited September 20, 2012 by xometriy

[Andrey Savenkov]

Доброго дня!

 

Покажите пожалуйста примерную схему организации вашей сети, чтобы понять ее устройство, и предложить Вам варианты решения ваших вопросов.

[xometriy]

billing (выступает в качестве радиус сервера и dhcp) - маршрутизатор - L3 - L2 на доступе (офис)

------------------------------------------------------------------------------------------------\

-------------------------------------------------------------------------------------------------L2 (48 опт) - L2 (24 витухи)

Edited September 21, 2012 by xometriy

[xometriy]

Andrey Savenkov, есть какие нибудь мыслишки по этой теме?

Edited September 27, 2012 by xometriy

[shelma]

Пример выше приведен:

Вот пример ACL:

!
ip access-list extended test
deny   ip 10.10.10.10 255.255.255.255 any
permit ip any any
!
interface GigaEthernet0/1
ip access-group test
!

Подставьте нужное вам вместо 10.10.10.10 и получите нужный результат.

Если вы не знаете что блокировать, то думаю и никто не знает.

[xometriy]

Пример выше приведен:

Вот пример ACL:

!
ip access-list extended test
deny   ip 10.10.10.10 255.255.255.255 any
permit ip any any
!
interface GigaEthernet0/1
ip access-group test
!

Подставьте нужное вам вместо 10.10.10.10 и получите нужный результат.

Если вы не знаете что блокировать, то думаю и никто не знает.

 

 

не ругайтесь сильно, я всего лишь практикант

[jamaicada]

Да а чего ругаться? Если вы не знаете чего хотите - закроете _ВЕСЬ_ broadcast, перестанет работать arp.

[xometriy]

как блин запретить доступ к коммутатору, но чтобы пакеты проходили?!?!?! я тут уже с ума схожу!

 

permit ip 10.10.10.10 255.255.255.255 10.10.10.1 255.255.255.255

deny ip 10.10.10.10 255.255.255.255 10.10.10.x 255.255.255.255

permit ip 10.10.10.10 255.255.255.255 10.10.10.0 0.0.0.255

 

не работает! и как только я не издевался, всё равно не работает!

[Helios]

Доступ к коммутатору закрывается в другом месте

 

на 2960

authentication ip access-class

authentication securityip

snmp-server securityip

 

на 2970

 

ip access-list standard manage

permit 10.10.10.1 255.255.255.255

permit 10.10.10.10 255.255.255.255

 

ip telnet access-class manage

ip sshd access-class manage

ip http access-class manage