Jump to content
Калькуляторы

ACL на SNR S2970gG-48S

Люди! напишите как настроить acl!!! все мануалы прочитал, нигде не нашёл ничего полезного, нужно очень срочно!!! я практикант и некоторого не понимаю, поэтому пожалуйста, будьте попонятней

Share this post


Link to post
Share on other sites

Доброго дня!

 

Подскажите, что конкретно вы хотите настроить?

 

Вот пример ACL:

!
ip access-list extended test
deny   ip 10.10.10.10 255.255.255.255 any
permit ip any any
!
interface GigaEthernet0/1
ip access-group test
!

Share this post


Link to post
Share on other sites

как говорит босс: запретить broadcast, но чтоб работал dhcp; запретить всем, кроме админов, доступ к коммутатору; и чтоб клиенты не могли шариться друг у друга; запретить порты для общего доступа

Share this post


Link to post
Share on other sites

Доброго дня!

 

Давайте по пунктам:

запретить broadcast, но чтоб работал dhcp

Вы хотите запретить что-то конкретное, или полностью весь бродкаст? Запрос звучит как-то непонятно. Или у Вас большой L2-домен?

 

запретить всем, кроме админов, доступ к коммутатору

Обычно решается путем создания отдельных VLAN для пользователей и для администрирования

 

и чтоб клиенты не могли шариться друг у друга;

запретить порты для общего доступа

Виндовые шары закрыть? Лечится путем фильтрации трафика по портам 135, 137, 139, 445

Share this post


Link to post
Share on other sites

по поводу broadcast'a запретить всё, но оставить dhcp и arp.

 

у нас каждый влан выступает в роли некого тарифа, поэтому в одном влане будет находится по несколько абонентов. а для администрирования создан управляющий влан

 

про общий доступ - спасибо!)

Edited by xometriy

Share this post


Link to post
Share on other sites

Доброго дня!

 

Покажите пожалуйста примерную схему организации вашей сети, чтобы понять ее устройство, и предложить Вам варианты решения ваших вопросов.

Share this post


Link to post
Share on other sites

billing (выступает в качестве радиус сервера и dhcp) - маршрутизатор - L3 - L2 на доступе (офис)

------------------------------------------------------------------------------------------------\

-------------------------------------------------------------------------------------------------L2 (48 опт) - L2 (24 витухи)

Edited by xometriy

Share this post


Link to post
Share on other sites

Andrey Savenkov, есть какие нибудь мыслишки по этой теме?

Edited by xometriy

Share this post


Link to post
Share on other sites

Пример выше приведен:

Вот пример ACL:

!
ip access-list extended test
deny   ip 10.10.10.10 255.255.255.255 any
permit ip any any
!
interface GigaEthernet0/1
ip access-group test
!

Подставьте нужное вам вместо 10.10.10.10 и получите нужный результат.

Если вы не знаете что блокировать, то думаю и никто не знает.

Share this post


Link to post
Share on other sites

Пример выше приведен:

Вот пример ACL:

!
ip access-list extended test
deny   ip 10.10.10.10 255.255.255.255 any
permit ip any any
!
interface GigaEthernet0/1
ip access-group test
!

Подставьте нужное вам вместо 10.10.10.10 и получите нужный результат.

Если вы не знаете что блокировать, то думаю и никто не знает.

 

 

не ругайтесь сильно, я всего лишь практикант

Share this post


Link to post
Share on other sites

Да а чего ругаться? Если вы не знаете чего хотите - закроете _ВЕСЬ_ broadcast, перестанет работать arp.

Share this post


Link to post
Share on other sites

как блин запретить доступ к коммутатору, но чтобы пакеты проходили?!?!?! я тут уже с ума схожу!

 

permit ip 10.10.10.10 255.255.255.255 10.10.10.1 255.255.255.255

deny ip 10.10.10.10 255.255.255.255 10.10.10.x 255.255.255.255

permit ip 10.10.10.10 255.255.255.255 10.10.10.0 0.0.0.255

 

не работает! и как только я не издевался, всё равно не работает!

Share this post


Link to post
Share on other sites

Доступ к коммутатору закрывается в другом месте

 

на 2960

authentication ip access-class

authentication securityip

snmp-server securityip

 

на 2970

 

ip access-list standard manage

permit 10.10.10.1 255.255.255.255

permit 10.10.10.10 255.255.255.255

 

ip telnet access-class manage

ip sshd access-class manage

ip http access-class manage

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this