D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL DXS-3326GSR !!!

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 5 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Aludinov

Заголовок сообщения: ACL DXS-3326GSR !!!

Добавлено: Пт май 20, 2005 13:19

Зарегистрирован: Ср окт 20, 2004 17:47
Сообщений: 11
Откуда: Moscow

Добрый день !

Подскажите пожалуйста решение следующей задачи:
1. Имеется 5 VLAN-ов каждому из них на коммутаторе присвоен IP адрес и в каждом VLAN-е находится сеть 24 бита.
2. На коммутаторе работают службы SSH, TELNET, HTTP, HTTPS
3. VLAN5 - административный и передаётся на все управляемые коммутаторы данной сети.

ЗАДАЧА
1. запретить доступ к службам SSH,TELNET,HTTP,HTTPS из VLAN1, VLAN2, VLAN3, VLAN4
2. запретить прохождение пакутов с любых сетей к сети VLAN5 за исключением сети VLAN5

Предпологаемое мной решение:

Код:

crea acce ip vlan dest 255.255.255.255 tcp dst 0xFFFF prof 1
conf acce prof 1 add acce 1 ip vlan VLAN1 dest 192.168.1.1 tcp dst 22 deny
conf acce prof 1 add acce 2 ip vlan VLAN2 dest 192.168.2.1 tcp dst 22 deny
conf acce prof 1 add acce 3 ip vlan VLAN3 dest 192.168.3.1 tcp dst 22 deny
conf acce prof 1 add acce 4 ip vlan VLAN4 dest 192.168.4.1 tcp dst 22 deny
conf acce prof 1 add acce 5 ip vlan VLAN1 dest 192.168.1.1 tcp dst 23 deny
conf acce prof 1 add acce 6 ip vlan VLAN2 dest 192.168.2.1 tcp dst 23 deny
conf acce prof 1 add acce 7 ip vlan VLAN3 dest 192.168.3.1 tcp dst 23 deny
conf acce prof 1 add acce 8 ip vlan VLAN4 dest 192.168.4.1 tcp dst 23 deny

И так для каждого порта !!!

Для Административного VLAN-а предполагается следующие:

Код:

crea acce ip vlan sou 255.255.255.0 dest 255.255.255.0 prof 2
conf acce prof 2 add acce 1 ip vlan VLAN5 sou 192.168.5.0 dest 192.168.5.0 permit
conf acce prof 2 add acce 2 ip vlan VLAN5 deny

Верны ли мои предположения ?! Возможно ли сократить правила для фильтрации по портам ?!

Заранее благодарен.

Вернуться наверх

Lexx

Заголовок сообщения:

Добавлено: Пт май 20, 2005 13:51

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва

Мыслите в целом верно, но не без ошибок

- учтите что ACL отрабатывается на ingress, т.е. на входе в коммутатор, поэтому в данном случае лучше про vlan не упоминать, а ограничиться фильтрами только по IP. Т.е. например пакет от адреса 192.168.1.2 к адресу 192.168.5.2 или 192.168.2.1 из интерфейса vlan1 будет при проходе через ACL иметь vlan=1
- последняя строка второго фрагмента у вас в принципе не верна, т.к. не содержит тех же полей, что были заявлены в профиле. Работать будет непредсказуемо.

Ну и ещё я бы не стал явно перечислять порты, а зарезал бы весь tcp в адрес коммутатора. Т.е. весь ACL выглядеть будет примерно так:

Код:

create access ip source 255.255.255.0 destin 255.255.255.0              profile 1
config access pro 1 add acc auto ip source 192.168.5.0 destin 192.168.5.0  port 1-24 permit

create access ip destin 255.255.255.255 tcp profile 2
config access pro 2 add acc auto ip destin 192.168.1.1 tcp port 1-24 deny
config access pro 2 add acc auto ip destin 192.168.2.1 tcp port 1-24 deny
config access pro 2 add acc auto ip destin 192.168.3.1 tcp port 1-24 deny
config access pro 2 add acc auto ip destin 192.168.4.1 tcp port 1-24 deny
config access pro 2 add acc auto ip destin 192.168.5.1 tcp port 1-24 deny

create access ip destin 255.255.255.0 profile 3
config access pro 3 add acc auto ip destin 192.168.5.0 port 1-24 deny

Вернуться наверх

Козик Павел

Заголовок сообщения:

Добавлено: Пт май 20, 2005 13:53

Модератор

Зарегистрирован: Пн авг 18, 2003 11:30
Сообщений: 2986
Откуда: D-Link, Екатеринбург

Я бы сделал по другому:
1. разрешил глобально трaфик из vlan5 в vlan5(фильтр по src_ip+dst_ip);
2. запретил передавать в vlan5 весь остальной трафик (по dst_ip).

А еще можно просто Vlan5 сделать не маршрутизируемым... Единственная особенность - станция администратора (SNMP управление) должна так-же сидеть в vlan5.

Вернуться наверх

Aludinov

Заголовок сообщения: !!!

Добавлено: Пт май 20, 2005 14:21

Зарегистрирован: Ср окт 20, 2004 17:47
Сообщений: 11
Откуда: Moscow

Спасибо всем за ответы !!!
Сделал как посоветовал Козик Павел, т.к. VLAN5 распростроняется TAG-ом по всем портам

за L3 на каждом порту стоит 3 шт. L2 !!!

А вот с резаньем всего TCP на коммутотор !!! ОГРОМНОЕ СПАСИБО !!!
НЕДОДУМАЛСЯ !!!

Вернуться наверх

Lexx

Заголовок сообщения:

Добавлено: Сб май 21, 2005 13:41

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва

Кстати в продолжение темы, в вашем случае ещё если жалко ACL'ей (коих всего 100 на порт) и если не существует в природе адресов 192.168.0.1, 192.168.6.1 и 192.168.7.1, можно переписать второй профиль к более короткому, но менее очевидному виду

Код:

create access ip destin 255.255.248.255 tcp profile 2
config access pro 2 add acc auto ip destin 192.168.0.1 tcp port 1-24 deny

Ну я думаю логика ясна, режется все адреса третий октет которых имеет значение от 0 до 7 включительно

А вот для более общего случая более короткий, чем перечисление всех адресов интерфейсов, способ решения задачи я когда-то искал, но так и не нашёл. Ни у кого идей на этот счёт случаем нету?

Вернуться наверх

Страница 1 из 1

[ Сообщений: 5 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 45

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения