Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Kratko pitanje ACL Cisco

[es] :: Enterprise Networking :: Kratko pitanje ACL Cisco

[ Pregleda: 3250 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Machiavelli...
Đorđe Đokanović
IT Support Engineer II
www.amazon.com
Philadelphia

Član broj: 90589
Poruke: 672
*.amazon.com.

Sajt: www.linkedin.com/in/dorde..


+92 Profil

icon Kratko pitanje ACL Cisco06.02.2015. u 18:37 - pre 111 meseci
Sledeca ACL radi ali mi samo treba pojasnjenje?

Subnet1
Subnet2

Cilje je da se omoguci snmpwalk sa Subnet1 ka hostovima u Subnet2

Subnet1 -- out -- permit udp any any eq snmp
Subnet2 -- in -- permit udp any eq snmp any

Subnet2 --out -- permit udp any any eq snmp
Subnet1 -- in -- permit udp any eq snmp any

Zbunjuje me "Subnet2 -- in --", jer ako pratim logiku "src - dest" onda ulaz u Subnet2 bi izgledao ovako
Subnet2 -- in -- permit udp any any eq snmp - Sobzirom da je source sa random porta na destinaciju snmp?

Znam da gresim ali mi nije 100% jasno. Jel moze neko objasnjenje zasto i kako?

Having an idea is like being in a nutshell, but exchanging idea and collaborate
with
others is like being in infinite ocean of knowledge.
________________________________________________________________
____

Veruj u sebe. Ako ti neces, ko hoce?!

„Bolje živeti 100 godina kao milioner, nego sedam dana u bedi.“
 
Odgovor na temu

PaStvarno
Novi Sad, Srbija

Član broj: 276152
Poruke: 184



+21 Profil

icon Re: Kratko pitanje ACL Cisco07.02.2015. u 15:59 - pre 111 meseci
Logika postavljanja in i out pravca na VLAN-ovima je obrnuta jer se ne posmatra na isti način.

Posmatraj kao da u okviru L3 switch-a imaš posebno ruter i vlan.
I onda ostaje ista logika... posmatraš iz pravca rutera u okviru switcha.
Ruteru je to in - saobraćaj dolazi iz VLANa, a ako ide prema VLANu onda je out - od rutera ka VLANU.



Tako je najjednostavnije za pamćenje i upotrebu ACL u okviru VLANa.
Prikačeni fajlovi
 
Odgovor na temu

Machiavelli...
Đorđe Đokanović
IT Support Engineer II
www.amazon.com
Philadelphia

Član broj: 90589
Poruke: 672
54.240.217.*

Sajt: www.linkedin.com/in/dorde..


+92 Profil

icon Re: Kratko pitanje ACL Cisco09.02.2015. u 18:17 - pre 111 meseci
Evo bas gledam ovaj primer, da nije mozda obrnuto?


Vlan --> ruter (out)
Ruter --> Vlan (in)

Jos mi ovo nije najjasnije...
Having an idea is like being in a nutshell, but exchanging idea and collaborate
with
others is like being in infinite ocean of knowledge.
________________________________________________________________
____

Veruj u sebe. Ako ti neces, ko hoce?!

„Bolje živeti 100 godina kao milioner, nego sedam dana u bedi.“
 
Odgovor na temu

Machiavelli...
Đorđe Đokanović
IT Support Engineer II
www.amazon.com
Philadelphia

Član broj: 90589
Poruke: 672
*.amazon.com.

Sajt: www.linkedin.com/in/dorde..


+92 Profil

icon Re: Kratko pitanje ACL Cisco09.02.2015. u 23:20 - pre 111 meseci
Ja opet nesto ne kapiram. Znaci logika bi bila po ovom sledeca

Pocinjemo od Subnet1 i idemo ka ruteru

Subnet1 -- in -- permit udp any any eq snmp

Zatim od rutera idem ka Subnet2

Subnet2 - - out -- permit udp any any eq snmp

Zatim natrag

Subnet2 -- in -- permit udp any eq snmp any

I do natrag do Subnet1
Subnet1 -- in -- permit udp any eq snmp any

Sto bi bila sledeca pravila

Subnet1 -- in -- permit udp any any eq snmp
Subnet2 - - out -- permit udp any any eq snmp

Subnet2 -- in -- permit udp any eq snmp any
Subnet1 -- out -- permit udp any eq snmp any

Sto se ne poklapa sa pravilima koja su vec postavljena

Subnet1 -- out -- permit udp any any eq snmp
Subnet2 -- in -- permit udp any eq snmp any

Subnet2 --out -- permit udp any any eq snmp
Subnet1 -- in -- permit udp any eq snmp any
Having an idea is like being in a nutshell, but exchanging idea and collaborate
with
others is like being in infinite ocean of knowledge.
________________________________________________________________
____

Veruj u sebe. Ako ti neces, ko hoce?!

„Bolje živeti 100 godina kao milioner, nego sedam dana u bedi.“
 
Odgovor na temu

Machiavelli...
Đorđe Đokanović
IT Support Engineer II
www.amazon.com
Philadelphia

Član broj: 90589
Poruke: 672
*.amazon.com.

Sajt: www.linkedin.com/in/dorde..


+92 Profil

icon Re: Kratko pitanje ACL Cisco10.02.2015. u 15:57 - pre 111 meseci
Evo kako sam ipak ovo skapirao... Znao sam da ima smisla samo da se meni poklope kockice... Logika je sledeca


-----> SVIa ------------------ SVIb ----->

<----- SVIa ------------------ SVIb <-----



I sad ako A hoce da uradi query na port 161 od servera B - ACL bi trebalo da izgleda ovako

Znao sam da ima smisla, samo da se razume logika - jer me ovo zbunjivalo skroz. Ali sad je sve jasno

A "ide u" svoj SVI, zatim prolazi kroz SVI bi i "izlazi" ka B - sto implicira sledece ACL

ACL dodata na "in" SVIa
permit udp any any eq snmp

ACL dodata na "out" SVIb
permit udp any any eq snmp

Zatim imamo povratni saobracaj od B ka A
ACL dodata na SVIb "in"
permit udp any eq snmp any

i ACL dodata na "out" SVIa
permit udp any eq snmp any

Nadam se da je ovo tacno.
Having an idea is like being in a nutshell, but exchanging idea and collaborate
with
others is like being in infinite ocean of knowledge.
________________________________________________________________
____

Veruj u sebe. Ako ti neces, ko hoce?!

„Bolje živeti 100 godina kao milioner, nego sedam dana u bedi.“
 
Odgovor na temu

PaStvarno
Novi Sad, Srbija

Član broj: 276152
Poruke: 184



+21 Profil

icon Re: Kratko pitanje ACL Cisco11.02.2015. u 20:06 - pre 111 meseci
Ja sam to shvatio na mnogo jednostavnijem primeru.
VLAN 30 je 192.168.30.0/24 (Guest VLAN)
Trebalo mi je da blokiram sav saobraćaj iz VLAN-a koji ne ide prema internetu (prema drugim VLANovima).

access-list 130 deny ip 192.168.30.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 130 deny ip 192.168.30.0 0.0.0.255 172.16.0.0 0.15.255.255
access-list 130 deny ip 192.168.30.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 130 permit ip any any

int vlan 30
ip access-group 130 in

I to radi ...
Negde u glavi mi to uz crtež služi kao reper :)
 
Odgovor na temu

[es] :: Enterprise Networking :: Kratko pitanje ACL Cisco

[ Pregleda: 3250 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.