دوستان سلام
میخام یه همچی سناریویی انجام بدم ...
همه تو یه سابنت هستن ...
میشه با سوییچ لایه 2 یا نه ؟ اگه آره چه جوری؟ با آی پی سورس و مقصد .. ؟
[IMG]http://mihanbit.com/download/524a519eebacb/ACL.jpg[/IMG]
Printable View
دوستان سلام
میخام یه همچی سناریویی انجام بدم ...
همه تو یه سابنت هستن ...
میشه با سوییچ لایه 2 یا نه ؟ اگه آره چه جوری؟ با آی پی سورس و مقصد .. ؟
[IMG]http://mihanbit.com/download/524a519eebacb/ACL.jpg[/IMG]
اینو تست کن :
چون فقط می تونی روی in دستور رو اعمال کنی بیا روی پورت متصل به A یک ACL بنویس و بگو ترافیکی که مبدا A و مقصد C هست مجاز یه Deny هم برای بقیه بزار.
اون شکل زیاد درسن نیست از لحاظ کانکشن ها
سوییچ با یه آپلینک میره تو یه سوییچ دیگه که C,D,E,F,G تو اون سوییچ هستن !
حالا من رو اون اینترفیس که آپلینک هست اگه اکسس-لیست بنویسم چی ؟
اونوقت B هم نمیتونه ببینه دیگه! درسته ؟
من میخام ببینه ...
چرا از VLan بندی استفاده نمیکنی ؟! :ph34r2:
[QUOTE=alone_;407180]چرا از VLan بندی استفاده نمیکنی ؟! :ph34r2:[/QUOTE]
بین این سوییچ که A و B توشن و دیتاسنتر دوتا سوییچ unmanage دیگه هست. بنابرین نمیتونم ترافیک vlan های دیگه جز 1 رو رد کنم ...
این سوییچ ما فقط ترافیک in رو اکسس لیست کار میکنه !!
آیا همه ی سوییچهای لایه 2 اینطوری هستن ؟ یعنی ترافیک out رو ساپورت نمیکنند؟
[QUOTE=greatcyrus;407320]این سوییچ ما فقط ترافیک in رو اکسس لیست کار میکنه !!
آیا همه ی سوییچهای لایه 2 اینطوری هستن ؟ یعنی ترافیک out رو ساپورت نمیکنند؟[/QUOTE]
بله همینطوره من در پست اول هم گفتم . برای همین مجبور شدیم اینطور ACL بنویسیم.
اصلا به نظرتون درسته تو سوییچ اکسس بیام پالیسی تعریف کنیم ؟
سیسکو که میگه نه !!
ولی مدیر من علمش و زورش از سیسکو بیشتره فعلا ... !:D
[QUOTE=greatcyrus;407365]اصلا به نظرتون درسته تو سوییچ اکسس بیام پالیسی تعریف کنیم ؟
سیسکو که میگه نه !!
ولی مدیر من علمش و زورش از سیسکو بیشتره فعلا ... !:D[/QUOTE]
اتفاقا ACL باید تو Access Switches نوشته بشه . برای اینکه ترافیکی که باید Drop شه سریع جلوش گرفته شه و به لایه های بالا تر نره .
سوئیچ شما چیه؟
با فرض اینکه اصولا در لایه Access سوئیچ لایه 2 میذارن
مبحث مربوطه Securing with VLANs
شما باید VACl بنویسی نه ACL
Private VLAN اینجوری کار میکنه که
یک Normal - Primary داریم و یک Secondary
همه Primary را میبینند ولی....
و اما Secandary ها:
secondary هم دو نوع داره: Isolated و Community
Isolated ها نمیتونن حتی یکدیگر را ببینند
ولی port هایی که در یک Community هستند میتونن همدیگر و primary و ببینند
[QUOTE=A.Yazdani;407366]اتفاقا ACL باید تو Access Switches نوشته بشه . برای اینکه ترافیکی که باید Drop شه سریع جلوش گرفته شه و به لایه های بالا تر نره .[/QUOTE]
با احترام به شما دوست عزیز ولی من یادم میاد سیسکو میگفت پالیسی باید تو لایه Distribution باشه .. ! اشتباه میکنم یا دانسته هام نم کشیده ؟
[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]
[QUOTE=IPconfig;407379]سوئیچ شما چیه؟
با فرض اینکه اصولا در لایه Access سوئیچ لایه 2 میذارن
مبحث مربوطه Securing with VLANs
شما باید VACl بنویسی نه ACL
[/QUOTE]
امکان VLAN نداریم فعلا ...
دوست عزیز فکر کنم حق با شما باشه :)
هرچند که من در نکته هایی که برای خودم نوشته بودم (فکر می کنم نکته هایی بوده که چند سال پیش از کتاب Top down network design نوشته بودم ) نوشتم که ACL در لایه Access انجام میشه به دلیل کاملا منطقی جلو گیری از عبور ترافیک بی مورد به لایه های بالایی . اما با جستوجویی که در اینترنت انجام دادم فهمیدم که این کار در لایه Distribution انجام میشه ( هر چندنمی دونم برای چی ؟!! ) .
دوستان به یه مشکلی برخوردم!!
یه اکسس-لیست نوشتم با چندین رول . بعد خاستم بایند کنم به چنتا پورت , نشد ! میگه هر اکسس-لیست به یه اینترفیس باید بایند شه !!
یعنی من چنتا اکسس-لیست با نامهای مختلف باید درست کنم ولی رولهای همه شون یکی میشه , بعد هر کدومو رو یه پورت اساین کنم !!
اومدم اکسس-لیستو اساین کردم به پورت آپلینک ...
چطوره ؟ خوبه ؟