forum.opennet.ru - "Cisco C2900XL и две подсети на портах." (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco C2900XL и две подсети на портах."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco C2900XL и две подсети на портах."
Сообщение от zeiter (ok) on 03-Фев-09, 08:17
Доброго дня! Подскажите, на сколько безопасно и разумно держать на одной Cisco C2900XL две подсети из публичных IP адресов и локальных (10.0.0.0)? Существует ли вероятность перехвата трафика?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco C2900XL и две подсети на портах., gagner, 19:03 , 03-Фев-09, (1)

Cisco C2900XL и две подсети на портах., zeiter, 07:31 , 04-Фев-09, (2)

Cisco C2900XL и две подсети на портах., gagner, 18:26 , 10-Фев-09, (3)

Cisco C2900XL и две подсети на портах., zeiter, 07:37 , 11-Фев-09, (4)
Cisco C2900XL и две подсети на портах., zeiter, 11:23 , 11-Фев-09, (5)

Cisco C2900XL и две подсети на портах., gagner, 19:39 , 17-Фев-09, (6)

Cisco C2900XL и две подсети на портах., zeiter, 07:26 , 18-Фев-09, (7)

Cisco C2900XL и две подсети на портах., lumenous, 09:18 , 18-Фев-09, (8)

Cisco C2900XL и две подсети на портах., zeiter, 11:53 , 18-Фев-09, (9)

Cisco C2900XL и две подсети на портах., lumenous, 13:59 , 18-Фев-09, (10)

Cisco C2900XL и две подсети на портах., zeiter, 14:09 , 18-Фев-09, (11)

Cisco C2900XL и две подсети на портах., lumenous, 15:21 , 18-Фев-09, (13)

Cisco C2900XL и две подсети на портах., lumenous, 15:19 , 18-Фев-09, (12)

Cisco C2900XL и две подсети на портах., zeiter, 07:57 , 19-Фев-09, (14)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco C2900XL и две подсети на портах."

Сообщение от gagner (ok) on 03-Фев-09, 19:03

>Подскажите, на сколько безопасно и разумно держать на одной Cisco C2900XL две
>подсети из публичных IP адресов и локальных (10.0.0.0)? Существует ли вероятность
>перехвата трафика?
Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и LAN, и WAN. )) Естественно, стоит озаботиться жесткими ACL, проксей, возможно железным фаерволом. В инете есть несколько вариантов рекомендаций по "безопасным" кофигам, можете поискать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco C2900XL и две подсети на портах."

Сообщение от zeiter (ok) on 04-Фев-09, 07:31

>Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и
>LAN, и WAN. ))
Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор), а не роутер.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco C2900XL и две подсети на портах."

Сообщение от gagner (ok) on 10-Фев-09, 18:26

>Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор),
>а не роутер.
да, как-то я не подумала. )) если у вас сети ходят в разный вланах - все в общем-то безопасно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco C2900XL и две подсети на портах."

Сообщение от zeiter (ok) on 11-Фев-09, 07:37

> если у вас сети ходят в
> разный вланах - все в общем-то безопасно.
Т.е. vlan - это единственный вариант?
На сколько успел понять девайс это неуправляемый, т.е. получается теоретически, что человек, имееющий порт на нем, может прописать себе на серверном интерфейсе IP из второй подсети и эта циска "разрешит" ему доступ, а значит он сможет и трафик поснифить. Так?
И чтобы такое избежать нужен vlan. И это единственное решение в данной ситуации?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco C2900XL и две подсети на портах."

Сообщение от zeiter (ok) on 11-Фев-09, 11:23

> если у вас сети ходят в
> разный вланах - все в общем-то безопасно.
Обе сети в вланы надо? Или достаточно одну?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco C2900XL и две подсети на портах."

Сообщение от gagner (ok) on 17-Фев-09, 19:39

Эммм, мне казалось, что C2900XL умеет вланы... 0.о

Вопрос про "обе сети надо" или нет - не совсем корректен, т.к. по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что вы хотите "выделить" - запихивайте в какой-либо другой. ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco C2900XL и две подсети на портах."

Сообщение от zeiter (ok) on 18-Фев-09, 07:26

>Эммм, мне казалось, что C2900XL умеет вланы... 0.о
Ошибочка вышла, нарыл документацию, так оказалось, что поддерживает:
Производитель Cisco
Модель Catalyst C2924-XL-EN
Код производителя WS-C2924C-XL-EN
Кол-во базовых портов 24
Скорость передачи по UPLINK 100 Мбит/сек.
Поддерживаемые стандарты IEEE 802.1Q (VLAN), IEEE 802.3 (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.3x (Flow Control)
Никогда раньше не работал с такими девайсами - вот и запутался.
>Вопрос про "обе сети надо" или нет - не совсем корректен, т.к.
>по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что
>вы хотите "выделить" - запихивайте в какой-либо другой. ))
Теперь стало понятнее.
Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd) запихиваем в порты, скажем, с 17 по 24. На самой циске для этих портов поднимаем VLAN-2 и так же на серверах поднимает этот же VLAN-2. Остальные - в порты с 1 по 16, включая патчкорды от роутера провайдера. Я правильно понял?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco C2900XL и две подсети на портах."

Сообщение от lumenous (ok) on 18-Фев-09, 09:18

>[оверквотинг удален]
>>по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что
>>вы хотите "выделить" - запихивайте в какой-либо другой. ))
>
>Теперь стало понятнее.
>
>Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd)
>запихиваем в порты, скажем, с 17 по 24. На самой циске
>для этих портов поднимаем VLAN-2 и так же на серверах поднимает
>этот же VLAN-2. Остальные - в порты с 1 по 16,
>включая патчкорды от роутера провайдера. Я правильно понял?
Все верно. Одна часть портов в одном влане, другая - в другом. Если больше одного VLAN не собираетесь на сервера прогонять, то просто на портах Каталиста пропишите влан и поставье его в акцесс.
sw mo ac
sw ac vl номер влана
На серверах делать ничего не надо будет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco C2900XL и две подсети на портах."

Сообщение от zeiter (ok) on 18-Фев-09, 11:53

>Все верно. Одна часть портов в одном влане, другая - в другом.
Сделал:
#show vlan
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4,
                                                Fa0/5, Fa0/6, Fa0/7, Fa0/8,
                                                Fa0/9, Fa0/10, Fa0/11, Fa0/12,
                                                Fa0/13, Fa0/14, Fa0/15, Fa0/16
2    strictarea                       active    Fa0/17, Fa0/18, Fa0/19, Fa0/20,
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active
Как-то можно проверить, что все корректно? Или этого листинга достаточно?
>Если больше одного VLAN не собираетесь на сервера прогонять, то просто
>на портах Каталиста пропишите влан и поставье его в акцесс.
>sw mo ac
>sw ac vl номер влана
Эти команды не удалось сделать. В каком режиме их вводить? Через show тоже не нашел.
>На серверах делать ничего не надо будет.
Понятно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Cisco C2900XL и две подсети на портах."

Сообщение от lumenous (ok) on 18-Фев-09, 13:59

>[оверквотинг удален]
>>на портах Каталиста пропишите влан и поставье его в акцесс.
>>sw mo ac
>>sw ac vl номер влана
>
>Эти команды не удалось сделать. В каком режиме их вводить? Через show
>тоже не нашел.
>
>>На серверах делать ничего не надо будет.
>
>Понятно.
Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал.
Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Cisco C2900XL и две подсети на портах."

Сообщение от zeiter (ok) on 18-Фев-09, 14:09

> sw mo ac
> sw ac vl номер влана
А в чем суть этих команд?
acl'ы я посмотрел все пустые.
Т.е. нужно разрешить доступ к VLAN-2 только для 10.aaa.bbb.ccc/24
и наоборот запретить доступ к VLAN-1 для 10.aaa.bbb.ccc/24. Верно?
>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>не работал.
Понятно, буду разбираться
>Листинга в принципе достаточно. Если у вас все работает, то значит все
>настроили верно.
Хорошо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Cisco C2900XL и две подсети на портах."

Сообщение от lumenous (ok) on 18-Фев-09, 15:21

>[оверквотинг удален]
>>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>>не работал.
>
>Понятно, буду разбираться
>
>>Листинга в принципе достаточно. Если у вас все работает, то значит все
>>настроили верно.
>
>Хорошо
>> sw mo ac
Перевод порта в режим access
>> sw ac vl номер влана
Указание номера Vlan на порту.
Акцесс листы вам не нужны, это же два разных VLAN. Между собой они не пересекаются. В этом их предназначение как бы ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Cisco C2900XL и две подсети на портах."

Сообщение от lumenous (ok) on 18-Фев-09, 15:19

>[оверквотинг удален]
>>на портах Каталиста пропишите влан и поставье его в акцесс.
>>sw mo ac
>>sw ac vl номер влана
>
>Эти команды не удалось сделать. В каком режиме их вводить? Через show
>тоже не нашел.
>
>>На серверах делать ничего не надо будет.
>
>Понятно.
Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал.
Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Cisco C2900XL и две подсети на портах."

Сообщение от zeiter (ok) on 19-Фев-09, 07:57

>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто
>не работал.
Разобрался, только по каждому порту отдельно указывается (насколько я понял атериал на странице http://www.opennet.ru/docs/RUS/Catalyst/index.html)
cisco(config)#interface FastEthernet 0/18
cisco(config)#switchport mode access
cisco(config)#exit

>Листинга в принципе достаточно. Если у вас все работает, то значит все
>настроили верно.
Хорошо, будем проверять.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco C2900XL и две подсети на портах."
Сообщение от gagner (ok) on 03-Фев-09, 19:03
>Подскажите, на сколько безопасно и разумно держать на одной Cisco C2900XL две >подсети из публичных IP адресов и локальных (10.0.0.0)? Существует ли вероятность >перехвата трафика? Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и LAN, и WAN. )) Естественно, стоит озаботиться жесткими ACL, проксей, возможно железным фаерволом. В инете есть несколько вариантов рекомендаций по "безопасным" кофигам, можете поискать.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Cisco C2900XL и две подсети на портах."
	Сообщение от zeiter (ok) on 04-Фев-09, 07:31
	>Ну, насколько я понимаю, это нормальная ситуация, когда у рутера есть и >LAN, и WAN. )) Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор), а не роутер.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Cisco C2900XL и две подсети на портах."
	Сообщение от gagner (ok) on 10-Фев-09, 18:26
	>Я не уточнил, что выше указанный девайс - это все-таки свитч (коммутатор), >а не роутер. да, как-то я не подумала. )) если у вас сети ходят в разный вланах - все в общем-то безопасно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Cisco C2900XL и две подсети на портах."
	Сообщение от zeiter (ok) on 11-Фев-09, 07:37
	> если у вас сети ходят в > разный вланах - все в общем-то безопасно. Т.е. vlan - это единственный вариант? На сколько успел понять девайс это неуправляемый, т.е. получается теоретически, что человек, имееющий порт на нем, может прописать себе на серверном интерфейсе IP из второй подсети и эта циска "разрешит" ему доступ, а значит он сможет и трафик поснифить. Так? И чтобы такое избежать нужен vlan. И это единственное решение в данной ситуации?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Cisco C2900XL и две подсети на портах."
	Сообщение от zeiter (ok) on 11-Фев-09, 11:23
	> если у вас сети ходят в > разный вланах - все в общем-то безопасно. Обе сети в вланы надо? Или достаточно одну?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Cisco C2900XL и две подсети на портах."
	Сообщение от gagner (ok) on 17-Фев-09, 19:39
	Эммм, мне казалось, что C2900XL умеет вланы... 0.о Вопрос про "обе сети надо" или нет - не совсем корректен, т.к. по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что вы хотите "выделить" - запихивайте в какой-либо другой. ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Cisco C2900XL и две подсети на портах."
	Сообщение от zeiter (ok) on 18-Фев-09, 07:26
	>Эммм, мне казалось, что C2900XL умеет вланы... 0.о Ошибочка вышла, нарыл документацию, так оказалось, что поддерживает: Производитель Cisco Модель Catalyst C2924-XL-EN Код производителя WS-C2924C-XL-EN Кол-во базовых портов 24 Скорость передачи по UPLINK 100 Мбит/сек. Поддерживаемые стандарты IEEE 802.1Q (VLAN), IEEE 802.3 (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.3x (Flow Control) Никогда раньше не работал с такими девайсами - вот и запутался. >Вопрос про "обе сети надо" или нет - не совсем корректен, т.к. >по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что >вы хотите "выделить" - запихивайте в какой-либо другой. )) Теперь стало понятнее. Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd) запихиваем в порты, скажем, с 17 по 24. На самой циске для этих портов поднимаем VLAN-2 и так же на серверах поднимает этот же VLAN-2. Остальные - в порты с 1 по 16, включая патчкорды от роутера провайдера. Я правильно понял?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Cisco C2900XL и две подсети на портах."
	Сообщение от lumenous (ok) on 18-Фев-09, 09:18
	>[оверквотинг удален] >>по умолчанию каталисты привязывают все порты к "нейтив"-влану (1му). Все, что >>вы хотите "выделить" - запихивайте в какой-либо другой. )) > >Теперь стало понятнее. > >Резумируем: все патчкорды от серверов, на интерфейсах которых настроены локальные адреса (10.bbb.ccc.ddd) >запихиваем в порты, скажем, с 17 по 24. На самой циске >для этих портов поднимаем VLAN-2 и так же на серверах поднимает >этот же VLAN-2. Остальные - в порты с 1 по 16, >включая патчкорды от роутера провайдера. Я правильно понял? Все верно. Одна часть портов в одном влане, другая - в другом. Если больше одного VLAN не собираетесь на сервера прогонять, то просто на портах Каталиста пропишите влан и поставье его в акцесс. sw mo ac sw ac vl номер влана На серверах делать ничего не надо будет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Cisco C2900XL и две подсети на портах."
	Сообщение от zeiter (ok) on 18-Фев-09, 11:53
	>Все верно. Одна часть портов в одном влане, другая - в другом. Сделал: #show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16 2 strictarea active Fa0/17, Fa0/18, Fa0/19, Fa0/20, Fa0/21, Fa0/22, Fa0/23, Fa0/24 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active Как-то можно проверить, что все корректно? Или этого листинга достаточно? >Если больше одного VLAN не собираетесь на сервера прогонять, то просто >на портах Каталиста пропишите влан и поставье его в акцесс. >sw mo ac >sw ac vl номер влана Эти команды не удалось сделать. В каком режиме их вводить? Через show тоже не нашел. >На серверах делать ничего не надо будет. Понятно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Cisco C2900XL и две подсети на портах."
	Сообщение от lumenous (ok) on 18-Фев-09, 13:59
	>[оверквотинг удален] >>на портах Каталиста пропишите влан и поставье его в акцесс. >>sw mo ac >>sw ac vl номер влана > >Эти команды не удалось сделать. В каком режиме их вводить? Через show >тоже не нашел. > >>На серверах делать ничего не надо будет. > >Понятно. Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал. Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Cisco C2900XL и две подсети на портах."
	Сообщение от zeiter (ok) on 18-Фев-09, 14:09
	> sw mo ac > sw ac vl номер влана А в чем суть этих команд? acl'ы я посмотрел все пустые. Т.е. нужно разрешить доступ к VLAN-2 только для 10.aaa.bbb.ccc/24 и наоборот запретить доступ к VLAN-1 для 10.aaa.bbb.ccc/24. Верно? >Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто >не работал. Понятно, буду разбираться >Листинга в принципе достаточно. Если у вас все работает, то значит все >настроили верно. Хорошо
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Cisco C2900XL и две подсети на портах."
	Сообщение от lumenous (ok) on 18-Фев-09, 15:21
	>[оверквотинг удален] >>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто >>не работал. > >Понятно, буду разбираться > >>Листинга в принципе достаточно. Если у вас все работает, то значит все >>настроили верно. > >Хорошо >> sw mo ac Перевод порта в режим access >> sw ac vl номер влана Указание номера Vlan на порту. Акцесс листы вам не нужны, это же два разных VLAN. Между собой они не пересекаются. В этом их предназначение как бы ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Cisco C2900XL и две подсети на портах."
	Сообщение от lumenous (ok) on 18-Фев-09, 15:19
	>[оверквотинг удален] >>на портах Каталиста пропишите влан и поставье его в акцесс. >>sw mo ac >>sw ac vl номер влана > >Эти команды не удалось сделать. В каком режиме их вводить? Через show >тоже не нашел. > >>На серверах делать ничего не надо будет. > >Понятно. Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто не работал. Листинга в принципе достаточно. Если у вас все работает, то значит все настроили верно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Cisco C2900XL и две подсети на портах."
	Сообщение от zeiter (ok) on 19-Фев-09, 07:57
	>Если нет таких команд, видимо синтаксис другой. Конкретно с этой моделью просто >не работал. Разобрался, только по каждому порту отдельно указывается (насколько я понял атериал на странице http://www.opennet.ru/docs/RUS/Catalyst/index.html) cisco(config)#interface FastEthernet 0/18 cisco(config)#switchport mode access cisco(config)#exit >Листинга в принципе достаточно. Если у вас все работает, то значит все >настроили верно. Хорошо, будем проверять.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]