Anasayfa » Forum

Vlanlar arası ACL
 

Vlanlar arası ACL  

  RSS
burak yolcu
(@burakyolcu)
Üye

Üstatlarım iyi günler iyi çalışmalar

vlan 10 20 30 gruplarımız var diyelim

Acl yazdığımda vlan 10 kendi arasında haberleşiyor vlan20 ve 30 vlan10'a ulaşamıyor ki vlan10 da vlan20 ve 30'a ulaşamıyor.

Benim sorunum Vlan10 diğer vlanlara ulaşsın ama vlan20 ve 30 vlan10'a ulaşamasın

Bunun için Acl kodunu yazabilirseniz çok minnettar kalırım.

Alıntı
Gönderildi : 31/05/2016 15:07
Zafer SEN
(@ZaferSEN)
Üye

Merhaba,

VACL (Vlan Access List) yapmak istiyorsunuz,

Vlan 10 10.10.10.0

Vlan 20 172.16.1.0

Vlan 30 192.168.1.0

ip adreslerinizin yukarıdaki gibi olduğunu varsayalım.

Switch#configure terminal

Switch(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255
Switch(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
Switch(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 any
(bu zaten yukarıdaki iki satırı içeriyor ama yukarıdaki mantığı anlamanız için yazdım)

 

Switch(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Switch(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
Switch(config)#access-list 102 permit ip 172.16.1.0 0.0.0.255 any

 

Switch(config)#access-list 103 deny ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Switch(config)#access-list 103 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Switch(config)#access-list 103 permit ip 192.168.1.0 0.0.0.255 any

 


Switch(config)#interface vlan 10
Switch(config-if)#ip access-group 101 in
Switch(config-if)#exit

Switch(config)#interface vlan 20
Switch(config-if)#ip access-group 102 in
Switch(config-if)#exit

Switch(config)#interface vlan 30
Switch(config-if)#ip access-group 103 in
Switch(config-if)#end

Vlan 10 management vlanı diye düşünüyorum, 20 ve 30'a erişecek ama Vlan 20 diğer iki vlana erişemeyecek, aynı şey vlan 30 için de geçerli.

yanlış hatırlamıyorsam böyle olması lazım, kolay gelsin.

CevapAlıntı
Gönderildi : 31/05/2016 20:31
burak yolcu
(@burakyolcu)
Üye

Üstat büyüksün baş tacısın süpersin 🙂

çok teşekkürler

CevapAlıntı
Gönderildi : 31/05/2016 22:25
Ibrahim Ayhan
(@ibrahimayhan)
Üye

Merhabalar Zafer ŞEN,

Konu ve Bilgi Paylaşımınız İçin Teşekkür Ediyorum, Yalnız Bir Konuda Tekrardan Bilgi Almam Gerekmetkedir.

Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.30.0 0.0.0.255
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.50.0 0.0.0.255
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.70.0 0.0.0.255

Switch(config)#access-list 101 permit ip 10.10.20.0 0.0.0.255 any

Belittiğiniz Şekilde Ayarlarımı VLAN' a Uyguladım, 10.10.1.254 DHCP Firewall ve 10.10.1.253 Backbone Olarak Kullanılmaktadır.

Sonrasında 10.10.1.240-252 Backbone Bağlı Switch Olarak Kullanılmaktadır.

Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.255

Yukarıdaki Gibi Ekleme Yaparsam Tamamen Erişim Kesilecektir. Yalnız Bunun Yerine Aralığı Belirterek Nasıl Erişim Engellemesi Yapabilirim ?

CevapAlıntı
Gönderildi : 23/02/2018 13:35
Zafer SEN
(@ZaferSEN)
Üye

merhaba

wildcard değerini subnet mask ile ters düşünün bu nedenle range için wildcard değeriyle oynayabilirsiniz.

örneğin:

access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.255 yaptığınızda bu ip networke erişmesin demiş oldunuz.

 

ama buradaki bazı ip adreslerine erişmesini istiyorsanız onları veya aralığını wildcard olarak düzeltirsiniz.

 

access-list 101 permit ip 10.10.20.0 0.0.0.255 10.10.1.240 0.0.0.15

access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.240

derseniz 10.10.1.241 ile 254 arasındaki ip'lere erişim vermiş olursunuz.

 

buradaki mantık şu, kırmızı renkli alanda wildcard 0.0.0.255 dediğiniz zaman ip networkün tamamı demiş olursunuz. subnetlere bölerek burada permit yada deny yapmanız mümkün.

aynı şekilde sarı alana doğru 0.0.0.255 dediğiniz zaman ip networkün tamamı demiş olursunuz, burada da subnetlere bölerek kullanabilirsiniz.

 

örnek olarak 10.10.20.0 networkünden ilk 14-15 ip adresinin permit olmasını istiyorsunuz. gerisini deny yapacaksınız.

access-list 101 permit ip 10.10.20.1 0.0.0.240 10.10.1.0 0.0.0.255

access-list 101 deny ip 10.10.20.254 0.0.0.15 10.10.1.0 0.0.0.255

 

https://supportforums.cisco.com/t5/wan-routing-and-switching/access-list-deny-range-of-ip-subnet/td-p/1821664

 

subnet mask ve wildcard hesaplamak için şu linki kullanabilirsiniz.

http://www.subnet-calculator.com/subnet.php?net_class=A

 

Not: buradaki tek kısıtınız, subnet yaparken  mask bit'den dolayı istediğiniz her aralığı rastgele kullanamıyorsunuz, mask bit hesaplamaya dikkat ederek subnet yapabilirsiniz. uygulamada ip range için bunu hiç yapmadım bu nedenle teoride yukarıdaki gibi ama cisco packet tracer ile denedikten sonra yapabilirsiniz.

CevapAlıntı
Gönderildi : 23/02/2018 14:29
Ibrahim Ayhan
(@ibrahimayhan)
Üye

Cevabınız İçin Çok Teşekkür Ediyorum Zafer ŞEN,

Belirtiğiniz Bilgilendirme Doğrultusunda Aşağıdaki Gibi ACL Tanımlaması Sonrasında Sorunsuz Şekilde Erişim Güvenliği Sağlanmıştır.

access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.253
access-list 101 permit ip 10.10.20.0 0.0.0.255 10.10.1.253 0.0.0.2
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.30.0 0.0.0.255
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.50.0 0.0.0.255
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.70.0 0.0.0.255
access-list 101 permit ip 10.10.20.0 0.0.0.255 any

CevapAlıntı
Gönderildi : 23/02/2018 18:43
Hüseyin Baduk
(@huseyinbaduk)
Üye

Çok teşekkürler zafer hocam

CevapAlıntı
Gönderildi : 17/08/2018 02:58
Paylaş:

Lütfen Giriş yap yada Kayıt ol