Forum
Üstatlarım iyi günler iyi çalışmalar
vlan 10 20 30 gruplarımız var diyelim
Acl yazdığımda vlan 10 kendi arasında haberleşiyor vlan20 ve 30 vlan10'a ulaşamıyor ki vlan10 da vlan20 ve 30'a ulaşamıyor.
Benim sorunum Vlan10 diğer vlanlara ulaşsın ama vlan20 ve 30 vlan10'a ulaşamasın
Bunun için Acl kodunu yazabilirseniz çok minnettar kalırım.
Merhaba,
VACL (Vlan Access List) yapmak istiyorsunuz,
Vlan 10 10.10.10.0
Vlan 20 172.16.1.0
Vlan 30 192.168.1.0
ip adreslerinizin yukarıdaki gibi olduğunu varsayalım.
Switch#configure terminal
Switch(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 192.168.1.0 0.0.0.255
Switch(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 172.16.1.0 0.0.0.255
Switch(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 any (bu zaten yukarıdaki iki satırı içeriyor ama yukarıdaki mantığı anlamanız için yazdım)
Switch(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Switch(config)#access-list 102 deny ip 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
Switch(config)#access-list 102 permit ip 172.16.1.0 0.0.0.255 any
Switch(config)#access-list 103 deny ip 192.168.1.0 0.0.0.255 10.10.10.0 0.0.0.255
Switch(config)#access-list 103 deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Switch(config)#access-list 103 permit ip 192.168.1.0 0.0.0.255 any
Switch(config)#interface vlan 10
Switch(config-if)#ip access-group 101 in
Switch(config-if)#exit
Switch(config)#interface vlan 20
Switch(config-if)#ip access-group 102 in
Switch(config-if)#exit
Switch(config)#interface vlan 30
Switch(config-if)#ip access-group 103 in
Switch(config-if)#end
Vlan 10 management vlanı diye düşünüyorum, 20 ve 30'a erişecek ama Vlan 20 diğer iki vlana erişemeyecek, aynı şey vlan 30 için de geçerli.
yanlış hatırlamıyorsam böyle olması lazım, kolay gelsin.
Üstat büyüksün baş tacısın süpersin 🙂
çok teşekkürler
Merhabalar Zafer ŞEN,
Konu ve Bilgi Paylaşımınız İçin Teşekkür Ediyorum, Yalnız Bir Konuda Tekrardan Bilgi Almam Gerekmetkedir.
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.30.0 0.0.0.255
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.50.0 0.0.0.255
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.70.0 0.0.0.255
Switch(config)#access-list 101 permit ip 10.10.20.0 0.0.0.255 any
Belittiğiniz Şekilde Ayarlarımı VLAN' a Uyguladım, 10.10.1.254 DHCP Firewall ve 10.10.1.253 Backbone Olarak Kullanılmaktadır.
Sonrasında 10.10.1.240-252 Backbone Bağlı Switch Olarak Kullanılmaktadır.
Switch(config)#access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.255
Yukarıdaki Gibi Ekleme Yaparsam Tamamen Erişim Kesilecektir. Yalnız Bunun Yerine Aralığı Belirterek Nasıl Erişim Engellemesi Yapabilirim ?
merhaba
wildcard değerini subnet mask ile ters düşünün bu nedenle range için wildcard değeriyle oynayabilirsiniz.
örneğin:
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.255 yaptığınızda bu ip networke erişmesin demiş oldunuz.
ama buradaki bazı ip adreslerine erişmesini istiyorsanız onları veya aralığını wildcard olarak düzeltirsiniz.
access-list 101 permit ip 10.10.20.0 0.0.0.255 10.10.1.240 0.0.0.15
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.240
derseniz 10.10.1.241 ile 254 arasındaki ip'lere erişim vermiş olursunuz.
buradaki mantık şu, kırmızı renkli alanda wildcard 0.0.0.255 dediğiniz zaman ip networkün tamamı demiş olursunuz. subnetlere bölerek burada permit yada deny yapmanız mümkün.
aynı şekilde sarı alana doğru 0.0.0.255 dediğiniz zaman ip networkün tamamı demiş olursunuz, burada da subnetlere bölerek kullanabilirsiniz.
örnek olarak 10.10.20.0 networkünden ilk 14-15 ip adresinin permit olmasını istiyorsunuz. gerisini deny yapacaksınız.
access-list 101 permit ip 10.10.20.1 0.0.0.240 10.10.1.0 0.0.0.255
access-list 101 deny ip 10.10.20.254 0.0.0.15 10.10.1.0 0.0.0.255
subnet mask ve wildcard hesaplamak için şu linki kullanabilirsiniz.
http://www.subnet-calculator.com/subnet.php?net_class=A
Not: buradaki tek kısıtınız, subnet yaparken mask bit'den dolayı istediğiniz her aralığı rastgele kullanamıyorsunuz, mask bit hesaplamaya dikkat ederek subnet yapabilirsiniz. uygulamada ip range için bunu hiç yapmadım bu nedenle teoride yukarıdaki gibi ama cisco packet tracer ile denedikten sonra yapabilirsiniz.
Cevabınız İçin Çok Teşekkür Ediyorum Zafer ŞEN,
Belirtiğiniz Bilgilendirme Doğrultusunda Aşağıdaki Gibi ACL Tanımlaması Sonrasında Sorunsuz Şekilde Erişim Güvenliği Sağlanmıştır.
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.1.0 0.0.0.253
access-list 101 permit ip 10.10.20.0 0.0.0.255 10.10.1.253 0.0.0.2
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.10.0 0.0.0.255
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.30.0 0.0.0.255
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.50.0 0.0.0.255
access-list 101 deny ip 10.10.20.0 0.0.0.255 10.10.70.0 0.0.0.255
access-list 101 permit ip 10.10.20.0 0.0.0.255 any
Çok teşekkürler zafer hocam