Forum

Hp Access List yazm...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Hp Access List yazma

6 Yazılar
3 Üyeler
0 Reactions
3,041 Görüntüleme
(@ali_koca)
Gönderiler: 672
Noble Member
Konu başlatıcı
 

Merhaba

hp backbone olan sistemde aşağıdaki gibi bir senaryouı  nasıl bir access list ile yapabilirim.

30.20.50.0 olan kamera networkümüz var. Bu network grubu içerisinde 30.20.50.12 ve 30.20.50.13 kamera server.

Bizim istediğimiz bu kamera network ip sinden ip alan bir bilgisayar diğer networklere ping atamasın, bağlanamasın.

bunu ip access list kısmında nasıl yapabilirim. açıkçası araştırdıklarımda bir konfig bulamadım.

2) Hangi durumlarda standart hangi durumlarda extendet yapılır

Bu konu 4 yıl önce Ali_KOCA tarafından düzenlendi
 
Gönderildi : 03/02/2021 11:44

(@erdemavci)
Gönderiler: 41
Trusted Member
 

Merhaba,

Sadece source ip ye göre ACL yazacaksanız Standart işinizi görür, hem source hem destination ip hem de port bilgisine göre yazacaksanız Extended ACL yazmalısınız.

Bahsettiğiniz durum için Extended ACL kullanmalısınız.

Aşağıdaki link yardımcı olacaktır.

https://techhub.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998-8151_ra_2620_asg/content/ch10s05.html

İlgili VLAN ların sonlandığı switch üzerinde hangi vlanlara erişilmesini veya erişilmemesini istiyorsanız inbound/outbound yönünde ACL uygulamalısınız. 

 

 
Gönderildi : 03/02/2021 15:28

(@ali_koca)
Gönderiler: 672
Noble Member
Konu başlatıcı
 

@erdemavci

merhaba

benim istediğim bizde 4 tane vlan var. bunlardan bir tanesi kamera vlan. kamera vlan 30   ip grubu 30.20.50.0 /23. burada değiğim gibi bir 

kamera server var. 30.20.50.12 ve 13. bu kamera server'ı 6 tane güvenlik noktasından izleniyor. 6 güvenlik noktasındaki vlan 10 ve 20.20.50.12 ile 18 arası ip. bunlar bu kamera server'ı erişecekler.

Dediğiniz gibi extendet olacak.

 

bu duruma göre nasıl bir kural yazmalıyım. örnek yazabilirmisiniz

Bu ileti 4 yıl önce Ali_KOCA tarafından düzenlendi
 
Gönderildi : 03/02/2021 19:39

(@erdemavci)
Gönderiler: 41
Trusted Member
 

Aşağıdaki örnek ACL ile 20.20.50.0/24 subnetinden 30.20.50.0/24 subnetindeki cihazların tcp/80 portune erişim sağlanabilir.

Bunun dışında bu subnetteki ipler hiç bir yere tcp bağlantı kuramazlar.

"ip access-list extended "CAM"
10 permit tcp 20.20.50.0 0.0.0.255 30.20.50.0 0.0.0.255 eq 80
20 deny tcp 20.20.50.0 0.0.0.255 0.0.0.0 255.255.255.255
exit

vlan 10
ip access-group CAM in"

 

Switch markasına göre komutlar değişebilir, ancak temel mantık bu şekilde. Siz kendinize göre düzenleyebilirsiniz.

 

 
Gönderildi : 04/02/2021 15:35

(@ali_koca)
Gönderiler: 672
Noble Member
Konu başlatıcı
 

@erdemavci

Hocam cevabınız için teşekkürler. bu duruma göre  30.20.50.0 /23  ip grubuna sahip bir ip örneğin 30.20.50.19 sadece kendi 

ip aralığındaki cihazlarla iletişim kurabilir. başka bir yere ping dahi atamazlar doğrumu.

 
Gönderildi : 04/02/2021 15:56

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33320
Illustrious Member Yönetici
 

ACL bu şekilde yazıldı ise evet doğru, örnek bir kamera vlan acl komutları aşağıdaki gibidir, şimdi başka bir post için yazdım, bu post içinde ekleme yapmak istedim.

Merhaba,

Öncelikle yeni bir vlan oluşturmanız gerekli

config
vlan 10
name Kamera_VLAN
exit

Daha sonra bu VLAN' a swtich üzerindeki hangi portların erişeceğine karar verin, örneğin ilk iki port buraya ulaşacak ise;

config
interface 1-2
vlan 10 untagged
exit

Daha sonra bu vlan için boş bir ip havuzunu atayın, ama unutmayın bu ip adresini bu vlan içerisindeki cihazlar kullanmalı, bu da aslında mevcut yapınızda segmentasyon yapmak demektir. Bence başlamışken önce sunucu, istemci, kamera, printer gibi ayırırsanız daha doğru olur.

vlan 10
ip address 192.168.2.1 255.255.255.0
exit

Belirli IP adreslerine erişimi kontrol etmek için bir ACL oluşturmanız gerekecek. Örneğin sadece 192.168.2.10 ve 192.168.2.11 IP adreslerinin Kamera VLAN'ına erişmesine izin vermek istiyorsanız aşağıdaki gibi bir ACL oluşturabilirsiniz:

config
ip access-list extended Kamera_ACL
permit ip 192.168.2.10 255.255.255.255 any
permit ip 192.168.2.11 255.255.255.255 any
deny ip any any
exit

Son olarak bu ACL' i ilk tanımladığınız VLAN' a atamanız gerekli,

vlan 10
ip access-group Kamera_ACL in
exit

Not: eğer tek bir komut satırında hepsini yapacaksanız sürekli exit yazmanıza gerek yok. config ile başlayıp devam edebilirsiniz, en son exit ile çıkarsınız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 09/09/2023 13:23

Paylaş: