Forum
Merhaba
hp backbone olan sistemde aşağıdaki gibi bir senaryouı nasıl bir access list ile yapabilirim.
30.20.50.0 olan kamera networkümüz var. Bu network grubu içerisinde 30.20.50.12 ve 30.20.50.13 kamera server.
Bizim istediğimiz bu kamera network ip sinden ip alan bir bilgisayar diğer networklere ping atamasın, bağlanamasın.
bunu ip access list kısmında nasıl yapabilirim. açıkçası araştırdıklarımda bir konfig bulamadım.
2) Hangi durumlarda standart hangi durumlarda extendet yapılır
Merhaba,
Sadece source ip ye göre ACL yazacaksanız Standart işinizi görür, hem source hem destination ip hem de port bilgisine göre yazacaksanız Extended ACL yazmalısınız.
Bahsettiğiniz durum için Extended ACL kullanmalısınız.
Aşağıdaki link yardımcı olacaktır.
İlgili VLAN ların sonlandığı switch üzerinde hangi vlanlara erişilmesini veya erişilmemesini istiyorsanız inbound/outbound yönünde ACL uygulamalısınız.
merhaba
benim istediğim bizde 4 tane vlan var. bunlardan bir tanesi kamera vlan. kamera vlan 30 ip grubu 30.20.50.0 /23. burada değiğim gibi bir
kamera server var. 30.20.50.12 ve 13. bu kamera server'ı 6 tane güvenlik noktasından izleniyor. 6 güvenlik noktasındaki vlan 10 ve 20.20.50.12 ile 18 arası ip. bunlar bu kamera server'ı erişecekler.
Dediğiniz gibi extendet olacak.
bu duruma göre nasıl bir kural yazmalıyım. örnek yazabilirmisiniz
Aşağıdaki örnek ACL ile 20.20.50.0/24 subnetinden 30.20.50.0/24 subnetindeki cihazların tcp/80 portune erişim sağlanabilir.
Bunun dışında bu subnetteki ipler hiç bir yere tcp bağlantı kuramazlar.
"ip access-list extended "CAM"
10 permit tcp 20.20.50.0 0.0.0.255 30.20.50.0 0.0.0.255 eq 80
20 deny tcp 20.20.50.0 0.0.0.255 0.0.0.0 255.255.255.255
exit
vlan 10
ip access-group CAM in"
Switch markasına göre komutlar değişebilir, ancak temel mantık bu şekilde. Siz kendinize göre düzenleyebilirsiniz.
Hocam cevabınız için teşekkürler. bu duruma göre 30.20.50.0 /23 ip grubuna sahip bir ip örneğin 30.20.50.19 sadece kendi
ip aralığındaki cihazlarla iletişim kurabilir. başka bir yere ping dahi atamazlar doğrumu.
ACL bu şekilde yazıldı ise evet doğru, örnek bir kamera vlan acl komutları aşağıdaki gibidir, şimdi başka bir post için yazdım, bu post içinde ekleme yapmak istedim.
Merhaba,
Öncelikle yeni bir vlan oluşturmanız gerekli
config
vlan 10
name Kamera_VLAN
exit
Daha sonra bu VLAN' a swtich üzerindeki hangi portların erişeceğine karar verin, örneğin ilk iki port buraya ulaşacak ise;
config
interface 1-2
vlan 10 untagged
exit
Daha sonra bu vlan için boş bir ip havuzunu atayın, ama unutmayın bu ip adresini bu vlan içerisindeki cihazlar kullanmalı, bu da aslında mevcut yapınızda segmentasyon yapmak demektir. Bence başlamışken önce sunucu, istemci, kamera, printer gibi ayırırsanız daha doğru olur.
vlan 10
ip address 192.168.2.1 255.255.255.0
exit
Belirli IP adreslerine erişimi kontrol etmek için bir ACL oluşturmanız gerekecek. Örneğin sadece 192.168.2.10 ve 192.168.2.11 IP adreslerinin Kamera VLAN'ına erişmesine izin vermek istiyorsanız aşağıdaki gibi bir ACL oluşturabilirsiniz:
config
ip access-list extended Kamera_ACL
permit ip 192.168.2.10 255.255.255.255 any
permit ip 192.168.2.11 255.255.255.255 any
deny ip any any
exit
Son olarak bu ACL' i ilk tanımladığınız VLAN' a atamanız gerekli,
vlan 10
ip access-group Kamera_ACL in
exit
Not: eğer tek bir komut satırında hepsini yapacaksanız sürekli exit yazmanıza gerek yok. config ile başlayıp devam edebilirsiniz, en son exit ile çıkarsınız.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************