VLAN, Access-List
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Reply to Thread
Page 1 of 2 12 LastLast
Results 1 to 10 of 13
VLAN, Access-List

Merhaba.Omurga switchin fiber portlarına L2 switchler ve bunlara pc ler bağlı.Omurganın fiber çıkışlarından bağımsız sadece Network IP bloklarına yönelik bir vlan yapmayı düşünüyoruz.Örneğin 10.5.1.0 bloğu vlan2/ 10.5.2.0 bloğu vlan3 gibi..Benim

  1. #1
    ayucelen is offline Member
    Join Date
    Dec 2007
    Posts
    48

    Arrow VLAN, Access-List

    Merhaba.Omurga switchin fiber portlarına L2 switchler ve bunlara pc ler bağlı.Omurganın fiber çıkışlarından bağımsız sadece Network IP bloklarına yönelik bir vlan yapmayı düşünüyoruz.Örneğin 10.5.1.0 bloğu vlan2/ 10.5.2.0 bloğu vlan3 gibi..Benim sormak istediğim şu.Benim pc yi nereye konumlandırayım ki ben bütün vlanlara erişebileyim.

  2. #2
    root is offline Moderator
    Join Date
    Jun 2007
    Location
    Ankara
    Posts
    1,409

    Default

    Merhaba,
    hangi vlan'da olursaniz olun eger vlanlara access-list uygulanmamis ise tum vlanlara erisebilirsiniz. ama vlan mantiginda genelde vlan 2 yonetici vlan olarak yapilandirilir ve ilk ip blogu bu vlana verilir. yani zaten vlan 1 switchlerin kendi ip adres bloklarinin oldugu management vlandir. bu da sizin yapinizda sanirim 10.5.1.0/24 olacaktir. vlan 2'yi ise 10.5.2.0/24 olarak ayarlayin ve ismini yonetici_vlan yapin. siz bu vlan da olun ve diger vlan'larin access-listlerinde 10.5.2.0/24 icin full erisim izni verin. sakin ola vlan 1'e access-list uygulamayin ve diger vlanlar'da vlan 1 yani 10.5.1.0/24 icin de erisim verin. bunun disindaki vlanlarda sadece kendi iclerinde erisime izin verin ve diger tum vlanlarla erisimini kesin.

    saygilar

  3. #3
    ayucelen is offline Member
    Join Date
    Dec 2007
    Posts
    48

    Default Vlan

    Yani vlan1 e dokunmayacam vlan 2 ise yönetici olacak sadece bu iki vlan, diğer vlanların acces-listlerinde full erişim izninde olacak olacak.Doğru anlamış mıyım?
    ,

  4. #4
    root is offline Moderator
    Join Date
    Jun 2007
    Location
    Ankara
    Posts
    1,409

    Default

    evet evet dogru anlamissiniz. vlan 1'e ip vermek disinda access-list uygulamayin cunku bu switchlerin kendi arasinda erisim icin kullandigi "management vlan" dir. vlan 2 ise benim size onerdigim kendinize yonetici_vlan olusturun dedigim vlandir. boyle bir mecburiyet yok, yanlis anlamayin herhangi bir vlan'i da (vlan 1 haric) kendinize ayirabilirsiniz. ve bu vlanlardan gelen her turlu istege, pakete diger vlanlar'da erisim olacak. diger vlan'larin access-listlerinde vlan 1 ve vlan 2'den gelen paketlere izin verin diyeceksiniz. ama diger vlanlar kendi istedikleri zaman bu vlanlara gelemeyecekler. bunu da access-list in/out mantigi ile halledersiniz. iste source su olursa destination su olursa suraya ulassin veya ulasmasin gibi.. zaten vlan 1 ve vlan 2'ye access-list uygulamayin. diger vlanlara access list yazin. kendi gatewaylarina ulasmak, kendi aralarinda haberlesmek disinda herseyi kapatin ve deyin ki source ip'si vlan 2'ye ait olan biri bu vlan'a geldiginde izin ver deyin. sanirim access-list'leri biliyorsunuzdur.

    selamlar

  5. #5
    dkwy Guest

    Default

    iyi günler,
    kurmus oldugum topolojide bir bilgiislem ana routera baglı 3 router var. 3 router 3 farklı fakülteyi temsil ediyor. bu 3 routera çeşitli sayılarda switchler bağlı. her bir switchte ayrı vlan tanımladım. konfigurasyonda bi sorun görnümüyor fakülteler arasında ping atabiliyorum. ancak standart access listle bir bilgisayardan cıkısı engellemek istiyorum. standart access listler de dogru tanımlıyorum ama hala yasak koydugum bilgisayardan, baska bir fakültedeki herhangi bir bilgisayara ping atmaya calıstıgımda, normalde yasaklı oldugu halde bu bilgisayardan paket gönderiliyor.
    sorunun ne oldugu yada nerden kaynaklanabilecegi konusunda bi fikriniz varmı ?
    bu sorumun cevabı çok acil lazım.. yardımlarınız için tesekkür ederim şimdiden..

  6. #6
    kozalak is offline Senior Member
    Join Date
    Sep 2008
    Posts
    457

    Default

    acces listi in yerine out olarak uyguluyor olabilirsin. ya da tam tersi out uygulayacağın yerde in uygulamış olabilirsin.

  7. #7
    GhoSt is offline Senior Member
    Join Date
    Dec 2007
    Location
    Ankara
    Posts
    1,664

    Default

    Quote Originally Posted by dkwy View Post
    iyi günler,
    kurmus oldugum topolojide bir bilgiislem ana routera baglı 3 router var. 3 router 3 farklı fakülteyi temsil ediyor. bu 3 routera çeşitli sayılarda switchler bağlı. her bir switchte ayrı vlan tanımladım. konfigurasyonda bi sorun görnümüyor fakülteler arasında ping atabiliyorum. ancak standart access listle bir bilgisayardan cıkısı engellemek istiyorum. standart access listler de dogru tanımlıyorum ama hala yasak koydugum bilgisayardan, baska bir fakültedeki herhangi bir bilgisayara ping atmaya calıstıgımda, normalde yasaklı oldugu halde bu bilgisayardan paket gönderiliyor.
    sorunun ne oldugu yada nerden kaynaklanabilecegi konusunda bi fikriniz varmı ?
    bu sorumun cevabı çok acil lazım.. yardımlarınız için tesekkür ederim şimdiden..
    access-list te bir yanlışlık olabilir ama buraya konfigürasyon ve topolojiyi yada packet tracer da yaptıysanız o şekilde koymazsanız bulma şansımız yok
    Mr.google knows everything , ask to him...

  8. #8
    dkwy Guest

    Default

    hocam, yaptıgım access list tanımlamaları fenef routerının içinde.
    in yapmıstım dısarı cıkısı engellerken ama ben yine de topolojiyi gönderiyorum.
    teşekkür ederim.

  9. #9
    GhoSt is offline Senior Member
    Join Date
    Dec 2007
    Location
    Ankara
    Posts
    1,664

    Default

    Normalde yaptığınız config doğru ancak packet tracer da bir enayilik war
    extended list le denerseniz o şekilde çalışıyor

    Router(config)#ip access-list extended deneme
    Router(config-ext-nacl)#deny ip host 10.90.20.10 any
    Router(config-ext-nacl)#permit ip any any
    Mr.google knows everything , ask to him...

  10. #10
    dkwy Guest

    Default

    router cıkısından, serialda ip access group out yaptım su anda oldu, static access list kısmı tamamlandı. ancak projede extended access list de kullanmam gerekiyor bunuda işte su bilgisayara filan porttan erişsin, filan porttan erişmesin gibi bi senaryo ile yapmam istendi ancak extenden listte acemiyim biraz daha. yanlısmı bilmyorum ama bildigim kadarıyla port açma filan gerekiyor onları. bu konuda de yardım ederseniz cok memnun olurum.

+ Reply to Thread
Page 1 of 2 12 LastLast

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts