Vlan e accessibilità interna/esterna

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
lucafrancesca88
Cisco fan
Messaggi: 29
Iscritto il: ven 31 ago , 2012 7:47 am
Località: Milano
Contatta:
Contatta lucafrancesca88

Scenario:
Router on a stick con Vlan2 su 10.0.0.0/8 e Vlan3 su 192.168.0.0/24
(lasciando perdere lo spreco di host/network per il momento.)
Una volta configurate le interfaccie sullo switch e le sub-interfaccie sul router e i vari gateway i pc sulle due vlan si parlano.
Ma nel caso volessi usare PAT e uscire su internet con le due vlan indifferentemente e volessi però poter entrare nella vlan1, per azioni di amministrazione, dall'esterno?
E poi, con una ACL, come nego l'accesso oltre a quello autorizzato?
Intanto ci penso ma cmq la lascio anche a voi come domanda

Sciao
"Only two things are infinite, the universe and human stupidity,
and I'm not sure about the former." (Albert Einstein)
Top
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

lucafrancesca88 ha scritto:Scenario:
Ma nel caso volessi usare PAT e uscire su internet con le due vlan indifferentemente
Questa è una banalità, il router avrà un' interfaccia dsl immagino, basta che crei un acl che matcha il traffico delle due vlan e lo inserisci nel comanso ip nat inside source list (acl) ecc.

ovviamente le sub interfacce devono essere dichiarate inside e la dialer sarà dichiarata outside.
e volessi però poter entrare nella vlan1, per azioni di amministrazione, dall'esterno?
E poi, con una ACL, come nego l'accesso oltre a quello autorizzato?
Intanto ci penso ma cmq la lascio anche a voi come domanda
Questo mi sa che risulta difficile da implementare perchè il traffico che entra nella vlan 1 e proveniente da internet avrà per sorgente sempre un ip pubblico e quindi, a meno che tu da internet non ti presenti sempre con uno stesso ip, è impossibile con la sola acl. Per limitare comunque l'accesso puoi permettere il traffico da internet verso ip interni solo su determinate porte, ma niente di +, usando poi robuste password sugli host che devi manutenere.
CCNA Security,CCDP, CCNP R&S
Top
Avatar utente
lucafrancesca88
Cisco fan
Messaggi: 29
Iscritto il: ven 31 ago , 2012 7:47 am
Località: Milano
Contatta:
Contatta lucafrancesca88

scolpi ha scritto:
Questo mi sa che risulta difficile da implementare perchè il traffico che entra nella vlan 1 e proveniente da internet avrà per sorgente sempre un ip pubblico e quindi, a meno che tu da internet non ti presenti sempre con uno stesso ip, è impossibile con la sola acl. Per limitare comunque l'accesso puoi permettere il traffico da internet verso ip interni solo su determinate porte, ma niente di +, usando poi robuste password sugli host che devi manutenere.

Grazie per i consigli :D
"Only two things are infinite, the universe and human stupidity,
and I'm not sure about the former." (Albert Einstein)
Top
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Per l'amministrazione puoi mettere su una VPN.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Top
Avatar utente
lucafrancesca88
Cisco fan
Messaggi: 29
Iscritto il: ven 31 ago , 2012 7:47 am
Località: Milano
Contatta:
Contatta lucafrancesca88

paolomat75 ha scritto:Per l'amministrazione puoi mettere su una VPN.

Paolo
Mmm.. non ho ancora avuto modo di toccarla dall'altro lato del bancone :mrgreen:
"Only two things are infinite, the universe and human stupidity,
and I'm not sure about the former." (Albert Einstein)
Top
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Quando hai una configurazione più o meno funzionante, e ti serve una mano, buttala su e vediamo di sistemarla.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Top
Rispondi

Torna a “Configurazioni”