Subnets.ru

[Ramirez]

Доброго времени суток уважаемые !
Возникла у меня задача прикладного характера, постараюсь описать подробно.
Есть две сети - одна, назовем ее №1 на Cisco 2960 изолированная, у другой простой свич сервер-рутер с интернетом. Сети между собой не связанны.
Задача - войти в сеть №2 и выкладывать отчеты на сервер, при этом сеть №1 должна остатья изолированной - невидимой не из сети №2 не темболее из интернета.
Т. е. информация из сети №1 идет в одном направлении, обратного нет.
Посоветуйте что на эту тему почитать.
Хватит ли мне имеющегося оборудования либо нужно докупить. По безопастности приветствуются самые параноидальные советы.

[Андрей]

Хватит ли мне имеющегося оборудования либо нужно докупить.

Думаю, что хватит.

По безопастности приветствуются самые параноидальные советы.

acl не пробовали?

Если подсеть 1 и подсеть 2 - это виланы на 2960, то только acl. Ну и роутинг трафика между виланами.

Если acl - трудно, то поднять просто роутингдля сервера прописать статичные маршруты, а на ПК второй подсети пропиать гейтом модем.

А самый параноидальный совет - настроить на машинах файрволл или брендмауэр

[root]

привет

односторонняя маршрутизация = ничего не работает
односторонней маршрутизация быть не может, т.к. в любом обмене подразумевается как минимум два учасника

Задача - войти в сеть №2 и выкладывать отчеты на сервер

значит только сервер должен знать маршрут в сеть №1

Сети между собой не связанны.

вообще никак ?

Хватит ли мне имеющегося оборудования либо нужно докупить.

Cisco 2960

учти, что это L2 свич, он не может быть роутером
если есть возможность соединить сети №1 и №2 кабелем, то можно сделать просто изолированный влан, между сервером и компом с которого выкладывают отчеты, либо в том же влане, с помощью роутинга, но на сервере в сети №1 фаирволом запретить обмен с сетью №2 всем ипам, кроме того кто выкладыват отчет.

если сети соединить кабелем невозможно, то в сети №2 нужно установить сервер (или циску (например 2611, Б/У стоит 5К руб., у нас знакомый их продает)) и поднять туннель через Инет из сети №1 в сеть №2.

По безопастности приветствуются самые параноидальные советы.

ну а что тут м.б. параноидального, все стандартно, настроить фаирвол в точке через которую проходит обмен между подсетями.

[Ramirez]

Снова доброго дня всем кто ответил в теме!

На текущий момент курю хелпы по ACL как и посоветовал Андрей все в начальной стадии, но думаю осилить

По теме фаерволов поясню: Сеть №1 которая на Cisco есть промышленная система АСУ, т. е. обеспечивает связь между контроллерами и машинами операторов.
В принципе ее можно организовать и на простом D-link свиче, что собственно и было, но Cisco думаю надежнее .
По этому к изолированности тут свои требования.

Сеть №2 - бухгалтерия, сидит она не далеко физический линк до нее имеется, в нее сейчас смотрят нескольно ноутов.
На их сервак задача - отдать данные по техпроцессу. А там дальше программеры будут к ним лепить построители отчетов.
Тот сервер мне не подконтролен и от него нужно максимально изолироваться, и не только от него но и от всей бухгалтерской сетки.
Т. к. через сервер она смотрит в Интернет.

[Андрей]

Тот сервер мне не подконтролен и от него нужно максимально изолироваться, и не только от него но и от всей бухгалтерской сетки.Т. к. через сервер она смотрит в Интернет.

Ничего не понял. Вопрос решить можно acl, все в 2 строки:

Код: Выделить всё

permit ip <host1> <host2>
deny ip any any

таким образом можно явно указать с какого хоста на какой можно ходить трафику, через коммутатор, а остальные заблокировать.

ЗЫ. синтаксис может отличаться

[Ramirez]

Ну т. е. если в общих чертах - я беру машину, которая будет выкладывать файлы на "бух" сервер.
На вход порта смотрящего на "бух" сервер вешаю правило - отбрасывать всё.
На выход того же порта вешаю правило - разрешить обмен между конкретными хостами по протоколу IP (если я правильно понял протокол IP как раз и отвечает за обмен файлами по локалке).

[Андрей]

Ну т. е. если в общих чертах - я беру машину, которая будет выкладывать файлы на "бух" сервер.На вход порта смотрящего на "бух" сервер вешаю правило - отбрасывать всё.

Лучше виланами.

[Ramirez]

Другими словами я разделяю пространство портов Cisco на 2 Vlan
В первом моя локалка, во втором один порт - смотрящий на сервак.
Дальше маршрутизация между Vlan и ACL. Тогда сервак смотрящий во второй Vlan не проходит но ACL и не видит первый Vlan.
Но тогда сервак видит Cisco чего хотелось бы избежать.
Но можно создать еще один ACL и повесить его на конкретный порт - который смотрит в сторону сервера.

Вопрос ! Может ли Cisco 2960 маршрутизировать трафик между Vlan плюс фильтровать по ACL весь Vlan
(хотя все что я пока читал ACL вешается на порты Ciso)

[Андрей]

Вопрос ! Может ли Cisco 2960 маршрутизировать трафик между Vlan плюс фильтровать по ACL весь Vlan

нет, только коммутация.

Выход только портовый acl. ip acl я писал для роутера.

[root]

На текущий момент курю хелпы по ACL

тут все доступно описано: Configuring IP Access Lists

Дальше маршрутизация между Vlan и ACL.

а) такой маршрутизации не существует в принципе, маршрутизация осуществляется между разными подсетями
б) 2960 не умеет маршрутизировать трафик, это L2 свич, без поддержки L3

Может ли Cisco 2960 маршрутизировать трафик

нет - ответ в тексте выше

Выход только портовый acl

именно так, созданный ACL необходимо вешать на порты, а не на вланы