Toon posts:

[Cisco] 2950T Instellen poort alleen voor internet

Pagina: 1
Acties:
  • 124 views sinds 30-01-2008

vrijdag 14 november 2003 13:22

Acties:
  • SaURoN
  • Registratie: Januari 2001
  • Niet online

SaURoN

Topicstarter
Hey 2 "kleine" vraagjes,

1)
Ik ben nu bezig met een cisco 2950T switch, nu moet er 1 pc op die switch komen die eigenlijk alleen maar mag internetten en mailen. De router die ook DHCP doet zit gelijk op de switch. Maar hoe kan ik die ene poort nou eigenlijk afschermen dat hij alleen maar kan internetten en emailen bv?Ben al naar vlans aan het kijken geweest zodat je de rest afschermt maar dan moet het in een andere IP Range zitten? Heb de cisco databasejes etc al door gelopen. Heb wel wat kennis van cisco maar niet echt waar je van zegt U. Heeft iemand misschien een idee hoe ik dit het makkelijkste kan bewerkstelligen?

2)
Ik wil 2 cisco switches installeren, waar eigenlijk alle poorten maar alleen van mogen internetten en niks anders, ze mogen elkaar dus ook zeker niet zien.
Eigenlijk het zelfde als hier boven maar dan met allemaal poorten die elkaar niet mogen zien en niet met 1 poort en de rest mag elkaar wel zien.

Hoe kan ik dit het beste gaan oplossen?Iemand enige suggesties?

nog even klein vraagje tussen door wat is verschil tussen standaard image en enhanced image?

Thx alvast,

Sauron

vrijdag 14 november 2003 13:45

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 22-02 17:36

Equator

Crew Council

#whisky #barista

Ben niet super bekend met Cisco switches, maar wat dacht je van een access list die bepaald dat je op die poort alleen met tcp 80, 25, 80 naar buiten mogen.

vrijdag 14 november 2003 21:12

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Je zult dan toch een router moeten kopen.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

zaterdag 15 november 2003 23:56

Acties:
  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00

Maarten @klet.st

SaURoN schreef op 14 november 2003 @ 13:22:
Ik ben nu bezig met een cisco 2950T switch, nu moet er 1 pc op die switch komen die eigenlijk alleen maar mag internetten en mailen. De router die ook DHCP doet zit gelijk op de switch. Maar hoe kan ik die ene poort nou eigenlijk afschermen dat hij alleen maar kan internetten en emailen bv?Ben al naar vlans aan het kijken geweest zodat je de rest afschermt maar dan moet het in een andere IP Range zitten?
Gebruik van VLAN's is inderdaad een oplossing, maar...:

Je creeert daarmee twee (gescheiden) netwerken. Je normale netwerk, waar je vermoedelijk al een verbinding met Internet op hebt (naast die andere zaken die je voor bepaalde machines niet wilt) en een 'nieuw' netwerk, waar je alleen internet toegang op wilt.

Dat tweede, nieuwe netwerk zal op de een of andere manier toegang tot internet moeten krijgen. Aan je bestaande internet oplossing knopen wordt lastig, want dan zal je ook weer toegang tot de rest van het netwerk geven. Tenzij je bestaande manier van internet toegang op de een of andere manier een extra netwerk toegang kan geven tot internet. Aangezien je niet beschrijft hoe of wat je de toegang tot internet geregeld hebt wordt het lastig DE oplossing te geven.

Als het een PC is die in het bestaande netwerk toegang tot internet verzorgd dan kun je die met een tweede netwerkkaart uitrusten (die geen toegang krijgt tot het bestaande netwerk, maar alleen internet). Heb je een router dan heeft die misschien een vrije poort waar je het nieuwe netwerk op kan aansluiten om toegang tot internet te geven.


Zonder VLAN's zijn er natuurlijk ook wel mogelijkheden, ACL's zoals iemand aangeeft zou een oplossing kunnen zijn. Uit mijn hoofd weer ik niet of je op een Catalyst 2950T per poort ACL's kan toekennen, maar zo ja, dan verbied je voor de betreffende poorten alle toegang tot 'de rest' van het netwerk. Dit zou je kunnen doen door een andere adresrange te hanteren, magoe, dat is weer ff stap 2. VLAN's gebruiken is een mooiere oplossing.

zondag 16 november 2003 00:09

Acties:
  • hightower
  • Registratie: September 2001
  • Laatst online: 04-04-2024

hightower

SaURoN schreef op 14 november 2003 @ 13:22:
Hey 2 "kleine" vraagjes,

1)
Ik ben nu bezig met een cisco 2950T switch, nu moet er 1 pc op die switch komen die eigenlijk alleen maar mag internetten en mailen. De router die ook DHCP doet zit gelijk op de switch. Maar hoe kan ik die ene poort nou eigenlijk afschermen dat hij alleen maar kan internetten en emailen bv?Ben al naar vlans aan het kijken geweest zodat je de rest afschermt maar dan moet het in een andere IP Range zitten? Heb de cisco databasejes etc al door gelopen. Heb wel wat kennis van cisco maar niet echt waar je van zegt U. Heeft iemand misschien een idee hoe ik dit het makkelijkste kan bewerkstelligen?

2)
Ik wil 2 cisco switches installeren, waar eigenlijk alle poorten maar alleen van mogen internetten en niks anders, ze mogen elkaar dus ook zeker niet zien.
Eigenlijk het zelfde als hier boven maar dan met allemaal poorten die elkaar niet mogen zien en niet met 1 poort en de rest mag elkaar wel zien.

Hoe kan ik dit het beste gaan oplossen?Iemand enige suggesties?

nog even klein vraagje tussen door wat is verschil tussen standaard image en enhanced image?

Thx alvast,

Sauron
Een enhanced image is een volwaardig layer 3 image, je switch kun je dus configureren als een router. Dus Wat dirk-jan hierboven zegt hoeft dus niet.

Een standard image ondersteund alleen de basic layer 3 dingen, zoals rip. een enhanced kan bijvoorbeeld ook ospf aan.

specs: Sun Workstation Server Router Laptop

zondag 16 november 2003 09:20

Acties:
  • Predator
  • Registratie: Januari 2001
  • Laatst online: 08:33

Predator

Suffers from split brain

hightower schreef op 16 november 2003 @ 00:09:
[...]


Een enhanced image is een volwaardig layer 3 image, je switch kun je dus configureren als een router. Dus Wat dirk-jan hierboven zegt hoeft dus niet.

Een standard image ondersteund alleen de basic layer 3 dingen, zoals rip. een enhanced kan bijvoorbeeld ook ospf aan.
Een enhanced image betekent gewoon dat de switch extra functionaliteiten heeft op layer 3 zoals bv. extra filtering mogelijkheden.

Dat maakt hem nog geen layer-3 switch. De 2950 is geen multilayer switch.

Ik zou toch liever elk toestel in een andere VLAN plaatsen en via een inter-vlan router internet & DHCP voorzien, dan ACL's per poort op die switch te voorzien.

Maar dat heeft ook wel met mijn afkeer van ACL's te maken. :+

Everybody lies | BFD rocks ! | PC-specs

maandag 17 november 2003 09:27

Acties:
  • SaURoN
  • Registratie: Januari 2001
  • Niet online

SaURoN

Topicstarter
Maarten.O schreef op 15 november 2003 @ 23:56:
[...]


Gebruik van VLAN's is inderdaad een oplossing, maar...:

Je creeert daarmee twee (gescheiden) netwerken. Je normale netwerk, waar je vermoedelijk al een verbinding met Internet op hebt (naast die andere zaken die je voor bepaalde machines niet wilt) en een 'nieuw' netwerk, waar je alleen internet toegang op wilt.

Dat tweede, nieuwe netwerk zal op de een of andere manier toegang tot internet moeten krijgen. Aan je bestaande internet oplossing knopen wordt lastig, want dan zal je ook weer toegang tot de rest van het netwerk geven. Tenzij je bestaande manier van internet toegang op de een of andere manier een extra netwerk toegang kan geven tot internet. Aangezien je niet beschrijft hoe of wat je de toegang tot internet geregeld hebt wordt het lastig DE oplossing te geven.

Als het een PC is die in het bestaande netwerk toegang tot internet verzorgd dan kun je die met een tweede netwerkkaart uitrusten (die geen toegang krijgt tot het bestaande netwerk, maar alleen internet). Heb je een router dan heeft die misschien een vrije poort waar je het nieuwe netwerk op kan aansluiten om toegang tot internet te geven.


Zonder VLAN's zijn er natuurlijk ook wel mogelijkheden, ACL's zoals iemand aangeeft zou een oplossing kunnen zijn. Uit mijn hoofd weer ik niet of je op een Catalyst 2950T per poort ACL's kan toekennen, maar zo ja, dan verbied je voor de betreffende poorten alle toegang tot 'de rest' van het netwerk. Dit zou je kunnen doen door een andere adresrange te hanteren, magoe, dat is weer ff stap 2. VLAN's gebruiken is een mooiere oplossing.
De toegang word nu gewoon geregelt door een router die aan de switch hangt.
Ik zal straks eens even gaankijken naar ACL's of dat per poort kan..

Thx alvast mensen.
Iemand nog wat andere manier die ik ook nog even kan nalopen?

dinsdag 18 november 2003 12:42

Acties:
  • SaURoN
  • Registratie: Januari 2001
  • Niet online

SaURoN

Topicstarter
Kleine schop :P

woensdag 19 november 2003 14:52

Acties:
  • Die Bruine
  • Registratie: December 2002
  • Laatst online: 06-02 13:48

Die Bruine

Ik ga er nu van uit dat dit voor thuis is...

Dan heb je dus een router die kan filteren. Ben er nog geen 1 tegen gekomen die het niet kan. In de huis en thuin routers kun je aangeven wat een specifiek adres wel en niet mag. Scherm hem dan op die manier af van de rest. Geef de machine die allen dit soort dingen mag dan het specifieke adres.
Wil je dit voor bezoekers doen, dan kun je iedereen een vast adres geven en DHCP aanzetten voor alleen dit adres, waar je restricties op heb gelegd. Zo ben jij blij, en de gebruiker die gewoon DHCP aanzet en meteen kan interpretten en mail checken.

Als dit voor werk is wil ik graag types horen. Dan kan ik zeggen wat je moet doen...

...heeft geleerd vandaag al te doen wat morgen pas hoeft te gebeuren

woensdag 19 november 2003 16:49

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Switch is een Cisco 2950T zoals aangegeven in de startpost

Router is een Netopia R910

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

woensdag 19 november 2003 17:43

Acties:
  • SaURoN
  • Registratie: Januari 2001
  • Niet online

SaURoN

Topicstarter
Biposto schreef op 19 november 2003 @ 14:52:
Ik ga er nu van uit dat dit voor thuis is...

Dan heb je dus een router die kan filteren. Ben er nog geen 1 tegen gekomen die het niet kan. In de huis en thuin routers kun je aangeven wat een specifiek adres wel en niet mag. Scherm hem dan op die manier af van de rest. Geef de machine die allen dit soort dingen mag dan het specifieke adres.
Wil je dit voor bezoekers doen, dan kun je iedereen een vast adres geven en DHCP aanzetten voor alleen dit adres, waar je restricties op heb gelegd. Zo ben jij blij, en de gebruiker die gewoon DHCP aanzet en meteen kan interpretten en mail checken.

Als dit voor werk is wil ik graag types horen. Dan kan ik zeggen wat je moet doen...
Zoals roroo al aangeeft is het werk, ik denk niet dat mensen zo snel een Cisco 2950T neer zetten voor thuis ;)
euhm ja wat voor type's heb je nog meer nodig? Meeste staat toch al in startpost?
Als je nog meer info nodig hebt hoor ik het graag, ben al met die ACL's bezig geweest maar dat gaat niet echt doen wat ik bedoel ;(

donderdag 20 november 2003 15:15

Acties:
  • Die Bruine
  • Registratie: December 2002
  • Laatst online: 06-02 13:48

Die Bruine

Hmm, xal p r o b e r e n beter te lezen :)

Maar goed, tenzij die router kan trunken gaat het niet netjes opgelost worden middels aparte vlans. Niet met 1 router in elk geval. Je zult met vaste/gereserveerde ip adressen icm met een access-list moeten werken.

...heeft geleerd vandaag al te doen wat morgen pas hoeft te gebeuren

donderdag 20 november 2003 17:57

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Biposto schreef op 20 november 2003 @ 15:15:
Hmm, xal p r o b e r e n beter te lezen :)

Maar goed, tenzij die router kan trunken gaat het niet netjes opgelost worden middels aparte vlans. Niet met 1 router in elk geval. Je zult met vaste/gereserveerde ip adressen icm met een access-list moeten werken.
Dan denk ik dat we dat moeten doen óf een andere router aanschaffen :?

demn

dat zuigt

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

donderdag 20 november 2003 22:14

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

ACl op dit type swirtch werkt dus niet. Zoals predator al zegt je zal een routern on a stick moeten gebruiken en de filter functie op de router moeten plaatens. Wil je voorkomen dat de computers elkaar kunnen zien dan zal je secure VLAN moeten maken. Ik weet dat ze bestaan want het netwerkbeheer op mijn werk gebruikt ze voor ons Management lan. Ja wij hebben een apart management lan. hier managen wij dan weer 12000 routrers vandaan

donderdag 20 november 2003 23:21

Acties:
  • Die Bruine
  • Registratie: December 2002
  • Laatst online: 06-02 13:48

Die Bruine

Ik weet natuurlijk niet hoeveel clients je hebt, maar ik zou zelf gewoon vaste IP adressen gebruiken en dan lekker met access-lists werken.

Een cisco router is toch wel even prijzig. Al zou een 2600 al voldoen. BTW router on a stick wat wordt voorgesteld is dus wat ik bedoel met trunken tot in de switch.

[ Voor 38% gewijzigd door Die Bruine op 21-11-2003 07:15 ]

...heeft geleerd vandaag al te doen wat morgen pas hoeft te gebeuren

vrijdag 21 november 2003 09:55

Acties:
  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 19-02 13:35

RoRoo

Certified Prutser

Biposto schreef op 20 november 2003 @ 23:21:
Ik weet natuurlijk niet hoeveel clients je hebt, maar ik zou zelf gewoon vaste IP adressen gebruiken en dan lekker met access-lists werken.

Een cisco router is toch wel even prijzig. Al zou een 2600 al voldoen. BTW router on a stick wat wordt voorgesteld is dus wat ik bedoel met trunken tot in de switch.
We zijn het eerst hier op de zaak aan het testen (6 clients) maar het is de bedoeling dat we het gaan uitzetten bij een hotel. +/- 300 kamers. en om de gasten uit te gaan leggen dat ze een handmatig IP moeten gaan instellen is niet te doen..

Dus een andere router zal dan de oplossing moeten zijn.. Jammer.

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku

zaterdag 22 november 2003 18:09

Acties:
  • SaURoN
  • Registratie: Januari 2001
  • Niet online

SaURoN

Topicstarter
hmm ja zeer jammer.....Maar met 6 pc's zou het bij ons op de zaak toch nog wel te doen zijn.
Maandag ff gucken want nog geen tijd gehad om dat met ACL's te proberen

zondag 23 november 2003 20:22

Acties:

Verwijderd

Je zou eens kunnen kijken naar de Cisco BroadBand Service Manager (BBSM) http://www.cisco.com/en/U...heet09186a00801aed95.html dat is een apparaat dat speciaal voor dit soort dingen gebouwd is. Erg leuke functie is, dat hij onafhankelijk van de IP configuratie op de clients hun requests beantwoordt... heeft de client een statisch IP adres... geen probleem, de BBSM doet gewoon net alsof hij de ingestelde default gateway is... dynamisch adres, prima, krijgt de client een IP adres. Proxy server geconfigureerd? De BBSM antwoordt de requests alsof hij een proxy server is. Verder kan hij integreren met je hotel-billing systeem..

Ik heb zelf overigens geen ervaring met dit apparaat, maar iemand van Cisco vertelde erover en het klinkt als een leuk apparaat voor dit soort toepassingen...

donderdag 27 november 2003 15:50

Acties:
  • SaURoN
  • Registratie: Januari 2001
  • Niet online

SaURoN

Topicstarter
Thx zal er even naar kijken.

Zo ben nu even bezig geweest hier op de zaak, heb de aparte pc in een vlan gegooit. Alles goed tot nu toe alleen hij krijgt nu ook geen IP meer van de DHCP server?Hoe kan ik dat oplossen en hoe krijg ik het in vredesnaam voor elkaar dat ik wel kan internetten/mailen en een IP krijg van de DHCP server? Want volgens mijn gedachten gang is dat ding nu zo geisolleerd als remi op de noordpool?

Iemand enige tip voor mij?

donderdag 27 november 2003 23:09

Acties:
  • Die Bruine
  • Registratie: December 2002
  • Laatst online: 06-02 13:48

Die Bruine

Ehm,

Heb je een ip helper-address geconfigureerd? Als de DHCP in een ander netwerk staat (gezien het aparte vlan dat je noemt) moet je een ip helper-address configureren. Dit commando (kan per vendor verschillen) zorgt er voor dat het DHCP verzoek bij de juiste server terecht komt.

Ik hoop deze maand nog een 3550 EMI binnen te krijgen. Dit is een Advanced Layer 3 switch in de wat goedkopere klasse. Deze zou ook al aan al jouw verzoeken kunnen voldoen volgens de specs. Misschien een alternatief voor jullie?!? IPV en een router en een switch. Dan maar alles in 1.

...heeft geleerd vandaag al te doen wat morgen pas hoeft te gebeuren

vrijdag 28 november 2003 12:16

Acties:
  • SaURoN
  • Registratie: Januari 2001
  • Niet online

SaURoN

Topicstarter
Heb nu maar gewoon even aparte poort van de router naar cisco switch gedaan en beiden in aparte vlan gedaan. Dit werkt nu mooi, anderepoorten zien elkaar nog gewoon behalve die 2 en met poort scans etc, kom ik er nu ook niet in.
Nog even verder testen hoe en wat :)

vrijdag 27 augustus 2004 21:52

Acties:
  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 31-01 20:06

pablo_p

Volgens mij is de oplossing redelijk eenvoudig: private vlans. Dat concept is hiervoor speciaal bedacht.

Zet de poort van de router in de 'general' group, en alle poorten in een private port. Nu kunnen alle poorten alleen praten met de 'general' port (dus de router), maar niet met alle andere private ports.

Je hebt dan geen trunking nodig (router on a stick).

Je kan gewoon een subnet gebruiken voor alle pc's, een (1) dhcp server. Maak wel een access-list die verkeer van het inside netwerk naar het inside netwerk blockt, om te voorkomen dat pc's met elkaar praten via de router.

vrijdag 27 augustus 2004 22:05

Acties:
  • pablo_p
  • Registratie: Januari 2000
  • Laatst online: 31-01 20:06

pablo_p

Het private vlan's concept kan je op een 2950 configureren mbv van protected ports: maak alle poorten met pc's protected ports.

http://www.cisco.com/en/U...pter09186a00800d6a38.html

Configuring Protected Ports
Some applications require that no traffic be forwarded between ports on the same switch so that one neighbor does not see the traffic generated by another neighbor. In such an environment, the use of protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between these ports on the switch.

Protected ports have these features:

A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port. Traffic cannot be forwarded between protected ports at Layer 2; all traffic passing between protected ports must be forwarded through a Layer 3 device.


Forwarding behavior between a protected port and a nonprotected port proceeds as usual.


The default is to have no protected ports defined.

A protected port cannot be a secure port.

You can configure protected ports on a physical interface (for example, Gigabit Ethernet 0/1) or an EtherChannel group (for example, port-channel 5). When you enable protected ports for a port channel, it is enabled for all ports in the port-channel group.

Beginning in privileged EXEC mode, follow these steps to define a port as a protected port:


Command Purpose
Step 1
configure terminal
Enter global configuration mode.

Step 2
interface interface-id
Specify the type and number of the physical interface to configure, for example gigabitethernet0/1, and enter interface configuration mode.

Step 3
switchport protected
Configure the interface to be a protected port.

Step 4
end
Return to privileged EXEC mode.

Step 5
show interfaces interface-id switchport
Verify your entries.

Step 6
copy running-config startup-config
(Optional) Save your entries in the configuration file.

vrijdag 27 augustus 2004 23:42

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 22-02 20:24

Koffie

Koffiebierbrouwer

Braaimeneer

Bedankt voor de hulp, maar laten we er maar vanuit gaan dat hij bijna een jaar later al iet gevonden zal hebben ;)

Tijd voor een nieuwe sig..

Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq