ACL на MES2308p запрет на всё кроме http
Добавлено: 19 окт 2022 16:43
Здравствуйте, развёрнута сеть в которой необходимо иметь портальную авторизацию на 2 SSID -guest и corp
на сети следующее оборудование: 3шт wep3ax(10.1.23.33-35 идут от mes), MES2308P(10.1.23.31), ,gateway cisco коммутатор(10.1.23.100 uplink! ), SOFTWLC UBUNTU(10.1.23.30).
сеть разделена на vlan -23vlan-management-оборудование,
25vlan сотрудники,
4016vlan для гостей.
На коммутаторе необходимо настроить с помощью ACL запрет для vlan4016 - на все другие ресурсы компании, кроме HTTP / HTTPS - чтобы был только выход в интернет через браузер. +не было доступа до web-интерфейса ТД которые находятся в 23 vlan.
на точках доступа ssid vlan id настроены на 4016 и 25vlan,а terminating mgmt vlan=23.
на коммутаторе dhcp серверы на vlan и следующие настройки интерфейсов
interface gigabitethernet1/0/3
description to_ap_34
switchport mode trunk
switchport trunk allowed vlan add 23,25,4016
interface vlan 23
exit
interface gigabitethernet1/0/7
description to_10.1.23.100_2
switchport mode trunk
switchport trunk allowed vlan add 23,25,4016
exit
!
interface vlan 23
ip address 10.1.23.31 255.255.255.0
exit
!
interface vlan 25
ip address 10.1.25.31 255.255.255.0
exit
!
interface vlan 4016
ip address 192.168.22.1 255.255.255.0
подскажите пожалуйста какие настройки ACL надо прописать?
--- также на коммутаторе mes2308p развернуты dhcp серверы для этих vlanов. Возможно ли с помощью ACL запретить раздавать адреса на uplink циску(10.1.23.100)? там они не нужны, только в сторону точек доступа. ситуация: кто то пришел подключился к розетке и получил адрес от коммутатора на vlan25 - недопустима. vlan 25 за циско существует на статических адресах.
на сети следующее оборудование: 3шт wep3ax(10.1.23.33-35 идут от mes), MES2308P(10.1.23.31), ,gateway cisco коммутатор(10.1.23.100 uplink! ), SOFTWLC UBUNTU(10.1.23.30).
сеть разделена на vlan -23vlan-management-оборудование,
25vlan сотрудники,
4016vlan для гостей.
На коммутаторе необходимо настроить с помощью ACL запрет для vlan4016 - на все другие ресурсы компании, кроме HTTP / HTTPS - чтобы был только выход в интернет через браузер. +не было доступа до web-интерфейса ТД которые находятся в 23 vlan.
на точках доступа ssid vlan id настроены на 4016 и 25vlan,а terminating mgmt vlan=23.
на коммутаторе dhcp серверы на vlan и следующие настройки интерфейсов
interface gigabitethernet1/0/3
description to_ap_34
switchport mode trunk
switchport trunk allowed vlan add 23,25,4016
interface vlan 23
exit
interface gigabitethernet1/0/7
description to_10.1.23.100_2
switchport mode trunk
switchport trunk allowed vlan add 23,25,4016
exit
!
interface vlan 23
ip address 10.1.23.31 255.255.255.0
exit
!
interface vlan 25
ip address 10.1.25.31 255.255.255.0
exit
!
interface vlan 4016
ip address 192.168.22.1 255.255.255.0
подскажите пожалуйста какие настройки ACL надо прописать?
--- также на коммутаторе mes2308p развернуты dhcp серверы для этих vlanов. Возможно ли с помощью ACL запретить раздавать адреса на uplink циску(10.1.23.100)? там они не нужны, только в сторону точек доступа. ситуация: кто то пришел подключился к розетке и получил адрес от коммутатора на vlan25 - недопустима. vlan 25 за циско существует на статических адресах.