Aislar redes packet tracer

Iniciado por fuenteRea, 18 Junio 2011, 16:09 PM

0 Miembros y 1 Visitante están viendo este tema.

fuenteRea

Hola,

tengo la red que véis en la imagen. El problema es que me gustaría que los ordenadores que pertencen a distinta red NO se comuniquen entre ellos, pero todos necesitan acceder al servidor.

El protocolo que estoy usando es EIGRP. Podría utilizar OSPF si alguien lo ve mejor.

Mi idea ha sido configurar EIGRP en todos los router y no publicar las redes "locales" (por redes locales entenderemos las redes a las que pertencen los ordenadores). El router tiene las rutas de las redes locales configuradas estáticamente. El gran problema es que si un enlace de los que salen del router que contiene el servidor cae, la red a la que señala no podrá comunicarse aunque tenga una ruta alternativa. Si permito rutas alternativas entonces tenemos el problema de que las redes locales se comunican.

¿Alguna idea? gracias ;)
Si no se ve bien, con pinchar en la imagen sale grande





un saludo!!
Una rosa es una rosa...

MrSilver

Saludos:

Lo primero que se me viene a la cabeza¿has probado Listas de Acceso Extendidas?Podrias bloquear y dirigir el trafico de entrada y salida

ThonyMaster

amigo esa idea q tienes esta muy errada.. jejej si lo aces en una empresa tu jefe te bota de inmediato..! si quieres prohibir cualquier protocolo, acceso, comunicacion entre redes/sub-redes/etc. lo que debes hacer es configurar ALC (Access Control List) listas de control de acceso, la configuras en la interfaz adecuada y asi evitas lo q qieres..
leelo de su propia gente:

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml
Sin Firma

MrSilver

Al decir Listas de Acceso Extendidas,me referia a ALC extendidas,con las que puedes restringir ip de origen,destino,puertos,servicios etc,,

ThonyMaster

jeje si amigo ya se lo habias dicho.. pero avcs no basta no solo dcir. se trata de ayudar un tut alguna guia.. o algo q lo ilustre mas o menos pa q se guie poray.. de todos modos en la pagina de cisco sale todo eso..

algo asi pana:

http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/

espero que les sirva...
Sin Firma

fuenteRea

Si gracias, ya las estoy usando, pero tengo dos poblemas.

En una interfaz FastEthernet 0/0 de Router 2 he configurado esta lista de acceso

Extended IP access list NO_ACCESS_EXT_R2
    permit tcp 192.168.0.0 0.0.0.7 any eq www
    permit tcp 192.168.0.0 0.0.0.7 any eq 443
    deny ip 192.168.0.0 0.0.0.7 192.168.0.0 0.0.0.255
Extended IP access list NO_ACCESS_EXT_R2_Entrada
    permit tcp any 192.168.0.0 0.0.0.7 established
    deny ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.7


El primero es que aunque solo tengo que deniegue lo que veis, no puedo hacer ping ni a los host de la red 192.168.1.8 /30.


Necesito conectar desde dicha subred a un servidor http cuya dirección es 192.168.0.34 y no va tampoco. También he probado

Extended IP access list NO_ACCESS_EXT_R2
    permit tcp 192.168.0.0 0.0.0.7 host 192.168.0.34 eq www
    permit tcp 192.168.0.0 0.0.0.7 host 192.168.0.34 eq 443
    deny ip 192.168.0.0 0.0.0.7 192.168.0.0 0.0.0.255
Extended IP access list NO_ACCESS_EXT_R2_Entrada
    permit tcp host 192.168.0.34 192.168.0.0 0.0.0.7 established
    deny ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.7


gracias!
Una rosa es una rosa...

fuenteRea

solucionado, lo que es de entrada iba en salida y viceversa. gracias

Cita de: dj-blydex en 19 Junio 2011, 05:06 AM
amigo esa idea q tienes esta muy errada.. jejej si lo aces en una empresa tu jefe te bota de inmediato..!

:xD no es para tanto hombre, ya esta todo solucionado!
PD: Comprendería eso si me liara con su mujer jeje

un saludo!!
Una rosa es una rosa...

ThonyMaster

Cita de: thedoctor77 en 20 Junio 2011, 01:12 AM
PD: Comprendería eso si me liara con su mujer jeje

jajaja nahh asi no te botan asi te arrancacn la cabeza..!!! XD

mera no se si lo colocaste, pero al final de cada acl si mal no recuerdo(tampoco recuerdo si solo en las extendendidas o tambien se ace en las estandar) debe ir permit tcp any any ya que la sentencia final por defecto siempre en las acl es deny any any.. revisa eso bien a ver..
Sin Firma