forum.opennet.ru - "Подскажите, что надо открыть в access-list для доступа к Cal..." (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Подскажите, что надо открыть в access-list для доступа к Cal..."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Подскажите, что надо открыть в access-list для доступа к Cal..."
Сообщение от Yorik on 22-Янв-04, 13:46 (MSK)
Доброго дня! Для описания задачи такой пример: Есть три вилана. В одном стоит CCM с адресом 10.1.1.1/24 Во втором IP телефон c адресом 10.1.2.1/24 В третьем комп с cisco софт-фоном с адресом 10.1.3.1/24 По умолчанию доступ из вилана в вилан закрыт access-list -ом Какие пермиты надо дать из каждого вилана в каждый, чтобы ip-телефония нормально заработала. Я читал сисковскую доку UDP/TCP Ports Used for VoIP но нормально ее изобразить не смог. Если можно, пример access-lista Спасибо!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Подскажите, что надо открыть в access-list для доступа к Cal..., ВОЛКА, 14:48 , 22-Янв-04, (1)
- Подскажите, что надо открыть в access-list для доступа к Cal..., Yorik, 15:00 , 22-Янв-04, (2)
  - Подскажите, что надо открыть в access-list для доступа к Cal..., Karpych, 15:42 , 22-Янв-04, (3)
    - Подскажите, что надо открыть в access-list для доступа к Cal..., ВОЛКА, 15:50 , 22-Янв-04, (4)
      - Подскажите, что надо открыть в access-list для доступа к Cal..., Yorik, 16:35 , 22-Янв-04, (5)
        
        Подскажите, что надо открыть в access-list для доступа к Cal..., Vlad, 08:33 , 23-Янв-04, (7)
Подскажите, что надо открыть в access-list для доступа к Cal..., Yorik, 16:47 , 22-Янв-04, (6)
- Подскажите, что надо открыть в access-list для доступа к Cal..., Karpych, 10:33 , 23-Янв-04, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от ВОЛКА on 22-Янв-04, 14:48  (MSK)

а что за каталист?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от Yorik on 22-Янв-04, 15:00  (MSK)

>а что за каталист?
Вообще рутер - MSFC-модуль на cat6006, а свитчи - 35xx и 2948g, но это не суть. Мне достаточно ответа (в идеале - нужного куска access-lista) для приведенного абстрактного примера, а я уж прикручу его к своей конкретике

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от Karpych on 22-Янв-04, 15:42  (MSK)

>куска access-lista) для приведенного абстрактного примера, а я уж прикручу его
>к своей конкретике
CCM выделяет рандомом порт для госового трафика, в софтфоне можно выставить порты и оно будет по ним бегать(в телефоне же я не знаю как это можно сделать и можно-ли), соответственно нужно будет все несколько портов открыть. с другой стороны, для безопасности, можешь прикрыть все порты <1024 (если юзерам не нужно ходить на ццм по вебу)
P.S. есть свежие прошифки для телефонов?=) и для ата-шек?=)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от ВОЛКА on 22-Янв-04, 15:50  (MSK)

роутинг между виланами настрой....

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от Yorik on 22-Янв-04, 16:35  (MSK)

ту ВОЛКА: Ну конечно роутинг есть!
Говорю же  - это абстрактный пример. И в этом примере предполагается, что роутинг между виланами есть, ip адресация правильная, и вообще, все работает как надо (без A-L )! Однако, трафик между виланами ограничен листом из одной строки - \access-list 100 deny ip any any\ Так вот вопрос: какие строки-пермиты надо прописать выше этой строки, чтобы открыть все сервисы IP телефонии.
ту Karpych: это конечно вариант, но я хочу подробнее. С IP телефонами дела проще - у них у каждого свой ip-адрес и можно открывать весь ip на этот адрес, а вот с компами сложнее. Есть сервисы, доступ к которым надо блокировать/регулировать, но порты этих сервисов выше 1024.
Хочется знать все диапазоны tcp/udp, на которых слушают CCM, телефоны и софтфоны.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от Vlad on 23-Янв-04, 08:33  (MSK)

как правило под VOIP работают
сигналка TCP 1720
сам голос UDP 16384-32767
но можно самому перенастроить
аксеслисты соответственно
должен заметить что игрушки сетевые все работают по UDP 16384-32767

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от Yorik on 22-Янв-04, 16:47  (MSK)

ту Karpych: Да и безопасность в Вашем варианте сомнительная. Народ начнет на своих компах запускать ftp на портах выше 1024 и гнать друг другу файло. Это конечно можно делать и на портах VoIP, но все же...

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Подскажите, что надо открыть в access-list для доступа к Cal..."

Сообщение от Karpych on 23-Янв-04, 10:33  (MSK)

>ту Karpych: Да и безопасность в Вашем варианте сомнительная. Народ начнет на
>своих компах запускать ftp на портах выше 1024 и гнать друг
>другу файло. Это конечно можно делать и на портах VoIP, но
>все же...

я говрю про acl между ccm и лузером, т.е. разрешить весь трафик с/на ccm а все остальное закрывать-открывать по вкусу. для софтфона таки (со стороны лузерской тачки) заставляешь софтфон ходить по определенным портам и разрешаешь только их до ccm-a.
я надеюсь на консоль ccm-a не все юзеры имеют доступ, что бы вешать фтп-шники на разные порты?=)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Подскажите, что надо открыть в access-list для доступа к Cal..."
Сообщение от ВОЛКА on 22-Янв-04, 14:48 (MSK)
а что за каталист?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Подскажите, что надо открыть в access-list для доступа к Cal..."
	Сообщение от Yorik on 22-Янв-04, 15:00 (MSK)
	>а что за каталист? Вообще рутер - MSFC-модуль на cat6006, а свитчи - 35xx и 2948g, но это не суть. Мне достаточно ответа (в идеале - нужного куска access-lista) для приведенного абстрактного примера, а я уж прикручу его к своей конкретике
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Подскажите, что надо открыть в access-list для доступа к Cal..."
	Сообщение от Karpych on 22-Янв-04, 15:42 (MSK)
	>куска access-lista) для приведенного абстрактного примера, а я уж прикручу его >к своей конкретике CCM выделяет рандомом порт для госового трафика, в софтфоне можно выставить порты и оно будет по ним бегать(в телефоне же я не знаю как это можно сделать и можно-ли), соответственно нужно будет все несколько портов открыть. с другой стороны, для безопасности, можешь прикрыть все порты <1024 (если юзерам не нужно ходить на ццм по вебу) P.S. есть свежие прошифки для телефонов?=) и для ата-шек?=)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Подскажите, что надо открыть в access-list для доступа к Cal..."
	Сообщение от ВОЛКА on 22-Янв-04, 15:50 (MSK)
	роутинг между виланами настрой....
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Подскажите, что надо открыть в access-list для доступа к Cal..."
	Сообщение от Yorik on 22-Янв-04, 16:35 (MSK)
	ту ВОЛКА: Ну конечно роутинг есть! Говорю же - это абстрактный пример. И в этом примере предполагается, что роутинг между виланами есть, ip адресация правильная, и вообще, все работает как надо (без A-L )! Однако, трафик между виланами ограничен листом из одной строки - \access-list 100 deny ip any any\ Так вот вопрос: какие строки-пермиты надо прописать выше этой строки, чтобы открыть все сервисы IP телефонии. ту Karpych: это конечно вариант, но я хочу подробнее. С IP телефонами дела проще - у них у каждого свой ip-адрес и можно открывать весь ip на этот адрес, а вот с компами сложнее. Есть сервисы, доступ к которым надо блокировать/регулировать, но порты этих сервисов выше 1024. Хочется знать все диапазоны tcp/udp, на которых слушают CCM, телефоны и софтфоны.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Подскажите, что надо открыть в access-list для доступа к Cal..."
	Сообщение от Vlad on 23-Янв-04, 08:33 (MSK)
	как правило под VOIP работают сигналка TCP 1720 сам голос UDP 16384-32767 но можно самому перенастроить аксеслисты соответственно должен заметить что игрушки сетевые все работают по UDP 16384-32767
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "Подскажите, что надо открыть в access-list для доступа к Cal..."
Сообщение от Yorik on 22-Янв-04, 16:47 (MSK)
ту Karpych: Да и безопасность в Вашем варианте сомнительная. Народ начнет на своих компах запускать ftp на портах выше 1024 и гнать друг другу файло. Это конечно можно делать и на портах VoIP, но все же...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Подскажите, что надо открыть в access-list для доступа к Cal..."
	Сообщение от Karpych on 23-Янв-04, 10:33 (MSK)
	>ту Karpych: Да и безопасность в Вашем варианте сомнительная. Народ начнет на >своих компах запускать ftp на портах выше 1024 и гнать друг >другу файло. Это конечно можно делать и на портах VoIP, но >все же... я говрю про acl между ccm и лузером, т.е. разрешить весь трафик с/на ccm а все остальное закрывать-открывать по вкусу. для софтфона таки (со стороны лузерской тачки) заставляешь софтфон ходить по определенным портам и разрешаешь только их до ccm-a. я надеюсь на консоль ccm-a не все юзеры имеют доступ, что бы вешать фтп-шники на разные порты?=)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх