Moin zusammen,

ich hab mal eine Frage zum Cisco 2900.

Ist es möglich, dass man die einzelnen Ports an der Kiste steuern kann. Ich möchte z.B. erreichen, dass Port X von der Cisco nur noch Http Anfragen durchlässt und der Rest soll abgeblockt werden.

Lässt sich sowas über das Konfigurations Menu bewältigen, oder muss man eher ein Software Router dazwischen setzen der einfach sagt "Du kommst hier net rein" ?

MfG

Thalisien

Hallo,

möchtest Du bestimmte Ports dicht machen, oder soll auch eine inhaltsbasierte Filterung durchgeführt werden? Prinzipiell lassen sich die Ports über Access-Listen filtern, die Du auf dem Router einrichtest. Komplizierter wird es, wenn Du eine statefull filtern möchtest. Welche IOS Version ist auf dem Gerät installiert?

Nic

Also folgendes:

Auf einen Port der Cisco hängt ein kleines Netzwerk (mini Internetcafé).

Ich will erreichen, dass den PCs jegliche Möglichkeit genommen wird, auf anderen Netze, welche auch an der Cisco hängen, zuzugreifen. Am liebsten wäre es mir, wenn sie einfach nur HTTP Anfragen machen könnten und das war es dann.

Lässt sich das nun mit der Cisco ermöglichen, oder muss man eine andere Lösung gehen?

MFG

Hallo,

ich denke mal das wirst du mit der 2900 Baureihe nicht hinbekommen da es sich hier um einen Switch handelt der auf Layer 2 arbeitet und somit weder IP und schon gar nicht Applicationen unterscheiden bzw. filtern kann.

Have a nice day

HansPans

hmmm blöd na gut dann werde ich mir irgendwie eine andere Lösung ausdenken müssen.

Danke aber für die Antwort.

Original geschrieben von HansPans

Hallo,

ich denke mal das wirst du mit der 2900 Baureihe nicht hinbekommen da es sich hier um einen Switch handelt der auf Layer 2 arbeitet und somit weder IP und schon gar nicht Applicationen unterscheiden bzw. filtern kann.

Have a nice day

HansPans

das stimmt so nicht ganz, mit der enterprise software hast du die möglichkeit acls (access controll list) auf ip basis zu erstellen.

somit kannst du eine access-list erstellen in der du incoming nur port 80 erlaubst (musst natürlich auf das interface incoming oder outgoing gelegt werdne)

gruss,

dose

Hi,

du scheinst recht zu haben. ACL auf IP sind wohl tatsächlich möglich

Man lernt halt nie aus :-)

Have a nice day

HansPans

Hallo,

nicht jeder Switch der 2900 Serie unterstützt L3 acl's. Du hast scheinbar verschiedene Netze auf deinen Cat2900(?). Vielleicht existiert ja irgendwo noch ein L3 Device?!.

Ciao

Ein L3 device muss ja vorhanden sein als WAN Router (Internetcafe).

Deshalb würde ich auf dem WAN Router IP basiert filtern und die anderen Netze auf dem 2900er wirklich (Sub)Netzmässig trennen und die IP Verwaltung auf den Maschinen für die normalen User deaktivieren. Damit haste dann eine recht gute Trennung der Netze.