question in ACL

**redheart_010** · 18-10-2009, 19:23

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله وبركاته

اسفه يا جماعه انا كنت نزلت الموضوع ده في شهاده CCNA ولكن لم اجد اجابه حتي الان وقلت انقل ليكو المشكله دي يمكن اجد ليها حل عندكو

i have framerelay network with main site & branch sites connecting with serial
as shown

i want to do access list to prevent any branch site to access users on each other but i have a problem as
main site have call manager server connecting IP Phones on branches which have ip address like any network and i need branche sites call any one

عايزه اعمل access list بحيث المواقع الفرعيه مش تشوف بعضها مع العلم بوجود call manager رابط اجهزه التليفونات ف كل المواقع وطبعا اي تليفون واخد اي بي زي اي جهاز علي الشبكه
بمعني يا جماعه انا عايزه بس main users همل اللي يقدرو يدخلو علي الفروع ومش عايزه اي فرع يشوف اجهزه الفرع التاني

Hope i find solution

ياريت يا جماعه لو حد يقدر يساعدني في حل هذه المشكله بسرعه ولو في اي استفسار انا موجوده

**takiadeen** · 18-10-2009, 23:39

الصوره لم تظهر ولكن مما كُتب من الممكن عمل الـaccess-list من اجل ان تمنع الـPC's من التخاطب مابين الفروع من دون التأثير
على التلفونات وذلك عن طريق منع الـIP address تبع الاجهزه دونان عن التلفونات من التخاطب مع بعضها البعض.

والسبب يكمن ان التلفونات من المستحسن كـbest practice بأن تكون على subnet مختلفه عن الاجهزه في الفروع بما يعني بان
لها Vlan خاص بها ومن هذا المنطلق يمكن منع الـsubnet تبع الاجهزه والسماح للتلفونات من التخاطب.

اما اذا كان من الصعب تحديد الـsubnet تبع التلفونات في الـaccess-list لعدم اتباع ماسبق ، فان اسهل طريقه هو عمل extended
access-list بحيث يتم منع جميع الخدمات والمساح فقط للـports التي تستخدمها الـIP phone وهذا باعتقادي يعتمد على الـprotocols المستخدمه الخ.

**attyah** · 19-10-2009, 00:15

يعني المستخدمين اللي في الـ main يقدروا يدخلوا على الفروع، أما المستخدمين اللي في الفروع مايقدروا يدخلوا على بعض ولا على الـ main ، هل هذا ماقصدتي؟

بس يعني مش المفروض الفروع بتتكلم مع الـ main بعمل access على قاعدة البيانات أو ما إلى ذلك؟

هل تريدي عمل أكسس على الـ call manager في كل فرع أن يتصلوا ببعض؟

هاتي الإجراءات التي تريدي عملها بالضبط والترتيب علشان نبني access-list محترمة.

**redheart_010** · 19-10-2009, 19:11

المشاركة الأصلية كتبت بواسطة attyah

يعني المستخدمين اللي في الـ main يقدروا يدخلوا على الفروع، أما المستخدمين اللي في الفروع مايقدروا يدخلوا على بعض ولا على الـ main ، هل هذا ماقصدتي؟

بس يعني مش المفروض الفروع بتتكلم مع الـ main بعمل access على قاعدة البيانات أو ما إلى ذلك؟

هل تريدي عمل أكسس على الـ call manager في كل فرع أن يتصلوا ببعض؟

هاتي الإجراءات التي تريدي عملها بالضبط والترتيب علشان نبني access-list محترمة.

تمام المستخدمين اللي في الـ main يقدروا يدخلوا على الفروع، أما المستخدمين اللي في الفروع مايقدروا يدخلوا على بعض ولا على الـ main هذا ما قصدته

انا بالفعل عملت access list وطبقتها علي فرع من الفروع مثلا عملت اكسس تسمح التليفون لفرع يكلم فرع ومنعت اي ip تاني غير التليفونات وطبقتها علي fast بتاع الروتر بس المشكله الفرع اللي عملت فيه access مش بيشوف الفرع اللي منعته وبيشوف التليفونات تمام اما الفرع التاني بيشوف كل حاجه خاصه بالفرع اللي انا مش عايزاه يشوفه

هحاول اجيبها ونشوفها مع بعض

سؤال تاني
هل يفضل عمل التليفونات في vlan مختلفه غير vlan الخاصه بالفروع وبالتالي اقدر امنع ال vlan غير بتاعه التليفونات انها تدخل علي اي فرع ؟

ام
هل يفضل شراء PIX firewall خاص لكل فرع ؟

وميرسي اوي لمشاركتكم

**freedomknight** · 21-10-2009, 10:47

السلام عليكم
بداية أنا ما عندي خبرة بالفويس بس كبنية صحيحة للشبكة لازم نعمل VLAN خاصة للكمبيوترات ووحدة تاني للتلفونات حتى نقدر نطبق Access list بالشكل الصحيح ثم إنه لسهولة الصيانة ضروري جداً والأكيد أنو مافي داعي PIX إلا والله العليم إذا كان كل فرع عندو إنترنت خاصة فيه وما عما يسحب إنترنت من المكتب الرئيسي