форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"разграничение по ACL"	+/–
Сообщение от DrPsih (ok) on 29-Май-12, 13:26
Задал мне шеф задачку есть одна подсеть с адресом 192.168.10.0 нужно что б от х.х.х.1 до 31 не видели компьютеры х.х.х.32-255 и был порт 192.168.10.62 который будет видеть все. а к нему доступ ни у кого не будет ну решилд я ACL использовать создал ip access-list extended VIRT_L1 permit ip host 192.168.10.62 any permit ip 192.168.10.0 0.0.0.31 any deny ip any any ip access-list extended VIRT_L2 permit ip host 192.168.10.62 any deny ip 192.168.10.0 0.0.0.31 any permit ip 192.168.10.0 0.0.0.255 any deny ip any any и общее правило повешал interface vlan 1 deny ip host 192.168.10.62 any и все таки не получается... помогите разобраться
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "разграничение по ACL"	+/–
Сообщение от jied83 (ok) on 29-Май-12, 13:54
>[оверквотинг удален] > deny ip any any > ip access-list extended VIRT_L2 > permit ip host 192.168.10.62 any > deny ip 192.168.10.0 0.0.0.31 any > permit ip 192.168.10.0 0.0.0.255 any > deny ip any any > и общее правило повешал > interface vlan 1 > deny ip host 192.168.10.62 any > и все таки не получается... помогите разобраться все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на рутере? покажите интерфейс где у вас прописана эта сеть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "разграничение по ACL"	+/–
	Сообщение от Aleks305 (ok) on 29-Май-12, 13:58
	>[оверквотинг удален] >> deny ip 192.168.10.0 0.0.0.31 any >> permit ip 192.168.10.0 0.0.0.255 any >> deny ip any any >> и общее правило повешал >> interface vlan 1 >> deny ip host 192.168.10.62 any >> и все таки не получается... помогите разобраться > все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на > рутере? > покажите интерфейс где у вас прописана эта сеть? вы вешаете acl на int vlan, это интерфейс для маршрутизации. У вас же в пределах одной сети 192.168.Х.Х трафик коммутируется между хостами, то есть Ваш конфиг бесполезен в рамках поставленной задачи. Необходимо вешать ACL на каждый из портов коммутатора, ....но это бред)и начальник у Вас бредит, а Вы ему не можете сказать, что он бредит) ток без обид)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "разграничение по ACL"	+/–
	Сообщение от DrPsih (ok) on 30-Май-12, 06:08
	>[оверквотинг удален] >>> и все таки не получается... помогите разобраться >> все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на >> рутере? >> покажите интерфейс где у вас прописана эта сеть? > вы вешаете acl на int vlan, это интерфейс для маршрутизации. У вас > же в пределах одной сети 192.168.Х.Х трафик коммутируется между хостами, то > есть Ваш конфиг бесполезен в рамках поставленной задачи. Необходимо вешать ACL > на каждый из портов коммутатора, ....но это бред)и начальник у Вас > бредит, а Вы ему не можете сказать, что он бредит) > ток без обид) какие обмды =) он сначало хотел что б все это через вланы было сделано и один порт находился во всех вланах и видел все. Я объяснил ему что железяка cisco 3750G не позволяет делать мультивлановый порт и что можно через транковый порт сделать ему сетвуху с поддержкой транков настроить сеть и он все будет видеть. ему так не захотелось (
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "разграничение по ACL"	+/–
	Сообщение от DrPsih (ok) on 30-Май-12, 04:41
	>[оверквотинг удален] >> deny ip 192.168.10.0 0.0.0.31 any >> permit ip 192.168.10.0 0.0.0.255 any >> deny ip any any >> и общее правило повешал >> interface vlan 1 >> deny ip host 192.168.10.62 any >> и все таки не получается... помогите разобраться > все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на > рутере? > покажите интерфейс где у вас прописана эта сеть? interface range gi1/0/1-24 ip access-group VIRT_LAN1 in interface range gi1/0/24-48 ip access-group VIRT_LAN2 in
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "разграничение по ACL"	+/–
Сообщение от Merridius (ok) on 29-Май-12, 13:55
>[оверквотинг удален] > deny ip any any > ip access-list extended VIRT_L2 > permit ip host 192.168.10.62 any > deny ip 192.168.10.0 0.0.0.31 any > permit ip 192.168.10.0 0.0.0.255 any > deny ip any any > и общее правило повешал > interface vlan 1 > deny ip host 192.168.10.62 any > и все таки не получается... помогите разобраться Поскольку у вас компы находятся в одном влане, то нужно резать их на коммутаторе на L2, то бишь либо VACL, либо PACL. access-list 122 permit ip any host 192.168.10.62 access-list 123 permit ip host 192.168.10.62 any access-list 124 permit ip 192.168.10.0 0.0.0.31 any access-list 125 permit ip any any vlan access-map test 10 match ip address 122 action drop vlan access-map test 11 match ip address 123 action forward vlan access-map test 12 match ip address 124 action drop vlan access-map test 13 match ip address 125 action forward    vlan filter test vlan-list 1
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "разграничение по ACL"	+/–
	Сообщение от DrPsih (ok) on 30-Май-12, 05:07
	>[оверквотинг удален] > vlan access-map test 11 >  match ip address 123 >  action forward > vlan access-map test 12 >  match ip address 124 >  action drop > vlan access-map test 13 >  match ip address 125 >  action forward > vlan filter test vlan-list 1 Спасибо за подсказку в каком направлении рыть правда лучше вешать на влан чем на интерфейсы. но вот код приложенный не работает он отсекает адресса до 31 и они друг друга не видят, а хотелось бы что б видели друг друга и 62 не пингует до 31 адреса.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "разграничение по ACL"	+/–
	Сообщение от Merridius (ok) on 30-Май-12, 09:52
	> Спасибо за подсказку в каком направлении рыть правда лучше вешать на влан > чем на интерфейсы. А я куда повесил по вашему? > но вот код приложенный не работает он отсекает адресса до 31 и > они друг друга не видят, а хотелось бы что б видели > друг друга и 62 не пингует до 31 адреса. Конфигу набросал за 3 секунды, особо не вдумываясь в задание.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "разграничение по ACL"	+/–
	Сообщение от DrPsih (ok) on 30-Май-12, 10:11
	>> Спасибо за подсказку в каком направлении рыть правда лучше вешать на влан >> чем на интерфейсы. > А я куда повесил по вашему? ( тут я себя имел ввиду) >> но вот код приложенный не работает он отсекает адресса до 31 и >> они друг друга не видят, а хотелось бы что б видели >> друг друга и 62 не пингует до 31 адреса. > Конфигу набросал за 3 секунды, особо не вдумываясь в задание. короче сейчас сделал вот как Extended IP access list VIR_LAN1 // повешан на интерфейс gi1/0/1-12     20 permit ip host 192.168.10.62 any (20 matches)     30 permit ip 192.168.10.0 0.0.0.31 any (54 matches)     40 deny ip any any (25 matches) Extended IP access list VIR_LAN2  // повешан на интерфейс gi1/0/13-24     20 permit ip host 192.168.10.62 any (15 matches)     30 deny ip 192.168.10.0 0.0.0.31 any     40 permit ip any any (55 matches) вроде как разграничил и порт везде видит и айпишники друг друга не видят если с разных диапазонах, но с каждого диапазаона пингуется адресс 192.168.10.62 чего не хотелось бы. хотя это не критично.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема