URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14946
[ Назад ]

Исходное сообщение
"ACL на 3750"
Отправлено Avanty , 27-Ноя-07 15:18

Необходимо написать ACL для vlan'ов (правила самые обычные: чтобы ходили mail, dns, dhcp, http и icq) на 3750. Попробовал для начала поднять аську, ничего не вышло. Вот конфиг:
...........
vlan access-map TEST 10
action forward
match ip address 100
vlan access-map TEST 20
action forward
match ip address 101
vlan filter TEST vlan-list 223
vlan internal allocation policy ascending
!
interface FastEthernet1/0/1
...................
...................
access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo
access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo-reply
access-list 101 permit tcp 172.26.0.0 0.0.0.255 any
access-list 101 permit tcp any any established
.................
Подскажите, в чем ошибка??? уже неделю сижу мучаюсь...

Содержание

ACL на 3750,valentine31, 09:34 , 28-Ноя-07
- ACL на 3750,Avanty, 10:08 , 28-Ноя-07
  - ACL на 3750,valentine31, 11:16 , 28-Ноя-07
    - ACL на 3750,Avanty, 11:30 , 28-Ноя-07
      - ACL на 3750,Avanty, 11:38 , 28-Ноя-07
        
        ACL на 3750,Avanty, 14:53 , 28-Ноя-07

Сообщения в этом обсуждении

"ACL на 3750"
Отправлено valentine31 , 28-Ноя-07 09:34

>[оверквотинг удален]
>!
>interface FastEthernet1/0/1
>...................
>...................
>access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo
>access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo-reply
>access-list 101 permit tcp 172.26.0.0 0.0.0.255 any
>access-list 101 permit tcp any any established
>.................
>Подскажите, в чем ошибка??? уже неделю сижу мучаюсь...
Может тебе попробовать вот так:
vlan 10
........
interface Vlan10
ip address 172.26.223.1 255.255.255.0
ip access-group 100
........
access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo
access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo-reply

"ACL на 3750"
Отправлено Avanty , 28-Ноя-07 10:08

т.е. создать для каждого vlan свой интерфейс Layer3 и на него прикрутить ACL?

"ACL на 3750"
Отправлено valentine31 , 28-Ноя-07 11:16

>т.е. создать для каждого vlan свой интерфейс Layer3 и на него прикрутить
>ACL?
ну да, получится intervlan routing, если у тебя несколько сетей

"ACL на 3750"
Отправлено Avanty , 28-Ноя-07 11:30

попробовал. правила ACL не действуют

"ACL на 3750"
Отправлено Avanty , 28-Ноя-07 11:38

я вообще сначала думал, что не правильно применил vlan-map или vlan filter....
Но потом написал в ACL : permit tcp any any и ася заработала!!!
Т.е. получается что в ACL что то не то...(вообще подозрение на established)
кстати icmp работает, пинги идут

"ACL на 3750"
Отправлено Avanty , 28-Ноя-07 14:53

Проблема снимается. Нашел ошибку-неправильно указал маску :
написал: permit tcp 172.26.0.0 0.0.0.255 any
надо: .......... 172.26.0.0 0.0.255.255 ...
:)