Здравствуйте!Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но как только применяем ACL хост теряет IP адрес и не пингует нужны хосты.
access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.1
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.2
access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
access-list 100 deny ip any any
access-list 100 deny tcp any any
access-list 100 deny udp any any
>[оверквотинг удален]
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
> access-list 100 deny ip any any
> access-list 100 deny tcp any any
> access-list 100 deny udp any anyА эти строчки зачем?
access-list 100 deny tcp any any
access-list 100 deny udp any any
Вообще в конце access-list и так неявный запрет есть.
Зачем помимо правил с ip везде писать udp и tcp- это Вы типа icmp запрещаете???
Оставьте тогда только
access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3 ну и т.д.
также зависит работа acl от того, насколько правильно вы его применяете к интерфейсу.стоит вначале Вам пока почитать правила составления и работы acl
>[оверквотинг удален]
> Вообще в конце access-list и так неявный запрет есть.
> Зачем помимо правил с ip везде писать udp и tcp- это Вы
> типа icmp запрещаете???
> Оставьте тогда только
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3 ну и т.д.
> также зависит работа acl от того, насколько правильно вы его применяете к
> интерфейсу.
> стоит вначале Вам пока почитать правила составления и работы aclНасчет последних сточек, да действительно погорячились.
ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не владеем.
>[оверквотинг удален]
>> Оставьте тогда только
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3 ну и т.д.
>> также зависит работа acl от того, насколько правильно вы его применяете к
>> интерфейсу.
>> стоит вначале Вам пока почитать правила составления и работы acl
> Насчет последних сточек, да действительно погорячились.
> ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не
> владеем.Выложите полную схему сети+ конфиги. А то так совсем ничего не понятно)))
> Здравствуйте!
> Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но
> как только применяем ACL хост теряет IP адрес и не пингует
> нужны хосты.Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение DHCP?
> Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение
> DHCP?Нет, не получает. В том то и дело. А правило проиписано по UDP.
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1
Если хотите пинговать, то разрешите icmp
access-list 100 permit icmp ...
> Если хотите пинговать, то разрешите icmp
> access-list 100 permit icmp ...Дело не в пинге. Хост почему то не получает IP-адрес.
Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp host 172.16.1.8 host 172.16.1.1
>> Если хотите пинговать, то разрешите icmp
>> access-list 100 permit icmp ...
> Дело не в пинге. Хост почему то не получает IP-адрес.
> Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp
> host 172.16.1.8 host 172.16.1.1DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.
> DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.Так вроде DHCP использует порты UDP 67 и 68. Мы разрешили все по UDP. Контроллер на win2008, может в этом проблема?
permit udp any eq bootpc any eq bootpc?
> permit udp any eq bootpc any eq bootpc?именнно any - я же написал broadcast. Читайте про работу dhcp.
Broadcast не пройдет через правило permit ip host host
Всем спасибо за участие! Разобрались, изменили направление ACL и все заработало. На udp прописали any (конечно осталась дыра) но хоть так и на этом хорошо.