Здравствуйте!

Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но как только применяем ACL хост теряет IP адрес и не пингует нужны хосты.

access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.1
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.2
access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
access-list 100 deny ip any any
access-list 100 deny tcp any any
access-list 100 deny udp any any

• Проблема с ACL,Aleks305, 14:35 , 14-Янв-11
  • Проблема с ACL,apex2009, 15:21 , 14-Янв-11
    • Проблема с ACL,VolanD, 15:24 , 14-Янв-11
• Проблема с ACL,crash, 05:47 , 17-Янв-11
  • Проблема с ACL,apex2009, 07:23 , 17-Янв-11
    • Проблема с ACL,aZL, 08:59 , 17-Янв-11
      • Проблема с ACL,apex2009, 11:16 , 17-Янв-11
        • Проблема с ACL,Aleks305, 11:22 , 17-Янв-11
          • Проблема с ACL,apex2009, 11:40 , 17-Янв-11
            • Проблема с ACL,aZL, 11:48 , 17-Янв-11
              • Проблема с ACL,Aleks305, 11:54 , 17-Янв-11
                • Проблема с ACL,apex2009, 13:10 , 17-Янв-11

>[оверквотинг удален]
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.3
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.254
> access-list 100 permit tcp host 172.16.1.8 host 172.16.1.254
> access-list 100 permit udp host 172.16.1.8 host 172.16.1.254
> access-list 100 deny ip any any
> access-list 100 deny tcp any any
> access-list 100 deny udp any any

А эти строчки зачем?
access-list 100 deny tcp any any
access-list 100 deny udp any any
Вообще в конце access-list и так неявный запрет есть.
Зачем помимо правил с ip везде писать udp и tcp- это Вы типа icmp запрещаете???
Оставьте тогда только
access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
также зависит работа acl от того, насколько правильно вы его применяете к интерфейсу.

стоит вначале Вам пока почитать правила составления и работы acl

>[оверквотинг удален]
> Вообще в конце access-list и так неявный запрет есть.
> Зачем помимо правил с ip везде писать udp и tcp- это Вы
> типа icmp запрещаете???
> Оставьте тогда только
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
> также зависит работа acl от того, насколько правильно вы его применяете к
> интерфейсу.
> стоит вначале Вам пока почитать правила составления и работы acl

Насчет последних сточек, да действительно погорячились.
ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не владеем.

>[оверквотинг удален]
>> Оставьте тогда только
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.1
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.2
>> access-list 100 permit ip host 172.16.1.8 host 172.16.1.3  ну и т.д.
>> также зависит работа acl от того, насколько правильно вы его применяете к
>> интерфейсу.
>> стоит вначале Вам пока почитать правила составления и работы acl
> Насчет последних сточек, да действительно погорячились.
> ACL применяем так: ip access-group 100 in. Другими способами, к сожалению не
> владеем.

Выложите полную схему сети+ конфиги. А то так совсем ничего не понятно)))

> Здравствуйте!
> Пытаемся ограничить хождение одного хоста в сети только на определенные хосты. Но
> как только применяем ACL хост теряет IP адрес и не пингует
> нужны хосты.

Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение DHCP?

> Хост получает по DHCP адрес? Если да, то где вы разрешаете хождение
> DHCP?

Нет, не получает. В том то и дело. А правило проиписано по UDP.
access-list 100 permit udp host 172.16.1.8 host 172.16.1.1

Если хотите пинговать, то разрешите icmp
access-list 100 permit icmp ...

> Если хотите пинговать, то разрешите icmp
> access-list 100 permit icmp ...

Дело не в пинге. Хост почему то не получает IP-адрес.
Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp host 172.16.1.8 host 172.16.1.1

>> Если хотите пинговать, то разрешите icmp
>> access-list 100 permit icmp ...
> Дело не в пинге. Хост почему то не получает IP-адрес.
> Вот строчка из ACL под получения IP- адреса: access-list 100 permit udp
> host 172.16.1.8 host 172.16.1.1

DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.

> DHCP использует броадкаст - такая строчка, мне кажется, не прокатит.

Так вроде DHCP использует порты UDP 67 и 68. Мы разрешили все по UDP. Контроллер на win2008, может в этом проблема?

permit udp any eq bootpc any eq bootpc?

> permit udp any eq bootpc any eq bootpc?

именнно any - я же написал broadcast. Читайте про работу dhcp.
Broadcast не пройдет через правило permit ip host host

Всем спасибо за участие! Разобрались, изменили направление ACL и все заработало. На udp прописали any (конечно осталась дыра) но хоть так и на этом хорошо.