URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23694
[ Назад ]

Исходное сообщение
"Reflexive ACL не срабатывает."
Отправлено Diesel315 , 12-Апр-12 10:13

Добрый день уважаемые коллеги.
Есть проблема не срабатывания рефлексивной части ACL. Теперь по порядку.
1) Задача ограничить гостевому vlan доступ к сети предприятия
2) Оставить возможность обращаться к хостам гостевого vlan
Для этого подходит reflexive acl. Данный acl настраивается на Cisco 3750 (12.2(55)SE1 C3750-IPSERVICESK9-M) как выполняющий функции ядра системы.
Исходные данные:
10.60.63.x/24 - guest vlan 63
10.x.x.x/8 - сеть предприятия
Настройка ACL
Extended IP access list in101
10 evaluate refout101
20 permit ip 10.60.63.0 0.0.0.255 10.60.63.0 0.0.0.255
29 permit ip 10.60.63.0 0.0.0.255 host 10.4.10.6
30 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.240
40 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.245
50 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.249
60 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.7
70 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.241
80 deny ip 10.60.63.0 0.0.0.255 10.0.0.0 0.255.255.255
90 permit ip any any
Extended IP access list out101
10 permit ip any any reflect refout101
Reflexive IP access list refout101
Настройка интерфейса
interface Vlan63
description Guest
ip address 10.60.63.254 255.255.255.0
ip access-group in101 in
ip access-group out101 out
ip helper-address 10.60.64.241
end
Запрещающая часть отрабатывает нормально, а вот рефлексивная нет.
Может кто-нибудь сталкивался с таким или есть соображения на этот счет?

Содержание

Reflexive ACL не срабатывает.,Pve1, 10:32 , 13-Апр-12
- Reflexive ACL не срабатывает.,Diesel315, 14:15 , 14-Апр-12
Reflexive ACL не срабатывает.,Ranger99, 14:33 , 14-Апр-12
- Reflexive ACL не срабатывает.,Pve1, 10:42 , 16-Апр-12

Сообщения в этом обсуждении

"Reflexive ACL не срабатывает."
Отправлено Pve1 , 13-Апр-12 10:32

Reflexive ACL - это допотопное убожество.
Изучай следующее:
1.) CBAC ( http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc... )
2.) IOS Zone Based Firewall
Второй вариант более современный - но и более мутный в настройке и лишний в простых конфигурациях.

"Reflexive ACL не срабатывает."
Отправлено Diesel315 , 14-Апр-12 14:15

> Reflexive ACL - это допотопное убожество.
> Изучай следующее:
> 1.) CBAC ( http://www.cisco.com/en/US/products/sw/secursw/ps1018/produc...
> )
> 2.) IOS Zone Based Firewall
> Второй вариант более современный - но и более мутный в настройке и
> лишний в простых конфигурациях.
Спасибо за новую информацию и пищу к размышлению, обязательно изучу... только вот пока не уверен реализуемы ли эти вещи на моей железке...
Да и все таки хотелось понять почему рефлексивная часть не срабатывает...

"Reflexive ACL не срабатывает."
Отправлено Ranger99 , 14-Апр-12 14:33

Catalyst 3750 Software Configuration Guide, Release 12.2(55)SE
http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/so...
"The switch does not support dynamic or reflexive access lists."

"Reflexive ACL не срабатывает."
Отправлено Pve1 , 16-Апр-12 10:42

> Catalyst 3750 Software Configuration Guide, Release 12.2(55)SE
> http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/so...
> "The switch does not support dynamic or reflexive access lists."
Да, я ступил, и не увидел, что это свич, а не рутер.
На свиче можно только опцию establised для TCP сессий ставить в ACL.
По большому счету - она частично реализует запрошенный функционал для TCP сессий.