URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23831
[ Назад ]

Исходное сообщение
"разграничение по ACL"
Отправлено DrPsih , 29-Май-12 13:26

Задал мне шеф задачку
есть одна подсеть с адресом 192.168.10.0 нужно что б от х.х.х.1 до 31 не видели компьютеры х.х.х.32-255 и был порт 192.168.10.62 который будет видеть все. а к нему доступ ни у кого не будет
ну решилд я ACL использовать
создал
ip access-list extended VIRT_L1
permit ip host 192.168.10.62 any
permit ip 192.168.10.0 0.0.0.31 any
deny ip any any
ip access-list extended VIRT_L2
permit ip host 192.168.10.62 any
deny ip 192.168.10.0 0.0.0.31 any
permit ip 192.168.10.0 0.0.0.255 any
deny ip any any
и общее правило повешал
interface vlan 1
deny ip host 192.168.10.62 any
и все таки не получается... помогите разобраться

Содержание

разграничение по ACL,jied83, 13:54 , 29-Май-12
- разграничение по ACL,Aleks305, 13:58 , 29-Май-12
  - разграничение по ACL,DrPsih, 06:08 , 30-Май-12
- разграничение по ACL,DrPsih, 04:41 , 30-Май-12
разграничение по ACL,Merridius, 13:55 , 29-Май-12
- разграничение по ACL,DrPsih, 05:07 , 30-Май-12
  - разграничение по ACL,Merridius, 09:52 , 30-Май-12
    - разграничение по ACL,DrPsih, 10:11 , 30-Май-12

Сообщения в этом обсуждении

"разграничение по ACL"
Отправлено jied83 , 29-Май-12 13:54

>[оверквотинг удален]
> deny ip any any
> ip access-list extended VIRT_L2
> permit ip host 192.168.10.62 any
> deny ip 192.168.10.0 0.0.0.31 any
> permit ip 192.168.10.0 0.0.0.255 any
> deny ip any any
> и общее правило повешал
> interface vlan 1
> deny ip host 192.168.10.62 any
> и все таки не получается... помогите разобраться
все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на рутере?
покажите интерфейс где у вас прописана эта сеть?

"разграничение по ACL"
Отправлено Aleks305 , 29-Май-12 13:58

>[оверквотинг удален]
>> deny ip 192.168.10.0 0.0.0.31 any
>> permit ip 192.168.10.0 0.0.0.255 any
>> deny ip any any
>> и общее правило повешал
>> interface vlan 1
>> deny ip host 192.168.10.62 any
>> и все таки не получается... помогите разобраться
> все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на
> рутере?
> покажите интерфейс где у вас прописана эта сеть?
вы вешаете acl на int vlan, это интерфейс для маршрутизации. У вас же в пределах одной сети 192.168.Х.Х трафик коммутируется между хостами, то есть Ваш конфиг бесполезен в рамках поставленной задачи. Необходимо вешать ACL на каждый из портов коммутатора, ....но это бред)и начальник у Вас бредит, а Вы ему не можете сказать, что он бредит)
ток без обид)

"разграничение по ACL"
Отправлено DrPsih , 30-Май-12 06:08

>[оверквотинг удален]
>>> и все таки не получается... помогите разобраться
>> все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на
>> рутере?
>> покажите интерфейс где у вас прописана эта сеть?
> вы вешаете acl на int vlan, это интерфейс для маршрутизации. У вас
> же в пределах одной сети 192.168.Х.Х трафик коммутируется между хостами, то
> есть Ваш конфиг бесполезен в рамках поставленной задачи. Необходимо вешать ACL
> на каждый из портов коммутатора, ....но это бред)и начальник у Вас
> бредит, а Вы ему не можете сказать, что он бредит)
> ток без обид)
какие обмды =) он сначало хотел что б все это через вланы было сделано и один порт находился во всех вланах и видел все. Я объяснил ему что железяка cisco 3750G не позволяет делать мультивлановый порт и что можно через транковый порт сделать ему сетвуху с поддержкой транков настроить сеть и он все будет видеть. ему так не захотелось (

"разграничение по ACL"
Отправлено DrPsih , 30-Май-12 04:41

>[оверквотинг удален]
>> deny ip 192.168.10.0 0.0.0.31 any
>> permit ip 192.168.10.0 0.0.0.255 any
>> deny ip any any
>> и общее правило повешал
>> interface vlan 1
>> deny ip host 192.168.10.62 any
>> и все таки не получается... помогите разобраться
> все компы в одной сети? 192.168.10.0/24? и все терминируется одним интерфейсом на
> рутере?
> покажите интерфейс где у вас прописана эта сеть?
interface range gi1/0/1-24
ip access-group VIRT_LAN1 in
interface range gi1/0/24-48
ip access-group VIRT_LAN2 in

"разграничение по ACL"
Отправлено Merridius , 29-Май-12 13:55

>[оверквотинг удален]
> deny ip any any
> ip access-list extended VIRT_L2
> permit ip host 192.168.10.62 any
> deny ip 192.168.10.0 0.0.0.31 any
> permit ip 192.168.10.0 0.0.0.255 any
> deny ip any any
> и общее правило повешал
> interface vlan 1
> deny ip host 192.168.10.62 any
> и все таки не получается... помогите разобраться
Поскольку у вас компы находятся в одном влане, то нужно резать их на коммутаторе на L2, то бишь либо VACL, либо PACL.
access-list 122 permit ip any host 192.168.10.62
access-list 123 permit ip host 192.168.10.62 any
access-list 124 permit ip 192.168.10.0 0.0.0.31 any
access-list 125 permit ip any any
vlan access-map test 10
match ip address 122
action drop
vlan access-map test 11
match ip address 123
action forward
vlan access-map test 12
match ip address 124
action drop
vlan access-map test 13
match ip address 125
action forward

vlan filter test vlan-list 1

"разграничение по ACL"
Отправлено DrPsih , 30-Май-12 05:07

>[оверквотинг удален]
> vlan access-map test 11
>  match ip address 123
>  action forward
> vlan access-map test 12
>  match ip address 124
>  action drop
> vlan access-map test 13
>  match ip address 125
>  action forward
> vlan filter test vlan-list 1
Спасибо за подсказку в каком направлении рыть правда лучше вешать на влан чем на интерфейсы.
но вот код приложенный не работает он отсекает адресса до 31 и они друг друга не видят, а хотелось бы что б видели друг друга и 62 не пингует до 31 адреса.

"разграничение по ACL"
Отправлено Merridius , 30-Май-12 09:52

> Спасибо за подсказку в каком направлении рыть правда лучше вешать на влан
> чем на интерфейсы.
А я куда повесил по вашему?
> но вот код приложенный не работает он отсекает адресса до 31 и
> они друг друга не видят, а хотелось бы что б видели
> друг друга и 62 не пингует до 31 адреса.
Конфигу набросал за 3 секунды, особо не вдумываясь в задание.

"разграничение по ACL"
Отправлено DrPsih , 30-Май-12 10:11

>> Спасибо за подсказку в каком направлении рыть правда лучше вешать на влан
>> чем на интерфейсы.
> А я куда повесил по вашему? ( тут я себя имел ввиду)
>> но вот код приложенный не работает он отсекает адресса до 31 и
>> они друг друга не видят, а хотелось бы что б видели
>> друг друга и 62 не пингует до 31 адреса.
> Конфигу набросал за 3 секунды, особо не вдумываясь в задание.
короче сейчас сделал вот как
Extended IP access list VIR_LAN1 // повешан на интерфейс gi1/0/1-12
    20 permit ip host 192.168.10.62 any (20 matches)
    30 permit ip 192.168.10.0 0.0.0.31 any (54 matches)
    40 deny ip any any (25 matches)
Extended IP access list VIR_LAN2  // повешан на интерфейс gi1/0/13-24
    20 permit ip host 192.168.10.62 any (15 matches)
    30 deny ip 192.168.10.0 0.0.0.31 any
    40 permit ip any any (55 matches)
вроде как разграничил и порт везде видит и айпишники друг друга не видят если с разных диапазонах, но с каждого диапазаона пингуется адресс 192.168.10.62 чего не хотелось бы. хотя это не критично.