URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 327
[ Назад ]

Исходное сообщение
"ACL VLAN IN / OUT"
Отправлено peering , 28-Ноя-12 08:29

Запутался с направлениями: задача была такая:
- cisco 871
- 2 valn весят на L2  ( vlan1, Vlan2)
Организован доступ между хостами  (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10
На vlan2 вешаю:
ip access-group 120 in
access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
Трафик ходит нормально,, но не пойму логики ....
1) Почему правило  работает только, если я его вешаю на входящее направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник)  192.168.0.95 (назначение). По логике трафик должен  уходить через out.

2) Наткнулся на статью примерно по моему же случаю  https://supportforums.cisco.com/thread/2115619
Чёт под запутался: про действие out / in  есть у кого линк на более понятный материал.
-------------------
Я просто пытался объяснить на данном примере в какую сторону действует ACL на VLAN.
Если мы входим в SVI  с L2 порта в данном ВЛАНе, то IN ACL будут на нас действовать, а OUT нет. Если же мы вошли на коммутатор в другой VLAN изначально (через другой L2 порт), а затем произошла маршрутизация в VLAn250 - то на нас IN ACL не будет действовать, а будет OUT. Это пу сути идентично ACL yна L3 портах.
Те:
Просто, когда вы идете с сервера - попадаете на L2 порт, его можно заменить виртуально на L3 VLAN 250. Поэтому в нашем случае  к серверу применяются правил IN (то же самое если бы на l2 порту был l3 конфиг с VLAN250). Дальше трафик от сервера маршрутизируется в другой ВЛАН и выходит из Л2 порта в другом ВЛАн например 100. Тогда SVI VLAN 100 можно рассматривать как OUTgoing port для трафика с сервера. И ACL  на SVI 100 в направлении OUT также будут действовать на трафик от сервера.
Если же смотреть со стороны компьютера-источника запроса RDP. VLAN 250 для него исходящий L3 интерфейс (входящий для него какой-то другой ВЛАН  с его сеткой), поэтому на него не действуют правила IN на VLAN 250, а дейстуют правила Out.

-----------------------------------------
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 163
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3268845800
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3268845800
revocation-check none
rsakeypair TP-self-signed-3268845800
!
!
crypto pki certificate chain TP-self-signed-3268845800
certificate self-signed 01 nvram:IOS-Self-Sig#10.cer
dot11 syslog
ip cef
!
!
ip name-server 8.8.8.8
!
!
!
username root privilege 15 password 0 -------
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key ---- address ------------
!
!
crypto ipsec transform-set VTI esp-aes 192 esp-sha-hmac
!
crypto ipsec profile VTI
set transform-set VTI
!
!
archive
log config
  hidekeys
!
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source FastEthernet4
tunnel destination -----------
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
!
interface FastEthernet0
switchport access vlan 2
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address --------------- 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet4.1
!
interface Vlan1
ip address 192.168.0.230 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.10.1 255.255.255.0
ip access-group 120 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 -------------
ip route 10.0.0.0 255.255.255.0 10.0.0.1
ip route 192.168.5.0 255.255.255.0 10.0.0.1
!
no ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 50 permit 192.168.10.10
access-list 60 permit 192.168.0.98
access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Содержание

ACL VLAN IN / OUT,Serb, 09:10 , 28-Ноя-12
- ACL VLAN IN / OUT,peering, 11:34 , 28-Ноя-12
  - ACL VLAN IN / OUT,fantom, 12:15 , 28-Ноя-12
    - ACL VLAN IN / OUT,Serb, 21:42 , 28-Ноя-12
- ACL VLAN IN / OUT,peering, 08:20 , 29-Ноя-12
  - ACL VLAN IN / OUT,Serb, 09:32 , 29-Ноя-12
    - ACL VLAN IN / OUT,peering, 10:43 , 29-Ноя-12
      - ACL VLAN IN / OUT,Serb, 19:31 , 29-Ноя-12
ACL VLAN IN / OUT,crash, 06:39 , 29-Ноя-12
- ACL VLAN IN / OUT,peering, 08:16 , 29-Ноя-12

Сообщения в этом обсуждении

"ACL VLAN IN / OUT"
Отправлено Serb , 28-Ноя-12 09:10

interface Vlan2
ip address 192.168.10.1 255.255.255.0
ip access-group 120 in
ip access-group 119 out
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip access-group 121 in
ip access-group 122 out
access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
access-list 121 permit ip  host 192.168.0.95 host 192.168.10.10
access-list 119 permit ip  host 192.168.0.95 host 192.168.10.10

host 192.168.10.10  - >   fa0/vlan2 <-> vlan 2 - vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120 - l3 extended ACL)

traffic ot host 192.168.10.10 k 192.168.0.95  - >   fa0/vlan2 - ACL120-in  na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->   fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10 de 192.168.0.95 )  -> 192.168.0.95

traffic k host 192.168.10.10 ot 192.168.0.95  -> fa1/vlan1 - ACL121-in (so 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95 de 192.168.10.10)

"ACL VLAN IN / OUT"
Отправлено peering , 28-Ноя-12 11:34

>[оверквотинг удален]
> ip address 192.168.0.1 255.255.255.0
> ip access-group 121 in
> ip access-group 122 out
> access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 121 permit ip  host 192.168.0.95 host 192.168.10.10
> access-list 119 permit ip  host 192.168.0.95 host 192.168.10.10
> host 192.168.10.10  - >   fa0/vlan2 <-> vlan 2 -
> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
> - l3 extended ACL)
Я тоже думал что они вообще не работают потом попробовал access-list 120 permit ip host 192.168.10.10 host 192.168.0.95  из менить access-list 120 permit ip host 192.168.10.11 host 192.168.0.95  меняю источник или назн. ping не ходит..
И если вешаю на out сеть не доступна....

> traffic ot host 192.168.10.10 k 192.168.0.95  - >   fa0/vlan2
> - ACL120-in  na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>   fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
> de 192.168.0.95 )  -> 192.168.0.95
> traffic k host 192.168.10.10 ot 192.168.0.95  -> fa1/vlan1 - ACL121-in (so
> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
> de 192.168.10.10)

"ACL VLAN IN / OUT"
Отправлено fantom , 28-Ноя-12 12:15

>[оверквотинг удален]
> permit ip host 192.168.10.11 host 192.168.0.95  меняю источник или назн.
> ping не ходит..
> И если вешаю на out сеть не доступна....
>> traffic ot host 192.168.10.10 k 192.168.0.95  - >   fa0/vlan2
>> - ACL120-in  na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>>   fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
>> de 192.168.0.95 )  -> 192.168.0.95
>> traffic k host 192.168.10.10 ot 192.168.0.95  -> fa1/vlan1 - ACL121-in (so
>> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
>> de 192.168.10.10)
Вообще-то все с позиции циски на vlan 2 трафик с src IP 192.168.10.10 именно IN направления.

"ACL VLAN IN / OUT"
Отправлено Serb , 28-Ноя-12 21:42

>[оверквотинг удален]
>> И если вешаю на out сеть не доступна....
>>> traffic ot host 192.168.10.10 k 192.168.0.95  - >   fa0/vlan2
>>> - ACL120-in  na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>>>   fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
>>> de 192.168.0.95 )  -> 192.168.0.95
>>> traffic k host 192.168.10.10 ot 192.168.0.95  -> fa1/vlan1 - ACL121-in (so
>>> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
>>> de 192.168.10.10)
> Вообще-то все с позиции циски на vlan 2 трафик с src IP
> 192.168.10.10 именно IN направления.
da IN, y vrode ne utverzhdal obratnoe

"ACL VLAN IN / OUT"
Отправлено peering , 29-Ноя-12 08:20

>[оверквотинг удален]
> ip address 192.168.0.1 255.255.255.0
> ip access-group 121 in
> ip access-group 122 out
> access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 121 permit ip  host 192.168.0.95 host 192.168.10.10
> access-list 119 permit ip  host 192.168.0.95 host 192.168.10.10
> host 192.168.10.10  - >   fa0/vlan2 <-> vlan 2 -
> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
> - l3 extended ACL)
Скажи а вот обязательно на каждый интерфейс правило вешать я думал в моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,,
> traffic ot host 192.168.10.10 k 192.168.0.95  - >   fa0/vlan2
> - ACL120-in  na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>   fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
> de 192.168.0.95 )  -> 192.168.0.95
> traffic k host 192.168.10.10 ot 192.168.0.95  -> fa1/vlan1 - ACL121-in (so
> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
> de 192.168.10.10)

"ACL VLAN IN / OUT"
Отправлено Serb , 29-Ноя-12 09:32

>[оверквотинг удален]
>> ip access-group 122 out
>> access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
>> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
>> access-list 121 permit ip  host 192.168.0.95 host 192.168.10.10
>> access-list 119 permit ip  host 192.168.0.95 host 192.168.10.10
>> host 192.168.10.10  - >   fa0/vlan2 <-> vlan 2 -
>> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
>> - l3 extended ACL)
> Скажи а вот обязательно на каждый интерфейс правило вешать я думал в
> моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,,
не обязательно, смотря какие цели приследуются,  выше был пример для общего понимание что и как, а не руководство к действию
>> traffic ot host 192.168.10.10 k 192.168.0.95  - >   fa0/vlan2
>> - ACL120-in  na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>>   fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
>> de 192.168.0.95 )  -> 192.168.0.95
>> traffic k host 192.168.10.10 ot 192.168.0.95  -> fa1/vlan1 - ACL121-in (so
>> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
>> de 192.168.10.10)

"ACL VLAN IN / OUT"
Отправлено peering , 29-Ноя-12 10:43

>[оверквотинг удален]
>>> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
>>> access-list 121 permit ip  host 192.168.0.95 host 192.168.10.10
>>> access-list 119 permit ip  host 192.168.0.95 host 192.168.10.10
>>> host 192.168.10.10  - >   fa0/vlan2 <-> vlan 2 -
>>> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
>>> - l3 extended ACL)
>> Скажи а вот обязательно на каждый интерфейс правило вешать я думал в
>> моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,,
>  не обязательно, смотря какие цели приследуются,  выше был пример для
> общего понимание что и как, а не руководство к действию
Спасибо...
Цель у меня 3 Vlan,,, Vlan1  Vlan2  Vlan3
Vlan1 ( центр циска )  Vlan2  Vlan3  клиенты
Нужно чтобы V2-V3  ходили в V1 на определённые  ip, друг друга видеть не должны.
Мне я так понял достаточно повесить ACL на V2-V3 ???

"ACL VLAN IN / OUT"
Отправлено Serb , 29-Ноя-12 19:31

>[оверквотинг удален]
>>> Скажи а вот обязательно на каждый интерфейс правило вешать я думал в
>>> моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,,
>>  не обязательно, смотря какие цели приследуются,  выше был пример для
>> общего понимание что и как, а не руководство к действию
> Спасибо...
> Цель у меня 3 Vlan,,, Vlan1  Vlan2  Vlan3
> Vlan1 ( центр циска )  Vlan2  Vlan3  клиенты
> Нужно чтобы V2-V3  ходили в V1 на определённые  ip, друг
> друга видеть не должны.
> Мне я так понял достаточно повесить ACL на V2-V3 ???
dostatochno. no ya bi delal tak

dostup v vlan1  - vlan1 out acl
dostup v vlan2 - vlan 2 out acl
dostup v vlan3  - vlan3 out acl

"ACL VLAN IN / OUT"
Отправлено crash , 29-Ноя-12 06:39

>[оверквотинг удален]
> - cisco 871
> - 2 valn весят на L2  ( vlan1, Vlan2)
> Организован доступ между хостами  (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10
> На vlan2 вешаю:
> ip access-group 120 in
> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
> Трафик ходит нормально,, но не пойму логики ....
> 1) Почему правило  работает только, если я его вешаю на входящее
> направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник)
> 192.168.0.95 (назначение). По логике трафик должен  уходить через out.
по логике он должен ходить через in, что он собственно у вас и делает. Поэтому не понятно суть вашей проблемы.

"ACL VLAN IN / OUT"
Отправлено peering , 29-Ноя-12 08:16

>[оверквотинг удален]
>> Организован доступ между хостами  (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10
>> На vlan2 вешаю:
>> ip access-group 120 in
>> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
>> Трафик ходит нормально,, но не пойму логики ....
>> 1) Почему правило  работает только, если я его вешаю на входящее
>> направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник)
>> 192.168.0.95 (назначение). По логике трафик должен  уходить через out.
> по логике он должен ходить через in, что он собственно у вас
> и делает. Поэтому не понятно суть вашей проблемы.
Да проблема в том что меня запутала вот эта статья  https://supportforums.cisco.com/thread/2115619
Кто для кого яавляется  in / out
Вроде разобрался