URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 700
[ Назад ]

Исходное сообщение
"Логика ACL"

Отправлено strike1984 , 19-Апр-13 12:29 
На коммутаторе L3 3750X много vlan. Пользователям одного vlan необходимо разрешить полный доступ в интернет и к некоторых серверам в других vlan, gw находится в отдельном vlan.
Как лучше всего это сделать, не используя deny к запрещенным vlan?
Между vlan планируем ограничивать доступ с помощью VACL.

Содержание

Сообщения в этом обсуждении
"Логика ACL"
Отправлено pavlinux , 19-Апр-13 13:56 
> Как лучше всего это сделать, не используя deny к запрещенным vlan?

Создать новый влан с требуемыми портами.


"Логика ACL"
Отправлено strike1984 , 19-Апр-13 14:01 
> Создать новый влан с требуемыми портами.

Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить в другие vlan на другие подсети, но при этом имея доступ в интернет.


"Логика ACL"
Отправлено opennetiq , 19-Апр-13 17:13 
>> Создать новый влан с требуемыми портами.
> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить
> в другие vlan на другие подсети, но при этом имея доступ
> в интернет.

здррастье, как мне запретить не используя DENY? а? нах?


"Логика ACL"
Отправлено Andrey , 20-Апр-13 21:30 
>>> Создать новый влан с требуемыми портами.
>> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить
>> в другие vlan на другие подсети, но при этом имея доступ
>> в интернет.
> здррастье, как мне запретить не используя DENY? а? нах?

Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое правило "deny any any" в конце ACL. Чтобы это понять достаточно включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться знанием матершины.

С удовольствием ознакомился-бы с религией топик-стартера, которому по вере не позволяется использовать правила deny.


"Логика ACL"
Отправлено strike1984 , 23-Апр-13 08:42 
>>>> Создать новый влан с требуемыми портами.
>>> Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить
>>> в другие vlan на другие подсети, но при этом имея доступ
>>> в интернет.
>> здррастье, как мне запретить не используя DENY? а? нах?
> Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое
> правило "deny any any" в конце ACL. Чтобы это понять достаточно
> включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться
> знанием матершины.

Если вешать ACL только на один vlan, чтобы выпустить в интернет, то строки 200,210 мне придется повторять для всех подсетей, в том числе новых vlan. Если я даже на всех vlan повешу ACL, то все равно нужно помнить прописывать deny для каждого vlan. Ниже один из примеров.
    120 permit icmp any any (1 match)
    200 deny tcp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255
    210 deny udp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255
    1000 permit tcp 192.168.210.0 0.0.0.255 any
    1010 permit tcp any 172.168.210.0 0.0.0.255 established
    1020 permit udp 192.168.210.0 0.0.0.255 any (18 matches)
    1030 permit udp any 192.168.210.0 0.0.0.255

> С удовольствием ознакомился-бы с религией топик-стартера, которому по вере не позволяется
> использовать правила deny.

Тема называется "Логика ACL", нахожусь в поиске более оптимального решения.
В данный момент, склоняюсь тогда к решению на каждый vlan по ACL (deny any any).

Если еще с филиалов получить сотню подсетей.


"Логика ACL"
Отправлено Diesel315 , 23-Апр-13 14:33 
> На коммутаторе L3 3750X много vlan. Пользователям одного vlan необходимо разрешить полный
> доступ в интернет и к некоторых серверам в других vlan, gw
> находится в отдельном vlan.
> Как лучше всего это сделать, не используя deny к запрещенным vlan?
> Между vlan планируем ограничивать доступ с помощью VACL.

Ну так вроде ответ в вашем вопросе. Пользователям данного vlan прописываете permit до нужных хостов. Все остальное попадает под deny автоматом.