URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9547
[ Назад ]

Исходное сообщение
"Cisco 3750"

Отправлено FreeMan , 05-Янв-06 12:33 
Драствуй всезнающий ОЛЛ..
есть такая тема, сабжевая киска, в нее воткнуты компы, нуна разделить их так что бы комп №1 (192.168.1.2) видел комп №2 (192.168.2.2) но не видел комп №3 (192.168.3.2), комп №2 видел и №1 и №3, а комп № 3 видел №2 но не видел №1. каждый комп я запихнул во vlan 1,2 и 3 соответсвенно, потом делаю следующее:
conf t
ip routing
in vl 1
ip access-g 1 in
ip access-g 101 out
exit
in vl 2
ip access-g 2 in
ip access-g 102 out
exit
in vl 3
ip access-g 3 in
ip access-g 103 out
exit
access-l 101 de ip any 192.168.3.0 0.0.0.255 и после этого у меня проподает пинг с компа №1 на все подсетки (а до этого был), после добавления правила:
access-l 101 per ip an an у меня появляется пинг но опять во все подсетки.

иду другим способом:
access-l 2 de 192.168.1.0 0.0.0.255 то я не могу ни из одной подести пропинговать 192.168.2.2

Что я не правильно делаю????


Содержание

Сообщения в этом обсуждении
"Cisco 3750"
Отправлено fantom , 05-Янв-06 12:51 
>Драствуй всезнающий ОЛЛ..
>есть такая тема, сабжевая киска, в нее воткнуты компы, нуна разделить их
>так что бы комп №1 (192.168.1.2) видел комп №2 (192.168.2.2) но
>не видел комп №3 (192.168.3.2), комп №2 видел и №1 и
>№3, а комп № 3 видел №2 но не видел №1.
>каждый комп я запихнул во vlan 1,2 и 3 соответсвенно, потом
>делаю следующее:
>conf t
>ip routing
>in vl 1
>ip access-g 1 in
>ip access-g 101 out
>exit
>in vl 2
>ip access-g 2 in
>ip access-g 102 out
>exit
>in vl 3
>ip access-g 3 in
>ip access-g 103 out
>exit
>access-l 101 de ip any 192.168.3.0 0.0.0.255 и после этого у меня
>проподает пинг с компа №1 на все подсетки (а до этого
>был), после добавления правила:
>access-l 101 per ip an an у меня появляется пинг но опять
>во все подсетки.
>
>иду другим способом:
>access-l 2 de 192.168.1.0 0.0.0.255 то я не могу ни из одной
>подести пропинговать 192.168.2.2
>
>Что я не правильно делаю????

1. Вконце каждого ACL есть неявный deny any any
2. access-l 101 per ip an an замени на
access-l 101 per ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

3. Читай доку по ACL и как они работают


"Cisco 3750"
Отправлено FreeMan , 05-Янв-06 13:08 
>1. Вконце каждого ACL есть неявный deny any any
>2. access-l 101 per ip an an замени на
>access-l 101 per ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
я так пробовал, но ни чего не получается после добавления такого правила пинга как не было так и нет во все подсети!
>3. Читай доку по ACL и как они работают
да я читал.. просто уже потерял надежу... и веру в кисок.. вот поэтому и пишу!!!


"Cisco 3750"
Отправлено fantom , 05-Янв-06 13:57 
>>1. Вконце каждого ACL есть неявный deny any any
>>2. access-l 101 per ip an an замени на
>>access-l 101 per ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
>я так пробовал, но ни чего не получается после добавления такого правила
>пинга как не было так и нет во все подсети!
>>3. Читай доку по ACL и как они работают
>да я читал.. просто уже потерял надежу... и веру в кисок.. вот
>поэтому и пишу!!!

покажи sh run


"Cisco 3750"
Отправлено FreeMan , 05-Янв-06 14:14 
>покажи sh run

Building configuration...

Current configuration : 2501 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
enable secret 5 $1$Js6n$jaE4tA9z2YSdmEIQT6W3m0
!
ip subnet-zero
ip routing
!
!
policy-map ip
description exit
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
interface GigabitEthernet1/0/1
no ip address
no mdix auto
!
interface GigabitEthernet1/0/2
no ip address
no mdix auto
!
interface GigabitEthernet1/0/3
switchport access vlan 3
switchport mode access
no ip address
no mdix auto
!
interface GigabitEthernet1/0/4
switchport access vlan 20
no ip address
no mdix auto
!
interface GigabitEthernet1/0/5
switchport access vlan 10
no ip address
no mdix auto
!
interface GigabitEthernet1/0/6
no ip address
no mdix auto
!
interface GigabitEthernet1/0/7
no ip address
no mdix auto
!
interface GigabitEthernet1/0/8
no ip address
no mdix auto
!
interface GigabitEthernet1/0/9
no ip address
no mdix auto
!
interface GigabitEthernet1/0/10
no ip address
no mdix auto
!
interface GigabitEthernet1/0/11
no ip address
no mdix auto
!
interface GigabitEthernet1/0/12
no ip address
no mdix auto
!
interface GigabitEthernet1/0/13
no ip address
no mdix auto
!
interface GigabitEthernet1/0/14
no ip address
no mdix auto
!
interface GigabitEthernet1/0/15
no ip address
no mdix auto
!
interface GigabitEthernet1/0/16
no ip address
no mdix auto
!
interface GigabitEthernet1/0/17
no ip address
no mdix auto
!
interface GigabitEthernet1/0/18
no ip address
no mdix auto
!
interface GigabitEthernet1/0/19
no ip address
no mdix auto
!
interface GigabitEthernet1/0/20
no ip address
no mdix auto
!
interface GigabitEthernet1/0/21
no ip address
no mdix auto
!
interface GigabitEthernet1/0/22
no ip address
no mdix auto
!
interface GigabitEthernet1/0/23
no ip address
no mdix auto
!
interface GigabitEthernet1/0/24
no ip address
no mdix auto
!
interface Vlan1
ip address 192.200.100.125 255.255.255.0
!
interface Vlan3
ip address 192.200.105.1 255.255.255.0
ip access-group 1 in
ip access-group 101 out
!
interface Vlan10
ip address 192.200.102.1 255.255.255.0
ip access-group 2 in
ip access-group 102 out
!
interface Vlan20
ip address 192.200.103.1 255.255.255.0
ip access-group 3 in
ip access-group 103 out
!
ip default-gateway 192.200.100.34
ip classless
ip http server
!
!
line con 0
line vty 0 4
password 123
login
line vty 5 15
password 123
login
!
end


"Cisco 3750"
Отправлено fantom , 05-Янв-06 15:04 
>>покажи sh run
>
>Building configuration...
>
>Current configuration : 2501 bytes
>!
>version 12.1
>no service pad
>service timestamps debug uptime
>service timestamps log uptime
>no service password-encryption
>!
>hostname Switch
>!
>enable secret 5 $1$Js6n$jaE4tA9z2YSdmEIQT6W3m0
>!
>ip subnet-zero
>ip routing
>!
>!
>policy-map ip
> description exit
>!
>!
>spanning-tree mode pvst
>no spanning-tree optimize bpdu transmission
>spanning-tree extend system-id
>!
>!
>interface GigabitEthernet1/0/1
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/2
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/3
> switchport access vlan 3
> switchport mode access
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/4
> switchport access vlan 20
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/5
> switchport access vlan 10
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/6
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/7
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/8
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/9
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/10
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/11
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/12
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/13
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/14
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/15
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/16
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/17
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/18
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/19
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/20
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/21
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/22
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/23
> no ip address
> no mdix auto
>!
>interface GigabitEthernet1/0/24
> no ip address
> no mdix auto
>!
>interface Vlan1
> ip address 192.200.100.125 255.255.255.0
>!
>interface Vlan3
> ip address 192.200.105.1 255.255.255.0
> ip access-group 1 in
> ip access-group 101 out
>!
>interface Vlan10
> ip address 192.200.102.1 255.255.255.0
> ip access-group 2 in
> ip access-group 102 out
>!
>interface Vlan20
> ip address 192.200.103.1 255.255.255.0
> ip access-group 3 in
> ip access-group 103 out
>!
>ip default-gateway 192.200.100.34
>ip classless
>ip http server
>!
>!
>line con 0
>line vty 0 4
> password 123
> login
>line vty 5 15
> password 123
> login
>!
>end


А гда access-list ы ????
теоретически для доступа между Vlan1 и Vlan3

в твой конфиг надо добавить

access-l 1 permit 192.200.105.0 0.0.0.255

access-l 101 permit 192.200.100.0 0.0.0.255 192.200.105.0 0.0.0.255


"Cisco 3750"
Отправлено XXX , 05-Янв-06 15:36 
>Драствуй всезнающий ОЛЛ..
>есть такая тема, сабжевая киска, в нее воткнуты компы, нуна разделить их
>так что бы комп №1 (192.168.1.2) видел комп №2 (192.168.2.2) но
>не видел комп №3 (192.168.3.2), комп №2 видел и №1 и
>№3, а комп № 3 видел №2 но не видел №1.
>каждый комп я запихнул во vlan 1,2 и 3 соответсвенно, потом
>делаю следующее:
>conf t
>ip routing


in vl 1
ip access-g 100 in
ip access-g 101 out
access-l 100 pe ip host 192.168.1.2 host 192.168.2.2
access-l 101 pe ip host 192.168.2.2 host 192.168.1.2

Enjoy




"Cisco 3750"
Отправлено FreeMan , 05-Янв-06 19:01 
>in vl 1
>ip access-g 100 in
>ip access-g 101 out
>access-l 100 pe ip host 192.168.1.2 host 192.168.2.2
>access-l 101 pe ip host 192.168.2.2 host 192.168.1.2
>
>Enjoy
>

вот мои ALCи :

in vl 2
ip access-g 120 in
ip access-g 121 out
access-list 120 permit icmp 192.200.103.0 0.0.0.255 192.200.102.0 0.0.0.255
access-list 120 deny   ip any any
access-list 121 permit icmp 192.200.102.0 0.0.0.255 192.200.103.0 0.0.0.255
access-list 121 deny   ip any any

вот что выводит:
Switch#sh acce
Extended IP access list 120
    permit icmp 192.200.103.0 0.0.0.255 192.200.102.0 0.0.0.255
    deny ip any any (67 matches)
Extended IP access list 121
    permit icmp 192.200.102.0 0.0.0.255 192.200.103.0 0.0.0.255
    deny ip any any (135 matches)

почему то он пропускает правила с айпи адресами, и все идет через "any any"??!!

и есче вопрос : есть разница между номерами access-group, т.е. я знаю что 1-99 это стандарт, а 100-199 экстендет и все такое.. но может есть разница в том с чем использовать, с vlan-ами или с портами! ??


"Cisco 3750"
Отправлено fantom , 06-Янв-06 10:22 
>>in vl 1
>>ip access-g 100 in
>>ip access-g 101 out
>>access-l 100 pe ip host 192.168.1.2 host 192.168.2.2
>>access-l 101 pe ip host 192.168.2.2 host 192.168.1.2
>>
>>Enjoy
>>
>
>вот мои ALCи :
>
>in vl 2
>ip access-g 120 in
>ip access-g 121 out
>access-list 120 permit icmp 192.200.103.0 0.0.0.255 192.200.102.0 0.0.0.255
>access-list 120 deny   ip any any
>access-list 121 permit icmp 192.200.102.0 0.0.0.255 192.200.103.0 0.0.0.255
>access-list 121 deny   ip any any
>
>вот что выводит:
>Switch#sh acce
>Extended IP access list 120
>    permit icmp 192.200.103.0 0.0.0.255 192.200.102.0 0.0.0.255
>    deny ip any any (67 matches)
>Extended IP access list 121
>    permit icmp 192.200.102.0 0.0.0.255 192.200.103.0 0.0.0.255
>    deny ip any any (135 matches)
>
>почему то он пропускает правила с айпи адресами, и все идет через
>"any any"??!!
>
>и есче вопрос : есть разница между номерами access-group, т.е. я знаю
>что 1-99 это стандарт, а 100-199 экстендет и все такое.. но
>может есть разница в том с чем использовать, с vlan-ами или
>с портами! ??


Можешь дать конфиг ПОЛНОСТЬЮ?
В твоем sh run интерфейса int vl 2  вообще нет! и нет НИОДНОГО ACL-а,
Такое впечатление, что показываются куски конфигов с разных девайсов.


"Cisco 3750"
Отправлено FreeMan , 06-Янв-06 11:32 
>Можешь дать конфиг ПОЛНОСТЬЮ?
>В твоем sh run интерфейса int vl 2  вообще нет! и
>нет НИОДНОГО ACL-а,
>Такое впечатление, что показываются куски конфигов с разных девайсов.

просто я удалил конфиг, и сделал все заново.. а аклей нетут потомучто я постоянно их удаляю, создаю.. и постоянных, те которые у меня работают нету...

Building configuration...

Current configuration : 2651 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
enable secret 5 $1$SBjv$W3hQyYdyw2SkesNeZ.V0f1
!
ip subnet-zero
ip routing
!
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
vlan access-map lan1-map 10
action forward
!
interface GigabitEthernet1/0/1
no ip address
no mdix auto
!
interface GigabitEthernet1/0/2
no ip address
no mdix auto
!
interface GigabitEthernet1/0/3
switchport access vlan 5
no ip address
no mdix auto
!
interface GigabitEthernet1/0/4
switchport access vlan 3
no ip address
no mdix auto
!
interface GigabitEthernet1/0/5
switchport access vlan 2
no ip address
no mdix auto
!
interface GigabitEthernet1/0/6
no ip address
no mdix auto
!
interface GigabitEthernet1/0/7
no ip address
no mdix auto
!
interface GigabitEthernet1/0/8
no ip address
no mdix auto
!
interface GigabitEthernet1/0/9
no ip address
no mdix auto
!
interface GigabitEthernet1/0/10
no ip address
no mdix auto
!
interface GigabitEthernet1/0/11
no ip address
no mdix auto
!
interface GigabitEthernet1/0/12
no ip address
no mdix auto
!
interface GigabitEthernet1/0/13
no ip address
no mdix auto
!
interface GigabitEthernet1/0/14
no ip address
no mdix auto
!
interface GigabitEthernet1/0/15
no ip address
no mdix auto
!
interface GigabitEthernet1/0/16
no ip address
no mdix auto
!
interface GigabitEthernet1/0/17
no ip address
no mdix auto
!
interface GigabitEthernet1/0/18
no ip address
no mdix auto
!
interface GigabitEthernet1/0/19
no ip address
no mdix auto
!
interface GigabitEthernet1/0/20
no ip address
no mdix auto
!
interface GigabitEthernet1/0/21
no ip address
no mdix auto
!
interface GigabitEthernet1/0/22
no ip address
no mdix auto
!
interface GigabitEthernet1/0/23
no ip address
no mdix auto
!
interface GigabitEthernet1/0/24
no ip address
no mdix auto
!
interface Vlan1
ip address 192.200.100.125 255.255.255.0
!
interface Vlan2
ip address 192.200.102.1 255.255.255.0
ip access-group 120 in
ip access-group 121 out
!
interface Vlan3
ip address 192.200.103.1 255.255.255.0
ip access-group 130 in
ip access-group 131 out
!
interface Vlan4
ip address 192.200.105.1 255.255.255.0
ip access-group 140 in
ip access-group 141 out
!
ip default-gateway 192.200.100.34
ip classless
ip http server
!
access-list 140 deny   icmp 192.200.102.0 0.0.0.255 192.200.105.0 0.0.0.255
access-list 140 permit ip any any
access-list 141 deny   icmp 192.200.105.0 0.0.0.255 192.200.102.0 0.0.0.255
access-list 141 permit ip any any
!
line con 0
line vty 5 15
!
end

в этом конфиге акли должны запретить icmp траффик из vlan 4 во vlan 2, но он идет... а если убрать пермиты, то пропадает трафик во все подсети.

я тут еще вычитал след. : "если тебе нужно фильтровать трафик в пределах vlan и входящий/исходящий из vlan - vlan filter, vlan access-map читай про это" , может мне в эту сторону поглядеть.. ?


"Cisco 3750"
Отправлено XXX , 06-Янв-06 12:28 
access-list 140 deny icmp 192.200.105.0 0.0.0.255 192.200.102.0 0.0.0.255
access-list 140 permit ip any any
access-list 141 deny icmp 192.200.102.0 0.0.0.255 192.200.105.0 0.0.0.255
access-list 141 permit ip any any

access-list 120 deny icmp 192.200.102.0 0.0.0.255 192.200.105.0 0.0.0.255
access-list 120 permit ip any any
access-list 121 deny icmp 192.200.105.0 0.0.0.255 192.200.102.0 0.0.0.255
access-list 121 permit ip any any

так заработает :)


"Cisco 3750"
Отправлено FreeMan , 06-Янв-06 12:38 
>access-list 140 deny icmp 192.200.105.0 0.0.0.255 192.200.102.0 0.0.0.255
>access-list 140 permit ip any any
>access-list 141 deny icmp 192.200.102.0 0.0.0.255 192.200.105.0 0.0.0.255
>access-list 141 permit ip any any
>
>access-list 120 deny icmp 192.200.102.0 0.0.0.255 192.200.105.0 0.0.0.255
>access-list 120 permit ip any any
>access-list 121 deny icmp 192.200.105.0 0.0.0.255 192.200.102.0 0.0.0.255
>access-list 121 permit ip any any
>
>так заработает :)

УРРРЯЯЯЯЯЯ.. сенку друг!! :)))))