https://opennet.me/openforum/vsluhforumID6/14946.html Необходимо написать ACL для vlan'ов (правила самые обычные: чтобы ходили mail, dns, dhcp, http и icq) на 3750. Попробовал для начала поднять аську, ничего не вышло. Вот конфиг:<br><br>...........<br>vlan access-map TEST 10<br> action forward<br> match ip address 100<br>vlan access-map TEST 20<br> action forward<br> match ip address 101<br>vlan filter TEST vlan-list 223<br>vlan internal allocation policy ascending<br>!<br>interface FastEthernet1/0/1 <br>...................<br>...................<br>access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo<br>access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo-reply<br>access-list 101 permit tcp 172.26.0.0 0.0.0.255 any<br>access-list 101 permit tcp any any established<br>.................<br>Подскажите, в чем ошибка??? уже неделю сижу мучаюсь...<br> https://opennet.me/openforum/vsluhforumID6/14946.html#6 Wed, 28 Nov 2007 11:53:58 GMT Проблема снимается. Нашел ошибку-неправильно указал маску :<br>написал: permit tcp 172.26.0.0 0.0.0.255 any<br>надо: .......... 172.26.0.0 0.0.255.255 ...<br>:)<br><br><br> https://opennet.me/openforum/vsluhforumID6/14946.html#5 Wed, 28 Nov 2007 08:38:07 GMT я вообще сначала думал, что не правильно применил vlan-map или vlan filter....<br>Но потом написал в ACL : permit tcp any any и ася заработала!!!<br><br>Т.е. получается что в ACL что то не то...(вообще подозрение на established)<br><br>кстати icmp работает, пинги идут<br> https://opennet.me/openforum/vsluhforumID6/14946.html#4 Wed, 28 Nov 2007 08:30:29 GMT попробовал. правила ACL не действуют<br><br> https://opennet.me/openforum/vsluhforumID6/14946.html#3 Wed, 28 Nov 2007 08:16:29 GMT &gt;т.е. создать для каждого vlan свой интерфейс Layer3 и на него прикрутить <br>&gt;ACL? <br><br>ну да, получится intervlan routing, если у тебя несколько сетей<br> https://opennet.me/openforum/vsluhforumID6/14946.html#2 Wed, 28 Nov 2007 07:08:51 GMT т.е. создать для каждого vlan свой интерфейс Layer3 и на него прикрутить ACL?<br><br><br><br> https://opennet.me/openforum/vsluhforumID6/14946.html#1 Wed, 28 Nov 2007 06:34:34 GMT &gt;[оверквотинг удален]<br>&gt;! <br>&gt;interface FastEthernet1/0/1 <br>&gt;................... <br>&gt;................... <br>&gt;access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo <br>&gt;access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo-reply <br>&gt;access-list 101 permit tcp 172.26.0.0 0.0.0.255 any <br>&gt;access-list 101 permit tcp any any established <br>&gt;................. <br>&gt;Подскажите, в чем ошибка??? уже неделю сижу мучаюсь... <br><br>Может тебе попробовать вот так:<br><br>vlan 10<br>........<br>interface Vlan10<br> ip address 172.26.223.1 255.255.255.0<br> ip access-group 100<br>........<br>access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo <br>access-list 100 permit icmp any 172.26.223.0 0.0.0.255 echo-reply <br>