https://www.opennet.ru/openforum/vsluhforumID6/327.html Запутался с направлениями: задача была такая:<br><br>- cisco 871<br>- 2 valn весят на L2 ( vlan1, Vlan2)<br><br>Организован доступ между хостами (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10<br><br>На vlan2 вешаю:<br><br>ip access-group 120 in<br><br>access-list 120 permit ip host 192.168.10.10 host 192.168.0.95<br><br>Трафик ходит нормально,, но не пойму логики ....<br><br>1) Почему правило работает только, если я его вешаю на входящее направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник) 192.168.0.95 (назначение). По логике трафик должен уходить через out.<br><br><br>2) Наткнулся на статью примерно по моему же случаю https://supportforums.cisco.com/thread/2115619<br>Чёт под запутался: про действие out / in есть у кого линк на более понятный материал.<br>-------------------<br>Я просто пытался объяснить на данном примере в какую сторону действует ACL на VLAN.<br>Если мы входим в SVI с L2 порта в данном ВЛАНе, то IN ACL будут на нас действовать, а OUT нет. Если же мы вошли на коммутатор в другой VLAN изначально (через другой https://www.opennet.ru/openforum/vsluhforumID6/327.html#10 Thu, 29 Nov 2012 15:31:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Скажи а вот обязательно на каждый интерфейс правило вешать я думал в <br>&gt;&gt;&gt; моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,, <br>&gt;&gt; не обязательно, смотря какие цели приследуются, выше был пример для <br>&gt;&gt; общего понимание что и как, а не руководство к действию <br>&gt; Спасибо...<br>&gt; Цель у меня 3 Vlan,,, Vlan1 Vlan2 Vlan3 <br>&gt; Vlan1 ( центр циска ) Vlan2 Vlan3 клиенты <br>&gt; Нужно чтобы V2-V3 ходили в V1 на определённые ip, друг <br>&gt; друга видеть не должны.<br>&gt; Мне я так понял достаточно повесить ACL на V2-V3 ???<br><br>dostatochno. no ya bi delal tak<br><br><br>dostup v vlan1 - vlan1 out acl<br>dostup v vlan2 - vlan 2 out acl <br>dostup v vlan3 - vlan3 out acl<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/327.html#9 Thu, 29 Nov 2012 06:43:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt;&gt;&gt; access-list 121 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt;&gt;&gt; access-list 119 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt;&gt;&gt; host 192.168.10.10 - &gt; fa0/vlan2 &lt;-&gt; vlan 2 - <br>&gt;&gt;&gt; vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120 <br>&gt;&gt;&gt; - l3 extended ACL) <br>&gt;&gt; Скажи а вот обязательно на каждый интерфейс правило вешать я думал в <br>&gt;&gt; моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,, <br>&gt; не обязательно, смотря какие цели приследуются, выше был пример для <br>&gt; общего понимание что и как, а не руководство к действию <br><br>Спасибо... <br><br>Цель у меня 3 Vlan,,, Vlan1 Vlan2 Vlan3<br><br>Vlan1 ( центр циска ) Vlan2 Vlan3 клиенты<br><br>Нужно чтобы V2-V3 ходили в V1 на определённые ip, друг друга видеть не должны.<br><br>Мне я так понял достаточно повесить ACL на V2-V3 ???<br><br><br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/327.html#8 Thu, 29 Nov 2012 05:32:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ip access-group 122 out <br>&gt;&gt; access-list 122 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt;&gt; access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt;&gt; access-list 121 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt;&gt; access-list 119 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt;&gt; host 192.168.10.10 - &gt; fa0/vlan2 &lt;-&gt; vlan 2 - <br>&gt;&gt; vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120 <br>&gt;&gt; - l3 extended ACL) <br>&gt; Скажи а вот обязательно на каждый интерфейс правило вешать я думал в <br>&gt; моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,, <br><br> не обязательно, смотря какие цели приследуются, выше был пример для общего понимание что и как, а не руководство к действию<br><br><br><br><br><br>&gt;&gt; traffic ot host 192.168.10.10 k 192.168.0.95 - &gt; fa0/vlan2 <br>&gt;&gt; - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )-&gt; <br>&gt;&gt; fa1/Vlan1 -&gt; acl 122-out na vlan 1 (so 192.168.10.10 <br>&gt;&gt; de 192.168.0.95 ) -&gt; 192.168.0.95 <br>&gt;&gt; traffic k host 192.168.10.1 https://www.opennet.ru/openforum/vsluhforumID6/327.html#7 Thu, 29 Nov 2012 04:20:25 GMT &gt;[оверквотинг удален]<br>&gt; ip address 192.168.0.1 255.255.255.0 <br>&gt; ip access-group 121 in <br>&gt; ip access-group 122 out <br>&gt; access-list 122 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt; access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt; access-list 121 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt; access-list 119 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt; host 192.168.10.10 - &gt; fa0/vlan2 &lt;-&gt; vlan 2 - <br>&gt; vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120 <br>&gt; - l3 extended ACL) <br><br>Скажи а вот обязательно на каждый интерфейс правило вешать я думал в моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,, <br><br><br><br><br><br>&gt; traffic ot host 192.168.10.10 k 192.168.0.95 - &gt; fa0/vlan2 <br>&gt; - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )-&gt; <br>&gt; fa1/Vlan1 -&gt; acl 122-out na vlan 1 (so 192.168.10.10 <br>&gt; de 192.168.0.95 ) -&gt; 192.168.0.95 <br>&gt; traffic k host 192.168.10.10 ot 192.168.0.95 -&gt; fa1/vlan1 - ACL121-in (so <br>&gt; 192.168.0.95 de 192.168.10 https://www.opennet.ru/openforum/vsluhforumID6/327.html#6 Thu, 29 Nov 2012 04:16:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Организован доступ между хостами (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10 <br>&gt;&gt; На vlan2 вешаю: <br>&gt;&gt; ip access-group 120 in <br>&gt;&gt; access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt;&gt; Трафик ходит нормально,, но не пойму логики ....<br>&gt;&gt; 1) Почему правило работает только, если я его вешаю на входящее <br>&gt;&gt; направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник) <br>&gt;&gt; 192.168.0.95 (назначение). По логике трафик должен уходить через out.<br>&gt; по логике он должен ходить через in, что он собственно у вас <br>&gt; и делает. Поэтому не понятно суть вашей проблемы.<br><br>Да проблема в том что меня запутала вот эта статья https://supportforums.cisco.com/thread/2115619 <br>Кто для кого яавляется in / out<br>Вроде разобрался <br> https://www.opennet.ru/openforum/vsluhforumID6/327.html#5 Thu, 29 Nov 2012 02:39:38 GMT &gt;[оверквотинг удален]<br>&gt; - cisco 871 <br>&gt; - 2 valn весят на L2 ( vlan1, Vlan2) <br>&gt; Организован доступ между хостами (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10 <br>&gt; На vlan2 вешаю: <br>&gt; ip access-group 120 in <br>&gt; access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt; Трафик ходит нормально,, но не пойму логики ....<br>&gt; 1) Почему правило работает только, если я его вешаю на входящее <br>&gt; направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник) <br>&gt; 192.168.0.95 (назначение). По логике трафик должен уходить через out.<br><br>по логике он должен ходить через in, что он собственно у вас и делает. Поэтому не понятно суть вашей проблемы.<br> https://www.opennet.ru/openforum/vsluhforumID6/327.html#4 Wed, 28 Nov 2012 17:42:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt; И если вешаю на out сеть не доступна....<br>&gt;&gt;&gt; traffic ot host 192.168.10.10 k 192.168.0.95 - &gt; fa0/vlan2 <br>&gt;&gt;&gt; - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )-&gt; <br>&gt;&gt;&gt; fa1/Vlan1 -&gt; acl 122-out na vlan 1 (so 192.168.10.10 <br>&gt;&gt;&gt; de 192.168.0.95 ) -&gt; 192.168.0.95 <br>&gt;&gt;&gt; traffic k host 192.168.10.10 ot 192.168.0.95 -&gt; fa1/vlan1 - ACL121-in (so <br>&gt;&gt;&gt; 192.168.0.95 de 192.168.10.10) - &gt; fa0/vlan2 -&gt; acl 119-out (so 192.168.0.95 <br>&gt;&gt;&gt; de 192.168.10.10) <br>&gt; Вообще-то все с позиции циски на vlan 2 трафик с src IP <br>&gt; 192.168.10.10 именно IN направления.<br><br>da IN, y vrode ne utverzhdal obratnoe <br> https://www.opennet.ru/openforum/vsluhforumID6/327.html#3 Wed, 28 Nov 2012 08:15:58 GMT &gt;[оверквотинг удален]<br>&gt; permit ip host 192.168.10.11 host 192.168.0.95 меняю источник или назн. <br>&gt; ping не ходит..<br>&gt; И если вешаю на out сеть не доступна....<br>&gt;&gt; traffic ot host 192.168.10.10 k 192.168.0.95 - &gt; fa0/vlan2 <br>&gt;&gt; - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )-&gt; <br>&gt;&gt; fa1/Vlan1 -&gt; acl 122-out na vlan 1 (so 192.168.10.10 <br>&gt;&gt; de 192.168.0.95 ) -&gt; 192.168.0.95 <br>&gt;&gt; traffic k host 192.168.10.10 ot 192.168.0.95 -&gt; fa1/vlan1 - ACL121-in (so <br>&gt;&gt; 192.168.0.95 de 192.168.10.10) - &gt; fa0/vlan2 -&gt; acl 119-out (so 192.168.0.95 <br>&gt;&gt; de 192.168.10.10) <br><br>Вообще-то все с позиции циски на vlan 2 трафик с src IP 192.168.10.10 именно IN направления.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/327.html#2 Wed, 28 Nov 2012 07:34:44 GMT &gt;[оверквотинг удален]<br>&gt; ip address 192.168.0.1 255.255.255.0 <br>&gt; ip access-group 121 in <br>&gt; ip access-group 122 out <br>&gt; access-list 122 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt; access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 <br>&gt; access-list 121 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt; access-list 119 permit ip host 192.168.0.95 host 192.168.10.10 <br>&gt; host 192.168.10.10 - &gt; fa0/vlan2 &lt;-&gt; vlan 2 - <br>&gt; vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120 <br>&gt; - l3 extended ACL) <br><br>Я тоже думал что они вообще не работают потом попробовал access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 из менить access-list 120 permit ip host 192.168.10.11 host 192.168.0.95 меняю источник или назн. ping не ходит..<br>И если вешаю на out сеть не доступна....<br><br><br>&gt; traffic ot host 192.168.10.10 k 192.168.0.95 - &gt; fa0/vlan2 <br>&gt; - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )-&gt; <br>&gt; fa1/Vlan1 -&gt; acl 122-out na vlan 1 (so 192.168.10.10 <br>&gt; de 192.168.0.9