https://opennet.ru/openforum/vsluhforumID6/700.html На коммутаторе L3 3750X много vlan. Пользователям одного vlan необходимо разрешить полный доступ в интернет и к некоторых серверам в других vlan, gw находится в отдельном vlan.<br>Как лучше всего это сделать, не используя deny к запрещенным vlan?<br>Между vlan планируем ограничивать доступ с помощью VACL.<br> https://opennet.ru/openforum/vsluhforumID6/700.html#6 Tue, 23 Apr 2013 10:33:23 GMT &gt; На коммутаторе L3 3750X много vlan. Пользователям одного vlan необходимо разрешить полный <br>&gt; доступ в интернет и к некоторых серверам в других vlan, gw <br>&gt; находится в отдельном vlan.<br>&gt; Как лучше всего это сделать, не используя deny к запрещенным vlan?<br>&gt; Между vlan планируем ограничивать доступ с помощью VACL.<br><br>Ну так вроде ответ в вашем вопросе. Пользователям данного vlan прописываете permit до нужных хостов. Все остальное попадает под deny автоматом.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/700.html#5 Tue, 23 Apr 2013 04:42:51 GMT &gt;&gt;&gt;&gt; Создать новый влан с требуемыми портами.<br>&gt;&gt;&gt; Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить <br>&gt;&gt;&gt; в другие vlan на другие подсети, но при этом имея доступ <br>&gt;&gt;&gt; в интернет.<br>&gt;&gt; здррастье, как мне запретить не используя DENY? а? нах?<br>&gt; Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое <br>&gt; правило "deny any any" в конце ACL. Чтобы это понять достаточно <br>&gt; включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться <br>&gt; знанием матершины.<br><br>Если вешать ACL только на один vlan, чтобы выпустить в интернет, то строки 200,210 мне придется повторять для всех подсетей, в том числе новых vlan. Если я даже на всех vlan повешу ACL, то все равно нужно помнить прописывать deny для каждого vlan. Ниже один из примеров.<br> 120 permit icmp any any (1 match)<br> 200 deny tcp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255<br> 210 deny udp 192.168.210.0 0.0.0.255 192.168.150.0 0.0.0.255<br> 1000 permit tcp 192.168.210.0 0.0.0.255 any<br> https://opennet.ru/openforum/vsluhforumID6/700.html#4 Sat, 20 Apr 2013 17:30:11 GMT &gt;&gt;&gt; Создать новый влан с требуемыми портами.<br>&gt;&gt; Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить <br>&gt;&gt; в другие vlan на другие подсети, но при этом имея доступ <br>&gt;&gt; в интернет.<br>&gt; здррастье, как мне запретить не используя DENY? а? нах?<br><br>Прописать только правила permit в ACL. Все остальное будет попадать под неотображаемое правило "deny any any" в конце ACL. Чтобы это понять достаточно включить голову или почитать что-нибудь для уровня CCNA, а не хвастаться знанием матершины.<br><br>С удовольствием ознакомился-бы с религией топик-стартера, которому по вере не позволяется использовать правила deny.<br> https://opennet.ru/openforum/vsluhforumID6/700.html#3 Fri, 19 Apr 2013 13:13:35 GMT &gt;&gt; Создать новый влан с требуемыми портами.<br>&gt; Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить <br>&gt; в другие vlan на другие подсети, но при этом имея доступ <br>&gt; в интернет.<br><br>здррастье, как мне запретить не используя DENY? а? нах?<br> https://opennet.ru/openforum/vsluhforumID6/700.html#2 Fri, 19 Apr 2013 10:01:28 GMT &gt; Создать новый влан с требуемыми портами.<br><br>Смысл не пользователей разделить в одном vlan, а запретить всему vlan ходить в другие vlan на другие подсети, но при этом имея доступ в интернет.<br> https://opennet.ru/openforum/vsluhforumID6/700.html#1 Fri, 19 Apr 2013 09:56:46 GMT &gt; Как лучше всего это сделать, не используя deny к запрещенным vlan?<br><br>Создать новый влан с требуемыми портами. <br>