 ACL на VLAN'e,  Sergo1, 29-Мрт-06, 19:14 [смотреть все]Так, запутался окончательно. на 2821 на fast eth по vlan 7 сидит сервак c ip у.у.у.254 255.255.255.252 (y.y.y.253 на стороне 2821 vlan-нитерфейса). Хотел разрешить вход на сервак только с адресов y.y.y.18 255.255.255.240 - это мой комп и x.x.x.x.14 255.255.255.252 - отсюда снимается статистика по нетфлоу. (плюс иногда открывать www и ftp, но это сейчас пока не критично.)
Попробовал сделать как обычно: int vlan 7
ip acc-gr 7 in
ip acc-gr 77 out ip access-list 7 permit x.x.x.14
ip acces-list 7 permit y.y.y.18
ip access-list 77 permit any И получился ахтунг - не пингуется сервак с у.у.у.18 и все тут. Прописал расширенный лист с источниками (x.x.x.14, y.y.y.18 и получателем y.y.y.254), все равно не пускает. Сделал пока так: но вопрос остался - как сделать правильно, почему не заработало? !
no aaa new-model
!
resource policy
!
ip subnet-zero
!
!
ip cef
!
!
!
!
!
!
interface GigabitEthernet0/0
description Connection to C
ip address x.x.x.14 255.255.255.252
ip route-cache flow
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface FastEthernet0/3/0
description Trunk Connection to Catalyst
switchport mode trunk
duplex full
speed 100
!
interface FastEthernet0/3/1
description VLAN 7 to NETUP UTM Server
switchport access vlan 7
duplex full
speed 100
!
interface FastEthernet0/3/2
shutdown
!
interface FastEthernet0/3/3
!
interface Vlan1
no ip address
no mop enabled
!
interface Vlan7
ip address y.y.y.253 255.255.255.252
ip access-group 7 out
!
interface Vlan101
description For Test perpouse only connection
no ip address
!
interface Vlan103
description Connection to 3-rd flore
no ip address
!
interface Vlan112
description Connection to 12-th flore
ip address y.y.y.249 255.255.255.252
!
interface Vlan123
description Our connection to Internet
ip address y.y.y.17 255.255.255.240
!
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.13
ip flow-export version 5
ip flow-export destination y.y.y.254 9996
!
ip http server
!
access-list 7 permit x.x.x.14
access-list 7 permit y.y.y.18
snmp-server community public RO
|
- ACL на VLAN'e, sh_, 22:04 , 29-Мрт-06 (1)
- ACL на VLAN'e, Sergo1, 10:28 , 30-Мрт-06 (2)
>sh vlan покажи...
astcisco#sh int vlan 7
Vlan7 is up, line protocol is up
Hardware is EtherSVI, address is 0015.2b97.9720 (bia 0015.
Internet address is y.y.y.253/30
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 03:10:01, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total outp
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
6489 packets input, 1141056 bytes, 0 no buffer
Received 44 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
56248 packets output, 26845212 bytes, 0 underruns
0 output errors, 1 interface resets
0 output buffer failures, 0 output buffers swapped out
- ACL на VLAN'e, sh_, 11:00 , 30-Мрт-06 (3)
- ACL на VLAN'e, Sergo1, 14:49 , 30-Мрт-06 (4)
>Не sh int vl, а sh vlans astcisco#sh vlans No Virtual LANs configured. Оказалось нет vlan'ов? Ничего не понимаю...
- ACL на VLAN'e, sh_, 15:15 , 30-Мрт-06 (5)
vlan dat
vl 112
vl 123
vl 7
exit
- ACL на VLAN'e, Sergo1, 15:39 , 30-Мрт-06 (6)
>vlan dat
>vl 112
>vl 123
>vl 7
>exit Просто добавить из в базу vlan'ов? Я добавил vlan 7, после этого сделал sh vlans - опять ничего нет.
- ACL на VLAN'e, Sergo1, 15:52 , 30-Мрт-06 (7)
сделал
#vlan
(vlan)#show
- показала все vlanы.cisco(vlan)#show cha 7
VLAN 7 is idenitical in both databases
astcisco(vlan)#show cha 112
VLAN 112 is idenitical in both databases
astcisco(vlan)#show prop 7
VLAN ISL Id: 7
Name: VLAN0007
Media Type: Ethernet
VLAN 802.10 Id: 100007
State: Operational
MTU: 1500 cisco(vlan)# Почему в двух базах данных? Откуда их две то?
|
Версия для распечатки
