Добрый день уважаемые коллеги.
Есть проблема не срабатывания рефлексивной части ACL. Теперь по порядку.
1) Задача ограничить гостевому vlan доступ к сети предприятия
2) Оставить возможность обращаться к хостам гостевого vlan
Для этого подходит reflexive acl. Данный acl настраивается на Cisco 3750 (12.2(55)SE1 C3750-IPSERVICESK9-M) как выполняющий функции ядра системы.
Исходные данные:
10.60.63.x/24 - guest vlan 63
10.x.x.x/8 - сеть предприятия
Настройка ACL
Extended IP access list in101
10 evaluate refout101
20 permit ip 10.60.63.0 0.0.0.255 10.60.63.0 0.0.0.255
29 permit ip 10.60.63.0 0.0.0.255 host 10.4.10.6
30 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.240
40 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.245
50 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.249
60 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.7
70 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.241
80 deny ip 10.60.63.0 0.0.0.255 10.0.0.0 0.255.255.255
90 permit ip any any
Extended IP access list out101
10 permit ip any any reflect refout101
Reflexive IP access list refout101Настройка интерфейса
interface Vlan63
description Guest
ip address 10.60.63.254 255.255.255.0
ip access-group in101 in
ip access-group out101 out
ip helper-address 10.60.64.241
end
Запрещающая часть отрабатывает нормально, а вот рефлексивная нет.
Может кто-нибудь сталкивался с таким или есть соображения на этот счет?
Вариант для распечатки
