Запутался с направлениями: задача была такая:- cisco 871
- 2 valn весят на L2 ( vlan1, Vlan2)
Организован доступ между хостами (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10
На vlan2 вешаю:
ip access-group 120 in
access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
Трафик ходит нормально,, но не пойму логики ....
1) Почему правило работает только, если я его вешаю на входящее направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник) 192.168.0.95 (назначение). По логике трафик должен уходить через out.
2) Наткнулся на статью примерно по моему же случаю https://supportforums.cisco.com/thread/2115619
Чёт под запутался: про действие out / in есть у кого линк на более понятный материал.
-------------------
Я просто пытался объяснить на данном примере в какую сторону действует ACL на VLAN.
Если мы входим в SVI с L2 порта в данном ВЛАНе, то IN ACL будут на нас действовать, а OUT нет. Если же мы вошли на коммутатор в другой VLAN изначально (через другой L2 порт), а затем произошла маршрутизация в VLAn250 - то на нас IN ACL не будет действовать, а будет OUT. Это пу сути идентично ACL yна L3 портах.
Те:
Просто, когда вы идете с сервера - попадаете на L2 порт, его можно заменить виртуально на L3 VLAN 250. Поэтому в нашем случае к серверу применяются правил IN (то же самое если бы на l2 порту был l3 конфиг с VLAN250). Дальше трафик от сервера маршрутизируется в другой ВЛАН и выходит из Л2 порта в другом ВЛАн например 100. Тогда SVI VLAN 100 можно рассматривать как OUTgoing port для трафика с сервера. И ACL на SVI 100 в направлении OUT также будут действовать на трафик от сервера.
Если же смотреть со стороны компьютера-источника запроса RDP. VLAN 250 для него исходящий L3 интерфейс (входящий для него какой-то другой ВЛАН с его сеткой), поэтому на него не действуют правила IN на VLAN 250, а дейстуют правила Out.
-----------------------------------------
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 163
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3268845800
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3268845800
revocation-check none
rsakeypair TP-self-signed-3268845800
!
!
crypto pki certificate chain TP-self-signed-3268845800
certificate self-signed 01 nvram:IOS-Self-Sig#10.cer
dot11 syslog
ip cef
!
!
ip name-server 8.8.8.8
!
!
!
username root privilege 15 password 0 -------
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key ---- address ------------
!
!
crypto ipsec transform-set VTI esp-aes 192 esp-sha-hmac
!
crypto ipsec profile VTI
set transform-set VTI
!
!
archive
log config
hidekeys
!
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source FastEthernet4
tunnel destination -----------
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
!
interface FastEthernet0
switchport access vlan 2
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address --------------- 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet4.1
!
interface Vlan1
ip address 192.168.0.230 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.10.1 255.255.255.0
ip access-group 120 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 -------------
ip route 10.0.0.0 255.255.255.0 10.0.0.1
ip route 192.168.5.0 255.255.255.0 10.0.0.1
!
no ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 50 permit 192.168.10.10
access-list 60 permit 192.168.0.98
access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Вариант для распечатки
(ok) on 28-Ноя-12, 08:29 
