ACL na SVI

Problemy związane ze switchingiem
Wiadomość
Autor
cesarks
wannabe
wannabe
Posty: 95
Rejestracja: 02 sie 2007, 14:51

ACL na SVI

#1

#1 Post autor: cesarks »

Switch 3750 (ip base)

SVI na Vlan100: 192.168.1.1/24
SVI na Vlan200: 192.168.2.1/24
SVI na Vlan10: 10.0.0.1/30 – do polaczenia z FW i dalej routerami ISP i WAN

Za pomocą ACL chciałbym:

1. Zablokować komunikacja pomiędzy vlan100 i vlan200 z wyjątkiem:
host 192.168.1.10 <-> vlan200
host 192.168.2.10 <-> host 192.168.1.20
2. Zablokować wyjście przez FW do Internetu i WAN dla:
host 192.168.1.10
cały vlan200

Czy takie zastosowanie ACL będzie ok ?

Kod: Zaznacz cały

ip access-list extendet LAN100_BLOCK
deny ip host 192.168.1.10 192.168.2.0 0.0.0.255
deny ip host 192.168.1.10 host 10.0.0.1
permit any any
int vlan100
ip access-group LAN100_BLOCK out

ip access-list extendet LAN200_BLOCK
deny ip host 192.168.2.10 host 192.168.1.20
deny ip any host 10.0.0.1
permit any any
int vlan200
ip access-group LAN200_BLOCK out

Nie jestem pewien czy w przypadku blokowania „wyjścia” do Internetu i WAN zadziałają wpisy:

Kod: Zaznacz cały

 deny ip host 192.168.1.10 host 10.0.0.1
 deny ip any host 10.0.0.1

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ACL na SVI

#2

#2 Post autor: frontier »

Na poczatek przepisz te access listy aby je przypiac pod interfejs jako in, nie out

Jak badzo chcesz to mozemy Ci podac rozwiazanie na tacy a jak chcesz sie nauczyc to poczytaj sobie FAQ Lukasza Bromirskiego, tam sa ladnie opisane Access Listy
Jeden konfig wart więcej niż tysiąc słów

cesarks
wannabe
wannabe
Posty: 95
Rejestracja: 02 sie 2007, 14:51

Re: ACL na SVI

#3

#3 Post autor: cesarks »

na IN SVI100:

Kod: Zaznacz cały

permit host 192.168.1.10 192.168.2.0 0.0.0.255
deny 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit 192.168.1.0 0.0.0.255 any
na IN SVI200:

Kod: Zaznacz cały

permit host 192.168.2.10 host 192.168.1.10
deny 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit 192.168.2.0 0.0.0.255 any
na OUT SVI10:

Kod: Zaznacz cały

deny host 192.168.1.10 any
deny 192.168.2.0 255.0.0.0 any
permit any any
Tak będzie ok ?

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ACL na SVI

#4

#4 Post autor: frontier »

Tak, teraz to zadziala, tylko zabraklo Ci "ip" po permit/deny.
Jeden konfig wart więcej niż tysiąc słów

ODPOWIEDZ