SVI na Vlan100: 192.168.1.1/24
SVI na Vlan200: 192.168.2.1/24
SVI na Vlan10: 10.0.0.1/30 – do polaczenia z FW i dalej routerami ISP i WAN
Za pomocą ACL chciałbym:
1. Zablokować komunikacja pomiędzy vlan100 i vlan200 z wyjątkiem:
host 192.168.1.10 <-> vlan200
host 192.168.2.10 <-> host 192.168.1.20
2. Zablokować wyjście przez FW do Internetu i WAN dla:
host 192.168.1.10
cały vlan200
Czy takie zastosowanie ACL będzie ok ?
Kod: Zaznacz cały
ip access-list extendet LAN100_BLOCK
deny ip host 192.168.1.10 192.168.2.0 0.0.0.255
deny ip host 192.168.1.10 host 10.0.0.1
permit any any
int vlan100
ip access-group LAN100_BLOCK out
ip access-list extendet LAN200_BLOCK
deny ip host 192.168.2.10 host 192.168.1.20
deny ip any host 10.0.0.1
permit any any
int vlan200
ip access-group LAN200_BLOCK out
Nie jestem pewien czy w przypadku blokowania „wyjścia” do Internetu i WAN zadziałają wpisy:
Kod: Zaznacz cały
deny ip host 192.168.1.10 host 10.0.0.1
deny ip any host 10.0.0.1