Witam, szanownych formulowiczow.
Zwaram sie do was o pomoc odnosnie wyjasnienia VACL
mam na switchu 6500 skonfigurowane :
5 Vlan'ow(Vlan 50(192.168.101.80) , Vlan 51( 192.168.100.80), Vlan 52(10.2.0.1), Vlan 53(171.16.6.0), Vlan 54(10.2.1.1)), wlaczony jest routing pomiedzy nimi
wklepalem ACL ograniczajace ruch np.
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.10 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.11 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.12 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.13 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.94 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.95 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.96 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.97 eq ftp
access-list 119 permit ip host 192.168.100.90 host 192.168.100.92
access-list 119 permit udp host 192.168.100.90 host 192.168.100.92 eq 137
access-list 119 permit udp host 192.168.100.90 host 192.168.100.92 eq 138
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.92 eq 139
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.92 eq 445
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.92 eq 1029
access-list 119 permit ip host 192.168.100.90 host 192.168.100.101
access-list 119 permit ip host 192.168.100.90 host 192.168.100.102
access-list 119 permit ip host 192.168.100.90 host 192.168.100.103
access-list 119 permit ip host 192.168.100.90 host 192.168.100.104
access-list 119 permit ip host 192.168.100.90 host 192.168.100.105
access-list 119 permit ip host 192.168.100.90 host 192.168.100.106
access-list 119 permit ip host 192.168.100.90 host 192.168.100.107
access-list 119 permit ip host 192.168.100.90 host 192.168.100.108
access-list 119 permit ip host 192.168.100.90 host 192.168.100.109
access-list 119 permit ip host 192.168.100.90 host 192.168.100.110
access-list 119 permit ip host 192.168.100.90 host 192.168.100.111
access-list 119 permit ip host 192.168.100.90 host 192.168.100.112
access-list 119 deny ip any any
i podpielem pod konkretne interfejsy sieciowe (czyli np int gig 1/2).
A teraz moje pytanie jest jak to by mozna bylo zrobic podpinajac pod interfejsy Vlan czyli no vlan 50 ?
Czy trzeba przerabiac ACL? Czy one sa dokladnie takie same jak dla int ?
pozdr. serdecznie i za odpowiedzi bede bardzo wdzieczny
Ps. nawet za te ktore beda mnie ganic za niewiedze.
zbyszek
Vlan ACL a ACL
Z tego co pamietam to na vlanie mozna wzocic ACL dowolne.
Jedyne ograniczenie to ze nie moze filtrowac ruch tranzytowego tzn. jak na danym vlanie jest siec X.Y.Z.0/24 to zrodlo lub cel musi być właśnie X.Y.Z.0/24 (jeśli się mylę to poprawcie).
Sprawa druga na danym SVI nie mozesz ustawiac filtrow dla hostów wewnatrz danego vlanu.
Do tego poczytaj o VACL.
Jedyne ograniczenie to ze nie moze filtrowac ruch tranzytowego tzn. jak na danym vlanie jest siec X.Y.Z.0/24 to zrodlo lub cel musi być właśnie X.Y.Z.0/24 (jeśli się mylę to poprawcie).
Sprawa druga na danym SVI nie mozesz ustawiac filtrow dla hostów wewnatrz danego vlanu.
Do tego poczytaj o VACL.
Tak jak pisze kktm możesz na SVI (int vlan 50 ip access-g 119, nie wiem co masz na myśli pisząc no vlan 50) zapiąć normalne ACL, tylko trzeba uważać co jest źródłem, a co celem, to się (przynajmniej mi) zdarza pomieszać.
Do filtrowania ruchu w obrębie vlanu nie używa się acli tylko vlan access maps, tu można troche poczytać
link
i polecam na końcu ACL deny ip any any log szybciej znajdziesz co nie działa, zresztą domyślnie i tak jest deny
Do filtrowania ruchu w obrębie vlanu nie używa się acli tylko vlan access maps, tu można troche poczytać
link
i polecam na końcu ACL deny ip any any log szybciej znajdziesz co nie działa, zresztą domyślnie i tak jest deny
npowinno byc np a nie no vlan 50 -sorki
czyli jak dobrze rozumiem Vacl sluzy do filtrowania pomiedzy vilanami czyli np
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.10 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.11 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.12 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.13 eq ftp
???
a vlan access maps
do wewn czyli np
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.94 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.95 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.96 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.97 eq ftp
dzieki za odpowiedzi.
pozdrawiam serdecznie
zbyszek
czyli jak dobrze rozumiem Vacl sluzy do filtrowania pomiedzy vilanami czyli np
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.10 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.11 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.12 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.13 eq ftp
???
a vlan access maps
do wewn czyli np
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.94 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.95 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.96 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.97 eq ftp
dzieki za odpowiedzi.
pozdrawiam serdecznie
zbyszek