Stateless fw na switchu Aruba 5406Rzl2
: 22 cze 2019, 00:48
Mam problem ze SWITCHem HPE 5406Rzl
Nie wiem czemu nie mogę połączyć się do 10.100.10.3 z 10.200.200.200 kiedy ACL10_in podpięta jest do 10 vlanu ?
Wygląda mi to na stateless fw?
Widzę opcję ip access-group ACL10_in (in, out vlan-in), robiłem różne kombinacje in, out, vlan-in ale nic nie działa.
Chcę mieć tak że router od strony zewnętrznej (VPN i Outside) ma aclki które ograniczają ruch z zewnątrz a od strony switcha(lanu) wszystko permit
znowu na switchu odwrotnie od strony użytkowników aclki, które ograniczają ruch a od strony routera wszystko permit.
Testowałem połączenie z 10.200.200.200 do 10.100.10.3 na porcie 3389
jeśli mam aclkę:
nie działa:
ip access-list extended ACL10_in
permit ip host 10.100.10.3 host 10.100.20.5
deny ip any any
vlan 10
ip access-group ACL10_in in
działa:
ip access-list extended ACL10_in
permit ip host 10.100.10.3 host 10.100.20.5
permit tcp host 10.100.10.3 eq 3389 host 10.200.200.200
deny ip any any
vlan 10
ip access-group ACL10_in in
Ale nie uśmiecha mi się dublowanie wszystkich aclek z routera na vlany i z poszczególnych vlanów dla ruchu powrotnego.
[url=https://ibb.co/cC27rJM][/url]
Nie wiem czemu nie mogę połączyć się do 10.100.10.3 z 10.200.200.200 kiedy ACL10_in podpięta jest do 10 vlanu ?
Wygląda mi to na stateless fw?
Widzę opcję ip access-group ACL10_in (in, out vlan-in), robiłem różne kombinacje in, out, vlan-in ale nic nie działa.
Chcę mieć tak że router od strony zewnętrznej (VPN i Outside) ma aclki które ograniczają ruch z zewnątrz a od strony switcha(lanu) wszystko permit
znowu na switchu odwrotnie od strony użytkowników aclki, które ograniczają ruch a od strony routera wszystko permit.
Testowałem połączenie z 10.200.200.200 do 10.100.10.3 na porcie 3389
jeśli mam aclkę:
nie działa:
ip access-list extended ACL10_in
permit ip host 10.100.10.3 host 10.100.20.5
deny ip any any
vlan 10
ip access-group ACL10_in in
działa:
ip access-list extended ACL10_in
permit ip host 10.100.10.3 host 10.100.20.5
permit tcp host 10.100.10.3 eq 3389 host 10.200.200.200
deny ip any any
vlan 10
ip access-group ACL10_in in
Ale nie uśmiecha mi się dublowanie wszystkich aclek z routera na vlany i z poszczególnych vlanów dla ruchu powrotnego.
[url=https://ibb.co/cC27rJM][/url]