batuy

понятно, спасибо. правда уже не актуально, унесли все это на нормальный L3 свич с L3 ACL.

тогда возникает следующий вопрос. id vlan будет назначаться только трафику в котором присутствует указанный ip хоста или всему трафику из указанной подсети? судя по этому должно применяться ко всей сети, но синтаксис команды в таком случае кривой.

подсети 10.0.100.1/24 не существует. там должно быть 10.0.100.0/24. не понятно почему роутер принимает явный косяк в команде, получается там можно написать любой адрес хоста из требуемой сети?

я именно про это, спасибо.

можно пояснения по: subnet-vlan ip-address 10.0.100.1 mask 255.255.255.0 vlan 1 priority 0 по доке это что имеется ввиду под "ipv4-address" это адрес чего? оттуда же "Добавить соответствие между IP-подсетью и VLAN" так это подсеть? тогда почему в вашем примере "10.0.100.1 mask 255.255.255.0"?

ознакомился. собственно в вашей вики перевод ровно того же самого, не понял зачем мне эти доки было кидать, ну не суть. так и не нашел ответа на вопрос: какое правило применяется по умолчанию если трафик не попал ни под одно из существующих? как и в вашей вики есть упоминание такого правила, но что оно такое написать забыли еще есть упоминание о возможности конфигурирования дефолтного действия, но опять забыли написать как и где пункт 2 (2) "Configure default action"?

ага, тогда все понятно. я же писал: и на мой вопрос вы ответили: Нет, не считается.

точно? тогда как такое объяснить? SNR-S2995-12FX#sh interface Vlan80 Vlan80 is up(0), line protocol is up, dev index is 11080 Device flag 0x1003(UP BROADCAST MULTICAST) Time since last status change:0w-0d-4h-40m-58s (16858 seconds) IPv4 address is: 192.168.80.1 255.255.255.0 (Primary) VRF Bind: Not Bind Hardware is EtherSVI, address is f8-f0-82-d2-6a-a3 MTU is 1500 bytes , BW is 0 Kbit Encapsulation ARPA, loopback not set 5 minute input rate 3095 bits/sec, 3 packets/sec 5 minute output rate 4123 bits/sec, 2 packets/sec The last 5 second input rate 1354 bits/sec, 1 packets/sec The last 5 second output rate 1469 bits/sec, 1 packets/sec SNR-S2995-12FX# SNR-S2995-12FX#sh vlan id 80 VLAN Name Type Media Ports ---- ------------ ---------- --------- ---------------------------------------- 80 Voip Static ENET Ethernet1/0/2(T) Ethernet1/0/5(T) как можно заметить 1/0/2 и 1/0/5 транковые порты без указания каких-то разрешенных vlan Interface Ethernet1/0/2 switchport mode trunk ! Interface Ethernet1/0/5 description To SNR switchport mode trunk

Interface Ethernet1/0/25 switchport mode trunk такая конструкция считается vlan куда-то выдан? при условии присутствия этого влан в конфиге. и со всем вышесказанным, мне не понятно отличие in от out vacl. они будут идентично работать, от слова совсем.

так, с этим стало понятнее поведение vacl. но отсюда вопрос: если на свиче нет ни одного порта, например, в vlan 100, но при этом есть svi для этого влан. так понимаю если на vlan 100 навесить vacl трафик никак обрабатываться не будет?

при этом есть еще vlan 100 (10.1.100.0/24 через роутинг уходит в 192.168.0.1 и далее) и трафик из этой сети обрабатывается понятно. убираем permit tcp any-source 10.1.100.0 0.0.0.255 tcp (в том числе www) работать перестает. а вот на трафик внутри 1 vlan vacl как-то не адекватно влияет. в моем понимании он вообще не должен вмешиваться в трафик внутри влана.

есть 1 vlan в нем находится комп, интерфейс роутера и интерфейс SNR-S2995. комп подключен к 1 порту SNR-S2982 между свичами транк. SNR-S2982 Interface Ethernet1/0/1 lldp transmit med tlv capability lldp transmit med tlv networkPolicy lldp transmit med tlv inventory network policy voice tag tagged vid 80 switchport mode trunk switchport trunk allowed vlan 1;80 Interface Ethernet1/0/25 switchport mode trunk SNR-S2995 Interface Ethernet1/0/1 description To Old Lan Interface Ethernet1/0/5 description To SNR switchport mode trunk interface Vlan1 description Old Lan ip address 192.168.0.50 255.255.255.0 ip route 0.0.0.0/0 192.168.0.1 ip access-list extended Old_Net_Zero deny tcp any-source 10.1.100.0 0.0.0.255 syn permit tcp any-source 10.1.100.0 0.0.0.255 deny tcp any-source any-destination d-port 22 deny tcp any-source any-destination d-port 23 permit icmp any-source any-destination 0 deny icmp any-source 10.0.0.0 0.255.255.255 permit icmp any-source any-destination permit tcp any-source any-destination d-port 53 permit udp any-source any-destination d-port 53 permit tcp any-source s-port 53 any-destination permit udp any-source s-port 53 any-destination permit tcp any-source any-destination d-port 80 permit tcp any-source any-destination d-port 443 deny ip any-source any-destination exit vacl ip access-group Old_Net_Zero in vlan 1 как только применяю vacl к 1 vlan перестает работать www. да, комп 192.168.0.100, роутер 192.168.0.1

ясно. еще вопрос: как vacl влияет на трафик внутри vlan к которому он применен? и что в этом случае считается in, а что out?

похоже достаточно только на центральном свиче vacl вешать (судя по тесту). да, конструкция: ip access-list extended test deny tcp any-source any-destination syn exit работает как и хотелось, еще раз спасибо. подумал что acl можно на svi вешать из-за доки в вашей вики: слово "интерфейс" как бы намекает и весьма однозначно. также в вики упоминается однако нигде не нашлось что это за правила и действия по умолчанию? как в циске deny any any? остался вопрос, если на порту или vlan навешано несколько acl (уже не найду где видел, но в вики есть упоминание нескольких acl на одной сущности) в какой последовательности они обрабатываются?

так, это я не внимательно прочитал. получается это мне нужно vacl вешать на вланы по всем свичам на которых эти вланы есть? что-то не соображу топологию. или достаточно vacl повесить на vlan только на свиче где эти вланы имеют интерфейсы? хотя, судя по тому, что vacl, видимо, один черт привязывается к портам придется по всем свичам распространять?