clippart Posted December 14, 2015 Posted December 14, 2015 Уважаемые, доброго дня! Прошу помощи разобраться. на свитче имеем ACL ip access-list extended "110" 10 deny ip 192.168.99.1 0.0.0.0 0.0.0.0 255.255.255.255 20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit назначаем ACL на 50 VLAN vlan 50 name "test" untagged 23 ip access-group "110" vlan-in все отлично, с хоста 192.168.99.1 доступа в 50 VLAN нет, все остальные видят. Но! с 50 vlan также не доступен и хост 192.168.99.1, а все остальные видят. Вопрос - почему ACL работает в обоих направлениях то ? когда пакеты при VACL должны обрабатываться входящие в VLAN, но не исходящие. Вставить ник Quote
ShyLion Posted December 14, 2015 Posted December 14, 2015 Уважаемые, доброго дня! Прошу помощи разобраться. на свитче имеем ACL ip access-list extended "110" 10 deny ip 192.168.99.1 0.0.0.0 0.0.0.0 255.255.255.255 20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit назначаем ACL на 50 VLAN vlan 50 name "test" untagged 23 ip access-group "110" vlan-in все отлично, с хоста 192.168.99.1 доступа в 50 VLAN нет, все остальные видят. Но! с 50 vlan также не доступен и хост 192.168.99.1, а все остальные видят. Вопрос - почему ACL работает в обоих направлениях то ? когда пакеты при VACL должны обрабатываться входящие в VLAN, но не исходящие. Какая адресация в VLAN 50? Если 192.168.99.1 живет в другом вилане, то аксес лист вообще неверно написан. Вставить ник Quote
clippart Posted December 14, 2015 Author Posted December 14, 2015 Уважаемые, доброго дня! Прошу помощи разобраться. на свитче имеем ACL ip access-list extended "110" 10 deny ip 192.168.99.1 0.0.0.0 0.0.0.0 255.255.255.255 20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit назначаем ACL на 50 VLAN vlan 50 name "test" untagged 23 ip access-group "110" vlan-in все отлично, с хоста 192.168.99.1 доступа в 50 VLAN нет, все остальные видят. Но! с 50 vlan также не доступен и хост 192.168.99.1, а все остальные видят. Вопрос - почему ACL работает в обоих направлениях то ? когда пакеты при VACL должны обрабатываться входящие в VLAN, но не исходящие. Какая адресация в VLAN 50? Если 192.168.99.1 живет в другом вилане, то аксес лист вообще неверно написан. адресация в 50 влан - 192.168.50.0/24 почему неверно ? первым правилом запрещаем 99.1 доступ в 50 влан. остальным разрешаем. вешаем на вход. по крайней мере, так в документации. Вставить ник Quote
DRiVen Posted December 14, 2015 Posted December 14, 2015 с хоста 192.168.99.1 доступа в 50 VLAN нет, все остальные видят. Но! с 50 vlan также не доступен и хост 192.168.99.1, а все остальные видят. Вопрос - почему ACL работает в обоих направлениях то? Логику включите, вы хосту запретили "говорить" во влан, как же он может туда ответить? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.