Jump to content
Калькуляторы

VLAN cisco packet tracer

Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL.

Ctnm1.png

Edited by NARUTOO

Share this post


Link to post
Share on other sites
7 минут назад, kapydan сказал:

а как acl писал? скинь для примера.

Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети  и permit any 192.168.0.100 0.0.0.255

для сервера 

Share this post


Link to post
Share on other sites
1 час назад, kapydan сказал:

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

 "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю?

Edited by NARUTOO

Share this post


Link to post
Share on other sites

так то да - deny all подразумевается для всего того, что не указано в acl.

 

если надо что-то запретить, то acl должен быть типа такого

 

ip access-list extended list1

10 deny ip откуда куда (тут может быть номер порта или сервиса)

20 permit ip откуда куда

 

циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд

Share this post


Link to post
Share on other sites

Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет

 

Edited by NARUTOO

Share this post


Link to post
Share on other sites

Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this