NARUTOO Posted June 24, 2018 (edited) · Report post Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL. Edited June 24, 2018 by NARUTOO Share this post Link to post Share on other sites
kapydan Posted June 24, 2018 · Report post а как acl писал? скинь для примера. Share this post Link to post Share on other sites
NARUTOO Posted June 24, 2018 · Report post 7 минут назад, kapydan сказал: а как acl писал? скинь для примера. Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети и permit any 192.168.0.100 0.0.0.255 для сервера Share this post Link to post Share on other sites
kapydan Posted June 24, 2018 · Report post ну так надо же deny еще поставить на те адреса, которые хочешь запретить... https://habr.com/post/121806/ https://habr.com/post/154879/ глянь вот эти две статейки... Share this post Link to post Share on other sites
NARUTOO Posted June 24, 2018 (edited) · Report post 1 час назад, kapydan сказал: ну так надо же deny еще поставить на те адреса, которые хочешь запретить... https://habr.com/post/121806/ https://habr.com/post/154879/ глянь вот эти две статейки... "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю? Edited June 24, 2018 by NARUTOO Share this post Link to post Share on other sites
kapydan Posted June 24, 2018 · Report post так то да - deny all подразумевается для всего того, что не указано в acl. если надо что-то запретить, то acl должен быть типа такого ip access-list extended list1 10 deny ip откуда куда (тут может быть номер порта или сервиса) 20 permit ip откуда куда циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд Share this post Link to post Share on other sites
NARUTOO Posted June 24, 2018 (edited) · Report post Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет Edited June 24, 2018 by NARUTOO Share this post Link to post Share on other sites
kapydan Posted June 24, 2018 · Report post Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети. Share this post Link to post Share on other sites
