NARUTOO Posted June 24, 2018 (edited) Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL. Edited June 24, 2018 by NARUTOO Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted June 24, 2018 а как acl писал? скинь для примера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NARUTOO Posted June 24, 2018 7 минут назад, kapydan сказал: а как acl писал? скинь для примера. Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети и permit any 192.168.0.100 0.0.0.255 для сервера Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted June 24, 2018 ну так надо же deny еще поставить на те адреса, которые хочешь запретить... https://habr.com/post/121806/ https://habr.com/post/154879/ глянь вот эти две статейки... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NARUTOO Posted June 24, 2018 (edited) 1 час назад, kapydan сказал: ну так надо же deny еще поставить на те адреса, которые хочешь запретить... https://habr.com/post/121806/ https://habr.com/post/154879/ глянь вот эти две статейки... "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю? Edited June 24, 2018 by NARUTOO Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted June 24, 2018 так то да - deny all подразумевается для всего того, что не указано в acl. если надо что-то запретить, то acl должен быть типа такого ip access-list extended list1 10 deny ip откуда куда (тут может быть номер порта или сервиса) 20 permit ip откуда куда циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NARUTOO Posted June 24, 2018 (edited) Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет Edited June 24, 2018 by NARUTOO Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kapydan Posted June 24, 2018 Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...