NARUTOO Опубликовано 24 июня (изменено) · Жалоба Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL. Изменено 24 июня пользователем NARUTOO Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
kapydan Опубликовано 24 июня · Жалоба а как acl писал? скинь для примера. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NARUTOO Опубликовано 24 июня · Жалоба 7 минут назад, kapydan сказал: а как acl писал? скинь для примера. Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети и permit any 192.168.0.100 0.0.0.255 для сервера Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
kapydan Опубликовано 24 июня · Жалоба ну так надо же deny еще поставить на те адреса, которые хочешь запретить... https://habr.com/post/121806/ https://habr.com/post/154879/ глянь вот эти две статейки... Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NARUTOO Опубликовано 24 июня (изменено) · Жалоба 1 час назад, kapydan сказал: ну так надо же deny еще поставить на те адреса, которые хочешь запретить... https://habr.com/post/121806/ https://habr.com/post/154879/ глянь вот эти две статейки... "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю? Изменено 24 июня пользователем NARUTOO Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
kapydan Опубликовано 24 июня · Жалоба так то да - deny all подразумевается для всего того, что не указано в acl. если надо что-то запретить, то acl должен быть типа такого ip access-list extended list1 10 deny ip откуда куда (тут может быть номер порта или сервиса) 20 permit ip откуда куда циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NARUTOO Опубликовано 24 июня (изменено) · Жалоба Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет Изменено 24 июня пользователем NARUTOO Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
kapydan Опубликовано 24 июня · Жалоба Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
.png.ab91e50800b6e33188f8e588605101a4.png)