Перейти к содержимому
Калькуляторы

VLAN cisco packet tracer

Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL.

Ctnm1.png

Изменено пользователем NARUTOO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как acl писал? скинь для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, kapydan сказал:

а как acl писал? скинь для примера.

Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети  и permit any 192.168.0.100 0.0.0.255

для сервера 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, kapydan сказал:

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

 "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю?

Изменено пользователем NARUTOO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так то да - deny all подразумевается для всего того, что не указано в acl.

 

если надо что-то запретить, то acl должен быть типа такого

 

ip access-list extended list1

10 deny ip откуда куда (тут может быть номер порта или сервиса)

20 permit ip откуда куда

 

циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет

 

Изменено пользователем NARUTOO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас