Jump to content

VLAN cisco packet tracer

NARUTOO
 Share

Recommended Posts

NARUTOO

NARUTOO

Posted
Posted (edited)

Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL.

Ctnm1.png

Edited by NARUTOO
NARUTOO

NARUTOO

Posted
  • Author
Posted
7 минут назад, kapydan сказал:

а как acl писал? скинь для примера.

Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети  и permit any 192.168.0.100 0.0.0.255

для сервера 

NARUTOO

NARUTOO

Posted
  • Author
Posted (edited)
1 час назад, kapydan сказал:

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

 "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю?

Edited by NARUTOO
kapydan

kapydan

Posted
Posted

так то да - deny all подразумевается для всего того, что не указано в acl.

 

если надо что-то запретить, то acl должен быть типа такого

 

ip access-list extended list1

10 deny ip откуда куда (тут может быть номер порта или сервиса)

20 permit ip откуда куда

 

циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд

NARUTOO

NARUTOO

Posted
  • Author
Posted (edited)

Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет

 

Edited by NARUTOO
kapydan

kapydan

Posted
Posted

Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.