Jump to content
Калькуляторы

VLAN cisco packet tracer

Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL.

Ctnm1.png

Edited by NARUTOO

Share this post


Link to post
Share on other sites

7 минут назад, kapydan сказал:

а как acl писал? скинь для примера.

Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети  и permit any 192.168.0.100 0.0.0.255

для сервера 

Share this post


Link to post
Share on other sites

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

Share this post


Link to post
Share on other sites

1 час назад, kapydan сказал:

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

 "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю?

Edited by NARUTOO

Share this post


Link to post
Share on other sites

так то да - deny all подразумевается для всего того, что не указано в acl.

 

если надо что-то запретить, то acl должен быть типа такого

 

ip access-list extended list1

10 deny ip откуда куда (тут может быть номер порта или сервиса)

20 permit ip откуда куда

 

циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд

Share this post


Link to post
Share on other sites

Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет

 

Edited by NARUTOO

Share this post


Link to post
Share on other sites

Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.