Перейти к содержимому
Калькуляторы

VLAN cisco packet tracer

Доброго времени суток. Такое дело, есть сеть, состоящая из сервера, свитча, роутера и пк, на свитче настроены 3 влана, на маршрутизаторе настроены сабинтерфейсы для каждого влана,соответственно, вланы видят друг друга. Задача такая, надо ограничить доступ вланов друг к другу, но все должны иметь доступ к серверу. Пытался настроить ограничения через ACL, но что-то не особо вышло (скорее всего я что-то неправильно сделал), может кто-то подскажет другой способ или правильные настройки через ACL.

Ctnm1.png

Изменено пользователем NARUTOO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как acl писал? скинь для примера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 минут назад, kapydan сказал:

а как acl писал? скинь для примера.

Писал через расширенный acl, permit ip 10.57.0.0 0.0.255.255 10.57.0.0 0.0.255.255 - так для каждой подсети  и permit any 192.168.0.100 0.0.0.255

для сервера 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, kapydan сказал:

ну так надо же deny еще поставить на те адреса, которые хочешь запретить...

 

https://habr.com/post/121806/

 

https://habr.com/post/154879/

 

глянь вот эти две статейки...

 "Помните, в каждом конце списка стоит неявный deny any (запретить весь трафик)", цитата из статьи, которую вы кинули. Может я что-то неправильно понимаю?

Изменено пользователем NARUTOO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так то да - deny all подразумевается для всего того, что не указано в acl.

 

если надо что-то запретить, то acl должен быть типа такого

 

ip access-list extended list1

10 deny ip откуда куда (тут может быть номер порта или сервиса)

20 permit ip откуда куда

 

циска отрабатывает acl по номеру правила в acl, т.е вначале пойдет 10, потом 20 и тд

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но если я разрешаю прохождение в одну подсеть трафика только из этой же подсети, то deny all автоматически должен будет запретить любой другой трафик, т.е тоже самое, что и самому прописывать запрет

 

Изменено пользователем NARUTOO

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не обязательно. Можно поставить запрет на доступ к серверу выше, нежели разрешение на доступ к остальным хостам в подсети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.