Jump to content

запретить трафик между сабинтерфейсами на cisco 2811

poweruser
 Share

Recommended Posts

poweruser

poweruser

Posted
Posted

нужно, чтобы сабинтерфейсы например для FE0 не видели друг друга, при этом смело ходили на интерфейс FE1. как можно реализовать?

обсуждалось здесь http://certification.ru/cgi-bin/forum.cgi?...ad&id=25960

не могу определиться как сделать

poweruser

poweruser

Posted
  • Author
Posted (edited)
access-list не пробовал вешать?
думаю как свести их количество к минимуму, если по другому никак

 

будет нарезано примерно так

 

fe 0/0.1 ip 192.168.1.1/28

fe 0/0.2 ip 192.168.1.17/28

...

fe 0/0.x ip 192.168.x.x/28

 

как лучше развесить acl?

 

vlan на подобных коробках никто не терминирует?
железка не та у тебя :) для термирования

да это понятно, на данный момент какой-нить 6500 не будет использоваться и на 10 % Edited by poweruser
puh

puh

Posted
Posted

элементарно, тебе нужен только 1 ACL, который нужно будет повесить на каждый сабинтерфейс твоего fasteth 0/0

 

ip access-list extended MYACL

deny ip any 192.168.0.0 0.0.255.255

permit ip any any

 

и далее

interface fastethernet 0/0.1

ip access-group MYACL in

poweruser

poweruser

Posted
  • Author
Posted (edited)
элементарно, тебе нужен только 1 ACL, который нужно будет повесить на каждый сабинтерфейс твоего fasteth 0/0

 

ip access-list extended MYACL

deny ip any 192.168.0.0 0.0.255.255

permit ip any any

 

и далее

interface fastethernet 0/0.1

ip access-group MYACL in

мне кажется или действительно при такой схеме я не смогу допустим

со 192.168.1.2 достучаться не только на другие сабинтерфейсы, но и на шлюз 192.168.1.1

при fe 0/0.1 ip 192.168.1.1/28

Edited by poweruser
poweruser

poweruser

Posted
  • Author
Posted
На шлюз не сможете, а зачем?

Трафик через него ходить будет.

если трафик ходить будет - уже лучше, но как-то некошерно получается, случись что, диагностировать проблему сложней.

не думал я, что циска на младших моделях такую свинью подложит.

puh

puh

Posted
Posted

вам не кажется, это действительно так и есть. Однако в стартпосте и не говорилось, что будет трафик с destination ip адресом сабинтерфейса. Да и нужно ли вам это?

poweruser

poweruser

Posted
  • Author
Posted

Однако в стартпосте и не говорилось, что будет трафик с destination ip адресом сабинтерфейса. Да и нужно ли вам это?

дело привычки наверное, пусть будет так. всем спасибо за помощь.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.