Jump to content
Калькуляторы

ES4612 to Alcatel6224

Опыт работы с сетями небольшой, прошу подсказать какие ошибки я допустил при конфигурированиии ES4612 и Alcatel 6224:

Дело в том, что у меня компьютер в VLAN 100, может без проблем увидеть другой компьютер совершенно в другом VLAN, например VLAN 200, и наоборот, а хотя они не должны видеть друг друга.

 

Вот конфиг с ES4612:

 

Console#show run 
building running-config, please wait..... 
! 
SNTP server 0.0.0.0 0.0.0.0 0.0.0.0 
! 
! 
snmp-server community public ro 
snmp-server community private rw 
! 
! 
username "admin" access-level 15 
username "admin" password 7 "21232f297a57a5a743894a0e4a801fc3" 
username "guest" access-level 0 
username "guest" password 7 "084e0343a0486ff05530df6c705c8bb4" 
enable password level 15 7 "1b3231655cebb7a1f783eddf27d254ca" 
! 
! 
! 
VLAN database 
VLAN 1 name "DefaultVlan" media ethernet state active 
VLAN 50 name " swich 2.10 " media ethernet state active 
VLAN 51 name " swich 2.14 " media ethernet state active 
VLAN 52 name " swich 2.6 " media ethernet state active 
VLAN 53 name " swich 1.1 " media ethernet state active 
VLAN 100 name " Office 2.9 " media ethernet state active 
VLAN 107 name " Office 2.11 " media ethernet state active 
VLAN 200 name " Class  2.10 " media ethernet state active 
! 
! 
! 
! 
spanning-tree MST-configuration 
! 
! 
! 
! 
interface ethernet 1/1 
description " Office 2.10 -> 26 " 
switchport allowed VLAN add 50 untagged 
switchport native VLAN 50 
switchport allowed VLAN remove 1 
switchport mode trunk 
switchport allowed VLAN add 50,100,200 tagged 
! 
interface ethernet 1/2 
description " Office 2.10 -> 25 " 
switchport allowed VLAN add 50 untagged 
switchport native VLAN 50 
switchport allowed VLAN remove 1 
switchport mode trunk 
switchport allowed VLAN add 50,100,200 tagged 
! 
interface ethernet 1/3 
description Office 2.14 -> 26 
switchport allowed VLAN add 51 untagged 
switchport native VLAN 51 
switchport allowed VLAN remove 1 
switchport mode trunk 
switchport allowed VLAN add 51,200 tagged 
! 
interface ethernet 1/4 
description Office 2.14 -> 25 
switchport allowed VLAN add 51 untagged 
switchport native VLAN 51 
switchport allowed VLAN remove 1 
switchport mode trunk 
switchport allowed VLAN add 51,200 tagged 
! 
interface ethernet 1/5 
description  Office 2.6 -> 26 
switchport allowed VLAN add 52 untagged 
switchport native VLAN 52 
switchport allowed VLAN remove 1 
switchport mode trunk 
switchport allowed VLAN add 52,107 tagged 
! 
interface ethernet 1/6 
description  Office 2.6 -> 25 
switchport allowed VLAN add 52 untagged 
switchport native VLAN 52 
switchport allowed VLAN remove 1 
switchport mode trunk 
switchport allowed VLAN add 52,107 tagged 
! 
interface ethernet 1/7 
switchport allowed VLAN add 1 untagged 
switchport native VLAN 1 
! 
interface ethernet 1/8 
switchport allowed VLAN add 1 untagged 
switchport native VLAN 1 
! 
interface ethernet 1/9 
shutdown 
switchport allowed VLAN add 1 untagged 
switchport native VLAN 1 
! 
interface ethernet 1/10 
shutdown 
switchport allowed VLAN add 1 untagged 
switchport native VLAN 1 
! 
interface ethernet 1/11 
shutdown 
switchport allowed VLAN add 1 untagged 
switchport native VLAN 1 
! 
interface ethernet 1/12 
shutdown 
switchport allowed VLAN add 1 untagged 
switchport native VLAN 1 
! 
! 
! 
interface VLAN 1 
IP address DHCP 
! 
! 
interface VLAN 50 
IP address 172.16.0.1 255.255.255.252 
! 
! 
interface VLAN 51 
IP address 172.16.0.5 255.255.255.252 
! 
! 
interface VLAN 52 
IP address 172.16.0.9 255.255.255.252 
! 
! 
interface VLAN 53 
! 
! 
interface VLAN 100 
IP address 192.168.0.1 255.255.255.248 
! 
! 
interface VLAN 107 
IP address 192.168.0.57 255.255.255.248 
! 
! 
interface VLAN 200 
IP address 10.10.0.1 255.255.255.192 
! 
! 
! 
no map IP precedence 
no map IP DSCP 
! 
! 

line console 
! 
! 
line VTY 
! 
! 
! 
end 
! 
Console#

 

А вот конфиг с Alcatel 6224:

 

 

2.10# show running-config 
spanning-tree mode rstp 
interface range ethernet e(8-10,12-24) 
shutdown 
exit 
interface range ethernet e(1-2) 
description " ADSL " 
exit 
interface ethernet e3 
description " I'am " 
exit 
interface ethernet e4 
description " Server " 
exit 
interface ethernet e5 
description FBSD 
exit 
interface ethernet e7 
description " Multimedia " 
exit 
interface range ethernet g(1-2) 
switchport mode trunk 
exit 
vlan database 
vlan 50,100,200 
exit 
interface range ethernet g(1-2) 
switchport trunk allowed vlan add 50 
exit 
interface range ethernet e(1-10) 
switchport access vlan 100 
exit 
interface range ethernet g(1-2) 
switchport trunk allowed vlan add 100 
exit 
interface range ethernet e(11-24) 
switchport access vlan 200 
exit 
interface range ethernet g(1-2) 
switchport trunk allowed vlan add 200 
exit 
interface vlan 50 
ip address 172.16.0.2 255.255.255.252 
exit 
ip default-gateway 172.16.0.1 
hostname 2.10 
exit 
aaa authentication enable default line 
aaa authentication login default local 
username root password 66698sfdsf6896866sf6896fdsfbg67876 level 15 encrypted 
2.10#

 

Заранее благодарен!

Share this post


Link to post
Share on other sites

А вывод show ip route с 4612?

Вам не кажется, что он роутит во вланах? Или я что то пропустил? Если так - то вешайте ACL на порты

Share this post


Link to post
Share on other sites
А вывод show ip route с 4612?

Вам не кажется, что он роутит во вланах? Или я что то пропустил? Если так - то вешайте ACL на порты

Спасибо, мне уже сказали, что надо использовать ACL на портах.

Если несложно напишите пожалуйста пример ACL на порту, который бы ограничивал бы доступ из сети 10.10.0.0/27 в сеть 192.168.0.0/29 :)

Я просто не как не пойму логики работы этого списка доступа...

 

 

Вот таблица:

 

Ip Address        Netmask        Next Hop      Protocol  Metric Interface
--------------- --------------- --------------- ---------- ------ ---------
      10.10.0.0 255.255.255.192       10.10.0.1      local      1       200
     172.16.0.0 255.255.255.252      172.16.0.1      local      1        50
     172.16.0.4 255.255.255.252      172.16.0.5      local      1        51
     172.16.0.8 255.255.255.252      172.16.0.9      local      1        52
    192.168.0.0 255.255.255.248     192.168.0.1      local      1       100

Share this post


Link to post
Share on other sites

Так почитайте в мануале что такое ACL

Там практически всё как у ciscо

Например запрещаем всяко заразно:

Console(config)#access-list ip extended test

Console(config-ext-acl)#deny TCP any any destination-port 135

Console(config-ext-acl)# deny UDP any any destination-port 135

Console(config-ext-acl)# deny TCP any any destination-port 445

Console(config-ext-acl)#exit

Console(config)#access-list ip mask-precedence in

Console(config-ip-mask-acl)#mask protocol any any destination-port

Console(config-ip-mask-acl)#exit

Console(config)#interface ethernet 1/1

Console(config-if)#ip access-group test in

Дальше додумаете.

Обратите внимание на mask-precedence

Нужно описывать этими масками порядок правил.

Edited by azlozello

Share this post


Link to post
Share on other sites
Так почитайте в мануале что такое ACL

Там практически всё как у ciscо

Например запрещаем всяко заразно:

Console(config)#access-list ip extended test

Console(config-ext-acl)#deny TCP any any destination-port 135

Console(config-ext-acl)# deny UDP any any destination-port 135

Console(config-ext-acl)# deny TCP any any destination-port 445

Console(config-ext-acl)#exit

Console(config)#access-list ip mask-precedence in

Console(config-ip-mask-acl)#mask protocol any any destination-port

Console(config-ip-mask-acl)#exit

Console(config)#interface ethernet 1/1

Console(config-if)#ip access-group test in

Дальше додумаете.

Обратите внимание на mask-precedence

Нужно описывать этими масками порядок правил.

Да вот с этими масками я и запутался, но да ладно, пример очень подробный разберусь, спасибо большое!

Пойду покурю маны :)

 

 

Share this post


Link to post
Share on other sites

в соседней ветке про эдж-коры я давал пример

Share this post


Link to post
Share on other sites

Вообщем прикрутил я ACL на порты, но ведать кривое правило сделал, мои запреты не работают...

А запретить я хотел, чтобы узел из 10.10.0.0/27 подсети, не мог видеть другие узлы из подсети 192.168.0.56/29

 

access-list IP extended " 2.14 -> 2.10 "
deny 10.10.0.0 255.255.255.192 any // запрещает все входящие пакеты, если адрес отправителя находится в подсети 10.10.0.0
!
access-list IP mask-precedence in
mask host any
mask 255.255.255.192 any
!
!
interface ethernet 1/1
description " Office 2.10 -> 26 "
switchport allowed VLAN add 50 untagged
switchport native VLAN 50
switchport allowed VLAN remove 1
switchport mode trunk
switchport allowed VLAN add 50,100,200 tagged
IP access-group  2.14 -> 2.10  in
!
interface ethernet 1/2
description " Office 2.10 -> 25 "
switchport allowed VLAN add 50 untagged
switchport native VLAN 50
switchport allowed VLAN remove 1
switchport mode trunk
switchport allowed VLAN add 50,100,200 tagged
IP access-group  2.14 -> 2.10  in

 

Подскажите пожалуйста в чем ошибка! :)

Edited by garmonik

Share this post


Link to post
Share on other sites

Проблема заключается в моем частичном непонимании устройства "Списка контроля доступа" (ACL) очень прошу не посылать меня сразу на просторы благородной литературы, мануалы я читал, но просто из-за спешки, которая образовалась во круг меня, все, что читал пока в одной куче, пытаюсь сам разобраться, но чуствую без посторонней помощи не смогу...

 

Есть не большая сеть состоящая из 4 коммутаторов Alcatel 6224(L2) и коммутатора ES4612(L3).

К коммутатору L3, коммутаторы L2 подключаются по оптоволокну.

Получается звезда, в центре которой ES4612.

 

На коммутаторе(L2)№1 созданы VLAN:

VLAN - управления                    50- 172.16.0.2/30(int vlan 50)
Офисная сеть (Серверная)    100
Компьютерный класс 2.10    200

 

На коммутаторе(L2)№2 созданы VLAN:

VLAN - управления                    51- 172.16.0.6/30(int vlan 51)
Офисная сеть (Бухгалтерия)1    101
Офисная сеть (Бухгалтерия)2    101
Офисная сеть (ДФО)                102
Офисная сеть (ЗФО)                102
Офисная сеть (Серкретарь)    103
Офисная сеть (Ректор)                103
Офисная сеть (Библиотека)    103
Офисная сеть (ПИ)                105
Офисная сеть (ВМ)                105
Офисная сеть (ГМУ)                106
Офисная сеть (МО)                106
Компьютерный класс 2.14    200

 

На коммутаторе(L2)№3 созданы VLAN:

VLAN - управления                    52- 172.16.0.10/30(int vlan 52)
Офисная сеть (СПО)                104
Офисная сеть (Учебный отдел)    107
Офисная сеть (ОГД)                107
Офисная сеть (ЕНД)                108
Офисная сеть (Приемная)    108
Компьютерный класс 2.6    200

 

На коммутаторе(L2)№4 созданы VLAN:

VLAN - управления           53-52- 172.16.0.14/30(int vlan 53)
Офисная сеть (Паяльная)    100
Компьютерный класс 2.6    200

 

На коммутаторе(L3)№1 созданы VLAN:

VLAN - управления                    50 ip172.16.0.1/30  
VLAN - управления                    51 ip172.16.0.5/30  
VLAN - управления                    52 ip172.16.0.9/30  
VLAN - управления                    53 ip172.16.0.13/30 
Офисная сеть (Серверная)    100 ip192.168.0.1/29
Офисная сеть (Бухгалтерия)1    101 ip192.168.0.9/29
Офисная сеть (Бухгалтерия)2    101
Офисная сеть (ДФО)                102 ip192.168.0.17/29
Офисная сеть (ЗФО)                102
Офисная сеть (Серкретарь)    103 ip192.168.0.25/29
Офисная сеть (Ректор)                103
Офисная сеть (Библиотека)    103
Офисная сеть (ПИ)                105 ip192.168.0.41/29
Офисная сеть (ВМ)                105
Офисная сеть (ГМУ)                106 ip192.168.0.49/29
Офисная сеть (МО)                106
Офисная сеть (СПО)                104 ip192.168.0.33/29
Офисная сеть (Учебный отдел)     107 ip192.168.0.57/29
Офисная сеть (ОГД)                107
Офисная сеть (ЕНД)                108 ip192.168.0.65/29
Офисная сеть (Приемная)     108
Компьютерные класссы       200 ip10.10.0.1/26

 

И вот загвоздка у меня с этими запретами между разными вланами.

Вот к примеру, мне надо ограничить доступ VLAN 200 на все VLAN и разрешить доступ к конкретному хосту в VLAN 100 (прокси с выходом в инет)

 

Ну это ладно, сервак еще не подрублен, инета еще нету ))

Зато есть локальная сеть и куча ресурсов, которые не должны быть видны для VLAN 200.

 

Вот что я пытался сделать по правилам:

access-list IP extended "100->200"
deny host 10.10.0.0 192.168.0.0 255.255.255.248
deny host 10.10.0.0 192.168.0.8 255.255.255.248
deny host 10.10.0.0 192.168.0.16 255.255.255.248
permit host 10.10.0.0 192.168.0.3 255.255.255.0(та самая прокси)

 

но как теперь создать маску для этого acl?

Все мои попытки прикрутить acl на интерфейсы не увенчались успехом, а те которые получались, не работали так, как мне надо, вот пример того, что получилось:

 

Console(config)#access-list ip standard  200->100"
Console(config-std-acl)#permit 10.10.0.0 255.255.255.0 
Console(config-std-acl)#deny 10.10.0.1 255.255.255.255
Console(config-std-acl)#exit
Console(config)#access-list ip mask-precedence in 
Console(config-ip-mask-acl)#mask host any
Console(config-ip-mask-acl)#mask 255.255.255.0 any

 

Что я делаю не так, подскажите пожалуйста, просто уже мозг кипит, а остановится не могу, хочу разобраться с этим ACL.

Share this post


Link to post
Share on other sites

Судя по вашей схеме примерно получается следующее:

все компьютеры в 200 влане принадлежат подсети 10.10.0.0 255.255.255.192 и не должны видеть никого кроме своей подсети и интернета. То есть им надо обрезать доступ ко всем приватным подсетям.

Получилось примерно следующее:

 

Console#sh access-list
IP extended access-list 100:
  permit 10.10.0.0 255.255.255.192 host 192.168.0.3
  deny 10.10.0.0 255.255.255.192 172.16.0.0 255.255.0.0
  deny 10.10.0.0 255.255.255.192 192.168.0.0 255.255.255.0
IP ingress mask ACL:
  mask 255.255.255.192 host
  mask 255.255.255.192 255.255.0.0
  mask 255.255.255.192 255.255.255.0

 

После этого вешаем на все порты, где есть хосты из 200-го влана. Вроде ничего не напутал:)

Edited by jeejay

Share this post


Link to post
Share on other sites
Вроде ничего не напутал:)

Вы нет, а я еще как напутал :)

Спасибо большое Вам!

Ваш ACL полностью рабочий, только что проверил, щас попытаюсь посоздавать другие правила, если будет что то не так, можно свнова обратится? :)

Edited by garmonik

Share this post


Link to post
Share on other sites

без проблем

 

На самом деле в этому отношении циска удобнее, так как позволяет вешать аксесс-листы на вланы. А вот 4612 пока что этого не умеет

Edited by jeejay

Share this post


Link to post
Share on other sites
На самом деле в этому отношении циска удобнее, так как позволяет вешать аксесс-листы на вланы. А вот 4612 пока что этого не умеет

Я читал про листы у циски, она еще может их по времени включать, что ктсате тоже наверно удобно :)

Но для меня это пока не нужно, я пытаюсь следовать той логике которую Вы показали, но она в моих правилах работать не хочеть...

По этому прошу Вас снова помоч мне разобраться что я делаю не так.

 

Мне надо чтобы VLAN 101 видела VLAN 102, 103, 104, 105, 106, 107 и интернет, а VLAN 102, 103, 104, 105, 106, 107 не видели VLAN 101.

Я делал так:

 

access-list IP extended "test"

permit 192.168.0.8 255.255.255.248 host 192.168.0.3 \\разрешаю сети 192.168.0.8 видеть интернет

permit 192.168.0.8 255.255.255.248 192.168.0.16 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 102

permit 192.168.0.8 255.255.255.248 192.168.0.24 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 103

permit 192.168.0.8 255.255.255.248 192.168.0.32 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 104

permit 192.168.0.8 255.255.255.248 192.168.0.40 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 105

permit 192.168.0.8 255.255.255.248 192.168.0.48 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 106

permit 192.168.0.8 255.255.255.248 192.168.0.56 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 107

deny 192.168.0.8 255.255.255.248 host 192.168.0.2 \\запрещаю сети 192.168.0.8 host 192.168.0.2 во VLAN 100

deny 192.168.0.8 255.255.255.248 host 192.168.0.4 \\запрещаю сети 192.168.0.8 host 192.168.0.4 во VLAN 100

deny 192.168.0.8 255.255.255.248 host 192.168.0.5 \\запрещаю сети 192.168.0.8 host 192.168.0.5 во VLAN 100

deny 192.168.0.8 255.255.255.248 host 192.168.0.6 \\запрещаю сети 192.168.0.8 host 192.168.0.6 во VLAN 100

deny 192.168.0.16 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.16 видеть сеть 192.168.0.8 255.255.255.248

deny 192.168.0.24 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.24 видеть сеть 192.168.0.8 255.255.255.248

deny 192.168.0.32 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.32 видеть сеть 192.168.0.8 255.255.255.248

deny 192.168.0.40 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.40 видеть сеть 192.168.0.8 255.255.255.248

deny 192.168.0.48 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.48 видеть сеть 192.168.0.8 255.255.255.248

deny 192.168.0.56 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.56 видеть сеть 192.168.0.8 255.255.255.248

 

 

access-list IP mask-precedence in

mask 255.255.255.0 host

mask 255.255.255.248 any

 

Такая маска для ACL не прокатывает и вообще весь список тоже, потому что я его прикрутить к порту не могу :(

Как дальше мне указать приоритетность выполнения правил для списка ACL, если это по идеи одно адресное пространство, которое разбито маской на подсети по 6 хостов?

Может мне стоит изменить выбранный способ адресации чтобы удобнее было указывать приоритеты в ACL (да и для статичных роутов) если я к примеру адреса буду назначать по такому порядку или это не имеет значения?

 

192.168.0.0 255.255.255.248

168.168.1.1 255.255.255.248

168.168.2.1 255.255.255.248

168.168.2.3 255.255.255.248

 

И еще допустим я могу создать множество ACL, но маска для этих ACL будет одна?

Имеет ли значение в каком порядке распологаются правила в списке и в самой маске?

Share this post


Link to post
Share on other sites

Здравствуйте!

 

Порядок масок задан немного неправильно - они у Вас перекрываются.

Правильнее так:

access-list IP mask-precedence in

mask 255.255.255.248 host

mask 255.255.255.248 255.255.255.248

 

Маски будут такие, какие Вы зададите, а вот порядок их расположения будет зависеть только от mask-precedence

Share this post


Link to post
Share on other sites
Здравствуйте!

 

Порядок масок задан немного неправильно - они у Вас перекрываются.

Правильнее так:

access-list IP mask-precedence in

mask 255.255.255.248 host

mask 255.255.255.248 255.255.255.248

 

Маски будут такие, какие Вы зададите, а вот порядок их расположения будет зависеть только от mask-precedence

 

 

Доброго времени суток!

Спасибо большое за помощь! :)

Правда даже изменив маску на ту которую вы показали acl все равно не прикручивается на порт...

 

 

Share this post


Link to post
Share on other sites

как получу доступ к 4612 - проверю, может не заметил и напутал че нить.

Share this post


Link to post
Share on other sites

Совсем забыл.Вы, наверное, делаете так, чтобы новый ACL работал вместе с листом для 200-го влана?:)

Share this post


Link to post
Share on other sites
Совсем забыл.Вы, наверное, делаете так, чтобы новый ACL работал вместе с листом для 200-го влана?:)

 

Ну вообще хотелось бы, чтобы все эти правила и для VLAN 200 и для всех остальных VLAN были в одном списке :)

Или если необходимо то для каждой подсети создать собственные правила, и с помощью маски указать порядок выполнения правил из этих нескольких списков?

Edited by garmonik

Share this post


Link to post
Share on other sites

Здравствуйте!

Очень долго не писал, так как ждал ответа от Акктона

Итак:В 4612 из-за ограничений чипа максимум mask-precedence равен 4.

То есть и в ACL может быть только 4 разных маски в записях.

 

Чуть позже напишу пример конфигурации

Share this post


Link to post
Share on other sites
Здравствуйте!

Очень долго не писал, так как ждал ответа от Акктона

Итак:В 4612 из-за ограничений чипа максимум mask-precedence равен 4.

То есть и в ACL может быть только 4 разных маски в записях.

 

Чуть позже напишу пример конфигурации

Здравствуйте!!!

Вы очень ответственный человек! ;)

Спасибо Вам за Ваши советы и помощь, буду с удовольствием ждать пример конфига :)

А пока такое дело, я нарсую в визио схему сети, лучше наглядно покажу логику которую я определяю.

 

Share this post


Link to post
Share on other sites

Console#sh access-list
IP extended access-list test:
  permit 10.10.0.0 255.255.255.192 host 192.168.0.3
  deny 10.10.0.0 255.255.255.192 172.16.0.0 255.255.255.0
  deny 10.10.0.0 255.255.255.192 192.168.0.0 255.255.255.0
  permit 192.168.0.8 255.255.255.248 host 192.168.0.3
  permit 192.168.0.8 255.255.255.248 192.168.0.16 255.255.255.248
  permit 192.168.0.8 255.255.255.248 192.168.0.24 255.255.255.248
  permit 192.168.0.8 255.255.255.248 192.168.0.32 255.255.255.248
  permit 192.168.0.8 255.255.255.248 192.168.0.40 255.255.255.248
  permit 192.168.0.8 255.255.255.248 192.168.0.48 255.255.255.248
  permit 192.168.0.8 255.255.255.248 192.168.0.56 255.255.255.248
  deny 192.168.0.8 255.255.255.248 host 192.168.0.2
  deny 192.168.0.8 255.255.255.248 host 192.168.0.4
  deny 192.168.0.8 255.255.255.248 host 192.168.0.5
  deny 192.168.0.8 255.255.255.248 host 192.168.0.6
  deny 192.168.0.16 255.255.255.248 192.168.0.8 255.255.255.248
  deny 192.168.0.24 255.255.255.248 192.168.0.8 255.255.255.248
  deny 192.168.0.32 255.255.255.248 192.168.0.8 255.255.255.248
  deny 192.168.0.40 255.255.255.248 192.168.0.8 255.255.255.248
  deny 192.168.0.48 255.255.255.248 192.168.0.8 255.255.255.248
  deny 192.168.0.56 255.255.255.248 192.168.0.8 255.255.255.248
IP ingress mask ACL:
  mask 255.255.255.192 host
  mask 255.255.255.192 255.255.255.0
  mask 255.255.255.248 host
  mask 255.255.255.248 255.255.255.248
Console#conf
Console(config)#in
Console(config)#interface e
Console(config)#interface ethernet 1/1
Console(config-if)#ip ac
Console(config-if)#ip access-group ?
  WORD  ACL name
Console(config-if)#ip access-group test in
Console(config-if)#

 

Проверку уже оставляю Вам

Share this post


Link to post
Share on other sites

Привет! :)

ACL рабочий, все запрещает кроме нужного, спасибо Вам большое!!!

 

Чтобы не плодить мои дилетантские темы на форуме я хотел бы в этой теме на всеобщую критику выложить топологию сети с конфигами.

Сеть не большая, но сервисов планируется много, например контролер домена, сервер приложений, файловый сервер, DHCP и тд.

Сервер, который будет раздавать Интернет, будет сконфигурирован на FreeBSD (NAT с прозрачным прокси).

Из железа используем Alcatel 6224, ES4612 и сервер (с поддержкой виртуализации серверов), материнская плата - S5000VSA4DIMMR, процессор Intel Xeon 5405 2ГГц, памяти 4Гб.

 

 

plan5.png

 

ЗЫ.Конфиги чуть позже, не успел оформить.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this