garmonik Posted September 2, 2009 · Report post Опыт работы с сетями небольшой, прошу подсказать какие ошибки я допустил при конфигурированиии ES4612 и Alcatel 6224: Дело в том, что у меня компьютер в VLAN 100, может без проблем увидеть другой компьютер совершенно в другом VLAN, например VLAN 200, и наоборот, а хотя они не должны видеть друг друга. Вот конфиг с ES4612: Console#show run building running-config, please wait..... ! SNTP server 0.0.0.0 0.0.0.0 0.0.0.0 ! ! snmp-server community public ro snmp-server community private rw ! ! username "admin" access-level 15 username "admin" password 7 "21232f297a57a5a743894a0e4a801fc3" username "guest" access-level 0 username "guest" password 7 "084e0343a0486ff05530df6c705c8bb4" enable password level 15 7 "1b3231655cebb7a1f783eddf27d254ca" ! ! ! VLAN database VLAN 1 name "DefaultVlan" media ethernet state active VLAN 50 name " swich 2.10 " media ethernet state active VLAN 51 name " swich 2.14 " media ethernet state active VLAN 52 name " swich 2.6 " media ethernet state active VLAN 53 name " swich 1.1 " media ethernet state active VLAN 100 name " Office 2.9 " media ethernet state active VLAN 107 name " Office 2.11 " media ethernet state active VLAN 200 name " Class 2.10 " media ethernet state active ! ! ! ! spanning-tree MST-configuration ! ! ! ! interface ethernet 1/1 description " Office 2.10 -> 26 " switchport allowed VLAN add 50 untagged switchport native VLAN 50 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 50,100,200 tagged ! interface ethernet 1/2 description " Office 2.10 -> 25 " switchport allowed VLAN add 50 untagged switchport native VLAN 50 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 50,100,200 tagged ! interface ethernet 1/3 description Office 2.14 -> 26 switchport allowed VLAN add 51 untagged switchport native VLAN 51 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 51,200 tagged ! interface ethernet 1/4 description Office 2.14 -> 25 switchport allowed VLAN add 51 untagged switchport native VLAN 51 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 51,200 tagged ! interface ethernet 1/5 description Office 2.6 -> 26 switchport allowed VLAN add 52 untagged switchport native VLAN 52 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 52,107 tagged ! interface ethernet 1/6 description Office 2.6 -> 25 switchport allowed VLAN add 52 untagged switchport native VLAN 52 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 52,107 tagged ! interface ethernet 1/7 switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! interface ethernet 1/8 switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! interface ethernet 1/9 shutdown switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! interface ethernet 1/10 shutdown switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! interface ethernet 1/11 shutdown switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! interface ethernet 1/12 shutdown switchport allowed VLAN add 1 untagged switchport native VLAN 1 ! ! ! interface VLAN 1 IP address DHCP ! ! interface VLAN 50 IP address 172.16.0.1 255.255.255.252 ! ! interface VLAN 51 IP address 172.16.0.5 255.255.255.252 ! ! interface VLAN 52 IP address 172.16.0.9 255.255.255.252 ! ! interface VLAN 53 ! ! interface VLAN 100 IP address 192.168.0.1 255.255.255.248 ! ! interface VLAN 107 IP address 192.168.0.57 255.255.255.248 ! ! interface VLAN 200 IP address 10.10.0.1 255.255.255.192 ! ! ! no map IP precedence no map IP DSCP ! ! line console ! ! line VTY ! ! ! end ! Console# А вот конфиг с Alcatel 6224: 2.10# show running-config spanning-tree mode rstp interface range ethernet e(8-10,12-24) shutdown exit interface range ethernet e(1-2) description " ADSL " exit interface ethernet e3 description " I'am " exit interface ethernet e4 description " Server " exit interface ethernet e5 description FBSD exit interface ethernet e7 description " Multimedia " exit interface range ethernet g(1-2) switchport mode trunk exit vlan database vlan 50,100,200 exit interface range ethernet g(1-2) switchport trunk allowed vlan add 50 exit interface range ethernet e(1-10) switchport access vlan 100 exit interface range ethernet g(1-2) switchport trunk allowed vlan add 100 exit interface range ethernet e(11-24) switchport access vlan 200 exit interface range ethernet g(1-2) switchport trunk allowed vlan add 200 exit interface vlan 50 ip address 172.16.0.2 255.255.255.252 exit ip default-gateway 172.16.0.1 hostname 2.10 exit aaa authentication enable default line aaa authentication login default local username root password 66698sfdsf6896866sf6896fdsfbg67876 level 15 encrypted 2.10# Заранее благодарен! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted September 2, 2009 · Report post А вывод show ip route с 4612? Вам не кажется, что он роутит во вланах? Или я что то пропустил? Если так - то вешайте ACL на порты Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 2, 2009 · Report post А вывод show ip route с 4612?Вам не кажется, что он роутит во вланах? Или я что то пропустил? Если так - то вешайте ACL на порты Спасибо, мне уже сказали, что надо использовать ACL на портах. Если несложно напишите пожалуйста пример ACL на порту, который бы ограничивал бы доступ из сети 10.10.0.0/27 в сеть 192.168.0.0/29 :) Я просто не как не пойму логики работы этого списка доступа... Вот таблица: Ip Address Netmask Next Hop Protocol Metric Interface --------------- --------------- --------------- ---------- ------ --------- 10.10.0.0 255.255.255.192 10.10.0.1 local 1 200 172.16.0.0 255.255.255.252 172.16.0.1 local 1 50 172.16.0.4 255.255.255.252 172.16.0.5 local 1 51 172.16.0.8 255.255.255.252 172.16.0.9 local 1 52 192.168.0.0 255.255.255.248 192.168.0.1 local 1 100 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
azlozello Posted September 2, 2009 (edited) · Report post Так почитайте в мануале что такое ACL Там практически всё как у ciscо Например запрещаем всяко заразно: Console(config)#access-list ip extended test Console(config-ext-acl)#deny TCP any any destination-port 135 Console(config-ext-acl)# deny UDP any any destination-port 135 Console(config-ext-acl)# deny TCP any any destination-port 445 Console(config-ext-acl)#exit Console(config)#access-list ip mask-precedence in Console(config-ip-mask-acl)#mask protocol any any destination-port Console(config-ip-mask-acl)#exit Console(config)#interface ethernet 1/1 Console(config-if)#ip access-group test in Дальше додумаете. Обратите внимание на mask-precedence Нужно описывать этими масками порядок правил. Edited September 2, 2009 by azlozello Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 2, 2009 · Report post Так почитайте в мануале что такое ACLТам практически всё как у ciscо Например запрещаем всяко заразно: Console(config)#access-list ip extended test Console(config-ext-acl)#deny TCP any any destination-port 135 Console(config-ext-acl)# deny UDP any any destination-port 135 Console(config-ext-acl)# deny TCP any any destination-port 445 Console(config-ext-acl)#exit Console(config)#access-list ip mask-precedence in Console(config-ip-mask-acl)#mask protocol any any destination-port Console(config-ip-mask-acl)#exit Console(config)#interface ethernet 1/1 Console(config-if)#ip access-group test in Дальше додумаете. Обратите внимание на mask-precedence Нужно описывать этими масками порядок правил. Да вот с этими масками я и запутался, но да ладно, пример очень подробный разберусь, спасибо большое! Пойду покурю маны :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted September 3, 2009 · Report post в соседней ветке про эдж-коры я давал пример Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 3, 2009 (edited) · Report post Вообщем прикрутил я ACL на порты, но ведать кривое правило сделал, мои запреты не работают... А запретить я хотел, чтобы узел из 10.10.0.0/27 подсети, не мог видеть другие узлы из подсети 192.168.0.56/29 access-list IP extended " 2.14 -> 2.10 " deny 10.10.0.0 255.255.255.192 any // запрещает все входящие пакеты, если адрес отправителя находится в подсети 10.10.0.0 ! access-list IP mask-precedence in mask host any mask 255.255.255.192 any ! ! interface ethernet 1/1 description " Office 2.10 -> 26 " switchport allowed VLAN add 50 untagged switchport native VLAN 50 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 50,100,200 tagged IP access-group 2.14 -> 2.10 in ! interface ethernet 1/2 description " Office 2.10 -> 25 " switchport allowed VLAN add 50 untagged switchport native VLAN 50 switchport allowed VLAN remove 1 switchport mode trunk switchport allowed VLAN add 50,100,200 tagged IP access-group 2.14 -> 2.10 in Подскажите пожалуйста в чем ошибка! :) Edited September 3, 2009 by garmonik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 3, 2009 · Report post Проблема заключается в моем частичном непонимании устройства "Списка контроля доступа" (ACL) очень прошу не посылать меня сразу на просторы благородной литературы, мануалы я читал, но просто из-за спешки, которая образовалась во круг меня, все, что читал пока в одной куче, пытаюсь сам разобраться, но чуствую без посторонней помощи не смогу... Есть не большая сеть состоящая из 4 коммутаторов Alcatel 6224(L2) и коммутатора ES4612(L3). К коммутатору L3, коммутаторы L2 подключаются по оптоволокну. Получается звезда, в центре которой ES4612. На коммутаторе(L2)№1 созданы VLAN: VLAN - управления 50- 172.16.0.2/30(int vlan 50) Офисная сеть (Серверная) 100 Компьютерный класс 2.10 200 На коммутаторе(L2)№2 созданы VLAN: VLAN - управления 51- 172.16.0.6/30(int vlan 51) Офисная сеть (Бухгалтерия)1 101 Офисная сеть (Бухгалтерия)2 101 Офисная сеть (ДФО) 102 Офисная сеть (ЗФО) 102 Офисная сеть (Серкретарь) 103 Офисная сеть (Ректор) 103 Офисная сеть (Библиотека) 103 Офисная сеть (ПИ) 105 Офисная сеть (ВМ) 105 Офисная сеть (ГМУ) 106 Офисная сеть (МО) 106 Компьютерный класс 2.14 200 На коммутаторе(L2)№3 созданы VLAN: VLAN - управления 52- 172.16.0.10/30(int vlan 52) Офисная сеть (СПО) 104 Офисная сеть (Учебный отдел) 107 Офисная сеть (ОГД) 107 Офисная сеть (ЕНД) 108 Офисная сеть (Приемная) 108 Компьютерный класс 2.6 200 На коммутаторе(L2)№4 созданы VLAN: VLAN - управления 53-52- 172.16.0.14/30(int vlan 53) Офисная сеть (Паяльная) 100 Компьютерный класс 2.6 200 На коммутаторе(L3)№1 созданы VLAN: VLAN - управления 50 ip172.16.0.1/30 VLAN - управления 51 ip172.16.0.5/30 VLAN - управления 52 ip172.16.0.9/30 VLAN - управления 53 ip172.16.0.13/30 Офисная сеть (Серверная) 100 ip192.168.0.1/29 Офисная сеть (Бухгалтерия)1 101 ip192.168.0.9/29 Офисная сеть (Бухгалтерия)2 101 Офисная сеть (ДФО) 102 ip192.168.0.17/29 Офисная сеть (ЗФО) 102 Офисная сеть (Серкретарь) 103 ip192.168.0.25/29 Офисная сеть (Ректор) 103 Офисная сеть (Библиотека) 103 Офисная сеть (ПИ) 105 ip192.168.0.41/29 Офисная сеть (ВМ) 105 Офисная сеть (ГМУ) 106 ip192.168.0.49/29 Офисная сеть (МО) 106 Офисная сеть (СПО) 104 ip192.168.0.33/29 Офисная сеть (Учебный отдел) 107 ip192.168.0.57/29 Офисная сеть (ОГД) 107 Офисная сеть (ЕНД) 108 ip192.168.0.65/29 Офисная сеть (Приемная) 108 Компьютерные класссы 200 ip10.10.0.1/26 И вот загвоздка у меня с этими запретами между разными вланами. Вот к примеру, мне надо ограничить доступ VLAN 200 на все VLAN и разрешить доступ к конкретному хосту в VLAN 100 (прокси с выходом в инет) Ну это ладно, сервак еще не подрублен, инета еще нету )) Зато есть локальная сеть и куча ресурсов, которые не должны быть видны для VLAN 200. Вот что я пытался сделать по правилам: access-list IP extended "100->200" deny host 10.10.0.0 192.168.0.0 255.255.255.248 deny host 10.10.0.0 192.168.0.8 255.255.255.248 deny host 10.10.0.0 192.168.0.16 255.255.255.248 permit host 10.10.0.0 192.168.0.3 255.255.255.0(та самая прокси) но как теперь создать маску для этого acl? Все мои попытки прикрутить acl на интерфейсы не увенчались успехом, а те которые получались, не работали так, как мне надо, вот пример того, что получилось: Console(config)#access-list ip standard 200->100" Console(config-std-acl)#permit 10.10.0.0 255.255.255.0 Console(config-std-acl)#deny 10.10.0.1 255.255.255.255 Console(config-std-acl)#exit Console(config)#access-list ip mask-precedence in Console(config-ip-mask-acl)#mask host any Console(config-ip-mask-acl)#mask 255.255.255.0 any Что я делаю не так, подскажите пожалуйста, просто уже мозг кипит, а остановится не могу, хочу разобраться с этим ACL. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted September 4, 2009 (edited) · Report post Судя по вашей схеме примерно получается следующее: все компьютеры в 200 влане принадлежат подсети 10.10.0.0 255.255.255.192 и не должны видеть никого кроме своей подсети и интернета. То есть им надо обрезать доступ ко всем приватным подсетям. Получилось примерно следующее: Console#sh access-list IP extended access-list 100: permit 10.10.0.0 255.255.255.192 host 192.168.0.3 deny 10.10.0.0 255.255.255.192 172.16.0.0 255.255.0.0 deny 10.10.0.0 255.255.255.192 192.168.0.0 255.255.255.0 IP ingress mask ACL: mask 255.255.255.192 host mask 255.255.255.192 255.255.0.0 mask 255.255.255.192 255.255.255.0 После этого вешаем на все порты, где есть хосты из 200-го влана. Вроде ничего не напутал:) Edited September 4, 2009 by jeejay Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 4, 2009 (edited) · Report post Вроде ничего не напутал:) Вы нет, а я еще как напутал :) Спасибо большое Вам! Ваш ACL полностью рабочий, только что проверил, щас попытаюсь посоздавать другие правила, если будет что то не так, можно свнова обратится? :) Edited September 4, 2009 by garmonik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted September 4, 2009 (edited) · Report post без проблем На самом деле в этому отношении циска удобнее, так как позволяет вешать аксесс-листы на вланы. А вот 4612 пока что этого не умеет Edited September 4, 2009 by jeejay Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 5, 2009 · Report post На самом деле в этому отношении циска удобнее, так как позволяет вешать аксесс-листы на вланы. А вот 4612 пока что этого не умеет Я читал про листы у циски, она еще может их по времени включать, что ктсате тоже наверно удобно :) Но для меня это пока не нужно, я пытаюсь следовать той логике которую Вы показали, но она в моих правилах работать не хочеть... По этому прошу Вас снова помоч мне разобраться что я делаю не так. Мне надо чтобы VLAN 101 видела VLAN 102, 103, 104, 105, 106, 107 и интернет, а VLAN 102, 103, 104, 105, 106, 107 не видели VLAN 101. Я делал так: access-list IP extended "test" permit 192.168.0.8 255.255.255.248 host 192.168.0.3 \\разрешаю сети 192.168.0.8 видеть интернет permit 192.168.0.8 255.255.255.248 192.168.0.16 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 102 permit 192.168.0.8 255.255.255.248 192.168.0.24 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 103 permit 192.168.0.8 255.255.255.248 192.168.0.32 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 104 permit 192.168.0.8 255.255.255.248 192.168.0.40 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 105 permit 192.168.0.8 255.255.255.248 192.168.0.48 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 106 permit 192.168.0.8 255.255.255.248 192.168.0.56 255.255.255.248 \\разрешаю сети 192.168.0.8 видеть VLAN 107 deny 192.168.0.8 255.255.255.248 host 192.168.0.2 \\запрещаю сети 192.168.0.8 host 192.168.0.2 во VLAN 100 deny 192.168.0.8 255.255.255.248 host 192.168.0.4 \\запрещаю сети 192.168.0.8 host 192.168.0.4 во VLAN 100 deny 192.168.0.8 255.255.255.248 host 192.168.0.5 \\запрещаю сети 192.168.0.8 host 192.168.0.5 во VLAN 100 deny 192.168.0.8 255.255.255.248 host 192.168.0.6 \\запрещаю сети 192.168.0.8 host 192.168.0.6 во VLAN 100 deny 192.168.0.16 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.16 видеть сеть 192.168.0.8 255.255.255.248 deny 192.168.0.24 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.24 видеть сеть 192.168.0.8 255.255.255.248 deny 192.168.0.32 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.32 видеть сеть 192.168.0.8 255.255.255.248 deny 192.168.0.40 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.40 видеть сеть 192.168.0.8 255.255.255.248 deny 192.168.0.48 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.48 видеть сеть 192.168.0.8 255.255.255.248 deny 192.168.0.56 255.255.255.248 192.168.0.8 255.255.255.248 \\запрещаю сети 192.168.0.56 видеть сеть 192.168.0.8 255.255.255.248 access-list IP mask-precedence in mask 255.255.255.0 host mask 255.255.255.248 any Такая маска для ACL не прокатывает и вообще весь список тоже, потому что я его прикрутить к порту не могу :( Как дальше мне указать приоритетность выполнения правил для списка ACL, если это по идеи одно адресное пространство, которое разбито маской на подсети по 6 хостов? Может мне стоит изменить выбранный способ адресации чтобы удобнее было указывать приоритеты в ACL (да и для статичных роутов) если я к примеру адреса буду назначать по такому порядку или это не имеет значения? 192.168.0.0 255.255.255.248 168.168.1.1 255.255.255.248 168.168.2.1 255.255.255.248 168.168.2.3 255.255.255.248 И еще допустим я могу создать множество ACL, но маска для этих ACL будет одна? Имеет ли значение в каком порядке распологаются правила в списке и в самой маске? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted September 6, 2009 · Report post Здравствуйте! Порядок масок задан немного неправильно - они у Вас перекрываются. Правильнее так: access-list IP mask-precedence in mask 255.255.255.248 host mask 255.255.255.248 255.255.255.248 Маски будут такие, какие Вы зададите, а вот порядок их расположения будет зависеть только от mask-precedence Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 7, 2009 · Report post Здравствуйте! Порядок масок задан немного неправильно - они у Вас перекрываются. Правильнее так: access-list IP mask-precedence in mask 255.255.255.248 host mask 255.255.255.248 255.255.255.248 Маски будут такие, какие Вы зададите, а вот порядок их расположения будет зависеть только от mask-precedence Доброго времени суток! Спасибо большое за помощь! :) Правда даже изменив маску на ту которую вы показали acl все равно не прикручивается на порт... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted September 7, 2009 · Report post как получу доступ к 4612 - проверю, может не заметил и напутал че нить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted September 9, 2009 · Report post Совсем забыл.Вы, наверное, делаете так, чтобы новый ACL работал вместе с листом для 200-го влана?:) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted September 9, 2009 (edited) · Report post Совсем забыл.Вы, наверное, делаете так, чтобы новый ACL работал вместе с листом для 200-го влана?:) Ну вообще хотелось бы, чтобы все эти правила и для VLAN 200 и для всех остальных VLAN были в одном списке :) Или если необходимо то для каждой подсети создать собственные правила, и с помощью маски указать порядок выполнения правил из этих нескольких списков? Edited September 9, 2009 by garmonik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted October 2, 2009 · Report post Здравствуйте! Очень долго не писал, так как ждал ответа от Акктона Итак:В 4612 из-за ограничений чипа максимум mask-precedence равен 4. То есть и в ACL может быть только 4 разных маски в записях. Чуть позже напишу пример конфигурации Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted October 2, 2009 · Report post Здравствуйте!Очень долго не писал, так как ждал ответа от Акктона Итак:В 4612 из-за ограничений чипа максимум mask-precedence равен 4. То есть и в ACL может быть только 4 разных маски в записях. Чуть позже напишу пример конфигурации Здравствуйте!!! Вы очень ответственный человек! ;) Спасибо Вам за Ваши советы и помощь, буду с удовольствием ждать пример конфига :) А пока такое дело, я нарсую в визио схему сети, лучше наглядно покажу логику которую я определяю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jeejay Posted October 5, 2009 · Report post Console#sh access-list IP extended access-list test: permit 10.10.0.0 255.255.255.192 host 192.168.0.3 deny 10.10.0.0 255.255.255.192 172.16.0.0 255.255.255.0 deny 10.10.0.0 255.255.255.192 192.168.0.0 255.255.255.0 permit 192.168.0.8 255.255.255.248 host 192.168.0.3 permit 192.168.0.8 255.255.255.248 192.168.0.16 255.255.255.248 permit 192.168.0.8 255.255.255.248 192.168.0.24 255.255.255.248 permit 192.168.0.8 255.255.255.248 192.168.0.32 255.255.255.248 permit 192.168.0.8 255.255.255.248 192.168.0.40 255.255.255.248 permit 192.168.0.8 255.255.255.248 192.168.0.48 255.255.255.248 permit 192.168.0.8 255.255.255.248 192.168.0.56 255.255.255.248 deny 192.168.0.8 255.255.255.248 host 192.168.0.2 deny 192.168.0.8 255.255.255.248 host 192.168.0.4 deny 192.168.0.8 255.255.255.248 host 192.168.0.5 deny 192.168.0.8 255.255.255.248 host 192.168.0.6 deny 192.168.0.16 255.255.255.248 192.168.0.8 255.255.255.248 deny 192.168.0.24 255.255.255.248 192.168.0.8 255.255.255.248 deny 192.168.0.32 255.255.255.248 192.168.0.8 255.255.255.248 deny 192.168.0.40 255.255.255.248 192.168.0.8 255.255.255.248 deny 192.168.0.48 255.255.255.248 192.168.0.8 255.255.255.248 deny 192.168.0.56 255.255.255.248 192.168.0.8 255.255.255.248 IP ingress mask ACL: mask 255.255.255.192 host mask 255.255.255.192 255.255.255.0 mask 255.255.255.248 host mask 255.255.255.248 255.255.255.248 Console#conf Console(config)#in Console(config)#interface e Console(config)#interface ethernet 1/1 Console(config-if)#ip ac Console(config-if)#ip access-group ? WORD ACL name Console(config-if)#ip access-group test in Console(config-if)# Проверку уже оставляю Вам Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
garmonik Posted October 6, 2009 · Report post Привет! :) ACL рабочий, все запрещает кроме нужного, спасибо Вам большое!!! Чтобы не плодить мои дилетантские темы на форуме я хотел бы в этой теме на всеобщую критику выложить топологию сети с конфигами. Сеть не большая, но сервисов планируется много, например контролер домена, сервер приложений, файловый сервер, DHCP и тд. Сервер, который будет раздавать Интернет, будет сконфигурирован на FreeBSD (NAT с прозрачным прокси). Из железа используем Alcatel 6224, ES4612 и сервер (с поддержкой виртуализации серверов), материнская плата - S5000VSA4DIMMR, процессор Intel Xeon 5405 2ГГц, памяти 4Гб. ЗЫ.Конфиги чуть позже, не успел оформить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
