Страница 1 из 1
Access List на Mes3316F
Добавлено: 25 мар 2023 19:08
root-87
Добрый день !
Прошу подсказать реализацию ACL (Access List) для изоляции пользователей одной сети, на исходящий трафик до следующих сетей, с последующим правилом для разрешения всего остального.:
Входящий трафик должен работать.
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
На Cisco допустим вешается этот Acl на Interface vlan сети с опцией OUT.
На Eltex на interface Vlan сделать можно только IN.
Re: Access List на Mes3316F
Добавлено: 25 мар 2023 21:51
root-87
В ТП предложили так, но это не выход, входящий трафик блокируется.
ip access-list extended Test
deny ip any any any 10.0.0.0 0.255.255.255 ace-priority 20
deny ip any any any 172.16.0.0 0.15.255.255 ace-priority 40
deny ip any any any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 80
exit
interface vlan 501
service-acl input Test
Re: Access List на Mes3316F
Добавлено: 30 мар 2023 12:53
junkie_raccoon
Добрый день!
Ответ был дан в рамках заявки. Продублирую ответ
Код: Выделить всё
В данном ACL есть правило, которое блокирует изолируемую подсеть, а именно:
deny ip any any 172.26.4.0 0.0.1.255 172.16.0.0 0.15.255.255 ace-priority 40
Так как указаны адреса источника от 172.26.4.1 до 172.26.5.254, а адреса назначения от 172.16.0.1 до 172.31.255.254. Любой пакет в подсети 172.26.4.0/23 будет отброшен и устройства не смогут взаимодействовать друг с другом.
Необходимо, либо убрать данное правило, либо изменить dst адрес.
Так же, если в Вашей сети есть адреса 172.16.0.0-172.25.255.255; 172.26.6.0-172.31.255.255 для которох необходима изоляция, то можно попробовать добавить разрешающее правило в более ранней секции:
permit ip any any 172.26.4.0 0.0.1.255 172.26.4.0 0.0.1.255 ace-priority 10