Страница 1 из 1
Ограничени доступа к сервисным сетям
Добавлено: 02 апр 2019 21:54
averin
Здравствуйте! Как можно при помощи коммутатора ограничить доступ с клиенских вланов к сервисным сетям при помощи ACL?
Re: Ограничени доступа к сервисным сетям
Добавлено: 03 апр 2019 01:15
Garri
Например: vlan1=10.0.1.0 сервисный, vlan2=10.1.2.0 клиенты
ip access-list extended nousers
deny tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
exit
а дальше повесить nousers на vlan1:
interface vlan 1
ip addess ...
service-acl input nousers
exit
Оно?
Re: Ограничени доступа к сервисным сетям
Добавлено: 04 апр 2019 21:43
averin
Vlan 1 системный 192.168.0.0/24
Vlan 2 клиенски 192.168.2.0/24
Задача надо что бы клиенты из Vlan 2 с IP 192.168.2.ххх не могла видит сеть Vlan 1 192.168.0.x
комутатор MES-2308
Прошивка 4.0.10
vlan database
vlan 1,2
exit
!
ip access-list extended nousers
deny tcp 192.168.2.0 0.0.0.255 any 192.168.0.0 0.0.0.255 any ace-priority 20
exit
!
!
interface gigabitethernet1/0/1
switchport access vlan 2
exit
!
interface gigabitethernet1/0/10
switchport mode trunk
switchport trunk allowed vlan add 1,2
exit
!
interface vlan 1
ip address 192.168.0.12 255.255.255.0
service-acl input nousers
exit
!
!
ip default-gateway 192.168.0.1
!
end
При такой конфигурации теряется управление свичём и клиенты продолжают видеть сервисную подсеть
Re: Ограничени доступа к сервисным сетям
Добавлено: 05 апр 2019 10:03
Андрей Есман
Здравствуйте.
В конце каждого ACL по дефолту есть запрещающее правило deny any any any any, а Вы не создали разрешающих правил, и ограничивался весь трафик.
Настройте ACL следующим образом:
ip access-list extended nousers
deny ip any any 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 ace-priority 20
permit ip any any any any ace-priority 40
exit
Re: Ограничени доступа к сервисным сетям
Добавлено: 05 апр 2019 14:13
averin
Проверил! Свитч доступен, клиент потерял доступ до него!! Но к остальному оборудованнию и к шлюзу сервисной сети доступ остался
Re: Ограничени доступа к сервисным сетям
Добавлено: 26 апр 2019 22:35
averin
Настроил всё ограничено до сервисных сетей! Также потерял доступ из сервисной в клиентскую! как открыть хотя бы пинги до клиента?
Re: Ограничени доступа к сервисным сетям
Добавлено: 06 май 2019 09:49
Андрей Есман
Здравствуйте. Приложите ACL из sh run, который получился в итоге?
Re: Ограничени доступа к сервисным сетям
Добавлено: 17 май 2019 16:46
averin
10.172.x.x клиенты
10.70.x.x и 172.16.x.x сервисные подсети
ip access-list extended nousers
permit ip any any 10.172.0.1 0.0.255.0 any ace-priority 10
deny ip any any 10.172.0.0 0.0.255.255 10.70.0.0 0.0.255.255 ace-priority 20
deny ip any any 10.172.0.0 0.0.255.255 172.16.0.0 0.0.255.255 ace-priority 40
permit ip any any any any ace-priority 60
exit
Re: Ограничени доступа к сервисным сетям
Добавлено: 13 июн 2019 10:51
Андрей Есман
Здравствуйте.
Можно прописать разрешающее правило для icmp пакетов.
ip access-list extended nousers
permit ip any any 10.172.0.1 0.0.255.0 any ace-priority 20
permit icmp 10.172.0.0 0.0.255.255 10.70.0.0 0.0.255.255 any any ace-priority 40
permit icmp 10.172.0.0 0.0.255.255 172.16.0.0 0.0.255.255 any any ace-priority 60
deny ip any any 10.172.0.0 0.0.255.255 10.70.0.0 0.0.255.255 ace-priority 80
deny ip any any 10.172.0.0 0.0.255.255 172.16.0.0 0.0.255.255 ace-priority 100
permit ip any any any any ace-priority 120
exit