Прошу помочь понять логику ACL.
Например, необходимо разрешить доступ по rdp из сети 192.168.1.0 (vlan 10) в сеть 192.168.2.0 (vlan 20), все остальное взаимодействие между сетями запретить (внутри сетей должно быть разрешено все).
Как правильно это сделать?
ip access-list extended ACL1
permit tcp 192.168.1.0 0.0.0.255 any 192.168.2.0 0.0.0.255 3389 ace-priority 100
!
interface vlan 20
service-acl input ACL1
- это правильный вариант?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
ACL на interface vlan
Re: ACL на interface vlan
Здравствуйте.
ACL правильный, только вешается на 10 влан.
ACL правильный, только вешается на 10 влан.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: ACL на interface vlan
Ок, я понял. Вешаем на 10ый vlan.
Получается:
ip access-list extended ACL1
permit tcp 192.168.1.0 0.0.0.255 any 192.168.2.0 0.0.0.255 3389 ace-priority 100
!
interface vlan 10
service-acl input ACL1
В этом случае внутри подсети 192.168.1.0 устройства, подключенные к этому же коммутатору, смогут взаимодействовать? Или сработает правило acl, которое все, что не разрешено по умолчанию запрещает?
Получается:
ip access-list extended ACL1
permit tcp 192.168.1.0 0.0.0.255 any 192.168.2.0 0.0.0.255 3389 ace-priority 100
!
interface vlan 10
service-acl input ACL1
В этом случае внутри подсети 192.168.1.0 устройства, подключенные к этому же коммутатору, смогут взаимодействовать? Или сработает правило acl, которое все, что не разрешено по умолчанию запрещает?
Re: ACL на interface vlan
Здравствуйте.
Не смогут. Нужно добавлять разрешающее правило, чтобы смогли.
ip access-list extended ACL1
permit tcp 192.168.1.0 0.0.0.255 any 192.168.2.0 0.0.0.255 3389
permit ip any any any 192.168.1.0 0.0.0.255
Распишите более подробно ещё кто с кем должен обмениваться трафиком.
Не смогут. Нужно добавлять разрешающее правило, чтобы смогли.
ip access-list extended ACL1
permit tcp 192.168.1.0 0.0.0.255 any 192.168.2.0 0.0.0.255 3389
permit ip any any any 192.168.1.0 0.0.0.255
Распишите более подробно ещё кто с кем должен обмениваться трафиком.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: ACL на interface vlan
Имеется 2 подсети:
vlan 10 - 192.168.0.128 /28
vlan 12 - 192.168.0.144 /28
1) внутри самих vlan не должно быть никаких ограничений на взаимодействие устройств.
2) Устройства в vlan 10 должны иметь возможность взаимодействовать с устройствами в vlan 12 только по портам 161, 162, 80, 8080.
3) Устройства в vlan 12 должны иметь возможность взаимодействовать с устройствами в vlan 10 только по портам 80, 8080.
4) Взаимодействие с другими подсетями (в том числе доступ к устройствам в этих vlan по любым портам) должно быть запрещено.
ip access-list extended ACL1
permit udp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 161 ace-priority 100
permit udp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 162 ace-priority 110
permit tcp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 80 ace-priority 120
permit tcp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 8080 ace-priority 130
permit ip any any 192.168.0.128 0.0.0.15 192.168.0.128 0.0.0.15 ace-priority 140
!
ip access-list extended ACL2
permit tcp 192.168.0.144 0.0.0.15 any 192.168.0.128 0.0.0.15 80 ace-priority 100
permit tcp 192.168.0.144 0.0.0.15 any 192.168.0.128 0.0.0.15 8080 ace-priority 110
permit ip any any 192.168.0.144 0.0.0.15 192.168.0.144 0.0.0.15 ace-priority 120
!
interface vlan 10
service-acl input ACL1
!
interface vlan 12
service-acl input ACL2
Прошу подсказать верно ли такое решение?
vlan 10 - 192.168.0.128 /28
vlan 12 - 192.168.0.144 /28
1) внутри самих vlan не должно быть никаких ограничений на взаимодействие устройств.
2) Устройства в vlan 10 должны иметь возможность взаимодействовать с устройствами в vlan 12 только по портам 161, 162, 80, 8080.
3) Устройства в vlan 12 должны иметь возможность взаимодействовать с устройствами в vlan 10 только по портам 80, 8080.
4) Взаимодействие с другими подсетями (в том числе доступ к устройствам в этих vlan по любым портам) должно быть запрещено.
ip access-list extended ACL1
permit udp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 161 ace-priority 100
permit udp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 162 ace-priority 110
permit tcp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 80 ace-priority 120
permit tcp 192.168.0.128 0.0.0.15 any 192.168.0.144 0.0.0.15 8080 ace-priority 130
permit ip any any 192.168.0.128 0.0.0.15 192.168.0.128 0.0.0.15 ace-priority 140
!
ip access-list extended ACL2
permit tcp 192.168.0.144 0.0.0.15 any 192.168.0.128 0.0.0.15 80 ace-priority 100
permit tcp 192.168.0.144 0.0.0.15 any 192.168.0.128 0.0.0.15 8080 ace-priority 110
permit ip any any 192.168.0.144 0.0.0.15 192.168.0.144 0.0.0.15 ace-priority 120
!
interface vlan 10
service-acl input ACL1
!
interface vlan 12
service-acl input ACL2
Прошу подсказать верно ли такое решение?
Re: ACL на interface vlan
Должно работать.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей