Добрый день.
Конфигурация : VLAN 10 192.168.10.0 /24 - серверная, VLAN 20 192.168.20.0 /24 - пользователи , VLAN 50 192.168.50.0 /24 - гости. Шлюз по умолчанию ведет в Интернет.
Нужно, чтобы гости могли выходить в Интернет и не могли обращаться в VLAN 20, а в VLAN 10 только получать ответы от DNS и NTP серверов.
Начал с варианта:
ip access-list ext 50
permit udp any any 192.168.10.0 0.0.0.255 53 ace-priority 20
permit udp any any 192.168.10.0 0.0.0.255 123 ace-priority 30
permit tcp any any 192.168.10.0 0.0.0.255 53 ace-priority 40
deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 200
повесил этот лист на вход VLAN 50:
int vlan 50
service-acl input 50
Запрещение не работает. С гостевого ПК 192.168.50.17 могу по рдп заходить на 192.168.10.8.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
Re: Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
хм.. Создал асл заново. Добавил только 2 разрешения на 192.168.10.1 0.0.0.0 на 53 порт:
console(config)#no ip access-list 50
Cannot delete 50, acl does not exist.
console(config)#ip access-list ext 50
console(config-ip-al)#$ tcp any any 192.168.10.1 0.0.0.0 53 ace-priority 20
console(config-ip-al)#$it udp any any 192.168.10.1 0.0.0.0 53 ace-priority 30
console(config-ip-al)#ex
console(config)#interface vlan 50
console(config-if)#service-acl input 50
По-прежнему все доступно гостям...
console(config)#no ip access-list 50
Cannot delete 50, acl does not exist.
console(config)#ip access-list ext 50
console(config-ip-al)#$ tcp any any 192.168.10.1 0.0.0.0 53 ace-priority 20
console(config-ip-al)#$it udp any any 192.168.10.1 0.0.0.0 53 ace-priority 30
console(config-ip-al)#ex
console(config)#interface vlan 50
console(config-if)#service-acl input 50
По-прежнему все доступно гостям...
Re: Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
Здравствуйте
Это странно. Первый вариант ACL, на первый взгляд, рабочий.
Попробуйте только в ACL добавить правила
deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 200
Они разрешат только выход в интернет. Будут ли при этом пинговаться с 50 влана другие хосты в 10, 20, 50 вланах?
Если не будут, давайте по очереди добавлять правила из первого примера в ACL и с каждым добавление проверять работоспособность.
Запрещение не работает. С гостевого ПК 192.168.50.17 могу по рдп заходить на 192.168.10.8.
Это странно. Первый вариант ACL, на первый взгляд, рабочий.
Попробуйте только в ACL добавить правила
deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 200
Они разрешат только выход в интернет. Будут ли при этом пинговаться с 50 влана другие хосты в 10, 20, 50 вланах?
Если не будут, давайте по очереди добавлять правила из первого примера в ACL и с каждым добавление проверять работоспособность.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
console(config)#no ip access-list extended 50
This action may cause a brief interruption of ACL/policy services.
console(config)#ex
console#sh access-lists 50
ACL "50" does not exist
console#conf
console(config)#ip access-list extended 50
console(config-ip-al)#deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
console(config-ip-al)#permit ip any any any any ace-priority 200
console(config-ip-al)#ex
console(config)#int vl 50
console(config-if)#service-acl input 50
console(config-if)#
Ничего не поменялось...Гости как дома (
This action may cause a brief interruption of ACL/policy services.
console(config)#ex
console#sh access-lists 50
ACL "50" does not exist
console#conf
console(config)#ip access-list extended 50
console(config-ip-al)#deny ip any 192.168.0.0 0.0.255.255 ace-priority 60
console(config-ip-al)#permit ip any any any any ace-priority 200
console(config-ip-al)#ex
console(config)#int vl 50
console(config-if)#service-acl input 50
console(config-if)#
Ничего не поменялось...Гости как дома (
Re: Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
Покажите show ver
как конкретно проверяете? Какой IP с какого пингуете? Прошу пока пингом проверять.
как конкретно проверяете? Какой IP с какого пингуете? Прошу пока пингом проверять.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
console#sh ver
Active-image: flash://system/images/_image1.bin
Version: 4.0.13.3
Commit: 7854b638
Build: 1 (master)
MD5 Digest: d30c99ac0ba2aeae8cb2b9541529668d
Date: 18-Dec-2019
Time: 19:22:44
Inactive-image: flash://system/images/image1.bin
Version: 4.0.13.3
Commit: 7854b638
Build: 1 (master)
MD5 Digest: d30c99ac0ba2aeae8cb2b9541529668d
Date: 18-Dec-2019
Time: 19:22:44
Проверяю так:
вношу изменения в конфигурацию (кончается навешиванием списка 50 на влан 50 ), пинг с 192.168.50.17 на 192.168.10.8
Active-image: flash://system/images/_image1.bin
Version: 4.0.13.3
Commit: 7854b638
Build: 1 (master)
MD5 Digest: d30c99ac0ba2aeae8cb2b9541529668d
Date: 18-Dec-2019
Time: 19:22:44
Inactive-image: flash://system/images/image1.bin
Version: 4.0.13.3
Commit: 7854b638
Build: 1 (master)
MD5 Digest: d30c99ac0ba2aeae8cb2b9541529668d
Date: 18-Dec-2019
Time: 19:22:44
Проверяю так:
вношу изменения в конфигурацию (кончается навешиванием списка 50 на влан 50 ), пинг с 192.168.50.17 на 192.168.10.8
Re: Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
Все еще надеюсь на помощь
Re: Прошу помочь с настройкой ACL для гостевого VLAN на MES3324
Добрый день.
Проверил на стенде. Работает и самый первый ACL, и предложенный мной ранее
Вы прямо пингом проверяете? И пинг проходит?
Прошу завести заявку по форме
https://eltex-co.ru/support/
Туда приложить вывод
show tech-sup (в момент проблемы)
и указать к каким портам подключены хосты 192.168.50.17 и 192.168.10.8
Проверил на стенде. Работает и самый первый ACL, и предложенный мной ранее
Вы прямо пингом проверяете? И пинг проходит?
Прошу завести заявку по форме
https://eltex-co.ru/support/
Туда приложить вывод
show tech-sup (в момент проблемы)
и указать к каким портам подключены хосты 192.168.50.17 и 192.168.10.8
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 22 гостя