Добрый день!
После добавления дополнительно разрешающего правила permit ip any any 192.168.35.1 0.0.0.0 192.168.20.254 0.0.0.0 схема заработала, пинги пошли, спасибо!
Данный ACL был установлен на interface VLAN 20, в предложенной ранее схеме этого достаточно. За неимением свободного оборудования у меня отсутствует возможность собрать более полную стендовую модель, работа ACL в которой меня интересует, поэтому просто зарисую её схематично (см. приложение).
В данной стендовой схеме имеются три объекта, обозначим их как
центральный объект,
филиал 1 и
филиал 2. Объекты объединены по OSPF двумя малыми сетями (/30), а именно 192.168.4.0/30 между центральный объектом и филиалом 1 и 192.168.5.0/30 между центральным объектом и филиалом 2.
На центральном объекте имеется три ЛВС:
192.168.0.0/24 обозначим данную сеть как
серверный сегмент, шлюз 192.168.0.254, расположен на interface VLAN 1 Switch Agregation.
192.168.1.0/25 обозначим данную сеть как
сеть доступа 1, шлюз 192.168.1.126/25, расположен на cаб-интерфейсе Router 1 gi1.1.
192.168.1.128/25 обозначим данную сеть как
сеть доступа 2, шлюз 192.168.1.254/25 расположен на interface VLAN 2 Switch Agregation.
(да, было бы логичнее вынести серверы в отдельный VLAN и повесть все шлюзы на маршрутизатор саб.интерфейсами, но интересует решение именно в таком виде, поэтому предлагаю данную не идеальную схему) В серверном сегменте имеется n серверов (нарисовал два для примера), серверы подключены непосредственно к Switch Agregation:
Server 1.1 - 192.168.0.253/24
Server 1.2 – 192.168.0.252/24
Имеется два коммутатора доступа, подключенные к Switch Agregation:
Switch Access 1.1 – interface VLAN 1 – 192.168.1.124/25
Switch Access 1.2 – interface VLAN 1 – 192.168.1.123/25
(да, тут было бы лучше вынести отдельную сеть управления, но интересует именно в таком виде) К каждому из коммутаторов доступа подключены рабочие станции:
Switch Access 1.1:
АРМ Администратора – 192.168.1.1/25 (VLAN 1)
АРМ пользователя 1.1 – 192.168.1.129/25 (VLAN 2)
АРМ пользователя 1.2 – 192.168.1.2/25 (VLAN 1)
Switch Access 1.2:
АРМ пользователя 2.1 – 192.168.1.3/25 (VLAN 1)
АРМ пользователя 2.2 - 192.168.1.130/25 (VLAN 2)
На филиале 1 и 2 имеются по одной ЛВС, в каждой из которых расположены как сервер, так и рабочие станции.
Задачи следующие:
1. Обеспечить информационный обмен между АРМ Администратора (Центральный объект, 192.168.1.1) и Server 1.1 (Центральный объект, 192.168.0.253)
2. Обеспечить информационный обмен между Server 2 (Филиал 1, 192.168.2.252) и Server 1.1 (Центральный объект, 192.168.0.253)
3. Обеспечить информационный обмен между Server 3 (Филиал 2, 192.168.3.252) и Server 1.1 (Центральный объект, 192.168.0.253)
4. Сохранить информационной обмен внутри сети серверного сегмента (Центральный объект, 192.168.0.0/24), включая Server 1.1 (Центральный объект, 192.168.0.253).
5. За исключением Server 1.1 (Центральный объект, 192.168.0.253), обеспечить информационной обмен между сетью серверного сегмента (Центральный объект, 192.168.0.0/24) и всеми остальными сетями.
6. Запретить доступ к Server 1.1 (Центральный объект, 192.168.0.253) от всех адресов, кроме сети серверного сегмента центрального объекта и отдельно взятых указанных выше адресов (АРМ Администратора, Server 2, Server 3).
На Cisco в роли Switch Agregation данная задача изящно решается в один ACL на один интерфейс одного коммутатора:
Код: Выделить всё
ip access-list extended access_sever1
permit ip host 192.168.1.1 host 192.168.0.253
permit ip host 192.168.2.252 host 192.168.0.253
permit ip host 192.168.3.252 host 192.168.0.253
deny ip any host 192.168.0.253
permit ip any any
interface VLAN 1
ip address 192.168.1.125 255.255.255.128
ip address 192.168.0.254 255.255.255.0 secondary
ip access-group access_server1 out
Однако, как мы выяснили, на Eltex это так не работает из-за ограничений чипов (это на всех моделях Eltex так?).
Получается в случае с Eltex в роли коммутатора агрегации с возможностью вешать ACL только на входящий трафик, вероятно, потребуется следующий ACL:
Код: Выделить всё
ip access-list extended access_server1
permit ip any any 192.168.0.253 0.0.0.0 192.168.1.126 0.0.0.0
premit ip any any 192.168.0.253 0.0.0.0 192.168.1.1 0.0.0.0
permit ip any any 192.168.0.253 0.0.0.0 192.168.2.252 0.0.0.0
permit ip any any 192.168.0.253 0.0.0.0 192.168.3.252 0.0.0.0
deny ip any any any 192.168.0.253 0.0.0.0 any
permit ip any any any any
А теперь вопросы:
1. Надо ли дополнительно явно создавать правило permit ip any any 192.168.0.253 0.0.0.0 192.168.0.0 0.0.0.255 в этот ACL для того, чтобы внутри 192.168.0.0 был доступ к 192.168.0.253? По идее одна и та же сеть, я так думаю, что не нужно, но лучше получить точный ответ)
2. Куда вешать ACL: и на interface VLAN 1, и на interface VLAN2? Особенно интересно с учётом, что interface VLAN 1 на Switch Agregation является шлюзом серверного сегмента, а так же имеет адрес из сети доступа 1.
3. Надо ли так же добавлять в ACL в разрешённые адреса коммутаторов доступа (Switch Access 1.1 (192.168.1.124/25) и 1.2 (192.168.1.123/25))?
Код: Выделить всё
permit ip any any 192.168.0.253 0.0.0.0 192.168.1.123 0.0.0.0
permit ip any any 192.168.0.253 0.0.0.0 192.168.1.124 0.0.0.0
4. Не потребуется ли дополнительных ACL на коммутаторах доступа, чтобы ограничить в доступе к Server 1 (192.168.0.253) всех, кроме АРМ Администратора (192.168.1.1) за коммутаторами доступа?
А ещё отдельно:
Предположим, что Router 1 - это Eltex ESR 1500. На нём так же не обнаружил service-acl output, однако имеются service-policy output. Возможно ли как-то связать ACL и service-policy? Может, в случае переноса шлюза серверного сегмента на данное устройство можно создать более изящный ACL, а не городить инвертированный огород с костылями?