Добрый день !
Прошу подсказать реализацию ACL (Access List) для изоляции пользователей одной сети, на исходящий трафик до следующих сетей, с последующим правилом для разрешения всего остального.:
Входящий трафик должен работать.
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
На Cisco допустим вешается этот Acl на Interface vlan сети с опцией OUT.
На Eltex на interface Vlan сделать можно только IN.
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Access List на Mes3316F
Re: Access List на Mes3316F
В ТП предложили так, но это не выход, входящий трафик блокируется.
ip access-list extended Test
deny ip any any any 10.0.0.0 0.255.255.255 ace-priority 20
deny ip any any any 172.16.0.0 0.15.255.255 ace-priority 40
deny ip any any any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 80
exit
interface vlan 501
service-acl input Test
ip access-list extended Test
deny ip any any any 10.0.0.0 0.255.255.255 ace-priority 20
deny ip any any any 172.16.0.0 0.15.255.255 ace-priority 40
deny ip any any any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 80
exit
interface vlan 501
service-acl input Test
-
- Сообщения: 14
- Зарегистрирован: 11 мар 2022 15:10
- Reputation: 0
Re: Access List на Mes3316F
Добрый день!
Ответ был дан в рамках заявки. Продублирую ответ
Ответ был дан в рамках заявки. Продублирую ответ
Код: Выделить всё
В данном ACL есть правило, которое блокирует изолируемую подсеть, а именно:
deny ip any any 172.26.4.0 0.0.1.255 172.16.0.0 0.15.255.255 ace-priority 40
Так как указаны адреса источника от 172.26.4.1 до 172.26.5.254, а адреса назначения от 172.16.0.1 до 172.31.255.254. Любой пакет в подсети 172.26.4.0/23 будет отброшен и устройства не смогут взаимодействовать друг с другом.
Необходимо, либо убрать данное правило, либо изменить dst адрес.
Так же, если в Вашей сети есть адреса 172.16.0.0-172.25.255.255; 172.26.6.0-172.31.255.255 для которох необходима изоляция, то можно попробовать добавить разрешающее правило в более ранней секции:
permit ip any any 172.26.4.0 0.0.1.255 172.26.4.0 0.0.1.255 ace-priority 10
Денис Лизнев / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 57 гостей