0 / 0 / 0
Регистрация: 13.11.2019
Сообщений: 6
|
|
1 | |
INTER VLAN + ACL13.11.2019, 16:56. Показов 2735. Ответов 6
Метки нет (Все метки)
Всем добрый день. Такой вопрос есть локальная сеть разделенная на VLAN (VLAN10, 20, 30 и т.д.) стоит L3 Switch который маршрутизирует трафик (Ip routing), следовательно все VLAN'ы друг друга видят. Как ограничить доступ ACL-ми между VLAN-ми.
Допустим в VLAN 10 (192.168.100.0/24) подняты сервера, необходимо чтоб VLAN20 видел VLAN 10, но не видел VLAN30 и наоборот VLAN30 видит VLAN10, но не видит VLAN20. Если можно пример команд. Спасибо.
0
|
13.11.2019, 16:56 | |
Ответы с готовыми решениями:
6
Inter vlan routing Inter vlan routing + DHCP Cisco SW L3 Inter Vlan routing VLAN + ACL |
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
13.11.2019, 17:20 | 2 |
https://linkmeup.ru/blog/16.html
Код
ip access-list extended block_vlan20_to_vlan30 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 permit ip any any ip access-list extended block_vlan30_to_vlan20 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 permit ip any any Interface vlan 20 ip access-group block_vlan20_to_vlan30 in Interface vlan 30 ip access-group block_vlan30_to_vlan20 in
0
|
0 / 0 / 0
Регистрация: 13.11.2019
Сообщений: 6
|
|
13.11.2019, 17:51 [ТС] | 3 |
а это вообще нормальная практика? Выглядит как-то костыльно. Если Vlanов много, то вообще ерунда получится.
может подскажите бест практикс по организации vlanов и маршрутизации между ними?
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
13.11.2019, 18:17 | 4 |
Решение, которое я предоставил, вполне удовлетворяет требованиям ващей задачи и это не костыльно.
В данном случае реализован пакетный stateless filter, который не ориентируется на состояние соединения. Иначе обстоит дело в Stateful inspection filter, по этой теме читайте Reflexive-acl Дополнительно time-based acl - acl, в которых используется время +dynamic acl https://m.habr.com/ru/post/154879/ Касаемо маршрутизации можно еще изучить route-map и pbr, динамические протоколы маршрутизации
0
|
0 / 0 / 0
Регистрация: 13.11.2019
Сообщений: 6
|
|
14.11.2019, 09:18 [ТС] | 5 |
Пока я не представляю, поэтому и спрашиваю) Выглядит это примерно так... Необходимо чтоб все VLAN'ы видели VLAN100 (сервера), а между собой друг друга не видели. Локальную маршрутизацию выполняет L3 коммутатор.
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
14.11.2019, 12:13 | 6 |
Я же вам написал как сделать.
Можете писать листы наоборот - запрещено все, кроме разрешенного, например для одного из vlan, vlan 200. Код
ip access-list extended for_vlan200 permit ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 deny ip any any Interface vlan 200 ip access-group for_vlan200 in Вы мат часть почитайте - будет все понятно
1
|
0 / 0 / 0
Регистрация: 13.11.2019
Сообщений: 6
|
|
14.11.2019, 12:49 [ТС] | 7 |
Спасибо за ответ, будем работать.
0
|
14.11.2019, 12:49 | |
14.11.2019, 12:49 | |
Помогаю со студенческими работами здесь
7
VLAN и ACL Acl Vlan Telnet Запрет маршрутизации между разными VLAN средствами ACL Cisco Packet Tracer создание сети с DHCP, VLAN и ACL Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |