ACL на VLAN

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
Zigzug
Advanced member
Сообщения: 107
Зарегистрирован: 09 сен 2002, 14:17
Откуда: Moscow

ACL на VLAN

Сообщение Zigzug » 02 ноя 2005, 11:26

Помогите разобраться!

Кусок конфига на Cat3550:

ip dhcp pool COMMON
  network 172.16.22.0 255.255.255.192
  default-router 172.16.22.1
  lease 100

ip dhcp pool BUHGALTERS
  network 172.16.23.0 255.255.255.192
  default-router 172.16.23.1
  lease 120

ip dhcp pool TECHNO
  network 172.16.22.64 255.255.255.240
  default-router 172.16.22.65
  lease 3


interface Vlan9
description TECHNO
ip address 172.16.22.65 255.255.255.240

interface Vlan8
description COMMON
ip address 172.16.22.1 255.255.255.192

interface Vlan23
description BUHGALTERS
ip address 172.16.23.1 255.255.255.192

Как сделать так, что-бы Vlan23 (BUHGALTERS) был недоступен ни для кого, кроме Vlan9 (TECHNO)?
Я понимаю так, что нужно сделать ACL и применить к Vlan23, но запутался, что считать in/out трафиком в таком случае :oops:

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 02 ноя 2005, 13:00

Если твоя задача состоит в установке ACL на виртуальный (VLAN), а не на физический интерфейс, то используй vlan access-map.
В качестве бонуса там не надо давать направление ;)
Примеры здесь http://www.cisco.com/en/US/customer/pro ... #wp1031180

Аватара пользователя
Zigzug
Advanced member
Сообщения: 107
Зарегистрирован: 09 сен 2002, 14:17
Откуда: Moscow

Сообщение Zigzug » 02 ноя 2005, 13:17

А как еще можно решить мою задачу?

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 02 ноя 2005, 14:26

Это уже очень сложный вопрос.
Если совсем отказаться от ACL, то в свичах ограничить трафик на порт можно через port protected - но в твоей задачи реализацию через эту фичу не представляю.
PS: а что не понравилось?

Аватара пользователя
Zigzug
Advanced member
Сообщения: 107
Зарегистрирован: 09 сен 2002, 14:17
Откуда: Moscow

Сообщение Zigzug » 02 ноя 2005, 14:32

Может я не разобрался с vlan access-map, может у меня ИОС кривой - но у меня они не заработали.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 02 ноя 2005, 15:01

Скажи как именно не заработало
Покажи что было в sh run
А по IOS дай sh ver

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей