Задать вопрос

Как настроить ACL между VLAN cisco 3750?

Уважаемые, добрый вечер!

Уже несколько дней бьюсь над вопросом ACL между Vlan на оборудование cisco 3750. Есть 2 vlan, vlan = 10.0.1.0/24 и vlan2 = 10.0.2.0/24, между ними настроена маршрутизация и трафик ходит в обе стороны. Возникла необходимость запретить трафику ходить из vlan2 в vlan, но из vlan во vlan 2 доступ должен остаться прежним, т.е. полным. Знаю, что это как-то запрещается и разрешается на уровне ACL, но никак не могу настроить, в основном трафик вообще пропадает. В интернете очень много полезной информации, но на уровне роутеров, а про коммутаторы особо ничего нет. Не могли бы Вы подсказать на каком интерфейсе нужно вешать ACL и как он будет выглядеть? Заранее огромное спасибо!
  • Вопрос задан
  • 14887 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 1
@throughtheether
human after all
Возникла необходимость запретить трафику ходить из vlan2 в vlan, но из vlan во vlan 2 доступ должен остаться прежним, т.е. полным.
Необходимо понимать, что ACL в данном случае (Catalyst 3750) - это пакетный фильтр без отслеживания состояния. Соответственно, он может только разрешать/запрещать перенаправлять пакеты от одного интерфейса к другому. Если вы уверены, что именно это вам и нужно, и если маршрутизацией занимается 3750, то вам следует:
1) создать ACL:
ip access-list extended deny_vlan2_to_vlanX
 deny ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
 permit ip any any
2) завесить ACL:
interface vlanX
ip access-group deny_vlan2_to_vlanX out

3) пронаблюдать результат.

Знаю, что это как-то запрещается и разрешается на уровне ACL, но никак не могу настроить, в основном трафик вообще пропадает.
Необходимо понимать, что если "доступ" из влана X во влан 2 подразумевает какой-либо двусторонний протокол (т.е. практически любой), то "доступа" из влана X во влан 2 не будет.
В этом случае вам может помочь фаервол с поддержкой состояния (который выделит, например, начало сессии), которого в catalyst 3750, насколько мне известно, нет.
В случае использования для "доступа" протокола, использующего TCP, возможен вариант с ключевым словом established.
ip access-list extended deny_vlan2_to_vlanX_variant2
 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 established
 deny ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
 permit ip any any

Этот ACL завесить на тот же интерфейс vlanX таким же образом, что и в предыдущем случае.

Буквой X везде отмечен ваш таинственный влан с префиксом 10.0.1.0/24 (который не 2).
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Fetos Автор вопроса
Огромное спасибо за помощь!
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы