Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
Недавно попалась в руки aruba 3810m, 16 портовый оптический L3 коммутатор.
VLAN все поднял, но столкнулся с проблемой ACL.
Есть задача сделать так: чтобы VLAN 33 имел полный доступ к VLAN 30, но чтобы VLAN 30 не имел доступа совсем к VLAN 33.
VLAN 33: 100.10.33.0 /24
VLAN 30: 100.10.30.0 /24
Пробовал разные варианты:
ip access list extended BLOCK_VLAN_30
deny ip 100.10.30.0 0.0.0.255 100.10.33.0 0.0.0.255
permit ip 100.10.33.0 0.0.0.255 100.10.30.0 0.0.0.255
permit ip any any (эту команду пробовал без верхней и вместе)
interface vlan 30
ip access-group BLOCK_VLAN_30 in (так же пробовал и out)
итог оба VLANa не видят друг друга.
Пробовал так:
ip access list extended ACL_IN_VLAN_30
permit ip any 100.10.30.0 0.0.0.255
ip access list extended ACL_OUT_VLAN_30
permit ip 100.10.30.0 0.0.0.255 100.10.33.0 0.0.0.255
deny ip 100.10.30.0 0.0.0.255 any
Interface VLAN 30
ip access-group ACL_IN_VLAN_30 in
ip access-group ACL_OUT_VLAN_30 out
Итог тот же самый, блокируется с обоих сторон трафик.
Пробовал так:
ip access list extended ALLOW_VLAN_33_TO_30
permit ip 100.10.33.0 0.0.0.255 100.10.30.0 0.0.0.255
ip access list extended BLOCK_VLAN_30_TO_33
deny ip 100.10.30.0 0.0.0.255 100.10.33.0 0.0.0.255
permit ip any any
Interface VLAN 30
ip access-group ALLOW_VLAN_33_TO_30 in
Interface VLAN 33
ip access-group BLOCK_VLAN_30_TO_33 in
Текже пробовал поменять местами out.
Итог один и тот же, VLAN блокируются с 2 сторон, не выходит сделать полный доступ с 33 к 30 и чтобы небыло у 30 к 33.
Есть у кого то опыт с арубами, что можно сделать.
Где я ошибаюсь?
На циске подобное решается командой permit tcp established со стороны отвечающей сети. Она сможет отвечать, но не сможет начинать соединения. В вашем случае на vlan30 in
permit tcp 100.10.30.0/24 100.10.33.0/24 established
deny ip 100.10.30.0/24 100.10.33.0/24
