Разрешение трафика с помощью ACL Extended на коммутаторе Cisco 3850?

Question

[total_ce]

Всем доброго дня.
Ситуация такая, имеется коммутатор Cisco 3850, необходимо сделать перенаправление трафика с одного порта на другой с помощью acl. Если подробнее, то к 7-му порту коммутатора как сквозной подключен модем и клиенты данной подсети должны видеть сервер DNS_AD из другой сети. Сам DNS_AD работает на виртуальном сервере, который к свою очередь размещен на физическом сервере. Сетевые интерфейсы физического сервера подключены к 1 - 4 портам этого же коммутатора и с агрегированием. Пробовал перенаправить трафик с помощью Acl extended указав IP адрес VLAN интерфейса и сервера AD, не помогает. IP адрес Vlan интерфейса без проблем пингуется с обеих подсетей.
В данном случае как надо сделать правильное конфигурирование коммутатора ?
Вот так примерно выглядит конфиг:
access-list 100 permit ip host 192.168.1.1 host 10.10.10.10
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
no shutdown
!
end

Здесь: 192.168.1.1 - адрес интерфейса Vlan, 10.10.10.10 - адрес DNS сервера.

Comments

[Komrus]

> клиенты данной подсети должны видеть сервер DNS_AD из другой сети

Как говорится в советах по составлению вопросов по сетям - крайне желательно избегать использования слова "видеть". Оно сбивает мысли отвечающих в ненужную сторону.

Попробуйте переформулировать.
В терминах - "что должно происходить с IP пакетами, идущими с IP подсети 192.168.1.0/24 на IP адрес 10.10.10.10"
Должны ли NAT'иться? Или что Вы с ними хотели бы сделать?

Если NAT - то
1) Команда access-list только разрешает/запрещает (или устанавливает правило), но не выполняет никакие NAT'ы
2) Для NAT'а надо что-то вроде такого скомандовать..
ip nat inside source static 192.168.1.1 10.10.10.1

3) Если мы говорим о КОММУТАТОРЕ Cisco Catalyst 3850 - он он NAT, увы не умеет.
Нужен роутер для этих целей...

[hrabrahrabr]

необходимо сделать перенаправление трафика с одного порта на другой с помощью acl.

Ошибка думать, что перенаправление трафика делается с помощью списков доступа.
Они просто разрешают или запрещают определенный трафик. на конкретном интерфейсе - то есть в конкретной точке.

Общение между сетями делается маршрутизацией, статической или динамической.
например RIP, mobile, BGP, EIGRP, OSPF, OMP, NAT, IS-IS, NHRP, ODR, LISP.
или
ip route 0.0.0.0 0.0.0.0 192.168.100.1
ip route 10.10.10.10 255.255.255.255 10.10.10.1

что говорят команды ?
show ip route
show ip arp

Однако на интерфейсах уровня 3, в том числе SVI можно указать частичный обход маршрутизации через policy и route-map указав разные next-hop для маршрутизации для разных сетей
пример

interface ra TenGigabitEthernet1/0/1-4
switchport trunk native vlan 2
switchport trunk allowed vlan 2,10
switchport mode trunk
ipv6 traffic-filter naFIG-ip-v6 in
ipv6 traffic-filter naFIG-ip-v6 out
udld port aggressive
macro description cisco-switch
channel-group 1 mode active
spanning-tree portfast
spanning-tree link-type point-to-point

interface Vlan10
ip address 10.10.10.1 255.255.255.0

interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip helper-address 10.10.10.10
ip policy route-map VLAN1_route_map

route-map VLAN1_route_map permit 5
match ip address serv_10.10.10.10
set ip next-hop 10.10.10.1

route-map VLAN1_route_map permit 15
match ip address ALL_to_inet
set ip next-hop 192.168.100.1

access-list serv_10.10.10.10
10 permit ip host 192.168.1.0 host 10.10.10.10

access-list ALL_to_inet
10 permit ip 192.168.1.1 255.255.255.0 0.0.0.0 0.0.0.0

примерно так, здесь конкретно.
первая карта : из влан1 на сервер 10.10.10.10 трафик завернут на влан10 там, где сервер , в настройках виртуалки укажи тег влана = 10, ну и не 1 - 4 портах этого же коммутатора не забудь сказать что порты транковые .

вторая карта: всё остальное из влан 1 в сторону НАТ.

[total_ce]

hrabrahrabr, через телеграм можно отправить конфигы ? напишите пожалуйста ник

Answer 1

[total_ce]

В терминах - "что должно происходить с IP пакетами, идущими с IP подсети 192.168.1.0/24 на IP адрес 10.10.10.10"
Должны ли NAT'иться? Или что Вы с ними хотели бы сделать?

Хотим клиентов из подсети 192.168.1.0/24 добавить в доменную сеть. Проблема в том что, клиенты указанной сети не пингует сервер AD с IP адресом 10.10.10.10
Почему именно ACL, то здесь необходимо заблокировать определенные трафики идущие с интернета и т.д., кроме сервера DNS_AD.

Comments

[Komrus]

> клиенты указанной сети не пингует сервер AD с IP адресом 10.10.10.10
Да подождите Вы с клиентами.
Давайте пока сугубо на уровне отдельных IP пакетиков разберёмся.
На встроенном файрволе сервера AD (видимо Windows Server) - разрешены ли входящие пинги (и вообще входящие соединения) с IP сети 192.168.1.0/ 24 ?

Далее. Вы пишете "подключен модем" ...
А можете - НАРИСОВАТЬ схему? Где какие сети, где какие каналы связи.
Как минимум на схеме нужны:
Catalyst 3850. С указанием всех IP подсетей.
Windows Server, выполняющий роль сервера AD
Некий "модем", подключенный к 7му порту Catalyst 3850
Что такое "модем" в данном случае и что он c IP адресами делает? Не пытается ли он адреса 192.168 транслировать в какие-нибудь другие?

[total_ce]

Да подождите Вы с клиентами.
Давайте пока сугубо на уровне отдельных IP пакетиков разберёмся.
На встроенном файрволе сервера AD (видимо Windows Server) - разрешены ли входящие пинги (и вообще входящие соединения) с IP сети 192.168.1.0/ 24 ?

На сервере AD Windows Server 2016 файрвол отключен. Тут сервер не причем.
Завтра попробую нарисовать схему, а вот модем в режиме туннелирования соединяет клиентов с веб-серверами, которые находятся в головном филиале компании и к сожалению доступа к этому модему у меня нету и вообще запретили трогать настройки.

[total_ce]

Komrus, а что если вместо схемы показать конфиг ? наверное будет понятен.

[SunTechnik]

total_ce,
Конфиги - это как сейчас настроено. А надо понять что Вы хотите.

Клиенты сети 192.168.1.0/24 напрямую никак не могут обратится к серверу 10.10.10.10.
Необходим маршрутизатор.
Так как Cisco 3850 коммутатор 3-го уровня, то он может выполнять данную роль.
Но для этого на нем должны быть подняты IP адреса для каждой из подсетей.

[total_ce]

Но для этого на нем должны быть подняты IP адреса для каждой из подсетей.

Поподробнее можете подсказать, как настраивается ?
На каждом vlan-интерфейсе присвоены IP-адреса, вы имели в виду это?

[total_ce]

[total_ce]

Вот схема

[total_ce]

у кого какие варианты ?

[hrabrahrabr]

@total_ce, по схеме:
1) адрес 192.168.1.1 не привязан к железному интерфейсу Те1/0/ 7 , он привязан к виртуальному интерфейсу влан1.
2) у модема разве нет своего ип адреса? или он "прозрачен" тогда как на него попадает трафик?
3) на портах 1-4 к железному серверу нужно поднять trunk и тегирование и разрешить влан2 для железа и другие вланы (например 10 для АД и 20 для СИП) для виртуалок и указать их теги в настройках сетевых карт виртуалок.
на свиче интерфейсы влан 10 и 20 тоже нужно поднять с указанием адресов в качестве шлюзов в этих сетях.

3850 умеет работать как роутер, даже в LAN Base версии

что говорят команды ?
show ip route
show ip arp

show mac address-table
show mac address-table vlan 1
show mac address-table interface gigabitEthernet 1/0/1

show license all