https://opennet.ru/openforum/vsluhforumID6/1077.html Switch с 2 VLANами соединён транком с Cisco Router.<br><br>Cisco Router имеет 2 VLAN Сабинтерфейса:<br><br>interface FastEthernet0/0<br> no ip address<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/0.1<br> encapsulation dot1Q 10 <br> ip address 192.168.10.0 255.255.255.0<br>!<br>interface FastEthernet0/0.2<br> encapsulation dot1Q 20<br> ip address 192.168.20.0 255.255.255.0<br><br>Оба VLANа имеют доступ к интернету через cisco router.<br><br>Цель: полная блокировка трафика между VLANами 10 и 20 в целях безопасности.<br>VLAN 10 - бугалтерия<br>VLAN 20 - программисты<br><br>С extended ACL можно блокировать только определённые протоколы (IP, ICMP, TCP, IP,...) <br><br>Если заблокирую толкьо известные протоколы(IP, ICMP), то это ведь не гарантирует 100% изоляции этих VLANов друг от друга? Поэтому хотелось бы заблокировать между этими VLANами все возможные протоколы.<br><br><br>Как можно это реализовать, чтобы при этом на интерфейсах не применять стандартные ACL? Причина почему стандартный ACL не желанный: Вдруг прийдётся открыть определённые порты для https://opennet.ru/openforum/vsluhforumID6/1077.html#6 Fri, 15 Nov 2013 05:57:48 GMT man ebtables<br> https://opennet.ru/openforum/vsluhforumID6/1077.html#5 Fri, 15 Nov 2013 04:23:29 GMT &gt; ip address 192.168.10.0 255.255.255.0<br><br>Что за IP такой ???<br><br>Я бы так сделал (поменять цифры для разных VLAN):<br><br>access-list 110 remark FILTER VLAN 10 (описание , а то забудете вдруг)<br>access-list 110 permit ip 192.168.10.0 0.0.0.255 host 192.168.10.1 (разрешаем с подсетки vlan 10 доступ к router-у)<br>access-list 110 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255 (блочим все серые меж собой класса С)<br>access-list 110 permit ip any any (и так понятно)<br><br>&gt; Вы заблокировали только IP протокол и все его ответвления.<br><br>Что за ответвления?) <br>"...гарсон значит мальчик.." (Криминальное чтиво) <br>IP означает "все" протоколы стека. <br>Все что не IP должно поддерживаться IOS-ом и быть включенным админом. <br><br>PS Соглашусь, что главная угроза от vlan 10, т. е. бухгалтерии)<br> https://opennet.ru/openforum/vsluhforumID6/1077.html#4 Thu, 14 Nov 2013 23:21:36 GMT &gt; Спасибо за помощь.<br>&gt; Вы заблокировали только IP протокол и все его ответвления.<br>&gt; Но если сеть VLAN 10 взломают, есть ли риск, что хакер с <br>&gt; VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка <br>&gt; IP протокола достаточна для бьезопасности и изолирования VLANов?<br><br>Что использовать не-IP протокол этот протокол должен поддерживаться маршрутизатором, а также включена маршрутизация этого протокола и настроен интерфейс на работу с этим протоколом. В вашем случае используется только IP.<br><br> https://opennet.ru/openforum/vsluhforumID6/1077.html#3 Thu, 14 Nov 2013 20:34:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от <br>&gt;&gt; друга изолированы?<br>&gt; access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 <br>&gt; access-list 100 permit ip any any <br>&gt; access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 <br>&gt; access-list 200 permit ip any any <br>&gt; int fa0/0.1 <br>&gt; ip access-group 100 in <br>&gt; int fa0/0.2 <br>&gt; ip access-group 200 in <br><br>Спасибо за помощь. <br>Вы заблокировали только IP протокол и все его ответвления.<br>Но если сеть VLAN 10 взломают, есть ли риск, что хакер с VLAN 10 через не-IP протокол проникнет в VLAN 20? или блокировка IP протокола достаточна для бьезопасности и изолирования VLANов?<br> https://opennet.ru/openforum/vsluhforumID6/1077.html#2 Thu, 14 Nov 2013 19:34:00 GMT &gt; UPDATE.<br>&gt; Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от <br>&gt; друга изолированы?<br><br>access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255<br>access-list 100 permit ip any any<br>access-list 200 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255<br>access-list 200 permit ip any any<br><br>int fa0/0.1<br> ip access-group 100 in<br>int fa0/0.2<br> ip access-group 200 in<br> https://opennet.ru/openforum/vsluhforumID6/1077.html#1 Thu, 14 Nov 2013 18:38:50 GMT UPDATE.<br>Или без добавления дополнительной маршрутизации между VLANами эти сети итак друг от друга изолированы?<br>