URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11416
[ Назад ]

Исходное сообщение
"Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видеть 2-ой"
Отправлено cs_user , 03-Сен-06 20:31

Проблема вроде простая, не хватает знаний.
Два VLan'а. Нужно из 2-го  видеть всю сеть,
а из первого VLan'а ограничить видимость 2-го всем,
за исключение одного хоста с ip 192.168.196.23
оборудование:
Catalist 2960  и Cisco1751 router
----------------------------------------------------------
Catalist 2960:
interface FastEthernet0/1
     description -- Router connect via TRUNK
switchport mode trunk
switchport nonegotiate
!
interface FastEthernet0/2
     description -- connect via Vlan2
switchport access vlan 2
switchport mode access
!
interface FastEthernet0/3
switchport mode access
!
..........
все остальные порты аналогичны FastEthernet0/3
Cisco 1751:
interface FastEthernet0/0
no ip address
speed auto
!
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.168.196.1 255.255.255.0
ip accounting output-packets
no snmp trap link-status
!
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.198.2 255.255.255.0
ip access-group 23 in
no snmp trap link-status
!
access-list 23 ...?????
-------------------------------------------------------
Что необходимо указать в access-list 23
ip access-group 23 in - Что подразумевается под in?
Это то что приходит на интерфейс 192.168.198.2 ?
Тогда пробовал поставить
access-list 23 permit  host 192.168.196.23
access-list 23 deny any
Ноль реакции.
Если вообще убрать на FastEthernet0/0.2
   ip access-group 23 in
и  access-list 23
Все и везде пропускается? А это плохо! Нужно закрыть.
Поделитесь, пожалуйста примерами конфигов. Как похожие задачи реализуют.

Содержание

Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет...,universite, 01:13 , 04-Сен-06
- Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет...,cs_user, 10:12 , 04-Сен-06
  - Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет...,cs_user, 10:16 , 04-Сен-06
    - Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет...,universite, 12:38 , 04-Сен-06

Сообщения в этом обсуждении

"Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет..."
Отправлено universite , 04-Сен-06 01:13

>-------------------------------------------------------
>Что необходимо указать в access-list 23
>ip access-group 23 in - Что подразумевается под in?
in  - вход на интерфейс
>Это то что приходит на интерфейс 192.168.198.2 ?
>Тогда пробовал поставить
>access-list 23 permit  host 192.168.196.23
                               ^^^^ убери
>access-list 23 deny any
^^^^^^^^^^^^^^^^^ убери
P.S. У роутера и каталисты разные синтаксисы ACL.

"Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет..."
Отправлено cs_user , 04-Сен-06 10:12

>>-------------------------------------------------------
>>Что необходимо указать в access-list 23
>>ip access-group 23 in - Что подразумевается под in?
>in  - вход на интерфейс
>
>>Это то что приходит на интерфейс 192.168.198.2 ?
>>Тогда пробовал поставить
>>access-list 23 permit  host 192.168.196.23
>
>
>        ^^^^ убери
>>access-list 23 deny any
>^^^^^^^^^^^^^^^^^ убери
>
>P.S. У роутера и каталисты разные синтаксисы ACL.
А каким образом лучше поступить?
пример acl для router 1751? В данной ситуации!

"Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет..."
Отправлено cs_user , 04-Сен-06 10:16

>А каким образом лучше поступить?
>пример acl для router 1751? В данной ситуации!
Есть боевой конфиг? рабочий
для подобной ситуации!

"Два VLan'а нужно из 2-го видеть всю сеть, а Vlan1 запр видет..."
Отправлено universite , 04-Сен-06 12:38

>>А каким образом лучше поступить?
>>пример acl для router 1751? В данной ситуации!
>Есть боевой конфиг? рабочий
>для подобной ситуации!
Сделай схему "маршрутизатор на привязи".
На роутере сделай сабинтерфейсы и на них повесь шлюзы этих вланов.
А потом средствами ACL на роутере зафильтруй ненужные пакеты.