Полез настраивать в 2801 ACL, там VLAN'ы на модуле HWIC-4ESW терминируются, а в отличии от L3 коммутаторов в этих маршрутах пользователи ни черта не изолированы в своих бродкастовых доменах, приходится руками в ACL доступы разруливать.
Вот создал ACL:
access-list 101 deny   ip 10.9.0.0 0.0.7.255 192.168.0.0 0.0.255.255
access-list 101 permit ip any any

прикрутил к интерфейсу:
interface Vlan90
ip address 10.9.0.1 255.255.248.0
ip access-group 101 in
ip nat inside

Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла 10.9.0.1: Заданный узел не доступен"
Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был: "Превышен интервал ожидания для запроса". Как мне этого можно добиться на CISCO 2801?

• ACL в CISCO 2800,VolanD, 12:26 , 15-Июл-10
  • ACL в CISCO 2800,trider, 13:46 , 15-Июл-10
    • ACL в CISCO 2800,Valery12, 14:42 , 15-Июл-10
      • ACL в CISCO 2800,trider, 14:57 , 15-Июл-10
        • ACL в CISCO 2800,Valery12, 15:33 , 15-Июл-10

>[оверквотинг удален]
>interface Vlan90
> ip address 10.9.0.1 255.255.248.0
> ip access-group 101 in
> ip nat inside
>
>Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла
>10.9.0.1: Заданный узел не доступен"
>Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был:
>"Превышен интервал ожидания для запроса". Как мне этого можно добиться на
>CISCO 2801?

Как не ограничены О_о... Дык в этом же смысл технологии vlan...

>[оверквотинг удален]
>> ip access-group 101 in
>> ip nat inside
>>
>>Подключил виндовую тачку пошёл пинговать и чё? Винда отвечает "Ответ от узла
>>10.9.0.1: Заданный узел не доступен"
>>Конечно, фигли, ведь всего лишь IP-пакеты рубаются. Я хочу чтобы ответ был:
>>"Превышен интервал ожидания для запроса". Как мне этого можно добиться на
>>CISCO 2801?
>
>Как не ограничены О_о... Дык в этом же смысл технологии vlan...

Вот я создаю на CISCO 2801 VLAN'ы:
interface FastEthernet0/1.90
encapsulation dot1Q 90
ip address 10.9.0.1 255.255.248.0

interface FastEthernet0/1.100
encapsulation dot1Q 100
ip address 10.10.0.1 255.255.248.0

Или на модуле HWIC-4ESW:
interface Vlan90
ip address 10.9.0.1 255.255.248.0

interface Vlan100
ip address 10.10.0.1 255.255.248.0

И заношу информацию о VLAN'ах в базу
И пакеты спокойно отправляются членам чужих VLAN'ов, пока не произвести выше указанную мною процедуру с применением ACL.

>[оверквотинг удален]
>Или на модуле HWIC-4ESW:
>interface Vlan90
> ip address 10.9.0.1 255.255.248.0
>
>interface Vlan100
> ip address 10.10.0.1 255.255.248.0
>
>И заношу информацию о VLAN'ах в базу
>И пакеты спокойно отправляются членам чужих VLAN'ов, пока не произвести выше указанную
>мною процедуру с применением ACL.

а чего бы им не отправляться, маршрутизатор тем и занимается что маршрутизирует пакеты между своими интерфейсами а ACL естественно пакеты рубит
а поводу ответа маршрутизатора  "Превышен интервал ожидания для запроса" вместо "Заданный узел не доступен" если это так принципиально добавьте на интерфейсах - no ip unreachables

>а чего бы им не отправляться, маршрутизатор тем и занимается что маршрутизирует
>пакеты между своими интерфейсами а ACL естественно пакеты рубит

Естесснно, полностью согласен. Это решения не из-за незнания чего-то, а из-за отсутствия денег у того кому я загнал решение. VLAN'ы терминировать, осуществлять L3 маршрутизацию должен L3 switch, а не шлюз.
>а поводу ответа маршрутизатора  "Превышен интервал ожидания для запроса" вместо "Заданный
>узел не доступен" если это так принципиально добавьте на интерфейсах -
>no ip unreachables

Конечно принципиально, получая ICMP-пакет (тип 3, код 13) можно сделать вывод, что гейт защищён ACL. У меня например в сети управления доступ к железкам уровня распределения и уровня доступа организован.

>Конечно принципиально, получая ICMP-пакет (тип 3, код 13) можно сделать вывод, что
>гейт защищён ACL.

понятно что это принципиально на внешнем интерфейсе - все должно тихо дропаться, но в локальной сети я никакого криминала не вижу, наоборот, такая информация поможет быстрее найти неполадки в сети.