Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:02



Ответить на тему  [ Сообщений: 5 ] 
nexus правильная настрйока acl 
Автор Сообщение

Зарегистрирован: 24 сен 2018, 21:58
Сообщения: 34
del


Последний раз редактировалось focus 21 дек 2018, 14:20, всего редактировалось 1 раз.



21 дек 2018, 14:18
Профиль

Зарегистрирован: 24 сен 2018, 21:58
Сообщения: 34
del


Последний раз редактировалось focus 21 дек 2018, 14:21, всего редактировалось 1 раз.



21 дек 2018, 14:19
Профиль

Зарегистрирован: 24 сен 2018, 21:58
Сообщения: 34
Доброго дня, коллеги.
По возможности необходим Ваш совет как правильно настроить acl и в чем косячу.
Есть 9XXX nexus. На нем нарезаны vlan 100 (10.1.100.0/24), 101 (10.1.101.0/24), 102 (10.1.102.0/24), 103 (10.1.103.0/24) и 104 (10.1.104.0/24).
104 соединен с asa.
На всех acl 10 permit ip any any
Решили acl закрутить так сказать security.
Начал с 100 (им можно обращаться только в 101 и интернет)
Делаю
Код:
10 permit  ip 10.1.100.0/24 10.1.101.0/24
- все ок из 100 я спокойно попадаю в 101. 102 и 103 найн.
Далее
Код:
11 permit ip 10.1.100.0/24 10.1.104.0/24
я пингую интерфейс asa все ок.
Но интернет не работает. Пинги не ходят. Трасерт на первом же хопе ***
Если делаю permit ip 10.1.100.0/24 any все ок все работает. Трасерт первый хоп все как надо ip на nexus для подсети 10.1.100.1
Делал даже без permit ip 10.1.100.0/24 any, но permit ip 10.1.100.0/24 10.1.100.0/24 не помогло. При чем с пк я пингую 10.1.100.1, но по прежнему не пингую 8.8.8.8 и первый хоп 10.1.100.1 так же не доступен в трасерте ***


21 дек 2018, 14:20
Профиль

Зарегистрирован: 08 май 2013, 06:36
Сообщения: 322
у вас в конце acl неявный deny применяется, это не только в нексусах
и разрешая dst 10.1.104.0/24 даже если там fw находится, вы не разрешаете доступ в остальной интернет (0.0.0.0/0). В вашем же примере dst 8.8.8.8 недоступен

можно например так сделать:
Код:
permit ip 10.1.100.0/24 10.1.101.0/24
deny ip 10.1.100.0/24 10.1.102.0/24
...
permit ip 10.1.100.0/24 any


21 дек 2018, 16:03
Профиль

Зарегистрирован: 24 сен 2018, 21:58
Сообщения: 34
ikiliikkuja
Благодарю Вас, суть понял.


25 дек 2018, 09:53
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 53


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB