Сообщения без ответов | Активные темы Текущее время: 22 окт 2019, 12:05



Ответить на тему  [ Сообщений: 5 ] 
Трафик между vlan 
Автор Сообщение

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 30
Привет Всем!
Нужна помощь!

Имеется коммутатор c3560x(15.2(6)E2)
Нужен был для маршрутизации между офисами.
Имеется 3 сети 3 независимых домена со своими dchp

vlan1
192.168.1.0/24
test1.loc dhcp

vlna2
192.168.2.0/24
test2.loc dhcp

vlan3
192.168.3.0/24
test3.loc dhcp

Было замечено что рабочие станции из vlan1 получали ip адреса из dhcp домена в vlan2.
Как ограничить хождение трафика между vlan? Но маршрутизация между сетями нужна.
Я так понимаю что нужно повесить ACL на Vlan или порт в Vlan.
Но как будут действовать правила ACL на трафик внутри vlan?

К примеру на vlan3 сделал так

interface Vlan3
ip address 192.168.3.3 255.255.255.0
ip access-group NAME1 in
ip access-group NAME2 out


ip access-list extended NAME1 (in)
permit tcp any any eq 3389 log
permit tcp any eq 3389 any log
permit ip 192.168.3.0 0.0.0.255 192.168.3.0 0.0.0.255 log
deny ip any any log

ip access-list extended NAME2 (out)
permit tcp any any eq 3389 log
permit tcp any eq 3389 any log
deny ip any any log

Так в указанном примере по правилам out в лог ничего не сыплется как так?
Поделитесь ликбезом как правильно установить ACL между vlan.
Еще до меня не доходит действия направления ip access-group NAME in(out).


07 фев 2019, 07:13
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2678
djakson писал(а):
Еще до меня не доходит действия направления ip access-group NAME in(out).
по-моему ясно же то входящий и исходящий на интерфейс
djakson писал(а):
permit ip 192.168.3.0 0.0.0.255 192.168.3.0 0.0.0.255 log
а это зачем, вы разрешаете трафик, который и так разрешне. так как он не должен попасть на ваш inet vlan.
djakson писал(а):
Так в указанном примере по правилам out в лог ничего не сыплется как так?
видимо в вашу сеть 192.168.3.0/24 никто не пытается войти
djakson писал(а):
Поделитесь ликбезом как правильно установить ACL между vlan.
как мне кажется вполне хватает листа in на интерфейсе влана.


07 фев 2019, 12:38
Профиль

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 30
Теперь другая проблема!
Пинги с vlan3 сквозняком проходят в vlan1 хотя в правиле явно не указано разрешения.

Может нужно добавить какую команду?


07 фев 2019, 13:54
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2678
djakson писал(а):
Может нужно добавить какую команду?
возможно. Вы ведь в курсе, что мы знаем ваш конфиг, так как видим его?


07 фев 2019, 18:04
Профиль

Зарегистрирован: 27 июн 2015, 14:29
Сообщения: 30
Спасибо!
Разобрался сам - не внимательность с патч-кордами.


07 фев 2019, 18:16
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 5 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB