https://slinkov.ru/openforum/vsluhforumID6/23694.html Добрый день уважаемые коллеги.<br>Есть проблема не срабатывания рефлексивной части ACL. Теперь по порядку.<br>1) Задача ограничить гостевому vlan доступ к сети предприятия<br>2) Оставить возможность обращаться к хостам гостевого vlan<br>Для этого подходит reflexive acl. Данный acl настраивается на Cisco 3750 (12.2(55)SE1 C3750-IPSERVICESK9-M) как выполняющий функции ядра системы.<br>Исходные данные:<br>10.60.63.x/24 - guest vlan 63<br>10.x.x.x/8 - сеть предприятия<br>Настройка ACL <br>Extended IP access list in101<br> 10 evaluate refout101<br> 20 permit ip 10.60.63.0 0.0.0.255 10.60.63.0 0.0.0.255 <br> 29 permit ip 10.60.63.0 0.0.0.255 host 10.4.10.6 <br> 30 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.240<br> 40 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.245<br> 50 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.249 <br> 60 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.7<br> 70 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.241<br> 80 deny ip 10.60.63.0 0.0.0.255 10.0.0.0 0.255.255.255<br> 90 permit ip any any<br> Extended IP access list out101<br> 1 https://slinkov.ru/openforum/vsluhforumID6/23694.html#4 Mon, 16 Apr 2012 06:42:51 GMT &gt; Catalyst 3750 Software Configuration Guide, Release 12.2(55)SE <br>&gt; http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_55_se/configuration/guide/swacl.html <br>&gt; "The switch does not support dynamic or reflexive access lists." <br><br>Да, я ступил, и не увидел, что это свич, а не рутер.<br><br>На свиче можно только опцию establised для TCP сессий ставить в ACL.<br>По большому счету - она частично реализует запрошенный функционал для TCP сессий.<br> https://slinkov.ru/openforum/vsluhforumID6/23694.html#3 Sat, 14 Apr 2012 10:33:09 GMT Catalyst 3750 Software Configuration Guide, Release 12.2(55)SE<br>http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_55_se/configuration/guide/swacl.html<br>"The switch does not support dynamic or reflexive access lists."<br> https://slinkov.ru/openforum/vsluhforumID6/23694.html#2 Sat, 14 Apr 2012 10:15:20 GMT &gt; Reflexive ACL - это допотопное убожество.<br>&gt; Изучай следующее: <br>&gt; 1.) CBAC ( http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a0080094e8b.shtml <br>&gt; ) <br>&gt; 2.) IOS Zone Based Firewall <br>&gt; Второй вариант более современный - но и более мутный в настройке и <br>&gt; лишний в простых конфигурациях.<br><br>Спасибо за новую информацию и пищу к размышлению, обязательно изучу... только вот пока не уверен реализуемы ли эти вещи на моей железке...<br>Да и все таки хотелось понять почему рефлексивная часть не срабатывает...<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/23694.html#1 Fri, 13 Apr 2012 06:32:38 GMT Reflexive ACL - это допотопное убожество.<br><br>Изучай следующее:<br>1.) CBAC ( http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a0080094e8b.shtml )<br>2.) IOS Zone Based Firewall<br><br>Второй вариант более современный - но и более мутный в настройке и лишний в простых конфигурациях.<br>