forum.opennet.ru

Составление сообщения

Исходное сообщение

"Reflexive ACL не срабатывает."
Отправлено Diesel315, 12-Апр-12 10:13

Добрый день уважаемые коллеги.
Есть проблема не срабатывания рефлексивной части ACL. Теперь по порядку.
1) Задача ограничить гостевому vlan доступ к сети предприятия
2) Оставить возможность обращаться к хостам гостевого vlan
Для этого подходит reflexive acl. Данный acl настраивается на Cisco 3750 (12.2(55)SE1 C3750-IPSERVICESK9-M) как выполняющий функции ядра системы.
Исходные данные:
10.60.63.x/24 - guest vlan 63
10.x.x.x/8 - сеть предприятия
Настройка ACL
Extended IP access list in101
10 evaluate refout101
20 permit ip 10.60.63.0 0.0.0.255 10.60.63.0 0.0.0.255
29 permit ip 10.60.63.0 0.0.0.255 host 10.4.10.6
30 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.240
40 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.245
50 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.249
60 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.7
70 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.241
80 deny ip 10.60.63.0 0.0.0.255 10.0.0.0 0.255.255.255
90 permit ip any any
Extended IP access list out101
10 permit ip any any reflect refout101
Reflexive IP access list refout101
Настройка интерфейса
interface Vlan63
description Guest
ip address 10.60.63.254 255.255.255.0
ip access-group in101 in
ip access-group out101 out
ip helper-address 10.60.64.241
end
Запрещающая часть отрабатывает нормально, а вот рефлексивная нет.
Может кто-нибудь сталкивался с таким или есть соображения на этот счет?

Исходное сообщение
"Reflexive ACL не срабатывает." Отправлено Diesel315, 12-Апр-12 10:13
Добрый день уважаемые коллеги. Есть проблема не срабатывания рефлексивной части ACL. Теперь по порядку. 1) Задача ограничить гостевому vlan доступ к сети предприятия 2) Оставить возможность обращаться к хостам гостевого vlan Для этого подходит reflexive acl. Данный acl настраивается на Cisco 3750 (12.2(55)SE1 C3750-IPSERVICESK9-M) как выполняющий функции ядра системы. Исходные данные: 10.60.63.x/24 - guest vlan 63 10.x.x.x/8 - сеть предприятия Настройка ACL Extended IP access list in101 10 evaluate refout101 20 permit ip 10.60.63.0 0.0.0.255 10.60.63.0 0.0.0.255 29 permit ip 10.60.63.0 0.0.0.255 host 10.4.10.6 30 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.240 40 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.245 50 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.249 60 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.7 70 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.241 80 deny ip 10.60.63.0 0.0.0.255 10.0.0.0 0.255.255.255 90 permit ip any any Extended IP access list out101 10 permit ip any any reflect refout101 Reflexive IP access list refout101 Настройка интерфейса interface Vlan63 description Guest ip address 10.60.63.254 255.255.255.0 ip access-group in101 in ip access-group out101 out ip helper-address 10.60.64.241 end Запрещающая часть отрабатывает нормально, а вот рефлексивная нет. Может кто-нибудь сталкивался с таким или есть соображения на этот счет?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Добрый день уважаемые коллеги.
> Есть проблема не срабатывания рефлексивной части ACL. Теперь по порядку.
> 1) Задача ограничить гостевому vlan доступ к сети предприятия 
> 2) Оставить возможность обращаться к хостам гостевого vlan 
> Для этого подходит reflexive acl. Данный acl настраивается на Cisco 3750 (12.2(55)SE1 
> C3750-IPSERVICESK9-M) как выполняющий функции ядра системы.
> Исходные данные: 
> 10.60.63.x/24 - guest vlan 63 
> 10.x.x.x/8    - сеть предприятия 
> Настройка ACL 
> Extended IP access list in101 
>  10 evaluate refout101 
>  20 permit ip 10.60.63.0 0.0.0.255 10.60.63.0 0.0.0.255 
>  29 permit ip 10.60.63.0 0.0.0.255 host 10.4.10.6 
>  30 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.240 
>  40 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.245 
>  50 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.249 
>  60 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.7 
>  70 permit ip 10.60.63.0 0.0.0.255 host 10.60.64.241 
>  80 deny ip 10.60.63.0 0.0.0.255 10.0.0.0 0.255.255.255 
>  90 permit ip any any 
>  Extended IP access list out101 
>  10 permit ip any any reflect refout101 
>  Reflexive IP access list refout101

> Настройка интерфейса 
> interface Vlan63 
>  description Guest 
>  ip address 10.60.63.254 255.255.255.0 
>  ip access-group in101 in 
>  ip access-group out101 out 
>  ip helper-address 10.60.64.241 
>  end

> Запрещающая часть отрабатывает нормально, а вот рефлексивная нет.
> Может кто-нибудь сталкивался с таким или есть соображения на этот счет?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру