URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23578
[ Назад ]

Исходное сообщение
"Петрович"
Отправлено Accesslist , 29-Фев-12 15:49

Товарищи, подскажите не совсем уверенному.
Есть маршрутизатор cisco, на ней несколько подинтерфейсов vlan c ip
interface FastEthernet0/0.2
description VLAN 6
encapsulation dot1Q 6
ip address 192.168.6.1 255.255.255.0
ip access-group 106 in
И список доступа, запрешающий досту к другим VLAN.
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 106 permit ip any any
Как его сократить? Т. е. нужно запретить взаимодействие между VLAN-ами, но разрешить выход в Инет
Заранее спасибо.

Содержание

Петрович,shadow_alone, 17:01 , 29-Фев-12
- Петрович,anonymous, 20:50 , 29-Фев-12
  - Петрович,Петрович, 11:25 , 01-Мрт-12
    - Петрович,shadow_alone, 14:03 , 01-Мрт-12

Сообщения в этом обсуждении

"Петрович"
Отправлено shadow_alone , 29-Фев-12 17:01

Что значит сократить? убрать какие-то строки из ACL?
no access-list 106
и потом заного создать.
Есть и другие варианты, когда можно конкретно убирать добавлять по номеру строк.
Ну учитывая что ваш ACL всего из нескольких строк, воспользуйтесь этим вариантом.

"Петрович"
Отправлено anonymous , 29-Фев-12 20:50

> Что значит сократить? убрать какие-то строки из ACL?
> no access-list 106
> и потом заного создать.
> Есть и другие варианты, когда можно конкретно убирать добавлять по номеру строк.
> Ну учитывая что ваш ACL всего из нескольких строк, воспользуйтесь этим вариантом.
Похоже, вопрос скорее по wildcard mask.
ipcalc в помощь, ну, либо материал по изучению.

"Петрович"
Отправлено Петрович , 01-Мрт-12 11:25

>> Что значит сократить? убрать какие-то строки из ACL?
Я имел в виду как сократить число строк в access-list-е, т. е. не перечислять каждый раз
access-list 106 deny ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.0.255 и т. д. в зависимости от сети, а чтоб одной строкой, что то типа
Т. е. сказать, что можно када угодно кроме частных сетей класса С
access-list 106 deny ip 192.168.0.0 0.0.255.255

"Петрович"
Отправлено shadow_alone , 01-Мрт-12 14:03

Это если точно согласно Вашему ACL


access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.6.1 0.0.0.0
access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.7.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.8.0 0.0.1.255 
access-list 106 permit ip any any

Ну или если совсем для всех 192.168, тогда


access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.6.1 0.0.0.0
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.255.255 
access-list 106 permit ip any any