Switch Cisco Catalyst 3550 - pergunta da VLAN ACL

Navegue suas respostas
1

Não consigo fazer com que as ACLs da Vlan funcionem corretamente. Eu quero ser capaz de obter servidores na rede 10.100.x.x, bem como a rede 10.200.x.x quando estou conectado através da VPN. Mas, eu quero evitar que a rede 10.100.x.x veja 10.200.x.x

Atualmente, tenho 2 Vlans: 

interface Vlan111
 description "vlan 111" 
 ip address 10.100.1.1 255.255.255.0


interface Vlan222
 description "vlan 222"
 ip address 10.200.1.1 255.255.255.0
 ip access-group vlan222_acl in
 ip access-group vlan222_acl out

E eu tenho 2 servidores conectados a cada VLAN: 

!--- the below port is connected to a windows machine with static ip address 10.100.1.10 and gateway 10.100.1.1
interface FastEthernet0/4                            
 description server 1
 switchport access vlan 111
 switchport mode access

!--- the below port is connected to a windows machine with static ip address 10.200.1.10 and gateway 10.200.1.1
interface FastEthernet0/5                            
 description server 2
 switchport access vlan 222
 switchport mode access

O problema é quando eu configuro vlan222_acl.

Aqui está o que eu digito: 

ip access-list extended vlan222_acl
 deny icmp 10.100.0.0 255.255.0.0 10.200.0.0 255.255.0.0

Mas aqui está o que é aplicado à configuração atual: 

ip access-list extended vlan222_acl
 deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0
!--- the above line is not what I actually entered in the terminal, for some reason 
!--- the source and dest ip addresses are getting replaced with zeros

Por causa da linha acima, todos agora não conseguem fazer ping no servidor em 10.200.1.10. Quando eu remover a linha, ou seja %código% então eu posso pingar novamente.

Como posso restringir apenas 10.100.x.x de poder fazer o ping de 10.200.x.x?

Muito obrigado antecipadamente pela ajuda! G

    
por G Chuk 15.03.2011 / 19:56

2 respostas

1

você precisa reverter suas máscaras de rede ... ou seja, em vez de 255.255.0.0 use 0.0.255.255

Exemplo: 

ip access-list standard external_traffic
 deny   172.16.0.0 0.15.255.255
 deny   192.168.0.0 0.0.255.255

Além disso, você entende que precisa de um roteador entre sub-redes de VLANs, certo? (não tentando parecer mal-humorado, só não tenho certeza do seu nível de experiência)

edite: Existe uma razão para você usar / 24 sub-redes para atribuição de endereços, mas / 16s para sua ACL?

Minha sugestão seria jogar fora a ACL em 222 e colocar restrições na sub-rede 111, já que é isso que você está realmente querendo restringir de qualquer maneira. 

ip access-list extended block-icmp
deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255
permit ip any any
!
interface vlan 111
 ip access-group block-icmp in
    
por 15.03.2011 / 20:01
0

Você aplicou a ACL à VLAN 222 para tráfego de entrada e saída e as ACLs não são stateful. Isso significa que eles não permitirão o tráfego de retorno por conta própria, você terá que adicionar uma regra implícita para isso. Então, nesse caso, você está bloqueando o tráfego de retorno.

Uma solução seria adicionar outra regra para o tráfego de retorno na mesma ACL, mas o que eu acho que seria melhor, é ter duas ACLs diferentes para o tráfego de entrada e saída, se você realmente precisar delas.

Você também pode tentar usar ACLs reflexivas , o que é uma boa maneira de permitir o tráfego de retorno. Confira aqui mais detalhes: link

Aqui estão algumas dicas adicionais que podem ajudar no disparo.

  • show access-list NAME/NUMBER mostra o número de ocorrências para cada regra mostra que você pode ver quais regras estão correspondendo e negando ou permitindo pacotes. Isso não ajudaria muito no seu caso, já que você tem a mesma ACL nas duas direções e não sabe onde ela corresponde.

  • Se você adicionar log ao final de cada regra (ou seja, deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255 log ), o comutador registrará cada correspondência que você pode alterar com show logging . tente não deixá-lo por muito tempo, apenas para t-tiro.

por 12.04.2011 / 00:38

Tags

3Proxy com IP rotativo Instale o php-mcrypt no CentOS 4.4