Сеть: Cisco 2921. Две подсети. 192.168.1.0/24 и 2.0 / 24.
По какой-то причине я не могу получить связь между подсетями.
Я привязал ACL со следующими операторами к входящему интерфейсу каждой подсети.
На Gi0 / 0 (1.0 / 24) я применил "список доступа 101 разрешить ip 192.168.2.0 0.0.0.255 любой" к входящему интерфейсу.
На Gi0 / 1 (2.0 / 24) я применил "access-list 102 allow ip 192.168.1.0 0.0.0.255 any" к входящему интерфейсу.
Когда я это сделал, DHCP перестал работать, как и Интернет, поэтому я удалил их.
Я сделал это в пакетном трассировщике, и он работал на 100%. Почему он не работает на настоящем роутере?
Запуск конфигурации:
Current configuration : 2608 bytes
!
! Last configuration change at 15:22:51 UTC Mon Feb 18 2013
! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013
! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 xxxxxx
enable password xxxxxx
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.2.1 192.168.2.99
ip dhcp excluded-address 192.168.2.1 192.168.2.50
!
ip dhcp pool DHCP_POOL
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 8.8.8.8
domain-name subnet2.local
!
!
ip name-server 8.8.8.8
ip name-server 8.8.4.4
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FTX1703AHBN
hw-module pvdm 0/0
!
!
!
!
redundancy
!
!
ip ftp username xxxxxxx
ip ftp password xxxxx
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 5 out
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address xxxxxxxxxxx 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/2 overload
ip nat inside source list 2 interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 108.162.28.169
ip route 192.168.1.0 255.255.255.0 GigabitEthernet0/0
ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.1.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 5 permit any
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
shutdown
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password ********
login
transport input all
!
scheduler allocate 20000 1000
end
Я считаю, что вы смешиваете концепции входящего и исходящего в своем ACL.
Если за интерфейсом GigabitEthernet0 / 0 находится подсеть 192.168.1.0/24, то, чтобы разрешить этому трафику идти на другой интерфейс, вы добавите следующий ACL на GigabitEthernet0 / 0 и наоборот.
список доступа 101 разрешение IP 192.168.1.0 0.0.0.255 любой
список доступа 102 разрешить ip 192.168.2.0 0.0.0.255 любой
То же самое можно было бы достичь (и было бы более безопасно), ограничив направление трафика.
список доступа 101 разрешить IP любой 192.168.2.0 0.0.0.255
список доступа 102 разрешить IP любой 192.168.1.0 0.0.0.255
Если вы используете приведенный выше ACL, то обе сети за обоими интерфейсами смогут общаться только друг с другом ... вот и все.
Затем в конфигурации GigabitEthernet0 / 0:
IP-группа доступа 101 в
А на GigabitEthernet0 / 1:
ip-группа доступа 102 в
Входящий и исходящий всегда зависит от того, в какой интерфейс пакет попадет первым.
Чтобы лучше понять, что касается ACL и проблемы с входящим / исходящим трафиком, представьте, что вы - маршрутизатор и / или брандмауэр.
Разрешаете ли вы (маршрутизатор) получать пакеты с IP 192.168.1.10 на ВАШЕМ интерфейсе Gi0 / 0?
Да, это позволяют списки ACL на этом интерфейсе;
список доступа 101 разрешение IP 192.168.1.0 0.0.0.255 любой
или
список доступа 101 разрешить IP любой 192.168.2.0 0.0.0.255
Если бы у вас был установлен ACL на исходящий трафик, вопрос был бы таким:
Вы разрешаете пакетам из 192.168.1.10 покидать ВАШ интерфейс Gi0 / 0?
После того, как вы разрешили этот трафик, вам не нужно добавлять ACL в интерфейс назначения, когда оба они находятся на одном устройстве.