Кажется, я не могу заставить Vlan ACL работать должным образом. Я хочу иметь возможность подключаться к серверам в сети 10.100.x.x, а также в сети 10.200.x.x, когда я подключаюсь через VPN. Но я хочу, чтобы сеть 10.100.x.x не видела 10.200.x.x
На данный момент у меня 2 Влана:
interface Vlan111
description "vlan 111"
ip address 10.100.1.1 255.255.255.0
interface Vlan222
description "vlan 222"
ip address 10.200.1.1 255.255.255.0
ip access-group vlan222_acl in
ip access-group vlan222_acl out
И у меня к каждой VLAN подключено 2 сервера:
!--- the below port is connected to a windows machine with static ip address 10.100.1.10 and gateway 10.100.1.1
interface FastEthernet0/4
description server 1
switchport access vlan 111
switchport mode access
!--- the below port is connected to a windows machine with static ip address 10.200.1.10 and gateway 10.200.1.1
interface FastEthernet0/5
description server 2
switchport access vlan 222
switchport mode access
Проблема в том, когда настраиваю vlan222_acl.
Вот что я ввожу:
ip access-list extended vlan222_acl
deny icmp 10.100.0.0 255.255.0.0 10.200.0.0 255.255.0.0
Но вот что применяется к работающей конфигурации:
ip access-list extended vlan222_acl
deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0
!--- the above line is not what I actually entered in the terminal, for some reason
!--- the source and dest ip addresses are getting replaced with zeros
Из-за указанной выше строки все теперь не могут пинговать сервер на 10.200.1.10. Когда убираю строчку, т.е. no deny icmp 0.0.0.0 255.255.0.0 0.0.0.0 255.255.0.0 тогда я снова могу пинговать.
Как я могу ограничить только 10.100.x.x возможность пинговать 10.200.x.x?
Заранее большое спасибо за помощь! грамм
вам нужно перевернуть сетевые маски ... т.е. вместо 255.255.0.0 используйте 0.0.255.255
Пример:
ip access-list standard external_traffic
deny 172.16.0.0 0.15.255.255
deny 192.168.0.0 0.0.255.255
Кроме того, вы понимаете, что вам нужен маршрутизатор между подсетями VLAN, верно? (не пытаюсь показаться сопливым, я просто не уверен в вашем уровне опыта)
edit: Есть ли причина, по которой вы используете подсети / 24 для назначения адресов, но / 16 для вашего ACL?
Мое предложение заключалось в том, чтобы выбросить ACL на 222 и наложить ограничения на подсеть 111, поскольку это то, что вы на самом деле хотите ограничить в любом случае.
ip access-list extended block-icmp
deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255
permit ip any any
!
interface vlan 111
ip access-group block-icmp in
Вы применили ACL к VLAN 222 как для входящего, так и для исходящего трафика, и ACL не отслеживают состояние. Это означает, что они не разрешат обратный трафик сами по себе, вам придется добавить для этого неявное правило. Итак, в этом случае вы блокируете обратный трафик.
Одним из решений было бы добавить другое правило для обратного трафика в один и тот же ACL, но я думаю, что было бы лучше всего иметь два разных ACL для входящего и исходящего трафика, если они вам действительно нужны.
Вы также можете попробовать использовать рефлексивный ACL - хороший способ разрешить обратный трафик. Подробнее читайте здесь: http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfreflx.html
Вот несколько дополнительных советов, которые могут помочь в стрельбе по т-стрельбе.
show access-list NAME/NUMBER показывает количество совпадений для каждого правила. Показывает, какие правила соответствуют, а какие запрещают или разрешают пакеты. Это не сильно поможет в вашем случае, поскольку у вас одинаковый ACL в обоих направлениях, и вы не знаете, где он совпадает.
Если вы добавите журнал в конце каждого правила (т.е. deny icmp 10.100.1.0 0.0.0.255 10.200.1.0 0.0.0.255 log) переключатель будет регистрировать каждое совпадение, которое вы можете просмотреть с помощью show logging Это интенсивно использует процессор, поэтому постарайтесь не оставлять его включенным надолго, просто для t-съемки.