887 con vlan non comunicanti

[merovese]

Ciao ragazzi, volevo sei possibile chiedere un aiuto, cerco di spiegarmi e poi vi posto la conf attuale.
ho un 887 la fe0 mi serve come wan ed utilizza una Vlan chiamata 10, fe1 e 2 Vlan 20 e fe3 Vlan30.
Ora sia la Vlan20 che la Vlan30 devono per forza di cosa dialogare con la Vlan10 per la navigazione, e fin qui tutto ok, ma la cosa che mi preme e che non capisco proprio è dividere del tutto la Vlan20 e la Vlan30 quindi nessuna macchina della Vlan30 deve essere ingrado di pingare e/o accedere alle macchine della Vlan20, invece dalla Vlan20 alla Vlan30 la comunicazione deve rimanere. tutt'ora da entrambe le Vlan è possibile piegare ed accedere alle macchine, allego la con sperando di non aver commesso troppi errori e di trovare un valido aiuto nella vostra esperienza.

Codice: Seleziona tutto

Current configuration : 4473 bytes
!
! Last configuration change at 18:00:26 WEST Mon Jul 6 2015 by admin
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 887
!
boot-start-marker
boot-end-marker
!
!
enable password ——————————
!
no aaa new-model
clock timezone WEST 1 0
network-clock-participate wic 0 
!
!
!         
!
!
ip dhcp excluded-address 10.0.0.200 10.0.0.254
!
ip dhcp pool LAN
 network 10.0.0.0 255.255.255.0
 domain-name —————————
 default-router 10.0.0.200 
 dns-server 10.0.0.200 192.168.1.254 
 lease 15
!
ip dhcp pool LAN OSPITI
 network 10.0.30.0 255.255.255.0
 domain-name ———————————
 default-router 10.0.30.1 
 dns-server 10.0.30.1 192.168.1.254 
 lease 15
!
!
!
ip domain name —————————
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
voice-card 0
!
license udi pid C887VA-V-K9 sn —————————
!
!
username admin password ——————————
!
!
!
!         
!
controller VDSL 0
 shutdown
!
! 
!
!
!
!
!
!
!
!
!
interface Ethernet0
 no ip address
 shutdown
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface BRI1
 no ip address
!
interface BRI2
 no ip address
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface FastEthernet0
 description Interfaccia Wan
 switchport access vlan 10
 no ip address
!
interface FastEthernet1
 description Interfaccia Lan Privata
 switchport access vlan 20
 no ip address
!
interface FastEthernet2
 description Interfaccia Lan Privata
 switchport access vlan 20
 no ip address
!
interface FastEthernet3
 description Interfaccia Lan Ospiti
 switchport access vlan 30
 no ip address
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 description "WAN"
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
!
interface Vlan20
 description "LAN PRIVATA"
 ip address 10.0.0.200 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan30
 description "LAN GUEST"
 ip address 10.0.30.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat translation timeout 10
ip nat inside source list 1 interface Vlan10 overload
ip nat inside source list 2 interface Vlan10 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.254
!
access-list 1 permit 10.0.0.0 0.0.0.255
access-list 2 permit 10.0.30.0 0.0.0.255
!
!
control-plane
!
!
voice-port 1
!
voice-port 2
!
voice-port 3
!
voice-port 4
!
voice-port 5
!
voice-port 6
!
!
!
mgcp profile default
!
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 password ——————————
 login local
 transport input all
!
!
end

/code]

[merovese]

Qualche idea?

[paolomat75]

Devi fare una ACL con established, in modo che la VLAN 30 possa dialogare con la VLAN 20 solo se la comunicazione è partita dalla VLAn 20.

Ciao
Paolo

[CiscoEVPN]

Ciao,

Aggiungo a quanto detto da Paolo che l'ACL devi applicarla alle interfacce su cui hai posto la Vlan 20

Saluti

[merovese]

Ciao e intanto grazie mille per il consiglio, potreste peró applicarmi quanto detto alla conf? Scusate ma ancora navigo in alto mare con le conf Cisco e già costruire questa è stato arduo, grazie mille in anticipo!!!!

[merovese]

Ciao ragazzi, allora ho fatto delle modifiche e pare che le cose funzionino



Current configuration : 4800 bytes
!
! Last configuration change at 15:52:14 WEST Thu Jul 9 2015 by admin
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 887
!
boot-start-marker
boot-end-marker
!
!
enable password 7 ------------------
!
no aaa new-model
clock timezone WEST 1 0
network-clock-participate wic 0
!
!
!
!
!
ip dhcp excluded-address 10.0.0.200 10.0.0.254
!
ip dhcp pool LAN
network 10.0.0.0 255.255.255.0
domain-name WLAN
default-router 10.0.0.200
dns-server 10.0.0.200 192.168.1.254
lease 15
!
ip dhcp pool LAN OSPITI
network 10.0.30.0 255.255.255.0
domain-name LAN
default-router 10.0.30.200
dns-server 10.0.30.200 192.168.1.254
lease 15
!
!
!
ip domain name LAN
ip cef
no ipv6 cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
voice-card 0
!
!
!
username admin password 7 ------------------
!
!
!
!
!
controller VDSL 0
shutdown
!
!
!
!
!
!
!
!
!
!
!
interface Ethernet0
no ip address
shutdown
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn termination multidrop
!
interface BRI1
no ip address
shutdown
!
interface BRI2
no ip address
shutdown
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet0
description Interfaccia Wan
switchport access vlan 10
no ip address
!
interface FastEthernet1
description Interfaccia Lan Privata
switchport access vlan 20
no ip address
!
interface FastEthernet2
description Interfaccia Lan Privata
switchport access vlan 20
no ip address
!
interface FastEthernet3
description Interfaccia Lan Ospiti
switchport access vlan 30
no ip address
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
description "WAN"
ip address dhcp
ip nat outside
ip virtual-reassembly in
!
interface Vlan20
description "LAN PRIVATA"
ip address 10.0.0.200 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan30
description "LAN GUEST"
ip address 10.0.30.200 255.255.255.0
ip access-group BLOCCO_VLAN in
ip nat inside
ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat translation timeout 10
ip nat inside source list 100 interface Vlan10 overload
ip nat inside source list 101 interface Vlan10 overload
ip route 0.0.0.0 0.0.0.0 192.168.1.254
!
ip access-list extended BLOCCO_VLAN
permit tcp 10.0.30.0 0.0.0.255 10.0.0.0 0.0.0.255 established
deny icmp 10.0.30.0 0.0.0.255 10.0.0.0 0.0.0.255 echo-reply
deny ip 10.0.30.0 0.0.0.255 10.0.0.0 0.0.0.255
permit ip any any
!
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 permit ip 10.0.30.0 0.0.0.255 any
!
!
control-plane
!
!
voice-port 1
!
voice-port 2
!
voice-port 3
!
voice-port 4
!
voice-port 5
!
voice-port 6
!
!
!
mgcp profile default
!
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password 7 -----------------
login local
transport input all
!
!
end


Così facendo le 2 vlan non comunicano più tra di loro, però se dalla 10.0.30.0 pingo la 10.0.0.0 mi viene restituito il messaggio che il ping è bloccato dall'amministratore, invece se pingo dalla 10.0.0.0 alla 10.0.30.0 il ping mi da richiesta scaduta, invece a meservirebbe che dalla 10.0.0.0 alla 10.0.30.0 funzionasse....dove sbaglio???
Grazie

[paolomat75]

Sostituisci

Codice: Seleziona tutto

deny icmp 10.0.30.0 0.0.0.255 10.0.0.0 0.0.0.255 echo-reply

con

Codice: Seleziona tutto

permit icmp 10.0.30.0 0.0.0.255 10.0.0.0 0.0.0.255 echo-reply

Paolo