ACLs Layer 3 switch Cisco 3750 HSRP

[alessio82]

Ciao,
ho dei problemi insoliti ad applicare una semplicissima access-list ad una vlan di layer 3 creata su n°2 3759 in HSRP, ad un vlan map e ad una interfaccia fisica fast ethernet.

L'Acl è la seguente

3750(config)#ip access-list extended 100
3750(config-ext-nacl)#permit ip any host 10.11.11.1
3750(config-ext-nacl)#permit udp any host 10.11.11.2 eq 53
3750(config-ext-nacl)#deny ip any 10.11.11.0 0.0.0.255
3750(config-ext-nacl)#exit
3750(config)#interface vlan 220
3750(config-if)#ip access-group 100 in/out


L'10.11.11.1 è il dhcp server e il 10.11.11.2 è il dns.

Nel momento in cui applico l'acl sia in USCITA che in INGRESSO alla "interface vlan 220" non passa più nulla.

Ho pensato fosse la versione sofware, ma sembra che la IPBASE pemetta l'utilizzo di Acls.

Lo stesso capita anche se la applico in INGRESSO sulla fast ethernet fisica.

Invece se provo ad agirare il problema con l'utilizzo delle vlan map, come segue, ho gli stessi risultati.


3750(config)#ip access-list extended 100
3750(config-ext-nacl)#permit ip any host 10.11.11.1
3750(config-ext-nacl)#exit
3750(config)#ip access-list extended 101
3750(config-ext-nacl)#permit ip any any

3750(config)#vlan access-map map1 10
3750(config-access-map)#match ip address 100
3750(config-access-map)#action forward
3750(config-access-map)#exit
3750(config)#vlan access-map map1 20
3750(config-access-map)#match ip address 101
3750(config-access-map)#action drop
3750(config-access-map)#exit

3750(config)#vlan filter map1 vlan-list 220


Qualcuno sa dirmi se è errarta l'Acl, se sui switch di layer 3 bisogna abilitare qualcosa, o se la logica è diversa?


GRAZIE IN ANTICIPO!!!

[Gianremo.Smisek]

c'e' l'implict deny... una volta applicate le acl devi attivare l'inspect per il traffico di ritorno!


ciao

[alessio82]

Non capisco...quale INSPECT devo attivare?

[Gianremo.Smisek]

sul tipo di traffico che t'interessa! io di solito attivo inspect su TCP ed UDP.

[alessio82]

I 3750 su cui sto avendo questo tipo di problema hanno la versione software IP BASE e non hanno la funzionalità INSPECT.

[Gianremo.Smisek]

Codice: Seleziona tutto

ip inspect ?

in conf t, da esito negativo?

non riesci ad aggiornare l'ios ? Nel caso non riesci, metti la keyword established alla fine dell'acl.

tipo cosi': access-list 102 permit tcp any any established


la keyword established serve ad attivare l'inspect.

ciao!

[alessio82]

Intanto GRAZIE MILLE per la disponibilità !!!

Però non è presente il comando INSPECT nella versione software installata su questi 3750 e un aggiornamento vorrei evitarlo in quanto sono in produzione.

Ho provato l'established però me lo da solo per le connessioni TCP, credo giustamente.

Visti i problemi che sto incontrando sto pensando ad intraprendere un'altra strada, hai qualche suggerimento per isolare una VLAN L3 creata sui 3750?

In pratica gli utenti di questa VLAN potranno solo navigare su internet, senza poter raggiungere nessun altra VLAN direttamente connessa ai 3750.

GRAZIE!!!

[Gianremo.Smisek]

mnhhhh

scusa, IP BASE supporta le private-vlan ? Se sì, hai risolto tutti i problemi

fammi sapere, ciao!

*****
edit:

cisco feature navigator dice di si:

Codice: Seleziona tutto

Release  	 Feature Set/License  	 Image Name  	 DRAM  	 Flash
Sort By:
12.2(55)SE	IP BASE	c3750-ipbasek9-mz.122-55.SE.bin	128	16
12.2(55)SE	IP SERVICES	c3750-ipservicesk9-mz.122-55.SE.bin	128	16
12.2(53)SE2	IP BASE	c3750-ipbasek9-mz.122-53.SE2.bin	128	16