buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...
access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out
**** dove la vlan8 é 10.1.8.0/24
grazie in anticipo !
ACL su Catalyst 4507
Moderatore: Federico.Lagni
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Si
Si vis pacem para bellum
-
perteghella
- Cisco enlightened user
- Messaggi: 135
- Iscritto il: mar 20 mar , 2007 10:54 am
- Località: Reggio Emilia
- Contatta:
Devi utilizzare una Vlan ACL o VACL.
Ti consiglio di guardare questo documento per vedere la sequenza di applicazione delle VACL e ACL in caso di routed e/o bridged interface http://goo.gl/Yo70x
Applying VACLs on Bridged Packets
Applying VACLs on Routed Packets
Ti consiglio di guardare questo documento per vedere la sequenza di applicazione delle VACL e ACL in caso di routed e/o bridged interface http://goo.gl/Yo70x
Applying VACLs on Bridged Packets
Applying VACLs on Routed Packets
Giovanni Perteghella
CCAI e CCSI#32156 Trainer (R&S, DataCenter, Collaboration, Wireless) - VCI VMware Trainer
CCAI e CCSI#32156 Trainer (R&S, DataCenter, Collaboration, Wireless) - VCI VMware Trainer
-
baol
- Cisco fan
- Messaggi: 40
- Iscritto il: sab 17 mar , 2007 12:04 am
Ho provato questa config con le VACL:
ip access-list extended net_80
permit ip 10.1.80.0 0.0.0.255 10.1.50.0 0.0.0.255
vlan access-map map_net_80
match ip address net_80
action drop
vlan filter map_net_80 vlan-list 80
ma il risultato é che dalla Vlan 80 mi "droppa" tutto, non solo i pacchetti destinati alla rete 10.1.50.0/24. non considera il subnetting ?
grazie
ip access-list extended net_80
permit ip 10.1.80.0 0.0.0.255 10.1.50.0 0.0.0.255
vlan access-map map_net_80
match ip address net_80
action drop
vlan filter map_net_80 vlan-list 80
ma il risultato é che dalla Vlan 80 mi "droppa" tutto, non solo i pacchetti destinati alla rete 10.1.50.0/24. non considera il subnetting ?
grazie
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Mboh, io sul mio 4510 ho questo:
e funziona.
La vlan d'ingresso per la rete 172.31.x.x è un'altra e nessuna macchina tranne quelle indicate nell'acl riesce ad accedere alla vlan 9
Rizio
Codice: Seleziona tutto
interface Vlan9
ip address 172.30.254.30 255.255.255.224
ip access-group ACL out
ip access-list standard ACL
permit 172.31.1.250
permit 172.31.1.248
permit 172.31.1.249
permit 172.31.10.209
permit 172.31.10.210
deny any
La vlan d'ingresso per la rete 172.31.x.x è un'altra e nessuna macchina tranne quelle indicate nell'acl riesce ad accedere alla vlan 9
Rizio
Si vis pacem para bellum
-
ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
Non so in che modo e' diverso fare questo su un catalyst, ma non intendi "in"baol ha scritto:buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...
access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out
**** dove la vlan8 é 10.1.8.0/24
grazie in anticipo !
qui?
