Pagina 1 di 1

ACL su Catalyst 4507

Inviato: mer 18 gen , 2012 6:59 pm
da baol
buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...

access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out

**** dove la vlan8 é 10.1.8.0/24

grazie in anticipo !

Re: ACL su Catalyst 4507

Inviato: gio 19 gen , 2012 8:31 am
da Rizio
Si

Re: ACL su Catalyst 4507

Inviato: gio 19 gen , 2012 9:15 am
da perteghella
Devi utilizzare una Vlan ACL o VACL.

Ti consiglio di guardare questo documento per vedere la sequenza di applicazione delle VACL e ACL in caso di routed e/o bridged interface http://goo.gl/Yo70x

Applying VACLs on Bridged Packets

Immagine


Applying VACLs on Routed Packets

Immagine

Re: ACL su Catalyst 4507

Inviato: gio 19 gen , 2012 2:22 pm
da baol
Ho provato questa config con le VACL:

ip access-list extended net_80
permit ip 10.1.80.0 0.0.0.255 10.1.50.0 0.0.0.255

vlan access-map map_net_80
match ip address net_80
action drop

vlan filter map_net_80 vlan-list 80

ma il risultato é che dalla Vlan 80 mi "droppa" tutto, non solo i pacchetti destinati alla rete 10.1.50.0/24. non considera il subnetting ?

grazie

Re: ACL su Catalyst 4507

Inviato: gio 19 gen , 2012 2:49 pm
da Rizio
Mboh, io sul mio 4510 ho questo:

Codice: Seleziona tutto

interface Vlan9
 ip address 172.30.254.30 255.255.255.224
 ip access-group ACL out

ip access-list standard ACL
 permit 172.31.1.250
 permit 172.31.1.248
 permit 172.31.1.249
 permit 172.31.10.209
 permit 172.31.10.210
 deny   any
e funziona.
La vlan d'ingresso per la rete 172.31.x.x è un'altra e nessuna macchina tranne quelle indicate nell'acl riesce ad accedere alla vlan 9

Rizio

Re: ACL su Catalyst 4507

Inviato: gio 19 gen , 2012 5:46 pm
da baol
Così funziona.
Vedrò di affinare la cosa facendo altre prove con le VACL, ma per adesso va benissimo.

Grazie mille!

Re: ACL su Catalyst 4507

Inviato: mar 13 mar , 2012 5:07 am
da ghira
baol ha scritto:buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...

access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out

**** dove la vlan8 é 10.1.8.0/24

grazie in anticipo !
Non so in che modo e' diverso fare questo su un catalyst, ma non intendi "in"
qui?

Re: ACL su Catalyst 4507

Inviato: gio 15 mar , 2012 2:58 pm
da baol
no, credo sia giusto "out".
con "in" bloccherei troppo alla fonte e invece voglio che passi del traffico.