Pagina 1 di 1
ACL su Catalyst 4507
Inviato: mer 18 gen , 2012 6:59 pm
da baol
buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...
access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out
**** dove la vlan8 é 10.1.8.0/24
grazie in anticipo !
Re: ACL su Catalyst 4507
Inviato: gio 19 gen , 2012 8:31 am
da Rizio
Si
Re: ACL su Catalyst 4507
Inviato: gio 19 gen , 2012 9:15 am
da perteghella
Devi utilizzare una Vlan ACL o VACL.
Ti consiglio di guardare questo documento per vedere la sequenza di applicazione delle VACL e ACL in caso di routed e/o bridged interface
http://goo.gl/Yo70x
Applying VACLs on Bridged Packets
Applying VACLs on Routed Packets
Re: ACL su Catalyst 4507
Inviato: gio 19 gen , 2012 2:22 pm
da baol
Ho provato questa config con le VACL:
ip access-list extended net_80
permit ip 10.1.80.0 0.0.0.255 10.1.50.0 0.0.0.255
vlan access-map map_net_80
match ip address net_80
action drop
vlan filter map_net_80 vlan-list 80
ma il risultato é che dalla Vlan 80 mi "droppa" tutto, non solo i pacchetti destinati alla rete 10.1.50.0/24. non considera il subnetting ?
grazie
Re: ACL su Catalyst 4507
Inviato: gio 19 gen , 2012 2:49 pm
da Rizio
Mboh, io sul mio 4510 ho questo:
Codice: Seleziona tutto
interface Vlan9
ip address 172.30.254.30 255.255.255.224
ip access-group ACL out
ip access-list standard ACL
permit 172.31.1.250
permit 172.31.1.248
permit 172.31.1.249
permit 172.31.10.209
permit 172.31.10.210
deny any
e funziona.
La vlan d'ingresso per la rete 172.31.x.x è un'altra e nessuna macchina tranne quelle indicate nell'acl riesce ad accedere alla vlan 9
Rizio
Re: ACL su Catalyst 4507
Inviato: gio 19 gen , 2012 5:46 pm
da baol
Così funziona.
Vedrò di affinare la cosa facendo altre prove con le VACL, ma per adesso va benissimo.
Grazie mille!
Re: ACL su Catalyst 4507
Inviato: mar 13 mar , 2012 5:07 am
da ghira
baol ha scritto:buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...
access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out
**** dove la vlan8 é 10.1.8.0/24
grazie in anticipo !
Non so in che modo e' diverso fare questo su un catalyst, ma non intendi "in"
qui?
Re: ACL su Catalyst 4507
Inviato: gio 15 mar , 2012 2:58 pm
da baol
no, credo sia giusto "out".
con "in" bloccherei troppo alla fonte e invece voglio che passi del traffico.