Access list aiuto

atomix · lun 14 mar , 2011 10:20 pm

Salve avrei bisogno di un aiuto per la realizzazione di alcune access list.In pratica la mia situazione è la seguente

Fa0 Vlan1 192.168.0.1 /24
Fa1 Vlan2 192.168.1.254 /24

vorrei fare in modo che :

Vlan2 non può accedere a niente nemmeno ad internet e non può nemmeno pingare la Vlan1 o altre che potrei creare
Vlan1 può fare tutto tranne vedere ne pingare la Vlan2
I pool di indirizzi 192.168.0.100 a 192.168.0.105 (quelli assegnati in vpn)della Vlan1 possono invece fare tutto compreso vedere e scambiare dati con Vlan1 e Vlan2

E' possibile farle?
Grazie ancora saluti

anubisg1 · mar 15 mar , 2011 12:21 pm

scusami ho fatto un casino..

anubisg1 · mer 16 mar , 2011 11:45 am

ecco qui quello che ti serve.. nota come ho dovuto permettere il traffico VERSO il pool 192.168.0.100-105 altrimenti non sarebbe potuto tornare indietro. probabilmente si puo' migliorare.. ma funziona.

Codice: Seleziona tutto

!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
!
interface Loopback0
 ip address 10.0.0.1 255.255.255.252
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip access-group 102 in
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 ip access-group 101 in
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 Loopback0 
!
!
access-list 102 permit ip host 192.168.0.100 any
access-list 102 permit ip host 192.168.0.101 any
access-list 102 permit ip host 192.168.0.102 any
access-list 102 permit ip host 192.168.0.103 any
access-list 102 permit ip host 192.168.0.104 any
access-list 102 permit ip host 192.168.0.105 any
access-list 102 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 102 permit ip any any
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.100
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.101
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.102
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.103
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.104
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.105
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip any any
!
!
!
!
!
line con 0
line vty 0 4
 login
!
!
!
end

una precisazione sull'access list 101... questa permette il traffico in uscita se e' generata dal tuo pool.\

se 192.168.0.100 fa il ping a 192.168.1.x funziona.. il viceversa invece NO.

se vuoi che funzioni in entrambi i sensi, l'access list 101 diventa:

Codice: Seleziona tutto

access-list 101 permit ip host 192.168.0.100 192.168.1.0 0.0.0.255
access-list 101 permit ip host 192.168.0.101 192.168.1.0 0.0.0.255
access-list 101 permit ip host 192.168.0.102 192.168.1.0 0.0.0.255
access-list 101 permit ip host 192.168.0.103 192.168.1.0 0.0.0.255
access-list 101 permit ip host 192.168.0.104 192.168.1.0 0.0.0.255
access-list 101 permit ip host 192.168.0.105 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.100
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.101
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.102
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.103
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.104
access-list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.0.105
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip any any

Access list aiuto

Login • Iscriviti