Switch Cisco e ACL intra VLAN

Tutto quello che ha a che fare con le infrastrutture (non le configurazioni)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Scenario:
Cisco 3850 ( SwitchCore) con ip routing attivo. sullo switch è configurata una interfaccia L3 SVI nella quale ci sono ACL sia in ingresso che in uscita :

Codice: Seleziona tutto

interface Vlan10
 ip address 10.10.10.254 255.255.255.0
 ip access-group VLAN-10-IN in
 ip access-group VLAN-10-OUT out
 no ip proxy-arp
end

Codice: Seleziona tutto

Extended IP access list VLAN-10-IN
    5 permit icmp any any 
    10 permit tcp any any eq www
    20 permit tcp any any eq 443
    30 permit udp any any eq ntp
    40 permit udp any any eq domain
    50 permit tcp 10.10.10.0 0.0.0.255 172.16.10.0 0.0.0.255 established
    60 deny ip any any log 

Codice: Seleziona tutto

Extended IP access list VLAN-10-OUT
    10 permit tcp 172.16.10.0 0.0.0.255 host 10.10.10.232 eq 3389 
    20 permit tcp 172.16.10.0 0.0.0.255 host 10.10.10.233 eq 3389
    30 deny ip any any log 
la parte L2 è fatta così :

SwitchA----SwitchCore----SwitchB

Se da un'host sulla vlan 10 che sta sulla switch B provo a pingare un host sulla vlan 10 che sta sullo switch A, ottengo questo :

Codice: Seleziona tutto

Feb 24 2016 12:42:10.119 UTC: %SEC-6-IPACCESSLOGDP: list VLAN-10-OUT denied icmp 10.10.10.210 -> 10.10.10.233 (8/0), 1 packet
Ora, so che i 3850 permettono di fare ACL intra VLAN però tramite class-map.... non ho trovato documentazione in giro, qualcuno ha qualche idea ?
Grazie.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi