Cisco 3850 ( SwitchCore) con ip routing attivo. sullo switch è configurata una interfaccia L3 SVI nella quale ci sono ACL sia in ingresso che in uscita :
Codice: Seleziona tutto
interface Vlan10
ip address 10.10.10.254 255.255.255.0
ip access-group VLAN-10-IN in
ip access-group VLAN-10-OUT out
no ip proxy-arp
end
Codice: Seleziona tutto
Extended IP access list VLAN-10-IN
5 permit icmp any any
10 permit tcp any any eq www
20 permit tcp any any eq 443
30 permit udp any any eq ntp
40 permit udp any any eq domain
50 permit tcp 10.10.10.0 0.0.0.255 172.16.10.0 0.0.0.255 established
60 deny ip any any log
Codice: Seleziona tutto
Extended IP access list VLAN-10-OUT
10 permit tcp 172.16.10.0 0.0.0.255 host 10.10.10.232 eq 3389
20 permit tcp 172.16.10.0 0.0.0.255 host 10.10.10.233 eq 3389
30 deny ip any any log
SwitchA----SwitchCore----SwitchB
Se da un'host sulla vlan 10 che sta sulla switch B provo a pingare un host sulla vlan 10 che sta sullo switch A, ottengo questo :
Codice: Seleziona tutto
Feb 24 2016 12:42:10.119 UTC: %SEC-6-IPACCESSLOGDP: list VLAN-10-OUT denied icmp 10.10.10.210 -> 10.10.10.233 (8/0), 1 packet
Grazie.