ACL su Catalyst 4507

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
baol
Cisco fan
Messaggi: 40
Iscritto il: sab 17 mar , 2007 12:04 am

buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...

access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out

**** dove la vlan8 é 10.1.8.0/24

grazie in anticipo !
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Si
Si vis pacem para bellum
Avatar utente
perteghella
Cisco enlightened user
Messaggi: 135
Iscritto il: mar 20 mar , 2007 10:54 am
Località: Reggio Emilia
Contatta:

Devi utilizzare una Vlan ACL o VACL.

Ti consiglio di guardare questo documento per vedere la sequenza di applicazione delle VACL e ACL in caso di routed e/o bridged interface http://goo.gl/Yo70x

Applying VACLs on Bridged Packets

Immagine


Applying VACLs on Routed Packets

Immagine
Giovanni Perteghella
CCAI e CCSI#32156 Trainer (R&S, DataCenter, Collaboration, Wireless) - VCI VMware Trainer
baol
Cisco fan
Messaggi: 40
Iscritto il: sab 17 mar , 2007 12:04 am

Ho provato questa config con le VACL:

ip access-list extended net_80
permit ip 10.1.80.0 0.0.0.255 10.1.50.0 0.0.0.255

vlan access-map map_net_80
match ip address net_80
action drop

vlan filter map_net_80 vlan-list 80

ma il risultato é che dalla Vlan 80 mi "droppa" tutto, non solo i pacchetti destinati alla rete 10.1.50.0/24. non considera il subnetting ?

grazie
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Mboh, io sul mio 4510 ho questo:

Codice: Seleziona tutto

interface Vlan9
 ip address 172.30.254.30 255.255.255.224
 ip access-group ACL out

ip access-list standard ACL
 permit 172.31.1.250
 permit 172.31.1.248
 permit 172.31.1.249
 permit 172.31.10.209
 permit 172.31.10.210
 deny   any
e funziona.
La vlan d'ingresso per la rete 172.31.x.x è un'altra e nessuna macchina tranne quelle indicate nell'acl riesce ad accedere alla vlan 9

Rizio
Si vis pacem para bellum
baol
Cisco fan
Messaggi: 40
Iscritto il: sab 17 mar , 2007 12:04 am

Così funziona.
Vedrò di affinare la cosa facendo altre prove con le VACL, ma per adesso va benissimo.

Grazie mille!
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

baol ha scritto:buonasera, devo aggiungere filtri tra Vlan su un catalyst 4507 con OS 12.2(25)
Dove va applicata la access-list, sull'interfaccia vlan ?
Tipo, evitare l'accesso da una Vlan su un host di un'altra...

access-list 180 deny ip 10.1.8.0 0.0.0.255 host 10.1.6.125
access-list 180 permit ip any any
interface vlan8
ip access-group 180 out

**** dove la vlan8 é 10.1.8.0/24

grazie in anticipo !
Non so in che modo e' diverso fare questo su un catalyst, ma non intendi "in"
qui?
baol
Cisco fan
Messaggi: 40
Iscritto il: sab 17 mar , 2007 12:04 am

no, credo sia giusto "out".
con "in" bloccherei troppo alla fonte e invece voglio che passi del traffico.
Rispondi