отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Настройка доступа между вланами на 3750

Добрый день!

С cisco работаю не долго, сам настроивал сеть и т.д. Как ядро сети использую Cisco 3750, на нем крутяться несколько vlan'ов. Все vlan'ы друг друга видят по умолчанию. Встала необходимость разграничить доступ между ними. Почитав документацию и форумы, начал экспериментровать на Cisco Packet Tracer, но вышло не совсем так как было задумано. Итак, что имеем:

два влана: vlan1 10.10.1.0, vlan2 10.10.2.0

interface Vlan1
 ip address 10.10.1.1 255.255.255.0
!
interface Vlan2
 ip address 10.10.2.1 255.255.255.0

Необходимо чтобы vlan1 был недоступен vlan2, но для vlan1 был доступен vlan2. Написал access-list:

access-list 101 deny ip 10.10.2.0 0.0.0.255 10.10.1.0 0.0.0.255

access-list 101 permit ip any any

Повесил на vlan1 in. Сначала обрадовался, vlan2 не пингует vlan1. Но в итоге и vlan1 не пингует vlan2. Игрался с established, но никак не получается. Вообщем то я понимаю, что при обращении vlan1 к vlan2, vlan2 просто не может ответь на запросы. А вот как реализовать я не знаю.

Подскажите пожалуйста...

 

1 ОТВЕТ

Кратко: на Catalyst такое не

Кратко: на Catalyst такое не получится. Нужно сделать т.н. "router on the stick", а на маршрутизаторе уже в свою очередь даже с помощью Cisco Configuration Professional можно настроить statefull firewall или какие-нибудь reflexive acl или CBAC.

Ещё можно сделать иначе, поместить всех пользователей в один VLAN и сделать Private-VLANs, т.о. разграничите кто к кому и как может ходить.

P.S. established - смотрит на ACK флаг в TCP пакете и не подходит для ICMP трафика.

384
Просмотры
0
Полезный материал
1
Ответы