отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

ACL на SVI интерфейсе.

Приветствую. Имеем 3750 с настроенными vlan интерфейсами.

Необходимо заблокировать часть входящего и часть исходящего трафика на этом интерфейсе.

Я делаю: access-list 110 deny icmp any any

               access-list 110 permit ip any any

               int vlan 250

               ip access-group 110 in

в итоге я не могу пингануть сервер в 250 влане и с этого же сервера не могу пингануть вообще ничего.

Получается что пинги заблокировались в обе стороны. Хотя я рассчитывал что только в одну должны.

Моя задача вообще выполнима или я просто не до конца разобрался с направлениями in/out на svi интерфейсе?

Хотя если сделать ip access-group 110 out, будет приходить отбивка от int vlan 250 и сервер в 250 влане также не может никого пингануть.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Cisco Employee

ACL на SVI интерфейсе.

Сергей,

По поводу:

"Николай, или я вас не до конца понял или вы напутали.

access-list 110 permit tcp any any eq 3389

access-list 111 permit tcp any any eq 7001

int vlan 250

ip access-group 110 in

ip access-group 111 out

Данный  конфиг впускает на сервер только на порт 7001 и выпускает только на  порт 3389. Соответственно ни один сервис при таком конфиге работать не  будет."

Я имел ввиду то же самое. Ничего пропускаться не будет, так как ACL 111 разрешает только доступ на порт 7001 и все - ответ же с данного порта будет заблокирован с ACL110.

Я просто пытался объяснить на данном примере в какую сторону действует ACL на VLAN.

Если мы входим в SVI  с L2 порта в данном ВЛАНе, то IN ACL будут на нас действовать, а OUT нет. Если же мы вошли на коммутатор в другой VLAN изначально (через другой L2 порт), а затем произошла маршрутизация в VLAn250 - то на нас IN ACL не будет действовать, а будет OUT. Это пу сути идентично ACL yна L3 портах.

Те:

Просто, когда вы идете с сервера - попадаете на L2 порт, его можно заменить виртуально на L3 VLAN 250. Поэтому в нашем случае  к серверу применяются правил IN (то же самое если бы на l2 порту был l3 конфиг с VLAN250). Дальше трафик от сервера маршрутизируется в другой ВЛАН и выходит из Л2 порта в другом ВЛАн например 100. Тогда SVI VLAN 100 можно рассматривать как OUTgoing port для трафика с сервера. И ACL  на SVI 100 в направлении OUT также будут действовать на трафик от сервера.

Если же смотреть со стороны компьютера-источника запроса RDP. VLAN 250 для него исходящий L3 интерфейс (входящий для него какой-то другой ВЛАН  с его сеткой), поэтому на него не действуют правила IN на VLAN 250, а дейстуют правила Out.

Николай

8 ОТВЕТ.
Cisco Employee

ACL на SVI интерфейсе.

Сергей,

Насколько я понимаю данный лист доступа блокирует ICMP echo  request в одну сторону и ICMP ech reply в другую, поэтому пинг не работает с обоих сторон. Попробуйте в листе доступа явным образом указать, что вы хотите отбросить - echo или echo reply.

Например

access-list 110 deny icmp any any eq echo

Тогда данный лист будет дропать echo request,  входящие в VLAN, но не будет трогать echo reply, входящие в VLAN.

Надеюсь ничего не упустил.

Николай

New Member

ACL на SVI интерфейсе.

icmp я привел в качестве примера. Мне необходимо разрешить доступ на  этот сервер только по rdp и запретить все обращения с него к другим  хостам кроме 2 tcp.

Соответственно:

access-list 110 permit tcp any any eq 3389

access-list 111 permit tcp any any eq 7001

int vlan 250

ip access-group 110 in

ip access-group 111 out

Доступ вообще блокируется, в том числе и по рдп.

Не понимаю, почему при задании конкретного направления, фильтрация происходит в обе стороны.

ACL на SVI интерфейсе.

Сергей,

не видно записи, разрешающей серверам отвечать с порта RDP:

access-list 111 permit tcp any eq 3389 any

New Member

Re: ACL на SVI интерфейсе.

Интересная картина получается. Методом проб и ошибок выяснил, что направление in это out  влана, а направление out это in  влана.

Сейчас удалил все и оставил только: access-list 110 permit tcp any eq 3389 any

int vlan 250

ip access-group 110 in

Могу зайти на сервер только по рдп. С него же никуда не могу. В принципе это решает задачу, только не совсем  понятно почему оно так. Завтра пропишу полный конфиг может понятнее станет.

110 permit tcp any eq 3389 any
Cisco Employee

ACL на SVI интерфейсе.

Сергей,

Уточните пожалуйста SVI VLAN 250 - на нем чей subnet - сервера или источника? Если сервера, то все правильно. Так как источник входит в другой ВЛАН например в 100, а выходит из ВЛАн 250. Тогда для него ACL внизу должен быть на OUT:

access-list 110 permit tcp any any eq 3389

или на IN но в ВЛАН 100.

Для сервера же ВЛАН 250 - это входящий ВЛАН и трафик от сервера на нем фильтруется в направлении IN.

Те пример, который вы указали вверху:

access-list 110 permit tcp any any eq 3389

access-list 111 permit tcp any any eq 7001

int vlan 250

ip access-group 110 in

ip access-group 111 out

Трафик от источника выходит из ВЛАН 250 и блокируется по ACL111, который разрешает только порт 7001 и не разрешает RDP. С сервера же через ВЛАН 250 можно только пропускать ответы на RDP, которые и так не проходят - все остальное дропается.

Опять же данное верное если ВЛАН 250 - это один и тот же subnet с сервером, а у источника другая сетка.

Надеюсь ничего не напутал.

Николай.

New Member

ACL на SVI интерфейсе.

SVI VLAN 250 на нем сеть сервера.

access-list 110 permit tcp any eq 3389 any

int vlan 250

ip access-group 110 in

Кажется разобрался. Логика немного другая получается чем на интерфейсах рутера.

Данный конфиг запускает весь трафик в интерфейс и рубит все, что пытается выйти с сервера, кроме ответов на RDP сообщения.

Николай, или я вас не до конца понял или вы напутали.

access-list 110 permit tcp any any eq 3389

access-list 111 permit tcp any any eq 7001

int vlan 250

ip access-group 110 in

ip access-group 111 out

Данный  конфиг впускает на сервер только на порт 7001 и выпускает только на  порт 3389. Соответственно ни один сервис при таком конфиге работать не  будет. Если брать эти же порты, то корректный конфиг должен выглядеть  так:

access-list 110 permit tcp any eq 3389 any

access-list 110 permit tcp any eq 7001 any

access-list 111 permit tcp any any eq 7001

access-list 111 permit tcp any any eq 3389

int vlan 250

ip access-group 110 in

ip access-group 111 out

здесь мы получаем что на сервер мы можем попасть по портам 3389 и 7001, а с сервера не можем никуда.

Извиняюсь, если слишком сумбурно написал.

Cisco Employee

ACL на SVI интерфейсе.

Сергей,

По поводу:

"Николай, или я вас не до конца понял или вы напутали.

access-list 110 permit tcp any any eq 3389

access-list 111 permit tcp any any eq 7001

int vlan 250

ip access-group 110 in

ip access-group 111 out

Данный  конфиг впускает на сервер только на порт 7001 и выпускает только на  порт 3389. Соответственно ни один сервис при таком конфиге работать не  будет."

Я имел ввиду то же самое. Ничего пропускаться не будет, так как ACL 111 разрешает только доступ на порт 7001 и все - ответ же с данного порта будет заблокирован с ACL110.

Я просто пытался объяснить на данном примере в какую сторону действует ACL на VLAN.

Если мы входим в SVI  с L2 порта в данном ВЛАНе, то IN ACL будут на нас действовать, а OUT нет. Если же мы вошли на коммутатор в другой VLAN изначально (через другой L2 порт), а затем произошла маршрутизация в VLAn250 - то на нас IN ACL не будет действовать, а будет OUT. Это пу сути идентично ACL yна L3 портах.

Те:

Просто, когда вы идете с сервера - попадаете на L2 порт, его можно заменить виртуально на L3 VLAN 250. Поэтому в нашем случае  к серверу применяются правил IN (то же самое если бы на l2 порту был l3 конфиг с VLAN250). Дальше трафик от сервера маршрутизируется в другой ВЛАН и выходит из Л2 порта в другом ВЛАн например 100. Тогда SVI VLAN 100 можно рассматривать как OUTgoing port для трафика с сервера. И ACL  на SVI 100 в направлении OUT также будут действовать на трафик от сервера.

Если же смотреть со стороны компьютера-источника запроса RDP. VLAN 250 для него исходящий L3 интерфейс (входящий для него какой-то другой ВЛАН  с его сеткой), поэтому на него не действуют правила IN на VLAN 250, а дейстуют правила Out.

Николай

New Member

ACL на SVI интерфейсе.

Ну значит я просто не до конца понял вашу мысль.

Спасибо, я разобрался с направлениями трафика.

1133
Просмотры
0
Полезный материал
8
Ответы