The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Петрович"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Петрович"  +/
Сообщение от Accesslist on 29-Фев-12, 15:49 
Товарищи, подскажите не совсем уверенному.

Есть маршрутизатор cisco, на ней несколько подинтерфейсов vlan c ip

interface FastEthernet0/0.2
description VLAN 6
encapsulation dot1Q 6
ip address 192.168.6.1 255.255.255.0
ip access-group 106 in

И список доступа, запрешающий досту к другим VLAN.

access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 106 permit ip any any

Как его сократить? Т. е. нужно запретить взаимодействие между VLAN-ами, но разрешить выход в Инет

Заранее спасибо.


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Петрович"  +/
Сообщение от shadow_alone (ok) on 29-Фев-12, 17:01 
Что значит сократить? убрать какие-то строки из ACL?

no access-list 106

и потом заного создать.

Есть и другие варианты, когда можно конкретно убирать добавлять по номеру строк.
Ну учитывая что ваш ACL всего из нескольких строк, воспользуйтесь этим вариантом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Петрович"  +/
Сообщение от anonymous (??) on 29-Фев-12, 20:50 
> Что значит сократить? убрать какие-то строки из ACL?
> no access-list 106
> и потом заного создать.
> Есть и другие варианты, когда можно конкретно убирать добавлять по номеру строк.
> Ну учитывая что ваш ACL всего из нескольких строк, воспользуйтесь этим вариантом.

Похоже, вопрос скорее по wildcard mask.
ipcalc в помощь, ну, либо материал по изучению.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Петрович"  +/
Сообщение от Петрович on 01-Мрт-12, 11:25 
>> Что значит сократить? убрать какие-то строки из ACL?

Я имел в виду как сократить число строк в access-list-е, т. е. не перечислять каждый раз
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.0.255 и т. д. в зависимости от сети, а чтоб одной строкой, что то типа

Т. е. сказать, что можно када угодно кроме частных сетей класса С

access-list 106 deny   ip 192.168.0.0  0.0.255.255

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Петрович"  +/
Сообщение от shadow_alone (ok) on 01-Мрт-12, 14:03 
Это если точно согласно Вашему ACL

access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.6.1 0.0.0.0
access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.7.255
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.8.0 0.0.1.255
access-list 106 permit ip any any

Ну или если совсем для всех 192.168, тогда


access-list 106 permit ip 192.168.6.0 0.0.0.255 192.168.6.1 0.0.0.0
access-list 106 deny   ip 192.168.6.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 106 permit ip any any

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру