 ACL VLAN IN / OUT,  peering, 28-Ноя-12, 08:29 [смотреть все]Запутался с направлениями: задача была такая:- cisco 871
- 2 valn весят на L2 ( vlan1, Vlan2) Организован доступ между хостами (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10 На vlan2 вешаю: ip access-group 120 in access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 Трафик ходит нормально,, но не пойму логики .... 1) Почему правило работает только, если я его вешаю на входящее направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник) 192.168.0.95 (назначение). По логике трафик должен уходить через out.
2) Наткнулся на статью примерно по моему же случаю https://supportforums.cisco.com/thread/2115619
Чёт под запутался: про действие out / in есть у кого линк на более понятный материал.
-------------------
Я просто пытался объяснить на данном примере в какую сторону действует ACL на VLAN.
Если мы входим в SVI с L2 порта в данном ВЛАНе, то IN ACL будут на нас действовать, а OUT нет. Если же мы вошли на коммутатор в другой VLAN изначально (через другой L2 порт), а затем произошла маршрутизация в VLAn250 - то на нас IN ACL не будет действовать, а будет OUT. Это пу сути идентично ACL yна L3 портах.
Те:
Просто, когда вы идете с сервера - попадаете на L2 порт, его можно заменить виртуально на L3 VLAN 250. Поэтому в нашем случае к серверу применяются правил IN (то же самое если бы на l2 порту был l3 конфиг с VLAN250). Дальше трафик от сервера маршрутизируется в другой ВЛАН и выходит из Л2 порта в другом ВЛАн например 100. Тогда SVI VLAN 100 можно рассматривать как OUTgoing port для трафика с сервера. И ACL на SVI 100 в направлении OUT также будут действовать на трафик от сервера.
Если же смотреть со стороны компьютера-источника запроса RDP. VLAN 250 для него исходящий L3 интерфейс (входящий для него какой-то другой ВЛАН с его сеткой), поэтому на него не действуют правила IN на VLAN 250, а дейстуют правила Out.
----------------------------------------- !
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 163
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3268845800
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3268845800
revocation-check none
rsakeypair TP-self-signed-3268845800
!
!
crypto pki certificate chain TP-self-signed-3268845800
certificate self-signed 01 nvram:IOS-Self-Sig#10.cer
dot11 syslog
ip cef
!
!
ip name-server 8.8.8.8
!
!
!
username root privilege 15 password 0 -------
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key ---- address ------------
!
!
crypto ipsec transform-set VTI esp-aes 192 esp-sha-hmac
!
crypto ipsec profile VTI
set transform-set VTI
!
!
archive
log config
hidekeys
!
!
!
!
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
tunnel source FastEthernet4
tunnel destination -----------
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI
!
interface FastEthernet0
switchport access vlan 2
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address --------------- 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet4.1
!
interface Vlan1
ip address 192.168.0.230 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.10.1 255.255.255.0
ip access-group 120 in
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 -------------
ip route 10.0.0.0 255.255.255.0 10.0.0.1
ip route 192.168.5.0 255.255.255.0 10.0.0.1
!
no ip http server
ip http authentication local
ip http secure-server
ip dns server
ip nat inside source list 1 interface FastEthernet4 overload
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 50 permit 192.168.10.10
access-list 60 permit 192.168.0.98
access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
|
- ACL VLAN IN / OUT, Serb, 09:10 , 28-Ноя-12 (1)
interface Vlan2
ip address 192.168.10.1 255.255.255.0
ip access-group 120 in
ip access-group 119 outinterface Vlan1
ip address 192.168.0.1 255.255.255.0
ip access-group 121 in
ip access-group 122 out access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
access-list 121 permit ip host 192.168.0.95 host 192.168.10.10
access-list 119 permit ip host 192.168.0.95 host 192.168.10.10
host 192.168.10.10 - > fa0/vlan2 <-> vlan 2 - vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120 - l3 extended ACL)
traffic ot host 192.168.10.10 k 192.168.0.95 - > fa0/vlan2 - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )-> fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10 de 192.168.0.95 ) -> 192.168.0.95
traffic k host 192.168.10.10 ot 192.168.0.95 -> fa1/vlan1 - ACL121-in (so 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95 de 192.168.10.10)
- ACL VLAN IN / OUT, peering, 11:34 , 28-Ноя-12 (2)
>[оверквотинг удален]
> ip address 192.168.0.1 255.255.255.0
> ip access-group 121 in
> ip access-group 122 out
> access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 121 permit ip host 192.168.0.95 host 192.168.10.10
> access-list 119 permit ip host 192.168.0.95 host 192.168.10.10
> host 192.168.10.10 - > fa0/vlan2 <-> vlan 2 -
> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
> - l3 extended ACL) Я тоже думал что они вообще не работают потом попробовал access-list 120 permit ip host 192.168.10.10 host 192.168.0.95 из менить access-list 120 permit ip host 192.168.10.11 host 192.168.0.95 меняю источник или назн. ping не ходит..
И если вешаю на out сеть не доступна....
> traffic ot host 192.168.10.10 k 192.168.0.95 - > fa0/vlan2
> - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
> fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
> de 192.168.0.95 ) -> 192.168.0.95
> traffic k host 192.168.10.10 ot 192.168.0.95 -> fa1/vlan1 - ACL121-in (so
> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
> de 192.168.10.10)
- ACL VLAN IN / OUT, fantom, 12:15 , 28-Ноя-12 (3)
>[оверквотинг удален]
> permit ip host 192.168.10.11 host 192.168.0.95 меняю источник или назн.
> ping не ходит..
> И если вешаю на out сеть не доступна....
>> traffic ot host 192.168.10.10 k 192.168.0.95 - > fa0/vlan2
>> - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>> fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
>> de 192.168.0.95 ) -> 192.168.0.95
>> traffic k host 192.168.10.10 ot 192.168.0.95 -> fa1/vlan1 - ACL121-in (so
>> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
>> de 192.168.10.10) Вообще-то все с позиции циски на vlan 2 трафик с src IP 192.168.10.10 именно IN направления.
- ACL VLAN IN / OUT, Serb, 21:42 , 28-Ноя-12 (4)
>[оверквотинг удален]
>> И если вешаю на out сеть не доступна....
>>> traffic ot host 192.168.10.10 k 192.168.0.95 - > fa0/vlan2
>>> - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>>> fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
>>> de 192.168.0.95 ) -> 192.168.0.95
>>> traffic k host 192.168.10.10 ot 192.168.0.95 -> fa1/vlan1 - ACL121-in (so
>>> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
>>> de 192.168.10.10)
> Вообще-то все с позиции циски на vlan 2 трафик с src IP
> 192.168.10.10 именно IN направления.da IN, y vrode ne utverzhdal obratnoe
- ACL VLAN IN / OUT, peering, 08:20 , 29-Ноя-12 (7)
>[оверквотинг удален]
> ip address 192.168.0.1 255.255.255.0
> ip access-group 121 in
> ip access-group 122 out
> access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
> access-list 121 permit ip host 192.168.0.95 host 192.168.10.10
> access-list 119 permit ip host 192.168.0.95 host 192.168.10.10
> host 192.168.10.10 - > fa0/vlan2 <-> vlan 2 -
> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
> - l3 extended ACL) Скажи а вот обязательно на каждый интерфейс правило вешать я думал в моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,, > traffic ot host 192.168.10.10 k 192.168.0.95 - > fa0/vlan2
> - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
> fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
> de 192.168.0.95 ) -> 192.168.0.95
> traffic k host 192.168.10.10 ot 192.168.0.95 -> fa1/vlan1 - ACL121-in (so
> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
> de 192.168.10.10)
- ACL VLAN IN / OUT, Serb, 09:32 , 29-Ноя-12 (8)
>[оверквотинг удален]
>> ip access-group 122 out
>> access-list 122 permit ip host 192.168.10.10 host 192.168.0.95
>> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
>> access-list 121 permit ip host 192.168.0.95 host 192.168.10.10
>> access-list 119 permit ip host 192.168.0.95 host 192.168.10.10
>> host 192.168.10.10 - > fa0/vlan2 <-> vlan 2 -
>> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
>> - l3 extended ACL)
> Скажи а вот обязательно на каждый интерфейс правило вешать я думал в
> моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,, не обязательно, смотря какие цели приследуются, выше был пример для общего понимание что и как, а не руководство к действию >> traffic ot host 192.168.10.10 k 192.168.0.95 - > fa0/vlan2
>> - ACL120-in na vlan 2 (so 192.168.10.10 de 192.168.0.95 )->
>> fa1/Vlan1 -> acl 122-out na vlan 1 (so 192.168.10.10
>> de 192.168.0.95 ) -> 192.168.0.95
>> traffic k host 192.168.10.10 ot 192.168.0.95 -> fa1/vlan1 - ACL121-in (so
>> 192.168.0.95 de 192.168.10.10) - > fa0/vlan2 -> acl 119-out (so 192.168.0.95
>> de 192.168.10.10)
- ACL VLAN IN / OUT, peering, 10:43 , 29-Ноя-12 (9)
>[оверквотинг удален]
>>> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
>>> access-list 121 permit ip host 192.168.0.95 host 192.168.10.10
>>> access-list 119 permit ip host 192.168.0.95 host 192.168.10.10
>>> host 192.168.10.10 - > fa0/vlan2 <-> vlan 2 -
>>> vse rabotaet i hodit ACL ne proveryaetsya voobshe (tak kal 120
>>> - l3 extended ACL)
>> Скажи а вот обязательно на каждый интерфейс правило вешать я думал в
>> моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,,
> не обязательно, смотря какие цели приследуются, выше был пример для
> общего понимание что и как, а не руководство к действию Спасибо... Цель у меня 3 Vlan,,, Vlan1 Vlan2 Vlan3 Vlan1 ( центр циска ) Vlan2 Vlan3 клиенты Нужно чтобы V2-V3 ходили в V1 на определённые ip, друг друга видеть не должны. Мне я так понял достаточно повесить ACL на V2-V3 ???
- ACL VLAN IN / OUT, Serb, 19:31 , 29-Ноя-12 (10)
>[оверквотинг удален]
>>> Скажи а вот обязательно на каждый интерфейс правило вешать я думал в
>>> моём случае достаточно будет для Vlan2 т.к ему нужно доступ обрезать,,,
>> не обязательно, смотря какие цели приследуются, выше был пример для
>> общего понимание что и как, а не руководство к действию
> Спасибо...
> Цель у меня 3 Vlan,,, Vlan1 Vlan2 Vlan3
> Vlan1 ( центр циска ) Vlan2 Vlan3 клиенты
> Нужно чтобы V2-V3 ходили в V1 на определённые ip, друг
> друга видеть не должны.
> Мне я так понял достаточно повесить ACL на V2-V3 ???dostatochno. no ya bi delal tak
dostup v vlan1 - vlan1 out acl
dostup v vlan2 - vlan 2 out acl
dostup v vlan3 - vlan3 out acl
- ACL VLAN IN / OUT, crash, 06:39 , 29-Ноя-12 (5)
>[оверквотинг удален]
> - cisco 871
> - 2 valn весят на L2 ( vlan1, Vlan2)
> Организован доступ между хостами (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10
> На vlan2 вешаю:
> ip access-group 120 in
> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
> Трафик ходит нормально,, но не пойму логики ....
> 1) Почему правило работает только, если я его вешаю на входящее
> направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник)
> 192.168.0.95 (назначение). По логике трафик должен уходить через out.по логике он должен ходить через in, что он собственно у вас и делает. Поэтому не понятно суть вашей проблемы.
- ACL VLAN IN / OUT, peering, 08:16 , 29-Ноя-12 (6)
>[оверквотинг удален]
>> Организован доступ между хостами (Vlan1) ip 192.168.0.95 на (vlan2) 192.168.10.10
>> На vlan2 вешаю:
>> ip access-group 120 in
>> access-list 120 permit ip host 192.168.10.10 host 192.168.0.95
>> Трафик ходит нормально,, но не пойму логики ....
>> 1) Почему правило работает только, если я его вешаю на входящее
>> направления IN, хотя как я понимаю указанно 192.168.10.10 ( Источник)
>> 192.168.0.95 (назначение). По логике трафик должен уходить через out.
> по логике он должен ходить через in, что он собственно у вас
> и делает. Поэтому не понятно суть вашей проблемы.Да проблема в том что меня запутала вот эта статья https://supportforums.cisco.com/thread/2115619
Кто для кого яавляется in / out
Вроде разобрался
|
Версия для распечатки
