έχω ένα Cisco L3 switch κ κάποια Cisco L2 switches. Υπάρχουν Vlans και διάφορα subnets πέρα από το L3.
Στοπου έχει το subnetΚώδικας:Vlan 5κ έχει κάποιες συσκευές πάνω του.Κώδικας:192.168.85.64 255.255.255.192
Έχω τις συσκευες στο παραπάνω subnet όπου θέλω να μην μιλάνε μεταξύ τους, αλλά η πρόσβαση από/προς τα υπόλοιπα δίκτυα να μην κοπεί.
σκέφτικα να φτιάξω στα L2 μια access list:
Κώδικας:ip access-list extended whatevername permit ip any any deny tcp 192.168.85.64 0.0.0.63 any permit tcp host 192.168.85.10 any
Αλλά χάνω πρόσβαση προς τις IPs αυτές.
πως μπορώ να το φτιάξω?
Εμφάνιση 1-2 από 2
Θέμα: Cisco access list help
-
30-04-24, 12:37 Cisco access list help #1
-
30-04-24, 19:57 Απάντηση: Cisco access list help #2
Συνήθως όταν θες τέτοιο διαχωρισμό, βάζεις τις συσκευές που δε θες να μιλάνε μεταξύ τους σε ξεχωριστά vlans και παίζεις με ACLs στους routers. Αν τώρα - για οποιοδήποτε λόγο - θες να το υλοποιήσεις όπως θες, έχεις αρκετές επιλογές.
1) Private VLANs - isolated προς τα devices, promiscuous προς τον router. Σχετικά εύκολο, αλλά πρέπει να τα υποστηρίζουν όλα τα switches στο path.
2) Port ACLs στα ports προς τα devices. Θέλει δουλειά σε κάθε πόρτα που βάζεις τέτοιο device, και έχε στο νου σου ότι ανάλογα το μηχάνημα, υπάρχουν restrictions. Σχετικά με τη λίστα που αναφέρεις, έχε στο νου σου ότι η επεξεργασία είναι από πάνω προς τα κάτω και καλό είναι να είσαι όσο πιο συγκεκριμένος μπορείς.
3) VLAN filtering - Θέλει δουλειά σε κάθε switch για τo VLAN σου. Προσοχή, κόψε συγκεκριμένα πράγματα και άφησε τα υπόλοιπα, γιατί είναι πολύ εύκολο να σπάσεις πράγματα που μπορεί να θες ( control-plane protocols, arp, nd, κτλ ).In theory, practice is the same as theory.
In practice, it isn't.
Bookmarks