iT邦幫忙

0

CISCO的ACL設定問題

clcy 2012-03-03 11:20:4018754 瀏覽

各位前輩好,小弟想請問一個CISCO ACL的設定。
我的環境裡有3650G一台,有切4個VLAN。假設IP網段各是192.168.1.X~ 192.168.4.X。
192.168.1.X~192.168.3.X是內部使用,192.168.4.X是讓外賓使用,由於不想讓外賓可以
直接存取到公司內部的網段,所以小弟就設定
access-list 101 deny ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 permit ip any any

因為我的SERVER和GATEWAY等等都放在192.168.1.0網段,所以一DENY掉就無法對外使用了。
原本想要先DENY後再開放GATEWAY和DHCP的IP,但是一直試不成功。

請問各位有沒有什麼方式可以達成小弟的想法呢?

謝謝。

2
tomluquan
iT邦新手 2 級 ‧ 2012-04-18 10:25:21
最佳解答

假設下列情況:你的gateway是192.168.1.1,DNS是192.168.1.2,vlan4:192.168.4.0/24

access-list 101 permit ip any host 192.168.1.1
switch(config)# access-list 101 permit ip any host 192.168.1.2
switch(config)# access-list 101 deny ip any 192.168.1.0 0.0.0.255
switch(config)# access-list 101 deny ip any 192.168.2.0 0.0.0.255
switch(config)# access-list 101 deny ip any 192.168.3.0 0.0.0.255
switch(config)# access-list 101 permit ip any any

switch(config)# interface vlan 4
switch(config-if)# ip access-group 101 in

4
michaelwan
iT邦高手 1 級 ‧ 2012-03-03 22:26:23

允許GATEWAY跟DHCP的IP就可以了預設本來就會deny ip any any.

clcy iT邦新手 3 級 ‧ 2012-03-04 04:27:05 檢舉

請問該如何達成呢?我之前有試過在後面加permit gateway,但是也不行。是順序?還是有其他眉角?

謝謝。

要看你想將ACL放在那個介面的那個方向來決定.

4
zackhuang
iT邦新手 2 級 ‧ 2012-03-04 20:44:25

你的ACL是擋在哪個介面呢?

clcy iT邦新手 3 級 ‧ 2012-03-05 11:27:20 檢舉

我目前是擋在192.168.1.X上。
因為192.168.1.X是SERVER及網路設備的網段,所以我是設在192.168.1.X的gateway上。

我要發表回答

立即登入回答